Трансграничная передача ПДн: проверка стран и договорные меры

Table of contents

• Что такое трансграничная передача ПДн и зачем она нужна
• Правовая база: ст. 12, ст. 18.1, ст. 22 и ст. 21 152‑ФЗ
• Пошаговый алгоритм перед началом передачи за рубеж
• Проверка страны: как оценить «адекватную защиту» и риски
• Основания для передачи и исключения для «неадекватных» юрисдикций
• Договорные меры с получателем: что обязательно включить
• Локализация и инфраструктура: базы в РФ, облака и ЦОД
• Уведомление Роскомнадзора и ведение реестра
• Веб‑сервисы и аналитика: скрытая трансграничная передача с сайта
• Документирование, внутренний контроль и обучение
• Типовые ошибки и санкции
• Примеры сценариев
• Итоги и что делать дальше

---

![Схема трансграничной передачи ПДн: оператор в РФ → зарубежный получатель (контролер/обработчик) → обратные потоки и уведомление РКН]

Что такое трансграничная передача ПДн и зачем она нужна

Трансграничная передача — это отправка персональных данных (ПДн) на территорию иностранного государства, иностранному физическому или юридическому лицу. На практике это происходит при использовании облаков, зарубежных платёжных систем, колл‑центров, хостинга, международной отчётности, а также при работе с сервисами веб‑аналитики и рекламными платформами.

По запросам «152 фз трансграничная передача данных» и «трансграничная передача персональных данных 152 фз» чаще всего ищут ответ на два вопроса: можно ли передавать данные за рубеж и какие меры нужны, чтобы это было законно. Разбираем пошагово.

Правовая база: ст. 12, ст. 18.1, ст. 22 и ст. 21 152‑ФЗ

• Статья 12 152‑ФЗ регулирует трансграничную передачу: проверка адекватности защиты в стране получателя, основания передачи, ограничения и обязанности оператора. Подробнее см. статья 12 152‑ФЗ.
• Статья 18.1 152‑ФЗ — локализация: запись, систематизация, хранение и актуализация ПД граждан РФ должны осуществляться в базах на территории РФ. Детальнее: ст. 18.1 и серверы, хостинг, ЦОД.
• Статья 22 — уведомление об обработке ПД и сведения, подлежащие внесению в реестр. См. уведомление в Роскомнадзор и реестр операторов ПДн.
• Статья 21 152‑ФЗ (ст. 21) — обжалование действий/бездействия оператора субъектом ПД. Если трансграничная передача проведена с нарушениями, субъект вправе обратиться в Роскомнадзор или суд. См. статья 21 152‑ФЗ.

Смотрите также: последняя редакция 152‑ФЗ и изменения 2025.

Пошаговый алгоритм перед началом передачи за рубеж

1. Картирование потоков данных

• Определите, какие категории ПДн (в т.ч. специальные/биометрические) и какие субъекты (клиенты, сотрудники) затрагиваются. См. специальные категории и биометрические ПДн.
• Назовите конкретные страны и получателей (контролёров или обработчиков по поручению). О соотношении ролей: поручение обработки ПДн.

1. Локализация по ст. 18.1

• Обеспечьте запись/хранение ПД граждан РФ на серверах в России. Затем возможно дублирование/передача за рубеж при соблюдении ст. 12. Подробнее: ст. 18.1.

1. Правовое основание

• Определите законное основание по ст. 6 и/или согласие субъекта по ст. 9. Для некоторых стран/случаев может потребоваться отдельное (письменное) согласие на трансграничную передачу. См. согласие на обработку ПДн.

1. Проверка страны (адекватность защиты)

• Проведите оценку уровня защиты и рисков (см. следующий раздел).

1. Договорные и технические меры

• Подготовьте договор/допсоглашение с получателем, включите обязательства по безопасности и конфиденциальности. Возьмите под контроль субобработка, инциденты, удаление данных, аудиты. См. меры безопасности ПДн, модель угроз, криптография, требования ФСТЭК и ФСБ.

