Трансграничная передача персональных данных: требования и ограничения в 2026 году

Трансграничная передача персональных данных: требования и ограничения в 2026 году мар, 21 2026

Если ваша компания использует Google Analytics, облачные сервисы из США или просто хранит данные клиентов на серверах за границей - вы уже занимаетесь трансграничной передачей персональных данных. И если вы не уведомили Роскомнадзор об этом, вы нарушаете закон. С 1 марта 2023 года правила стали жестче, а проверки - чаще. За первый квартал 2023 года было зафиксировано 147 нарушений, что на 38% больше, чем годом ранее. Это не случайности. Это система.

Что считается трансграничной передачей персональных данных?

Трансграничная передача персональных данных - это когда данные российских граждан попадают за пределы России. Не важно, кто именно их забирает: иностранный сервис, зарубежный партнер, облачный провайдер или даже просто сайт, который использует американские серверы. Главное - физическое расположение данных. Если сервер находится за границей, а данные принадлежат российскому гражданину - это ТППД.

Это работает даже для «безобидных» сервисов. Например, если вы используете Google Analytics, то данные посещений вашего сайта автоматически передаются на серверы Google в США. Это не просто «аналитика» - это передача персональных данных. То же самое касается Яндекс.Метрики, если она настроена на хранение данных за рубежом, или использования сервисов типа Dropbox, Microsoft Azure, Amazon Web Services, если они расположены вне РФ.

Кто обязан уведомлять Роскомнадзор?

Любой оператор персональных данных, который планирует передавать данные за границу. Это может быть:

  • Компания, которая работает с иностранными клиентами
  • ИП, который использует зарубежные CRM-системы
  • Онлайн-магазин, хранящий базу покупателей на серверах в Европе
  • Фрилансер, который передает данные клиентов через Google Forms

Неважно, маленький вы бизнес или крупная корпорация - если вы обрабатываете данные россиян и передаете их за границу, вы обязаны уведомить Роскомнадзор. И делать это до начала передачи. Нельзя сначала запустить сервис, а потом подать уведомление. Это уже нарушение.

Что нужно указать в уведомлении?

Уведомление - это не форма на 2 поля. Это детальный документ, который должен содержать семь обязательных пунктов:

  1. Данные оператора: название, адрес, ФИО ответственного, контакты
  2. Правовое основание передачи: почему вы это делаете (например, выполнение договора с клиентом)
  3. Цель передачи: зачем нужны данные (маркетинг, бэкап, аналитика)
  4. Категории передаваемых данных: ФИО, телефон, email, адрес, данные платежей
  5. Категории субъектов: клиенты, сотрудники, поставщики
  6. Список стран, в которые вы передаете данные
  7. Дополнительные сведения, если требуются Роскомнадзором

Уведомление подается отдельно от уведомления о самой обработке данных. Его можно отправить через личный кабинет на сайте Роскомнадзора, используя подтвержденный профиль на Госуслугах. Или распечатать, подписать и отправить почтой. Электронный способ - быстрее и надежнее.

В какие страны можно передавать данные?

С 1 марта 2023 года Роскомнадзор опубликовал перечень стран с адекватной защитой. Это страны, где законодательство обеспечивает уровень защиты данных, сопоставимый с российским. Передача в них разрешена без дополнительных условий - просто после уведомления.

На 2026 год в этот список входят:

  • Армения
  • Беларусь
  • Казахстан
  • Киргизия
  • Таджикистан
  • Узбекистан
  • Азербайджан
  • Молдова
  • Республика Северная Осетия - Алания

Это все страны Евразийского экономического союза и некоторые партнеры. Если вы передаете данные в одну из них - уведомления достаточно. Но если вы работаете с США, ЕС, Китаем, Индией, Великобританией - передача запрещена, если только вы не получите письменное согласие от субъекта данных.

Клиент подписывает электронное согласие, а данные блокируются перед передачей в США и ЕС.

Что значит письменное согласие?

