Что считается трансграничной передачей персональных данных?

Трансграничная передача — это передача ПДн на территорию иностранного государства (ст. 12 152‑ФЗ). На практике может возникать при использовании зарубежного хостинга, облачных сервисов, аналитики, рекламных пикселей, CRM и сервисов рассылок, если данные пользователей обрабатываются за пределами РФ.

Нужно ли уведомлять Роскомнадзор о трансграничной передаче?

Да. О намерении осуществлять трансграничную передачу нужно уведомить РКН через pd.rkn.gov.ru до начала передачи (ст. 12 152‑ФЗ; уведомление отдельно от уведомления по ст. 22). При изменении сведений направьте обновлённое уведомление.

Какие штрафы за нарушение правил трансграничной передачи?

Ответственность наступает по конкретным составам ст. 13.11 КоАП РФ в зависимости от нарушения. Например, для юрлиц: ч. 1 — 150 000–300 000 ₽; ч. 8 (локализация) — 1 000 000–6 000 000 ₽; ч. 9 (повторно) — 6 000 000–18 000 000 ₽.

Как QuickAudit помогает выявить риски трансграничной передачи?

QuickAudit анализирует все внешние скрипты и домены на сайте, определяет известные зарубежные сервисы (аналитика, пиксели, виджеты), проверяет формы, согласия, cookie-баннер и политику ПДн. В отчёте видно, какие сервисы осуществляют трансграничную передачу и что нужно исправить.

Трансграничная передача персональных данных — требования 152‑ФЗ и проверки сайта в 2026

Что такое трансграничная передача персональных данных?

Трансграничная передача персональных данных (ст. 12 152-ФЗ) — передача ПДн на территорию иностранного государства. Для владельца сайта это часто происходит незаметно при использовании зарубежных сервисов.

Если сайт обрабатывает данные пользователей из России, необходимо обеспечить законные основания для трансграничной передачи и уведомить Роскомнадзор.

Ключевой момент: Трансграничная передача возникает не только при явной отправке данных за рубеж, но и при подключении внешних скриптов (аналитика, пиксели, виджеты), которые собирают информацию о посетителях.

Когда возникает трансграничная передача на сайте?

Типовые сценарии:

Хостинг или облачные серверы за пределами РФ
Зарубежные аналитические сервисы (Google Analytics, Hotjar)
Рекламные пиксели (Facebook Pixel, TikTok Pixel)
Формы, отправляющие данные в иностранные CRM (HubSpot, Salesforce)
Сервисы email-рассылок (Mailchimp, SendGrid)
Внешние виджеты чатов (Intercom, Zendesk)
CDN с обработкой данных за рубежом (Cloudflare)
Платёжные системы с иностранной юрисдикцией

Какие условия важно проверить

В ст. 12 152‑ФЗ предусмотрены условия трансграничной передачи (в т.ч. в зависимости от государства-получателя и решений регулятора). Поэтому на практике важнее не «ярлык страны», а проверка фактических получателей и соблюдение условий закона.

У вас есть правовое основание обработки и передачи ПДн (ст. 6/9 152‑ФЗ)
В политике ПДн раскрыта информация о передаче и получателях/странах
Подано уведомление о намерении осуществлять трансграничную передачу до начала (ст. 12 152‑ФЗ)
Есть договорные меры с подрядчиками (роль, поручение, меры защиты)

Уведомление Роскомнадзора о трансграничной передаче

О намерении осуществлять трансграничную передачу нужно уведомить РКН. Это делается через форму уведомления об обработке ПДн на pd.rkn.gov.ru.

Что указать в уведомлении:

Перечень стран, куда передаются данные
Цели передачи
Категории передаваемых данных
Правовое основание

Сроки: уведомление подаётся до начала трансграничной передачи. При изменении сведений направьте обновлённое уведомление.

Какие требования 152‑ФЗ важно учитывать?

Для трансграничной передачи действуют специальные условия. На практике владельцам сайтов важно обеспечить:

Чек‑лист подготовки к трансграничной передаче

Актуальная политика ПДн — с указанием целей, категорий данных и факта трансграничной передачи
Правовое основание — согласие пользователя или иное основание, применимое к вашему кейсу
Договоры с подрядчиками — закрепление ролей и обязанностей при обработке данных
Техническая защита — HTTPS, безопасная передача и ограничение доступа
Прозрачность для пользователя — понятные уведомления и корректные чекбоксы согласия

Какие проверки выполняем в QuickAudit

В рамках автоматического аудита мы фокусируемся на сигналах, которые чаще всего указывают на трансграничную передачу и несоответствие 152‑ФЗ:

Поиск политики ПДн и анализ наличия раздела о трансграничной передаче
Проверка форм на наличие корректных чекбоксов согласия и ссылок на политику
Анализ внешних скриптов и доменов (аналитика, пиксели, виджеты, CDN)
Проверка cookie‑баннера и факта установки аналитики до согласия
Проверка HTTPS/SSL и безопасности передачи данных

Типичная ошибка: политика ПДн не упоминает трансграничную передачу, при этом на сайте стоят внешние скрипты и формы, отправляющие данные в зарубежные сервисы.