1. Уведомление Роскомнадзора

• Уточните, требуется ли предварительное уведомление/актуализация сведений о трансграничной передаче в реестре (см. уведомление в РКН).

1. Документирование и обучение

• Обновите политику обработки ПДн, внутренние регламенты, обучите сотрудников. Настройте внутренний контроль.

Проверка страны: как оценить «адекватную защиту» и риски

Российское право допускает передачу ПДн в государства, «обеспечивающие адекватную защиту прав субъектов ПДн». В общем подходе учитываются международные обязательства (например, присоединение к Конвенции Совета Европы №108/108+), национальное законодательство о защите данных и правоприменительная практика. При отсутствии гарантий — потребуется согласие/исключение и усиленные договорные меры.

Таблица ориентировочных критериев:

Критерий	Как проверить	Что зафиксировать
Закон о ПДн и регулятор	Наличие базового закона, независимого регулятора, санкций	Ссылки на закон, регулятора, краткий вывод
Международные обязательства	Участие в Конвенции №108/108+	Статус участия, дата
Судебная практика и защита прав	Возможность обжалования, реальность защиты	Краткий обзор, риски
Государственный доступ к данным	Объём и процедуры доступа власти	Риски вмешательства
Трансфертные механизмы	Признание договорных гарантий, SCC‑аналоги	Допустимые меры

Важно: итоговая оценка — ответственность оператора. Роскомнадзор может запросить обоснование и ограничить/запретить конкретные передачи. Для минимизации рисков храните отчёт об оценке, включая перечень ПДн, стран, получателей и мер защиты.

Основания для передачи и исключения для «неадекватных» юрисдикций

Если страна обеспечивает адекватную защиту, передача возможна при наличии общего основания обработки (ст. 6) и соблюдении локализации (ст. 18.1). Если нет — допустимы:

• письменное согласие субъекта с указанием страны, получателя, цели и перечня ПДн;
• исполнение договора, стороной которого является субъект (например, международная доставка, бронирование);
• защита жизни, здоровья или иных жизненно важных интересов субъекта;
• случаи, предусмотренные международными договорами РФ и законом.

Отдельно: если данные «разрешены субъектом для распространения» (ст. 13.1), соблюдайте ограничения, выбранные субъектом, и требования к отдельному согласию. См. ст. 13.1 и согласие на распространение ПДн.

Договорные меры с получателем: что обязательно включить

При трансграничной передаче оператор обязан обеспечить соблюдение получателем требований конфиденциальности и безопасности. Рекомендуется закрепить как минимум:

• точное описание целей, перечня ПДн, ролей сторон (оператор/обработчик);
• запрет на иные цели, маркетинг и профилирование без разрешения;
• требования к безопасности: шифрование в транзите и на хранении, сегментация, журналирование, управление инцидентами; уровни защиты ИСПДн (см. уровни защищённости);
• уведомление оператора об инцидентах/утечках и содействие (см. инциденты и утечки);
• субобработка — только с письменного согласия оператора, с теми же обязанностями;
• удаление/возврат ПДн по окончании договора; права аудита и проверки;
• применимое право и юрисдикция, порядок разрешения споров;
• организационные меры: обучение персонала, ограничение доступа по роли, принцип минимизации (см. принципы и цели обработки).

Если передача по поручению (обработчику), используйте расширенное DPA/Соглашение об обработке, согласуйте передачу третьим лицам и порядок обезличивания, когда это возможно.

Локализация и инфраструктура: базы в РФ, облака и ЦОД

Даже если получатель за рубежом, первичная запись/хранение ПД граждан РФ должно быть в России (ст. 18.1). Практически это означает:

• держать мастер‑базу в РФ, а за рубеж передавать только необходимые копии/подмножества;
• выбирать отечественные или локализованные облака/ЦОД для основной БД; см. облака и Yandex Cloud и серверы/ЦОД;
• обеспечить архитектуру резервирования, шифрование, разделение сред (prod/test) и контроль экспорта данных.

