Трансграничная передача персональных данных: правила 2026 года

Обновлено: март 2026 · 14 мин чтения

Если ваш сайт использует Google Analytics, YouTube-видео или Mailchimp для рассылок — вы, скорее всего, уже передаёте персональные данные за рубеж. С 2025 года правила трансграничной передачи ужесточились: теперь Роскомнадзор может запретить передачу, а штрафы выросли до 18 миллионов рублей. Разбираемся, что именно изменилось и что делать.

Содержание

  1. 1. Что такое трансграничная передача ПДн
  2. 2. Новые правила с 2025 года
  3. 3. Когда сайт передаёт данные за рубеж
  4. 4. Уведомление в Роскомнадзор
  5. 5. Штрафы за нарушение
  6. 6. Как минимизировать трансграничную передачу
  7. 7. Как AI-аудит выявляет трансграничную передачу

1. Что такое трансграничная передача ПДн

Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти, физическому или юридическому лицу этого государства (статья 12 Федерального закона № 152-ФЗ «О персональных данных»).

Проще говоря: если данные ваших пользователей покидают территорию России — это трансграничная передача. Не важно, как именно это происходит: через API, загрузку файлов, синхронизацию с облаком или встроенный скрипт на странице.

Трансграничная передача включает:

  • Хранение данных на серверах за рубежом (AWS, Azure, Google Cloud)
  • Использование иностранных SaaS-сервисов (CRM, email-рассылки, аналитика)
  • Передача данных международным партнёрам и контрагентам
  • Встроенные скрипты, отправляющие cookies и идентификаторы на зарубежные серверы
  • Облачные бекапы, синхронизируемые в зарубежные дата-центры

Важно: даже если вы не отправляете данные целенаправленно, но на вашем сайте стоит скрипт Google Analytics или Facebook Pixel — данные пользователей уже уходят за рубеж. Это считается трансграничной передачей.

2. Новые правила с 2025 года

С 1 марта 2025 года вступили в силу поправки, кардинально изменившие правила трансграничной передачи ПДн. Если раньше достаточно было получить согласие субъекта, то теперь процедура значительно сложнее.

Ключевые изменения:

  • 1.Уведомление в РКН до начала передачи. Оператор обязан уведомить Роскомнадзор о намерении передавать данные за рубеж до фактического начала передачи.
  • 2.Право РКН запретить передачу. Роскомнадзор получил право запретить или ограничить трансграничную передачу, если сочтёт это необходимым для защиты прав субъектов.
  • 3.Оценка иностранного получателя. Оператор обязан оценить уровень защиты ПДн в стране получателя и у конкретного получателя данных.
  • 4.Список «адекватных» стран. РКН ведёт перечень стран с адекватным уровнем защиты ПДн. Передача в эти страны проще, но уведомление всё равно обязательно.

Страны с «адекватной» защитой

В перечень входят страны, ратифицировавшие Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке ПДн:

ГерманияФранцияИталияИспанияАвстрияБельгияКазахстанБеларусьАрменияТурцияИзраильи другие

Внимание: США, Китай, Индия — не входят в список стран с адекватной защитой. Передача данных в эти страны требует дополнительных мер: договор с получателем, оценка рисков, усиленные гарантии защиты.

3. Когда сайт передаёт данные за рубеж

Большинство владельцев сайтов даже не подозревают, что их сайт ежедневно отправляет персональные данные посетителей за границу. Вот самые распространённые случаи:

СервисСтранаКакие данные уходят
Google AnalyticsСШАIP, cookies, поведение на сайте, устройство
Google FontsСШАIP-адрес, referer, user-agent
Facebook PixelСША / ИрландияCookies, поведение, данные форм
IntercomСШАИмя, email, переписка, IP
MailchimpСШАEmail, имя, история рассылок
Stripe / PayPalСШАПлатёжные данные, имя, email
AWS / AzureСША (даже EU-ДЦ)Все данные на сервере
Google MapsСШАIP, cookies, геолокация
YouTube (embed)СШАCookies, IP, история просмотров
CloudFlareСШАВесь трафик проходит через CDN
Совет: Даже если дата-центр AWS или Azure находится в Европе, юридически оператор — американская компания. Роскомнадзор рассматривает это как передачу данных в США. Используйте российские облачные провайдеры: Яндекс Cloud, VK Cloud, Selectel.