Согласие - это не «я согласен» в чате. Это официальный документ. По закону, оно должно быть:

  • Письменным (в бумажном или электронном виде)
  • Подписанным
  • Содержать точную информацию: куда, зачем, какие данные передаются
  • Подписано квалифицированной электронной подписью (КЭП) - это равнозначно ручной подписи

Если клиент подписывает согласие в форме на вашем сайте, и это подтверждено КЭП - это законно. Если он просто нажимает «Да» в попапе - это нарушение. Роскомнадзор уже выписывал штрафы за такие случаи.

Что делать, если нет согласия?

Если вы не можете получить письменное согласие, передача в «неадекватные» страны запрещена. Исключения - только два:

  • Если это требуется по международному договору РФ (например, для экстрадиции или судебного сотрудничества)
  • Если передача необходима для спасения жизни или здоровья человека

Например, если клиент внезапно попал в больницу за границей, и вы передаете его медицинские данные в клинику - это допустимо. Но только если это действительно жизненно важно. Нельзя использовать это как лазейку для маркетинга.

Кто несет ответственность?

Ответственность не только за оператора, но и за иностранного получателя. Если данные утекли, или их неправильно обработали - вы, как российский оператор, несете ответственность. Роскомнадзор может оштрафовать вас даже если нарушение произошло в США или Германии.

Это значит: вы должны знать, как именно ваш партнер за границей защищает данные. Нужно требовать от него:

  • Описание мер безопасности
  • Политику конфиденциальности
  • Контакты ответственного лица
  • Условия прекращения обработки данных

Это не просто формальность. Это часть вашей юридической защиты.

Данные сначала обрабатываются на российском сервере, затем разрешены только для стран с адекватной защитой.

Что будет, если не уведомить?

Штрафы - это не самое страшное. Первое нарушение - предупреждение. Второе - штраф от 50 000 до 100 000 рублей для ИП, и до 500 000 рублей для юрлиц. Но если дело доходит до суда - могут приостановить деятельность сервиса. Или запретить передачу данных вообще.

По данным Comply.ru, 35% всех нарушений - это отсутствие уведомления. 28% - неполное уведомление. 22% - передача в запрещенные страны без согласия. Это самые частые ошибки. И они легко предотвращаемы.

Что меняется в 2026 году?

С 1 июля 2025 года вступает в силу новая норма о локализации персональных данных. Она требует, чтобы сбор, запись, систематизация, накопление, хранение, извлечение и изменение данных происходили на серверах, расположенных в России. Это не значит, что вы не можете передавать данные за границу. Это значит, что вы не можете передавать их до того, как они были обработаны на российских серверах.

То есть: вы можете собирать данные в России, хранить их там, а потом передавать за границу - но только после этого. Если вы сразу отправляете данные из формы на зарубежный сервер - это нарушение. Многие компании сейчас пытаются «разделить» процессы: собирают в РФ, а потом передают. Но Роскомнадзор уже предупреждает: искусственное разделение - это тоже нарушение. Данные должны быть обработаны полностью на территории РФ, прежде чем их можно передать.

Как не нарушить закон?

Вот простой чек-лист для любого бизнеса:

  1. Определите, какие данные вы передаете за границу (ФИО, email, телефон, платежи)
  2. Узнайте, в какие страны вы их передаете
  3. Проверьте, есть ли эти страны в списке «адекватных»
  4. Если страны нет в списке - получите письменное согласие с КЭП
  5. Подайте уведомление в Роскомнадзор до начала передачи
  6. Запишите, какие меры безопасности использует иностранная сторона
  7. Обновите политику обработки данных - укажите все передачи
  8. Проверяйте список стран раз в квартал - он меняется

Не ждите проверки. Не надейтесь, что «все так делают». Роскомнадзор не шутит. Его проверки становятся все более точными, а штрафы - все более серьезными. В 2023 году 67% компаний, занимающихся международной деятельностью, столкнулись с необходимостью уведомления. Вы уже один из них.

Что делать, если вы уже нарушали?