Уведомление Роскомнадзора и ведение реестра

Перед началом трансграничной передачи проверьте, нужно ли уведомить РКН и/или актуализировать сведения в реестре (страны, категории ПДн, цели, получатели). Регулятор вправе запросить дополнительные документы и принять решение об ограничении передачи в отдельных случаях. Сервисы и инструкции: уведомление в Роскомнадзор, реестр операторов ПДн.

Помните: неверные или неполные сведения в реестр — частая причина предписаний.

Веб‑сервисы и аналитика: скрытая трансграничная передача с сайта

Любые подключаемые скрипты, пиксели, CDN и сторонние формы могут отправлять ПДн (IP, cookie‑идентификаторы, формы) за рубеж. Проведите аудит сайта:

• инвентаризируйте пиксели и SDK, включите баннеры cookie и механизмы выбора согласий;
• проверьте договоры с поставщиками и страны их обработки;
• обновите политику конфиденциальности. Полезные материалы: требования к сайту, cookie и баннеры, формы и согласия, Яндекс.Метрика, онлайн‑проверка сайта, WordPress, Bitrix, Tilda.

Документирование, внутренний контроль и обучение

• Обновите политику обработки ПДн и раздел о трансграничной передаче; добавьте перечень стран и общие меры.
• Назначьте ответственного за ПДн (см. ответственный за обработку).
• Введите процедуры оценки рисков перед передачей, журналы экспортов и реестр получателей.
• Обучите сотрудников, особенно ИТ/безопасность/поддержку (см. внутренний контроль и обучение).
• Подготовьте набор документов: пакет по 152‑ФЗ, шаблоны и формы, политика конфиденциальности — шаблон, генератор политики и согласий.

Типовые ошибки и санкции

Часто встречается:

• игнорирование локализации (ст. 18.1), перенос единственной БД за рубеж;
• отсутствие проверки страны, формальное «копипаст»‑согласие без перечисления получателей и стран;
• договоры без мер безопасности, без запрета субобработки;
• неуведомление РКН/неактуальные сведения в реестре;
• «скрытая» передача через пиксели/формы без учета согласий.

Ответственность предусмотрена КоАП РФ 13.11 и иными нормами: штрафы, предписания, возможные ограничения со стороны РКН. Подробнее: ответственность и штрафы, КоАП 13.11. Субъект может обжаловать передачу по ст. 21 152‑ФЗ.

Примеры сценариев

• Облачная CRM в ЕС. Действия: локализация мастер‑БД в РФ, оценка адекватности (многие страны ЕС — участники Конвенции 108/108+), DPA с провайдером, уведомление РКН (при необходимости), настройка шифрования и ролей доступа.
• Техподдержка в третьей стране. Действия: минимизация данных, письменное согласие либо иной легитимный механизм для «неадекватной» юрисдикции, строгие договорные меры, журналирование экспортов, обучение персонала подрядчика.
• Веб‑аналитика и рекламные пиксели. Действия: аудит скриптов, баннер cookie, настройка тэг‑менеджера, запреты передачи без согласия, актуализация политики.

Для сопоставления подходов см. GDPR и 152‑ФЗ.

Итоги и что делать дальше

Трансграничная передача персональных данных по 152‑ФЗ допустима, если соблюдены три опоры: локализация в РФ (ст. 18.1), проверка адекватности страны и правовое основание/согласие с усиленными договорными и техническими мерами. Уведомляйте регулятора, поддерживайте документы в актуальном состоянии и контролируйте скрытые каналы передачи.

Готовы проверить свои потоки данных и договоры? Закажите аудит соответствия или комплексный пакет консалтинг и документы под ключ. Если работаете с сайтом — начните с онлайн‑проверки и обновите политику через наш генератор.