С 30 мая 2025 года за отсутствие уведомления в Роскомнадзор — штраф до 300 000 рублей, ужесточились требования, усилились проверки организаций и ИП, работающих с персональными данными граждан.

Услуги регистрации ООО, АО, ИП и самозанятых в Роскомнадзоре
+7 995 123-16-24

roskom.expert@yandex.ru

Бесплатная консультация

Уведомление о трансграничной передаче данных в Роскомнадзоре

В России с 1 марта 2023 года вступил в силу ужесточённый порядок трансграничной передачи персональных данных граждан. По новым правилам любое отправление данных о клиентах или сотрудниках за рубеж требует отдельного уведомления Роскомнадзору и выполнения ряда условий. В частности, оператор должен убедиться, что получатель сможет обеспечить защиту персональных данных, а в случае отказа Роскомнадзора – обеспечить уничтожение переданных данных. Если в течение 10 рабочих дней после подачи уведомления ведомство не запретит передачу, данные можно передать. Такие изменения коснулись как крупных компаний, так и малого бизнеса, использующего зарубежные CRM, облака и сервисы рассылок.

Уведомление о трансграничной передаче данных в Роскомнадзоре

Содержание
  1. Что такое трансграничная передача персональных данных
  2. Новые правила и обязанности операторов
  3. «Доверенные» и «недружественные» страны
  4. Использование зарубежных CRM, облаков и сервисов
  5. Штрафы за нарушения
  6. Как проверить безопасность трансграничной передачи
  7. Практические рекомендации для бизнеса
  8. Заключение

Что такое трансграничная передача персональных данных

Трансграничная передача данных по закону № 152-ФЗ – это передача персональных данных на территорию иностранного государства или иностранной организации. Иначе говоря, при использовании любого зарубежного сервиса (облачного хранилища, аналитического или маркетингового инструмента), обрабатывающего данные российских граждан, Роскомнадзор считает, что вы отправляете данные за рубеж. По закону оператор может осуществлять такую передачу только после отдельного уведомления Роскомнадзора о намерении передавать данные иностранному получателю. Без уведомления любая трансграничная передача считается нарушением – даже если передаётся, например, Google Analytics или иностранный виджет сайта.

Обязанность уведомлять установлена ч. 3 ст. 12 ФЗ-152: оператор до начала трансграничной передачи должен направить Роскомнадзору документ с указанием целей, перечня данных и стран-получателей. После подачи уведомления оператор может передавать данные в страны, включённые в перечень «адекватных» (стороны Конвенции Совета Европы или другие защищённые страны) до решения Роскомнадзора. Для стран вне этого списка (не «адекватных») передача может осуществляться только после положительного решения РКН. Если же Роскомнадзор запрещает передачу, оператор обязан обеспечить уничтожение переданных данных на стороне иностранного получателя.

Новые правила и обязанности операторов

Новые требования ч.3 ст.12 152-ФЗ обязывают операторов персональных данных заранее уведомлять Роскомнадзор о трансграничной передаче. Уведомление оформляется отдельно от обычной регистрации обработки и включает сведения об объёмах данных и планируемых странах-получателях. Кроме того, оператор должен провести оценку защиты данных у иностранного контрагента. Это означает запросить у получателя:

  • Меры защиты данных: список технических и организационных мер, которые применяет иностранная сторона для сохранности передаваемой информации.
  • Сведения об организации: наименование или ФИО получателя, контакты (телефоны, почта), к которой поступят данные.
  • Правовое регулирование в стране получателя: информацию о законах о защите персональных данных в этой юрисдикции. (Запрашивать её не нужно, если страна входит в российский перечень «адекватных».)

Оператор обязан предоставить все эти сведения Роскомнадзору по запросу в течение 10 рабочих дней. Следует заранее проверить, не противоречит ли передача целей сбора данных, иначе РКН может отказать. Согласно Постановлению Правительства РФ № 24 от 16.01.2023, передавать данные запретят, если страна или получатель не обеспечивают адекватную защиту данных или включены в «список нежелательных организаций». Например, запрещена передача данных компаниям, внесённым в реестр иностранных нежелательных организаций. Также запрещено передавать информацию в объёмах или целях, не указанных при сборе данных.

«Доверенные» и «недружественные» страны

Важно понимать, что в отношении трансграничной передачи существуют два разных деления стран. Законом определяется перечень стран с адекватной защитой (стороны Конвенции СЕ и другие из приказа РКН) – эти государства считаются «доверенными» по ФЗ-152. Непосредственной маркировки «дружественные/недружественные» в законе нет, однако в политическом контексте под «недружественными странами» подразумеваются государства, применяющие санкции против России (например, США, Евросоюз и др.). На практике «доверенные» страны не всегда совпадают с «дружественными». Как отмечено экспертами, страна может быть признана «доверенной» (например, в списке РКН), но при этом из‑за санкций считаться «недружественной» – так было с Великобританией или Швейцарией. Это значит, что операции с данными в этих странах могут вызывать дополнительный риск и пристальное внимание Роскомнадзора.

