Трансграничная передача персональных данных: требования и ограничения в 2026 году

Если ваша компания использует Google Analytics, облачные сервисы из США или просто хранит данные клиентов на серверах за границей - вы уже занимаетесь трансграничной передачей персональных данных. И если вы не уведомили Роскомнадзор об этом, вы нарушаете закон. С 1 марта 2023 года правила стали жестче, а проверки - чаще. За первый квартал 2023 года было зафиксировано 147 нарушений, что на 38% больше, чем годом ранее. Это не случайности. Это система.

Что считается трансграничной передачей персональных данных?

Трансграничная передача персональных данных - это когда данные российских граждан попадают за пределы России. Не важно, кто именно их забирает: иностранный сервис, зарубежный партнер, облачный провайдер или даже просто сайт, который использует американские серверы. Главное - физическое расположение данных. Если сервер находится за границей, а данные принадлежат российскому гражданину - это ТППД.

Это работает даже для «безобидных» сервисов. Например, если вы используете Google Analytics, то данные посещений вашего сайта автоматически передаются на серверы Google в США. Это не просто «аналитика» - это передача персональных данных. То же самое касается Яндекс.Метрики, если она настроена на хранение данных за рубежом, или использования сервисов типа Dropbox, Microsoft Azure, Amazon Web Services, если они расположены вне РФ.

Кто обязан уведомлять Роскомнадзор?

Любой оператор персональных данных, который планирует передавать данные за границу. Это может быть:

• Компания, которая работает с иностранными клиентами
• ИП, который использует зарубежные CRM-системы
• Онлайн-магазин, хранящий базу покупателей на серверах в Европе
• Фрилансер, который передает данные клиентов через Google Forms

Неважно, маленький вы бизнес или крупная корпорация - если вы обрабатываете данные россиян и передаете их за границу, вы обязаны уведомить Роскомнадзор. И делать это до начала передачи. Нельзя сначала запустить сервис, а потом подать уведомление. Это уже нарушение.

Что нужно указать в уведомлении?

Уведомление - это не форма на 2 поля. Это детальный документ, который должен содержать семь обязательных пунктов:

1. Данные оператора: название, адрес, ФИО ответственного, контакты
2. Правовое основание передачи: почему вы это делаете (например, выполнение договора с клиентом)
3. Цель передачи: зачем нужны данные (маркетинг, бэкап, аналитика)
4. Категории передаваемых данных: ФИО, телефон, email, адрес, данные платежей
5. Категории субъектов: клиенты, сотрудники, поставщики
6. Список стран, в которые вы передаете данные
7. Дополнительные сведения, если требуются Роскомнадзором

Уведомление подается отдельно от уведомления о самой обработке данных. Его можно отправить через личный кабинет на сайте Роскомнадзора, используя подтвержденный профиль на Госуслугах. Или распечатать, подписать и отправить почтой. Электронный способ - быстрее и надежнее.

В какие страны можно передавать данные?

С 1 марта 2023 года Роскомнадзор опубликовал перечень стран с адекватной защитой. Это страны, где законодательство обеспечивает уровень защиты данных, сопоставимый с российским. Передача в них разрешена без дополнительных условий - просто после уведомления.

На 2026 год в этот список входят:

• Армения
• Беларусь
• Казахстан
• Киргизия
• Таджикистан
• Узбекистан
• Азербайджан
• Молдова
• Республика Северная Осетия - Алания

Это все страны Евразийского экономического союза и некоторые партнеры. Если вы передаете данные в одну из них - уведомления достаточно. Но если вы работаете с США, ЕС, Китаем, Индией, Великобританией - передача запрещена, если только вы не получите письменное согласие от субъекта данных.

Что значит письменное согласие?

Согласие - это не «я согласен» в чате. Это официальный документ. По закону, оно должно быть:

• Письменным (в бумажном или электронном виде)
• Подписанным
• Содержать точную информацию: куда, зачем, какие данные передаются
• Подписано квалифицированной электронной подписью (КЭП) - это равнозначно ручной подписи

Если клиент подписывает согласие в форме на вашем сайте, и это подтверждено КЭП - это законно. Если он просто нажимает «Да» в попапе - это нарушение. Роскомнадзор уже выписывал штрафы за такие случаи.