4. Уведомление в Роскомнадзор

Уведомление о трансграничной передаче — это обязательная процедура. Без неё любая передача данных за рубеж считается незаконной, даже если у вас есть согласие пользователя.

Пошаговая инструкция:

  1. 1
    Определите все случаи передачи

    Составьте полный список иностранных сервисов, которым вы передаёте ПДн. Не забудьте про скрипты аналитики, шрифты, виджеты и CDN.

  2. 2
    Зайдите на портал pd.rkn.gov.ru

    Авторизуйтесь через Госуслуги. Перейдите в раздел уведомлений о трансграничной передаче.

  3. 3
    Заполните уведомление

    Укажите: страну получателя, наименование получателя, цели передачи, категории передаваемых ПДн, правовое основание передачи, описание мер защиты у получателя.

  4. 4
    Дождитесь ответа РКН

    Роскомнадзор рассматривает уведомление в течение 10 рабочих дней. В это время передачу начинать нельзя.

  5. 5
    Начните передачу или устраните замечания

    Если РКН не запретил передачу — можно начинать. Если есть замечания — устраните и подайте повторно. При запрете — найдите российскую альтернативу сервису.

Внимание: уведомление подаётся до начала передачи, а не после. Если вы уже используете иностранные сервисы без уведомления — вы уже нарушаете закон. Подайте уведомление как можно скорее.

Совет: РКН может запретить передачу, если сочтёт, что в стране-получателе недостаточный уровень защиты ПДн. Подготовьте заранее документы, подтверждающие меры защиты у иностранного контрагента: политику конфиденциальности, сертификаты, договор обработки данных (DPA).

Проверьте, передаёт ли ваш сайт данные за рубеж

Бесплатный пре-скан покажет иностранные трекеры и скрипты на вашем сайте. Полный AI-аудит за 1 990 ₽ выявит все случаи трансграничной передачи.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

5. Штрафы за нарушение

Штрафы за нарушение правил трансграничной передачи существенно выросли. Законодатель явно даёт понять: передача данных за рубеж без соблюдения процедур — серьёзное нарушение.

НарушениеШтраф (юрлица)Штраф (ИП / должн. лица)
Передача без уведомления в РКН100–300 тыс. ₽30–50 тыс. ₽
Передача в страну, куда РКН запретилдо 6 млн ₽до 200 тыс. ₽
Нарушение локализации ПДн (хранение за рубежом)6–18 млн ₽200–500 тыс. ₽
Повторное нарушение (любое из вышеперечисленных)штраф × 2штраф × 2

Уголовная ответственность: с 2024 года за массовые утечки персональных данных (более 100 тысяч записей) предусмотрена уголовная ответственность — до 10 лет лишения свободы. Если данные утекли через незащищённый иностранный сервис — виноват оператор.

Кто штрафует?

Штрафы назначает Роскомнадзор по результатам проверки (плановой или внеплановой) либо по жалобе субъекта ПДн. С 2025 года РКН активно использует автоматизированные системы мониторинга сайтов — нарушения обнаруживаются без жалоб.

6. Как минимизировать трансграничную передачу

Полностью избежать трансграничной передачи сложно, но можно значительно сократить её объём. Вот практические шаги:

Замените иностранные сервисы российскими аналогами

  • Аналитика: Google Analytics → Яндекс.Метрика (данные в России)
  • Шрифты: Google Fonts → скачайте шрифты и разместите на своём сервере (self-host)
  • Email-рассылки: Mailchimp → Unisender, SendPulse (серверы в РФ)
  • Хостинг: AWS / Azure → Яндекс Cloud, VK Cloud, Selectel, Timeweb
  • CDN: CloudFlare → Qrator, Selectel CDN
  • Чат: Intercom → Jivo, Carrot Quest

Если передача необходима — соблюдайте процедуру

  • Подайте уведомление в РКН для каждого случая передачи
  • Заключите договор обработки данных (DPA) с иностранным получателем
  • Получите явное согласие пользователя на трансграничную передачу
  • Укажите в политике конфиденциальности все случаи трансграничной передачи
  • Документируйте меры защиты: шифрование, доступ, аудит

Self-host, что возможно

Многие внешние ресурсы можно разместить на своём сервере: шрифты, иконки, JS-библиотеки, карты (OpenStreetMap вместо Google Maps). Это убирает трансграничную передачу и ускоряет загрузку сайта.