Если вы уже передавали данные без уведомления - не паникуйте. Сделайте следующее:

  • Остановите передачу данных за границу немедленно
  • Соберите все данные о том, куда и когда передавались данные
  • Подайте уведомление как можно скорее - даже с опозданием
  • Получите согласия от всех субъектов данных
  • Обновите внутренние процедуры

Признание ошибки и исправление - это первый шаг к минимизации последствий. Роскомнадзор чаще штрафует тех, кто игнорирует, чем тех, кто пытается исправиться.

Теги:

7 Комментарии

  • Image placeholder

    Алина Коваленко

    марта 22, 2026 AT 04:09

    Слушай, я тут с коллегами разбирали этот вопрос - у нас вообще GA4 висит, и мы не думали, что это ТППД. А оказывается, да, всё течёт в США. Пришлось перенастраивать на российский хостинг, хотя это в три раза дороже. Но лучше, чем штраф в 500к. Кстати, уведомление подали через Госуслуги - всё за 2 дня, без проблем. 👍

  • Image placeholder

    Olga Zbinyakova

    марта 22, 2026 AT 23:36

    Это всё бред. Страны ЕАЭС - адекватные? Азербайджан? Таджикистан? Вы серьёзно? Роскомнадзор стал юридическим мемом. А вы всё ещё верите, что «письменное согласие с КЭП» - это реальность, а не фарс? 😏

  • Image placeholder

    Виталий Шабуров

    марта 24, 2026 AT 13:44

    Я честно скажу - раньше тоже думал, что это «бюрократия для галочки». Но после того, как у нас в компании начали проверять клиентские базы, понял: это не шутки. Мы переехали все CRM-данные на локальный сервер в Казани. Даже если это дороже - спокойствие бесценно. И да, согласие с КЭП - реально работает. Проверено на практике. Никаких претензий.

    Кстати, если кто-то не знает: в личном кабинете Роскомнадзора есть шаблон уведомления. Не надо самому всё писать. Скачал, заполнил, отправил - и всё. Просто не откладывайте.

  • Image placeholder

    Евгений Тимин

    марта 26, 2026 AT 10:28

    Локализация данных - это просто новый способ заставить бизнес платить за «русскую идентичность». Ты не можешь хранить данные в облаке, потому что оно «не русское». А если сервер в Казахстане - то всё окей. Ну да, конечно. 🤡

  • Image placeholder

    Евгения Соболева

    марта 27, 2026 AT 02:46

    Все паникуют, а на деле 90% компаний вообще не знают, где лежат их данные. Я сам смотрел - у клиента данные из формы летели в AWS через скрипт, который он забыл отключить 3 года назад. Проверка - и всё. Потом они начали писать «а мы же не знали». Ну и? 😑

  • Image placeholder

    Ферапонт Дуринов

    марта 28, 2026 AT 20:20

    Ребята, не пугайтесь! Это всё реально решаемо. У нас был клиент - онлайн-магазин, всё в AWS, без уведомления. Сделали чек-лист: остановили передачу, нашли, какие данные куда летят, подали уведомление, договорились с провайдером на локальную обработку. За месяц всё уложилось. Даже не штрафовали, просто предупредили. Главное - не игнорировать. И да, КЭП - это реально не так сложно, как кажется. Я сам подписывал через Сбербанк. Всё через приложение. 🙌

    Если кто-то не знает, где взять шаблон уведомления - пишите в лс, помогу. Не надо мучаться.

  • Image placeholder

    Ilya Filipushko

    марта 30, 2026 AT 00:00

    Спасибо за детальный разбор. Это именно то, что нужно - не сухой закон, а понятный инструктаж. Особенно ценно, что вы упомянули про «искусственное разделение» - многие думают, что если данные сначала приходят на российский сервер, а потом уходят, то всё ок. Но нет. Это как пытаться обойти закон через технический костыль. Роскомнадзор это видит. И штрафует. Всё правильно. Спасибо за честность и ясность.

Написать комментарий

Категории

Архивы

© 2026. Все права защищены.