Что делать, если нет согласия?

Если вы не можете получить письменное согласие, передача в «неадекватные» страны запрещена. Исключения - только два:

• Если это требуется по международному договору РФ (например, для экстрадиции или судебного сотрудничества)
• Если передача необходима для спасения жизни или здоровья человека

Например, если клиент внезапно попал в больницу за границей, и вы передаете его медицинские данные в клинику - это допустимо. Но только если это действительно жизненно важно. Нельзя использовать это как лазейку для маркетинга.

Кто несет ответственность?

Ответственность не только за оператора, но и за иностранного получателя. Если данные утекли, или их неправильно обработали - вы, как российский оператор, несете ответственность. Роскомнадзор может оштрафовать вас даже если нарушение произошло в США или Германии.

Это значит: вы должны знать, как именно ваш партнер за границей защищает данные. Нужно требовать от него:

• Описание мер безопасности
• Политику конфиденциальности
• Контакты ответственного лица
• Условия прекращения обработки данных

Это не просто формальность. Это часть вашей юридической защиты.

Что будет, если не уведомить?

Штрафы - это не самое страшное. Первое нарушение - предупреждение. Второе - штраф от 50 000 до 100 000 рублей для ИП, и до 500 000 рублей для юрлиц. Но если дело доходит до суда - могут приостановить деятельность сервиса. Или запретить передачу данных вообще.

По данным Comply.ru, 35% всех нарушений - это отсутствие уведомления. 28% - неполное уведомление. 22% - передача в запрещенные страны без согласия. Это самые частые ошибки. И они легко предотвращаемы.

Что меняется в 2026 году?

С 1 июля 2025 года вступает в силу новая норма о локализации персональных данных. Она требует, чтобы сбор, запись, систематизация, накопление, хранение, извлечение и изменение данных происходили на серверах, расположенных в России. Это не значит, что вы не можете передавать данные за границу. Это значит, что вы не можете передавать их до того, как они были обработаны на российских серверах.

То есть: вы можете собирать данные в России, хранить их там, а потом передавать за границу - но только после этого. Если вы сразу отправляете данные из формы на зарубежный сервер - это нарушение. Многие компании сейчас пытаются «разделить» процессы: собирают в РФ, а потом передают. Но Роскомнадзор уже предупреждает: искусственное разделение - это тоже нарушение. Данные должны быть обработаны полностью на территории РФ, прежде чем их можно передать.

Как не нарушить закон?

Вот простой чек-лист для любого бизнеса:

1. Определите, какие данные вы передаете за границу (ФИО, email, телефон, платежи)
2. Узнайте, в какие страны вы их передаете
3. Проверьте, есть ли эти страны в списке «адекватных»
4. Если страны нет в списке - получите письменное согласие с КЭП
5. Подайте уведомление в Роскомнадзор до начала передачи
6. Запишите, какие меры безопасности использует иностранная сторона
7. Обновите политику обработки данных - укажите все передачи
8. Проверяйте список стран раз в квартал - он меняется

Не ждите проверки. Не надейтесь, что «все так делают». Роскомнадзор не шутит. Его проверки становятся все более точными, а штрафы - все более серьезными. В 2023 году 67% компаний, занимающихся международной деятельностью, столкнулись с необходимостью уведомления. Вы уже один из них.

Что делать, если вы уже нарушали?

Если вы уже передавали данные без уведомления - не паникуйте. Сделайте следующее:

• Остановите передачу данных за границу немедленно
• Соберите все данные о том, куда и когда передавались данные
• Подайте уведомление как можно скорее - даже с опозданием
• Получите согласия от всех субъектов данных
• Обновите внутренние процедуры

Признание ошибки и исправление - это первый шаг к минимизации последствий. Роскомнадзор чаще штрафует тех, кто игнорирует, чем тех, кто пытается исправиться.