При выборе зарубежного контрагента стоит учитывать не только формальный «адекватный список», но и текущее политическое положение. При работе с «недружественными» странами (где под санкциями и нежелательными компаниями может оказаться больше) рекомендуется дополнительно подтверждать необходимость передачи данных и тщательно документировать защитные меры.

Использование зарубежных CRM, облаков и сервисов

Практически любое использование зарубежных облачных сервисов и CRM-систем для обработки персональных данных рассматривается как трансграничная передача. Например, подключение на сайт Google Analytics или Mailchimp автоматически означает передачу данных о посетителях сервиса Google/США. С 30 мая 2025 года законодательство обязывает хранить и обрабатывать все данные о россиянах исключительно на территории РФ. Это значит, что с указанной даты любые зарубежные облачные решения должны иметь серверы в России или данные следует хранить в локальных российских аналогах.

Уже сейчас рекомендуется выбирать сервисы с локализацией в России: использовать российские облака, хостинги и аналитические системы (например, «Яндекс.Метрика», российские CRM и платформы рассылок) или убедиться, что зарубежный провайдер имеет инфраструктуру в РФ. В противном случае нужно уведомить Роскомнадзор и при возможности убедиться, что сервис соответствует требованиям защиты данных. Ведомство активно мониторит подобные передачи через систему «Ревизор», отслеживающую местоположение серверов и сетевой трафик.

К примеру, уже нередки прецеденты: если операторы продолжали использовать иностранные базы или сервисы без уведомления, Роскомнадзор отказывал им в праве передачи. При этом снятие такой блокировки в будущем – непростой процесс. Поэтому на практике бизнесам рекомендуют минимизировать зависимость от зарубежных сервисов и по возможности переходить на сертифицированные российские аналоги.

Штрафы за нарушения

Нарушение требований закона о персональных данных влечёт значительные штрафы. Так, за несоблюдение правил трансграничной передачи (к примеру, передачу без уведомления или в нарушение цели обработки) на юридическое лицо накладывается штраф от 150 000 до 300 000 руб.. При повторном нарушении сумма может вырасти до 300 000–500 000 руб.. Дополнительно предусмотрена ответственность за несоблюдение прочих обязанностей 152-ФЗ (отсутствие политики конфиденциальности, отказ в уничтожении данных и т.д.), которая тоже грозит штрафами до сотен тысяч рублей или блокировкой сайта.

С 2025 года система штрафов была ужесточена: например, за утечку данных грозят штрафы от миллионов рублей, а за несвоевременное уведомление – до 3 млн руб.. Особо строги санкции за повторные нарушения – вводятся оборотные штрафы (доли от дохода компании). Всё это накладывается на риски, связанные с трансграничной передачей. Поэтому несоблюдение ФЗ-152 и требований РКН может обойтись бизнесу в серьёзные суммы и нанесёт репутационный ущерб.

Как проверить безопасность трансграничной передачи

Чтобы убедиться, что трансграничная передача данных в вашей компании не нарушает закон, необходимо провести внутреннюю проверку (аудит). Для начала:

  • Инвентаризируйте каналы передачи: проверьте, какие зарубежные сервисы и CRM используются для сбора и хранения данных. Выясните, передаются ли данные клиентов или сотрудников на сервера вне России.
  • Оцените контрактные условия: убедитесь, что с каждым иностранным провайдером есть юридическое основание (обычно – обработка по поручению) и контактные данные ответственных лиц. Проверьте, есть ли у них локализованные центры обработки данных или какие меры защиты они декларируют.
  • Проверьте уведомления РКН: по факту уведомления можно сверить с реестром на сайте Роскомнадзора (реестр операторов и реестр трансграничных передач). Если вы ещё не уведомляли РКН – сделайте это заранее, указав реальные цели и страны-получатели.
  • Испытайте системы мониторинга: воспользуйтесь автоматическими инструментами и логами, чтобы выявить незаявленные «частички» внешнего трафика (например, скрипты Facebook Pixel, Google Analytics, или зарубежные почтовые шлюзы). Как отмечено, РКН сам использует систему «Ревизор» для отслеживания местоположения серверов и трафика.
  • Проведите аудит персональных данных: изучите внутренние документы (политику конфиденциальности, акты об уничтожении данных и т.д.), дайте оценку степени риска трансграничной передачи. Обратите внимание, что при отрицательном решении РКН компания обязана истребовать у иностранного партнёра уничтожение ранее переданных данных, поэтому к процедуре стоит относиться ответственно.

Регулярный аудит процессов передачи данных позволит выявить слабые места заранее. Например, типичное нарушение – использование Google Analytics без уведомления: так РКН расценивает это как передачу данных посетителей сайта в США. Иными примерами могут служить незаявленные массовые рассылки через зарубежные сервисы или обмен данными с иностранными «дочками» без обновления документов о цели обработки. Все такие случаи регламентированы законом, и за них полагаются санкции.