Как снизить риски и подготовить сайт

Вариант 1: Использовать российские аналоги

Зарубежный сервис	Российская альтернатива
Google Analytics	Яндекс.Метрика
Mailchimp, SendGrid	Unisender, Sendsay, DashaMail
HubSpot, Salesforce	Битрикс24, amoCRM
Intercom, Zendesk	Carrot quest, Jivo
AWS, Google Cloud	Яндекс.Облако, VK Cloud, Selectel

Вариант 2: Оформить трансграничную передачу правильно

Определить правовое основание обработки и передачи (согласие или иное основание)
Раскрыть информацию о трансграничной передаче и странах/получателях в политике ПДн
Подать уведомление о намерении осуществлять трансграничную передачу (ст. 12 152‑ФЗ) до начала
Заключить договоры с подрядчиками (DPA — Data Processing Agreement)

Чек-лист для владельца сайта

Составьте список всех сервисов, которые получают данные пользователей
Определите страну обработки для каждого сервиса
Обновите политику ПДн — укажите страны и цели передачи
Если используете согласие как основание — добавьте отдельный пункт/чекбокс с упоминанием трансграничной передачи
Подайте/обновите уведомление в РКН
Проверьте сайт через QuickAudit на наличие внешних скриптов

Проверьте сайт на риски трансграничной передачи

Увидите все внешние сервисы и скрипты, которые могут передавать данные за рубеж

Начать проверку

Штрафы и ответственность

Для трансграничной передачи нет «одного отдельного штрафа»: ответственность определяется по конкретному нарушению требований 152‑ФЗ и квалифицируется по соответствующим частям ст. 13.11 КоАП РФ.

ч. 1 ст. 13.11 КоАП РФ (для юрлиц): 150 000 – 300 000 ₽ — обработка ПДн без законного основания
ч. 8 ст. 13.11 КоАП РФ (для юрлиц): 1 000 000 – 6 000 000 ₽ — нарушение требований локализации при сборе ПДн
ч. 9 ст. 13.11 КоАП РФ (для юрлиц): 6 000 000 – 18 000 000 ₽ — повторное нарушение локализации

Часто задаваемые вопросы

Нужно ли отдельное согласие на трансграничную передачу?

Отдельное согласие «только из‑за трансграничности» нужно не всегда. Важно, чтобы у обработки было правовое основание (ст. 6/9 152‑ФЗ) и чтобы информация о трансграничной передаче была раскрыта в политике. На практике часто добавляют отдельный пункт/чекбокс, если используется согласие.

Google Analytics — это трансграничная передача?

Использование Google Analytics может приводить к трансграничной передаче (в зависимости от настроек и инфраструктуры). Проверьте фактические страны получателей, оформите правовое основание и выполните требования ст. 12 152‑ФЗ (уведомление о намерении до начала).

Cloudflare — это трансграничная передача?

Зависит от конфигурации. Если Cloudflare обрабатывает запросы с персональными данными (формы, cookies) на серверах за рубежом — да. Для минимизации рисков используйте режим «только DNS» или российские CDN.

Можно ли использовать Mailchimp для рассылок?

Можно, но использование зарубежных сервисов рассылок может приводить к трансграничной передаче. Проверьте страны обработки/получателей, оформите правовое основание, отразите передачу в документах и соблюдайте требования ст. 12 152‑ФЗ.

Что будет, если не уведомить РКН о трансграничной передаче?

Это нарушение требований 152‑ФЗ. При проверке РКН может выдать предписание об устранении нарушений; при наличии состава возможна административная ответственность по ст. 13.11 КоАП РФ. Конкретная часть и размер зависят от обстоятельств.

Как QuickAudit помогает выявить трансграничную передачу?

Сервис анализирует все внешние скрипты и домены на сайте, определяет известные зарубежные сервисы (аналитика, пиксели, виджеты), проверяет формы и политику ПДн. В отчёте видно, какие сервисы могут осуществлять трансграничную передачу.