Перейти к содержанию
инструкция 20 декабря 2026 По состоянию на 20 декабря 2026

Иностранный оператор с базой в РФ: уведомление

Иностранная компания, собирающая или хранящая персональные данные граждан России на серверах в РФ, является оператором по ст. 3 ФЗ-152 и обязана уведомить Роскомнадзор до начала обработки по ст. 22 ФЗ-152.
С 30.05.2025 нарушение требований 152-ФЗ влечёт штраф от 150 000 до 15 000 000 ₽ за единичный состав, а при повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15 ст. 13.11 КоАП.
Если вы юрист иностранной компании с базой данных в РФ — проверьте, подано ли уведомление и соответствует ли пакет ОРД действующим требованиям, включая изменения с 01.09.2025. →

Иностранные операторы нередко ошибочно полагают, что российские требования к обработке персональных данных их не касаются. Это неверно: регистрация компании за рубежом не освобождает от соблюдения ФЗ-152, если данные граждан РФ обрабатываются на серверах в России. В этой инструкции — последовательность действий: от проверки статуса уведомления до формирования полного пакета ОРД, включая требования, вступившие в силу после 01.09.2025.

Применяется ли 152-ФЗ к иностранной компании с базой в РФ?

Ответ однозначный: да. Закон распространяется на любое лицо, осуществляющее обработку персональных данных, если это лицо использует средства, расположенные на территории России, — в том числе базы данных и серверы. Гражданство или место регистрации оператора значения не имеют.

Ключевые последствия статуса оператора по ст. 3 ФЗ-152:

  • обязанность уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) до начала обработки;
  • обязанность обеспечить локализацию: запись, систематизация, накопление и хранение ПДн граждан РФ — только в базах на территории РФ (ч. 5 ст. 18 ФЗ-152);
  • обязанность назначить ответственного за обработку ПДн по ст. 22.1 ФЗ-152;
  • обязанность разработать и опубликовать политику обработки ПДн по ст. 18.1 ФЗ-152;
  • обязанность получить согласия субъектов по ст. 9 ФЗ-152 в актуальной редакции (с 01.09.2025 — отдельным документом по ФЗ-156 от 24.06.2025).
«Ст. 22 ФЗ-152 — оператор обязан направить уведомление в уполномоченный орган до начала обработки персональных данных. Неуведомление или несвоевременное уведомление — штраф от 100 000 до 300 000 ₽ по ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025).»

Отдельного внимания заслуживает вопрос трансграничной передачи. Если иностранная компания, имея базу в РФ, передаёт данные на серверы за рубежом (в материнскую структуру или облачного провайдера), возникает обязанность уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152. Это отдельная процедура от уведомления о намерении обрабатывать.

Не уверены, подпадает ли ваша компания под 152-ФЗ?

Статус оператора определяется по факту обработки, а не по регистрации. Если иностранная компания собирает контактные данные, cookies или поведенческую аналитику на российской аудитории — она, скорее всего, уже является оператором. Юристы DATUM проведут экспресс-оценку: есть ли обязанность уведомить РКН, какие документы нужны и в какие сроки.

Оценить риски по 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Проверьте статус в реестре операторов РКН

Прежде чем формировать документы, установите текущий статус компании. Реестр операторов персональных данных ведётся РКН и доступен на pd.rkn.gov.ru. Проверка занимает несколько минут и показывает:

  • включена ли компания в реестр операторов;
  • какие цели обработки указаны в уведомлении;
  • какие категории ПДн и правовые основания заявлены;
  • актуальны ли сведения об ответственном по ст. 22.1 ФЗ-152.

Если уведомление не подавалось — фиксируйте это как приоритет, поскольку каждый день без уведомления при фактической обработке создаёт состав нарушения. Если уведомление есть, но сведения устарели (изменились цели, перечень ПДн, место обработки) — требуется подача уведомления об изменении сведений по форме Приказа РКН № 180 от 28.10.2022.

Шаг 2. Подготовьте и подайте уведомление по Приказу РКН № 180

Уведомление о намерении осуществлять обработку ПДн подаётся в электронном виде через портал pd.rkn.gov.ru. Для иностранной компании, не имеющей российского юридического лица, потребуется усиленная квалифицированная электронная подпись (УКЭП) или вход через ЕСИА — при наличии представителя в РФ.

Обязательный состав уведомления по ст. 22 ФЗ-152:

  • наименование и адрес оператора (для иностранной компании — юридический адрес за рубежом и адрес обработки в РФ);
  • цели обработки персональных данных;
  • категории субъектов и перечень обрабатываемых ПДн;
  • правовые основания обработки (ст. 6 ФЗ-152);
  • перечень действий с ПДн и описание используемых средств обработки;
  • меры по обеспечению безопасности (со ссылкой на ПП РФ № 1119 и Приказ ФСТЭК № 21);
  • сведения об ответственном за организацию обработки ПДн (ст. 22.1 ФЗ-152);
  • указание на осуществление трансграничной передачи — если она есть.