Практические рекомендации для бизнеса

  • Планируйте уведомления заранее. Проанализируйте текущие каналы передачи данных и направьте уведомление в Роскомнадзор не позднее, чем за 10 дней до фактической передачи. Детально опишите цели, объёмы и страны-получатели.
  • Пересмотрите договоры с иностранными сервисами. Убедитесь, что в них отражены меры защиты персональных данных (шифрование, ограничения доступа) и условия прекращения обработки.
  • Используйте локальные аналоги. По возможности замените зарубежные CRM, хранилища и аналитические сервисы на российские – это снизит риски и упростит соблюдение ФЗ-152. К 2025 году такое требование будет обязательным.
  • Обновляйте документы и политику. Просмотрите политику конфиденциальности и внутренние регламенты: в них нужно упоминать трансграничную передачу (если таковая есть) и способы защиты данных. При изменении условий работы своевременно корректируйте уведомления в РКН.
  • Следите за санкциями. Помните, что некоторые страны и компании могут быть признаны «недружественными» в политическом смысле – это добавляет риски. При работе с клиентами и партнёрами из таких стран проявляйте особую осторожность и дополнительно документируйте все меры безопасности.
  • Проводите регулярные проверки и обучение. Проведите внутренний аудит обработки персональных данных: перепроверьте, нет ли в коде сайта неявно подключённых иностранного ПО (виджетов аналитики, мессенджеров и т.д.). Обучите сотрудников правилам хранения и передачи данных, особенно при работе с зарубежными клиентами или сервисами.

Эти меры помогут избежать типичных нарушений. Например, РКН  уже фиксировал передачи данных соискателей и клиентов за рубеж для проверки платёжеспособности, не соответствующие изначальным целям сбора. Также нарушением является неподтверждение защитных мер иностранным партнёром – в этом случае Роскомнадзор может запретить передачу.

В связи с высокой стоимостью штрафов и репутационными рисками, мы рекомендуем обратиться к специалистам за аудитом сайта и процессов обработки персональных данных. Профессиональный аудит позволит обнаружить «слепые зоны» – например, незарегистрированные каналы передачи или отсутствие необходимых уведомлений – и разработать план приведения в соответствие с 152-ФЗ. Компания «РосКом Эксперт» специализируется на таких проверках: наши эксперты помогут провести аудит вашего сайта и информационных систем, подготовить необходимую документацию и обеспечить соблюдение всех требований Роскомнадзора.

Заключение

Трансграничная передача персональных данных – это сложная, но управляемая процедура. Введённые с марта 2023 года правила направлены на усиление контроля над потоками российских персональных данных за границу. Бизнесам важно понять новые требования 152-ФЗ, аккуратно оформлять уведомления в Роскомнадзор и заранее предусматривать защиту информации при работе с иностранными сервисами. Соблюдение законодательства защитит компанию от штрафов, блокировок и споров с регулятором.

Для малых и средних предприятий особенно актуальны практические рекомендации: инвентаризация данных, использование российских решений и регулярный внутренний контроль. По необходимости привлеките внешних консультантов – это позволит убедиться, что трансграничные связи вашей компании надёжны и безопасны. Воспользуйтесь услугами «Роском Эксперт» —  подготовка документов, аудит сайта и подача уведомления о трансграничной передаче данных в Роскомнадзор, чтобы оперативно устранить риски и соответствовать всем требованиям закона.

+7 995 123-16-24

roskom.expert@yandex.ru

Оставить заявку
Контактная информация:
350038, г Краснодар, ул им. Володи Головатого, д 605
Заявки принимаются на сайте ежедневно и круглосуточно по всей России
ИП Цыхманов Евгений Михайлович
ИНН 231007258340
ОГРНИП 314231014800021
Сайт r-exp.ru - коммерческий сервис, который предлагает услуги в подготовке документов и регистрации оператора персональных данных на сайте Роскомнадзора в соответствии с ФЗ 152 «О персональных данных». Данный сайт не является официальным порталом Роскомнадзора
Youtube Vk Telegram
Copyright 2022-2025. Онлайн сервис "Роском.Эксперт", официальный сайт.

Оформить заявку на услуги

Обязательно отметьте поля
+7 995 123-16-24

roskom.expert@yandex.ru

Бесплатная консультация
Благодарим за Вашу заявку, скоро с Вами свяжется наш специалист
 
А пока Вы ждете звонка, мы дарим Вам файл
«Чек лист из 34 обязательных процедур, необходимых для соблюдения законодательства о
персональных данных, согласно ФЗ-152 от 27.07.06 г. и требований Роскомнадзора по состоянию на 2025 г.»
Скачать файл бесплатно
Мы используем Cookies, в том числе с использованием сервиса веб-аналитики "Яндекс.Метрика". Продолжая использовать наш сайт, вы даете согласие обработку данных Cookies, в том числе с использованием сервиса веб-аналитики "Яндекс.Метрика" в соответствии с Политикой .

Это файлы, которые помогают нам сделать ваш опыт взаимодействия с сайтом удобнее.