аналитика 25 октября 2027 По состоянию на 25 октября 2027

Иностранные компании как операторы ПДн в РФ

Иностранная компания, собирающая или обрабатывающая данные российских граждан, признаётся оператором ПДн по российскому праву вне зависимости от места регистрации.

С 30.05.2025 штраф за утечку более 100 000 субъектов достигает 15 млн ₽ по ч. 14 ст. 13.11 КоАП; повторное нарушение — оборотный штраф до 500 млн ₽ по ч. 15. Роскомнадзор вправе инициировать внеплановую проверку по 18 индикаторам риска, включая публикацию сведений об утечке в открытом доступе.

→ Если вы юрист иностранной компании, работающей в РФ, и задаётесь вопросом об объёме обязательств по 152-ФЗ — материал ниже структурирует норму, практику и план действий.

Иностранные компании как операторы ПДн — предмет, в котором российское право 2025–2026 годов существенно изменило правила игры. ФЗ-420 от 30.11.2024 перестроил санкционный режим ст. 13.11 КоАП с 7 до 18 составов. Параллельно ФЗ-156 от 24.06.2025 ввёл обязательное отдельное согласие на обработку ПДн с 01.09.2025. В этих условиях иностранная компания, не включённая в реестр операторов РКН и не располагающая актуальным пакетом ОРД, несёт риски, несоразмерные издержкам на комплаенс. В материале — правовые основания применимости 152-ФЗ к иностранным операторам, ключевые обязательства, процедура проверок РКН и стратегия защиты.

На каком основании 152-ФЗ применяется к иностранным компаниям?

Закон не содержит прямого изъятия для нерезидентов. Статья 1 ФЗ-152 распространяет его действие на операторов, обрабатывающих ПДн с использованием средств автоматизации, если субъекты — граждане РФ. Факт нахождения юридического лица за рубежом не освобождает от исполнения закона. РКН последовательно придерживается этой позиции при возбуждении административных дел.

Критерий «нацеленности» (targeting criterion) применяется по аналогии с GDPR: если сайт или приложение ориентированы на российских пользователей — форма на русском языке, цены в рублях, российские платёжные инструменты, — то оператор подпадает под российскую юрисдикцию. Этот подход также учитывается РКН при оценке нарушений, связанных с непостановкой на учёт.

«Ст. 22 ФЗ-152 — обязанность оператора уведомить РКН о намерении осуществлять обработку ПДн до начала такой обработки. Форма уведомления — Приказ РКН №180 от 28.10.2022. Срок включения в реестр — 30 дней. Отсутствие в реестре при фактической обработке — ч. 10 ст. 13.11 КоАП: штраф для юрлица 100 000 – 300 000 ₽.»

Для иностранной компании постановка на учёт технически возможна через портал pd.rkn.gov.ru с использованием УКЭП российского юридического лица или уполномоченного представителя. На практике большинство иностранных операторов делегируют это российскому аффилированному обществу или нанимают DPO-аутсорсера в РФ.

Какие обязательства несёт иностранный оператор по 152-ФЗ?

Перечень обязательств совпадает с требованиями к российскому оператору. Ключевые блоки:

Локализация. Часть 5 ст. 18 ФЗ-152 обязывает обеспечивать первичную запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ на серверах, физически расположенных в России. С 01.07.2025 (ФЗ-233 от 08.08.2024) требование ужесточено: первичный сбор данных обязан происходить в российской инфраструктуре, трансграничное дублирование — допустимо лишь после исполнения требования локализации. Нарушение — ч. 8 ст. 13.11 КоАП: штраф от 1 до 6 млн ₽; при повторном нарушении — ч. 9, от 6 до 18 млн ₽.

Согласие и правовые основания обработки. Статья 6 ФЗ-152 устанавливает 11 оснований. Для большинства потребительских сервисов иностранных операторов основание — согласие субъекта по ст. 9 ФЗ-152. С 01.09.2025 согласие должно оформляться отдельным документом, не встроенным в договор, пользовательское соглашение или политику конфиденциальности (ФЗ-156 от 24.06.2025). Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Нарушение требований к составу согласия — ч. 2 ст. 13.11 КоАП: 300 000 – 700 000 ₽.

Политика и ОРД. Статья 18.1 ФЗ-152 обязывает оператора принять политику обработки ПДн и опубликовать её в открытом доступе. Для иностранного оператора российскоязычная политика с корректной правовой базой — необходимый элемент. Её отсутствие или несоответствие ч. 2 ст. 18.1 — ч. 3 ст. 13.11 КоАП: 30 000 – 60 000 ₽. Дополнительно: приказ о назначении ответственного по ст. 22.1 ФЗ-152, регламент реагирования на запросы субъектов, журнал учёта инцидентов.

Юрист иностранной компании — когда стоит провести аудит?

Если компания обрабатывает ПДн российских граждан, но не включена в реестр операторов РКН или не располагает актуальным пакетом ОРД — риски ч. 1, ч. 2 и ч. 8 ст. 13.11 КоАП реализуются при первой же проверке. С 30.05.2025 РКН располагает расширенным перечнем индикаторов риска, охватывающих в том числе нерезидентов. Аудит позволяет выявить пробелы до возбуждения дела.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН проверяет иностранных операторов?