Совет: Начните с аудита всех скриптов на сайте. Откройте DevTools → Network и посмотрите, к каким доменам обращается ваш сайт. Каждый иностранный домен — потенциальная трансграничная передача. Или просто запустите бесплатный скан на нашем сервисе.

7. Как AI-аудит выявляет трансграничную передачу

Наш сервис 152-audit.ru автоматически проверяет сайт на все случаи трансграничной передачи. Вот как это работает:

Обнаружение иностранных трекеров

Сканер анализирует HTML-код страницы и выявляет все подключённые скрипты: Google Analytics, Facebook Pixel, Hotjar, Amplitude и десятки других. Каждый трекер — это трансграничная передача.

Анализ внешних ресурсов

AI-аудит проверяет все загружаемые ресурсы: шрифты, стили, изображения, iframes. Если ресурс загружается с иностранного сервера — это фиксируется в отчёте с указанием страны и типа передаваемых данных.

Проверка форм

Сканер находит все формы на сайте и проверяет, куда отправляются данные. Если action формы указывает на иностранный сервер — это трансграничная передача ПДн, введённых пользователем.

Отчёт с рекомендациями

По результатам аудита вы получаете полный PDF-отчёт с перечнем всех иностранных сервисов, оценкой рисков и конкретными рекомендациями: что заменить, что удалить, для чего подать уведомление в РКН.

Бесплатный пре-скан за 30 секунд покажет основные проблемы. Полный AI-аудит за 1 990 ₽ — детальный анализ с рекомендациями.

Проверить свой сайт

Частые вопросы

YouTube видео на сайте — это трансграничная передача?+

Да. При встраивании YouTube-видео через iframe браузер пользователя отправляет запросы на серверы Google в США. Передаются cookies, IP-адрес, информация об устройстве. Чтобы минимизировать передачу, используйте режим «youtube-nocookie.com» и lazy loading. Но полностью избежать передачи при использовании YouTube нельзя.

А если я использую VPN для доступа к иностранному сервису?+

VPN не меняет юридическую сторону вопроса. Если данные попадают на сервер, расположенный за рубежом, — это трансграничная передача независимо от маршрута передачи. VPN шифрует канал, но не меняет конечную точку хранения и обработки данных.

Нужно ли уведомление для каждого сервиса отдельно?+

Уведомление подаётся не на каждый сервис, а на каждый случай передачи в конкретную страну конкретному получателю. Если вы используете несколько сервисов Google — можно объединить в одно уведомление (получатель — Google LLC, страна — США). Но если добавляется новый иностранный контрагент — нужно новое уведомление.

Как узнать, в какой стране находится сервер?+

Для технической проверки используйте команды whois и nslookup, а также сервисы вроде ipinfo.io. Но для юридической оценки важнее не физическое расположение сервера, а юрисдикция компании-оператора. Даже если сервер Amazon стоит во Франкфурте, юридически это передача данных американской компании.

Распространяется ли на данные сотрудников?+

Да. Если вы используете иностранные HR-системы (BambooHR, Workday), облачную бухгалтерию с серверами за рубежом или корпоративную почту на Gmail — данные сотрудников тоже передаются за границу. На них распространяются те же правила и те же штрафы.

Читайте также

152-ФЗ простым языком

Полный разбор закона о персональных данных для владельцев сайтов

Штрафы за нарушение 152-ФЗ

Таблица штрафов КоАП 13.11 и оборотные штрафы за утечки

Чек-лист проверки сайта

22 пункта для самостоятельной проверки на соответствие 152-ФЗ

Политика конфиденциальности

Как составить политику конфиденциальности для сайта по 152-ФЗ

Дисклеймер: данная статья носит исключительно информационный характер и не является юридической консультацией. Для получения квалифицированной юридической помощи по вопросам трансграничной передачи персональных данных обратитесь к профильному юристу. Сервис 152-audit.ru предоставляет автоматизированную информационную услугу и не заменяет юридический аудит.