После подачи включение в реестр занимает до 30 дней. До этого момента обработка ПДн формально ведётся без уведомления — что само по себе является нарушением. Практика: РКН принимает уведомление как факт раскрытия намерений, а не как разрешение.

Шаг 3. Назначьте ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Это требование ст. 22.1 ФЗ-152. Для иностранной компании с базой в РФ ответственным может быть как штатный сотрудник (в том числе находящийся за рубежом), так и внешний специалист по договору DPO-аутсорсинга.

Ключевые обязанности ответственного:

  • контроль соблюдения требований ФЗ-152 внутри организации;
  • обеспечение получения обращений субъектов ПДн и ответов на них в срок 10 рабочих дней по ст. 20 ФЗ-152;
  • организация внутреннего аудита и актуализации документов;
  • взаимодействие с РКН при проверках и запросах.

Назначение оформляется приказом руководителя с указанием ФИО, должности и объёма полномочий. Сведения об ответственном вносятся в уведомление по ст. 22 — в реестр операторов. Отсутствие назначенного ответственного при наличии уведомления — отдельное основание для предписания РКН.

Если в компании нет штатного специалиста по ПДн — функцию ответственного по ст. 22.1 можно передать на аутсорсинг. Срок подключения DPO от DATUM — от 5 рабочих дней.

Подключить DPO-аутсорсинг

Шаг 4. Разработайте политику обработки ПДн по ст. 18.1 ФЗ-152

Политика обработки персональных данных — публичный документ. Оператор обязан обеспечить к ней неограниченный доступ: разместить на сайте или предоставить по запросу любого лица. Это требование ч. 2 ст. 18.1 ФЗ-152.

Обязательные разделы политики конфиденциальности для иностранного оператора:

  • наименование и реквизиты оператора, включая иностранный адрес;
  • цели и правовые основания обработки по ст. 6 ФЗ-152;
  • категории ПДн и перечень субъектов;
  • порядок и условия обработки, включая передачу третьим лицам;
  • права субъектов и порядок их реализации (ст. 14–17 ФЗ-152);
  • меры по обеспечению безопасности ПДн;
  • сведения о трансграничной передаче (если осуществляется);
  • порядок уничтожения ПДн по достижении целей обработки.

Использование шаблонов из открытых источников допустимо как отправная точка, однако шаблон не учитывает специфику конкретной компании: виды обрабатываемых ПДн, используемые системы, трансграничные потоки и основания обработки. РКН при проверке оценивает соответствие фактической обработки тому, что задекларировано в политике. Расхождение — основание для предписания и штрафа по ч. 3 ст. 13.11 КоАП.

Шаг 5. Приведите согласия субъектов в соответствие с требованиями после 01.09.2025

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, внесённые ФЗ-156 от 24.06.2025. Согласие на обработку персональных данных теперь оформляется отдельным документом — оно не может быть включено в текст договора, оферты, пользовательского соглашения или политики конфиденциальности.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта на обработку его персональных данных оформляется отдельно от иных документов. Согласия, полученные до 01.09.2025 в составе договора или оферты, ранее полученными считаются действительными — обратной силы норма не имеет. Новые согласия с 01.09.2025 — только отдельным документом.»

Для иностранного оператора с базой в РФ это означает: при любой новой регистрации, подписке или иной форме сбора ПДн после 01.09.2025 согласие должно быть оформлено как самостоятельный документ с обязательными реквизитами:

  • ФИО субъекта и его контактные данные;
  • наименование и реквизиты оператора;
  • цель обработки;
  • перечень персональных данных;
  • перечень действий с ПДн;
  • срок действия согласия и способ его отзыва.

Для распространения ПДн (публикация, передача неограниченному кругу лиц) требуется отдельное согласие по ст. 10.1 ФЗ-152. Молчание субъекта не считается согласием на распространение.

Что подготовить иностранному оператору с базой в РФ

  • Выписка из реестра операторов РКН с pd.rkn.gov.ru — или подтверждение того, что уведомление ещё не подавалось.
  • Уведомление по форме Приказа РКН № 180 с актуальными сведениями о целях, категориях ПДн, месте обработки и ответственном по ст. 22.1.
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152).
  • Политика обработки персональных данных по ст. 18.1 ФЗ-152 с обязательными разделами, опубликованная на сайте.
  • Актуальные формы согласий субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025 — отдельным документом.

Как выглядят типовые нарушения на практике?