Роскомнадзор проводит плановые и внеплановые проверки, а также профилактические визиты. С 2022 года действует мораторий на плановые проверки малого и среднего бизнеса, продлевавшийся несколько раз. Иностранные компании, как правило, под льготный режим не подпадают, если действуют через российские юридические лица, не имеющие статуса МСП.

Индикаторы риска — перечень оснований для внеплановой проверки, утверждённый нормативным актом РКН. В числе индикаторов: публикация сведений об утечке ПДн (включая упоминания в открытых источниках — даркнет, телеграм-каналы, специализированные ресурсы), жалобы субъектов, результаты мониторинга интернет-ресурсов, сведения из ФОИВ. Для иностранных операторов, ориентированных на российских пользователей, мониторинг ведётся в том числе через жалобы в РКН из мобильных магазинов и публичных площадок.

Профилактический визит — форма взаимодействия без возбуждения дела, позволяющая выявить нарушения и устранить их до составления протокола. Для иностранного оператора это возможность получить от РКН перечень конкретных нарушений и обозначить сроки их устранения. Отказ от профвизита не несёт прямых санкций, но исключает возможность воспользоваться смягчающим обстоятельством при последующем деле.

Документарная и выездная проверки. Оператор обязан представить документы в установленный срок. Непредставление или ненадлежащее оформление ответа — самостоятельное основание для протокола. Для иностранных компаний принципиально важно определить, кто уполномочен взаимодействовать с РКН: российское аффилированное общество, локальный DPO или внешний представитель по доверенности.

Что подготовить к проверке РКН

Выписку из реестра операторов ПДн с pd.rkn.gov.ru, подтверждающую включение и актуальность сведений (ст. 22 ФЗ-152, Приказ РКН №180).
Политику обработки ПДн, опубликованную на русскоязычном ресурсе, с разделами по ч. 2 ст. 18.1 ФЗ-152 и указанием оснований обработки по ст. 6.
Отдельные согласия субъектов, оформленные по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156).
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с указанием контактных данных.
Документацию о локализации: договоры с российскими провайдерами, подтверждение физического расположения баз данных в РФ (ч. 5 ст. 18 ФЗ-152).

Трансграничная передача: что изменилось с 2025 года?

Статья 12 ФЗ-152 обязывает оператора уведомить РКН до начала трансграничной передачи ПДн в страны, не обеспечивающие адекватный уровень защиты. Иностранная компания, передающая данные из своего российского представительства или аффилированного общества в головной офис за рубежом, обязана пройти эту процедуру. Исключение — страны, перечисленные в приказе РКН об адекватной защите (государства — члены Конвенции Совета Европы ETS 108 плюс дополнительный перечень).

Уведомление направляется через портал РКН. РКН вправе запретить передачу, если сочтёт, что она нарушает права субъектов или создаёт угрозу безопасности РФ. На практике отказы редки, но возможны в отношении компаний из юрисдикций, включённых в перечень «недружественных» государств. Для иностранного оператора сохранение трансграничной передачи при условии выполнения требований локализации — рабочая модель, требующая юридического сопровождения.

Если иностранная компания передаёт данные российских пользователей за рубеж и не подала уведомление о трансграничной передаче — РКН вправе потребовать немедленного прекращения передачи. Уведомление можно подать, не дожидаясь проверки.

Защитить от штрафа 13.11

Типовые сценарии нарушений и их последствия для иностранного оператора

Сценарий 1. Оператор работает в РФ без уведомления РКН. Иностранная компания предоставляет SaaS-сервис российским корпоративным клиентам через российское ООО. ООО не подало уведомление в реестр. РКН выявил это при мониторинге жалоб от субъектов. Итог: протокол по ч. 10 ст. 13.11 КоАП — штраф 100 000 – 300 000 ₽. Параллельно — проверка по существу обработки, в ходе которой выявлены отсутствие политики ОРД и нарушение требований к согласию. Три состава суммируются; общий штраф существенно превышает стоимость своевременной постановки на учёт.

Сценарий 2. Данные хранятся в облаке за рубежом. Международная e-commerce платформа собирает данные российских покупателей, обрабатывает их в AWS (Ирландия) и не имеет российской инфраструктуры. РКН инициирует внеплановую проверку по индикатору риска — публикации об утечке в телеграм-канале. Устанавливается нарушение ч. 5 ст. 18 ФЗ-152 (локализация). Состав — ч. 8 ст. 13.11 КоАП: штраф от 1 до 6 млн ₽. При повторном нарушении — ч. 9, от 6 до 18 млн ₽. Дополнительно РКН вправе обратиться в суд с требованием об ограничении доступа к ресурсу на территории РФ.