Ситуация 1. Иностранная SaaS-платформа собирает данные российских корпоративных клиентов (контактные лица, email, телефоны) через форму регистрации. Сервера арендованы у российского облачного провайдера. Уведомление в РКН не подавалось с момента запуска российского сегмента. При плановой проверке РКН фиксирует отсутствие уведомления, отсутствие политики конфиденциальности на русском языке и согласия в составе пользовательского соглашения. Штрафной риск: ч. 10 ст. 13.11 (100–300 тыс. ₽) + ч. 3 ст. 13.11 (30–60 тыс. ₽) + ч. 2 ст. 13.11 (300–700 тыс. ₽) одновременно. Итого — в сотни тысяч рублей только по первичным составам.

Ситуация 2. Европейская e-commerce-компания с российским складом обрабатывает данные покупателей: ФИО, адреса доставки, телефоны. Политика конфиденциальности есть, но составлена по европейским стандартам GDPR и не содержит разделов, обязательных по ст. 18.1 ФЗ-152. Ответственный по ст. 22.1 ФЗ-152 не назначен. Данные частично синхронизируются с головным офисом в ЕС без уведомления РКН о трансграничной передаче. Юрист компании при анализе выявил три отдельных состава нарушения — ещё до проверки. Арбитражный суд в аналогичных делах назначал штрафы по каждому составу самостоятельно, без поглощения. Стратегия: подать уведомление, разработать российскую политику и согласия, направить уведомление о трансграничной передаче до получения запроса РКН.

Ситуация 3. Компания уведомила РКН три года назад. С тех пор расширила перечень обрабатываемых категорий ПДн (добавила биометрию для СКУД на складе), сменила ответственного и перевела часть обработки на нового подрядчика. Ни одно из изменений в реестр не внесено. При внеплановой проверке по жалобе субъекта РКН сравнивает реестровые данные с фактическими и фиксирует расхождение. Это самостоятельный состав: недостоверность сведений в реестре. Уведомление об изменении сведений по Приказу РКН № 180 — инструмент профилактики, а не формальность.

Услуги DATUM по теме

  • Комплект ОРД под ключ — разработка полного пакета ОРД с учётом специфики иностранного оператора
  • Аудит соответствия 152-ФЗ — проверка текущего состояния обработки ПДн и приоритетный план устранения нарушений
  • DPO-аутсорсинг — передача функции ответственного по ст. 22.1 на абонентское обслуживание

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки персональных данных (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), актуальные формы согласий субъектов (ст. 9 ФЗ-152), регламент реагирования на обращения субъектов и порядок уведомления РКН об инцидентах (ч. 3.1 ст. 21 ФЗ-152). Для иностранного оператора дополнительно — документация по трансграничной передаче при её наличии.

2. Как составить политику обработки ПДн?

Политика должна отражать фактическую обработку, а не желаемую. Алгоритм: сначала составьте карту обработки (какие ПДн, для каких целей, на каких основаниях, кому передаются), затем на её основе разработайте политику с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152. Опубликуйте на сайте в разделе, доступном без регистрации. Политика обновляется при каждом изменении в составе обработки.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть любой сотрудник или внешний специалист по договору. Квалификационных требований закон не устанавливает, однако ответственный должен понимать требования ФЗ-152, уметь взаимодействовать с РКН и отвечать субъектам в 10-рабочедневный срок по ст. 20 ФЗ-152. Для иностранной компании без российского юрлица практичным решением является DPO-аутсорсинг: ответственный на договорной основе с фиксацией в уведомлении.

4. Можно ли использовать шаблон политики из интернета?

Использование шаблона как отправной точки допустимо, но недостаточно. РКН при проверке сопоставляет задекларированное в политике с фактической обработкой. Типовой шаблон не учитывает ваши категории ПДн, правовые основания, трансграничные потоки и специфику систем. Расхождение политики и реальности — самостоятельный состав нарушения. Минимальная доработка шаблона под компанию занимает 2–5 рабочих дней при наличии карты обработки.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется только отдельным документом — не включается в договор, оферту или политику. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок и способ отзыва. Для распространения ПДн — отдельное согласие по ст. 10.1 ФЗ-152. Ранее полученные согласия в составе договоров остаются действительными — переоформлять их не требуется.

Итог

Иностранная компания с базой данных в России является оператором ПДн по ФЗ-152 вне зависимости от места регистрации. Обязательный минимум: уведомление в РКН, политика по ст. 18.1, назначение ответственного по ст. 22.1 и актуальные согласия субъектов в редакции с 01.09.2025. Каждый незакрытый пункт — это отдельный состав нарушения по ст. 13.11 КоАП, и суды назначают штрафы по всем составам самостоятельно.

Практика DATUM по сопровождению иностранных операторов включает полный цикл: от проверки статуса в реестре РКН до разработки пакета ОРД и обеспечения функции ответственного по ст. 22.1 на абонентской основе.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

20 декабря 2026 года