Сценарий 3. Утечка ПДн российских пользователей — уведомление направлено с нарушением срока. Российское представительство иностранного банка фиксирует инцидент в системе CRM. ИТ-служба сообщила юридическому департаменту через 30 часов после обнаружения. Первичное уведомление РКН направлено с нарушением 24-часового срока (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187). Состав — ч. 11 ст. 13.11 КоАП: штраф 1 000 000 – 3 000 000 ₽. Если утечка затронула более 1 000 субъектов — одновременно возбуждается дело по ч. 12–14 ст. 13.11 в зависимости от масштаба.

Как это применяется на практике

Кейс 1. Представительство европейской технологической компании (Центральный ФО, осень 2025) получило запрос РКН в рамках документарной проверки. Юрист компании обратился за сопровождением за две недели до истечения срока ответа. В ходе анализа выявлено: уведомление в реестре было подано, но с неактуальными сведениями об обработке (не указаны три категории данных, появившихся после запуска нового функционала). Поданы актуализирующие уведомления по Приказу РКН №180. РКН ограничился предписанием об устранении нарушений — без штрафа. Своевременное обращение исключило составление протокола по ч. 1 ст. 13.11 КоАП.

Кейс 2. По данным публичной практики арбитражных судов (дело по ч. 14 ст. 13.11 КоАП, 2026 год), иностранный оператор после утечки данных более 100 000 субъектов — российских пользователей мобильного приложения — получил штраф в диапазоне ч. 14 ст. 13.11 (10 000 000 – 15 000 000 ₽). При этом суд учёл как смягчающее обстоятельство своевременное уведомление РКН об инциденте и представление 72-часового отчёта по Приказу РКН №187. Без этого оператор рисковал повторным составом при следующем инциденте и применением оборотного штрафа по ч. 15. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка к проверке, представительство перед инспектором, обжалование предписания.
Аудит соответствия 152-ФЗ — проверка всего цикла обработки ПДн по чек-листу из 38 пунктов с приоритизированным планом устранения нарушений.
Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1 для снижения или замены штрафа.

Частые вопросы

1. Как подготовиться к проверке РКН?

До начала проверки необходимо убедиться, что сведения в реестре операторов актуальны (ст. 22 ФЗ-152), политика обработки ПДн опубликована и соответствует ч. 2 ст. 18.1, согласия субъектов оформлены отдельными документами по требованиям ст. 9 в редакции с 01.09.2025, назначен ответственный по ст. 22.1. Для иностранной компании дополнительно следует подготовить документацию о локализации и уведомление о трансграничной передаче, если данные передаются за рубеж. Наличие всех документов до визита инспектора снижает риск штрафа.

2. Какие индикаторы риска использует РКН для назначения внеплановой проверки?

Перечень индикаторов риска утверждён нормативным актом РКН и включает: публикацию сведений об утечке ПДн в открытом доступе (медиа, мессенджеры, специализированные ресурсы), жалобы субъектов через портал РКН и Госуслуги, результаты мониторинга веб-ресурсов, сведения от иных органов власти. Для иностранных операторов вероятность попадания под внеплановую проверку выше в периоды активного мониторинга РКН отраслевых утечек.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан представить документы или пояснения в срок, установленный в запросе. Непредставление или ненадлежащий ответ влечёт самостоятельный административный состав. Для иностранной компании принципиально важно заблаговременно определить уполномоченное лицо (российское юридическое лицо, DPO-аутсорсер или представитель по нотариально заверенной доверенности), которое будет взаимодействовать с РКН. Отсутствие такого лица в момент получения запроса существенно сужает возможности реагирования в срок.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания об устранении нарушений влечёт повторный протокол и, как правило, более высокий штраф. Кроме того, системное неисполнение требований РКН может послужить основанием для обращения в суд с иском об ограничении доступа к ресурсу иностранного оператора на территории РФ. Для сервисов с существенной российской аудиторией это означает блокировку — репутационные и финансовые потери, несопоставимые со стоимостью комплаенса.

5. Куда обжаловать постановление РКН о штрафе?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд, затем — в апелляционную инстанцию. В апелляции возможно применение ст. 4.1 КоАП для снижения штрафа с учётом инвестиций в ИБ (не менее 0,1% выручки за 3 года — штраф снижается до 1/10 минимума, но не менее 15 млн ₽ по оборотным составам) или ст. 4.1.1 КоАП для замены штрафа на предупреждение при первичном нарушении без имущественного вреда субъектам (кроме ч. 15 и ч. 18 ст. 13.11).

Итог

Иностранная компания как оператор ПДн в РФ несёт тот же объём обязательств, что и российский оператор: уведомление РКН, локализация, согласие в отдельном документе с 01.09.2025, политика ОРД, реагирование на утечки за 24/72 часа. Санкционный режим с 30.05.2025 существенно жёстче: штрафы за утечку данных от 1 000 субъектов начинаются от 3 млн ₽, оборотный штраф при повторном нарушении — до 500 млн ₽.

Юристы DATUM сопровождают иностранные компании при постановке на учёт в РКН, формировании пакета ОРД, прохождении проверок и защите в судах по ст. 13.11 КоАП. Опыт практики — с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.