Перейти к содержанию
инструкция 29 января 2027 По состоянию на 29 января 2027

Согласие на передачу в материнскую компанию за рубеж

Передача персональных данных работников или клиентов в материнскую компанию за рубеж — это трансграничная передача по смыслу ст. 12 ФЗ-152, даже если получатель входит в ту же корпоративную группу.
С 30.05.2025 нарушение порядка согласия влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторно — до 1 500 000 ₽. Параллельно может потребоваться уведомление РКН по ст. 22 ФЗ-152 и отдельное согласие по новым требованиям ФЗ-156.
→ Если вы юрист дочерней компании и готовите ОРД для передачи ПДн в головной офис за рубежом — эта инструкция даёт пошаговый порядок с актуальными нормами 2026 года.

Группа компаний с иностранным материнским обществом — стандартная структура среднего и крупного бизнеса в России. Однако с точки зрения ФЗ-152 «О персональных данных» дочерняя компания является самостоятельным оператором, а передача данных в штаб-квартиру подчиняется тем же правилам, что и любая трансграничная передача. Ниже — пошаговая инструкция: от определения правового основания до актуализации ОРД после 01.09.2025.

Готовите ОРД для передачи данных за рубеж?

Если вы юрист дочерней структуры и впервые выстраиваете порядок передачи ПДн в материнскую компанию — важно не упустить уведомление РКН: без него штраф по ч. 10 ст. 13.11 КоАП составит от 100 000 до 300 000 ₽. Срок включения в реестр после подачи уведомления — 30 дней, а передача до включения создаёт отдельное нарушение. Юристы DATUM соберут полный комплект ОРД и подадут уведомление в РКН.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите: нужно ли согласие или достаточно иного правового основания?

Согласие субъекта по ст. 9 ФЗ-152 — одно из одиннадцати оснований для обработки. До него необходимо проверить, нет ли иного применимого основания, которое позволит передать данные без получения согласия.

Основания без согласия, применимые при передаче в материнскую компанию:

  • Исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 ФЗ-152): работник подписал трудовой договор, предусматривающий взаимодействие с группой компаний. Однако само по себе упоминание «группы компаний» в договоре не создаёт автоматического основания для трансграничной передачи.
  • Осуществление прав и законных интересов оператора (п. 7 ч. 1 ст. 6 ФЗ-152): применимо в узком диапазоне — например, централизованное ведение бухгалтерии в рамках группы при условии, что интересы оператора не нарушают права субъекта.
  • Прямое указание федерального закона: для отдельных категорий (валютный контроль, налоговая отчётность) передача данных регулируется специальными нормами.

Если ни одно из перечисленных оснований не покрывает передачу — необходимо согласие. Это типичная ситуация при передаче данных клиентов в маркетинговую, HR- или аналитическую систему материнской компании.

«Ст. 6 ФЗ-152 закрепляет исчерпывающий перечень правовых оснований для обработки. Обработка без применимого основания — нарушение ч. 1 ст. 13.11 КоАП; штраф для юрлица — от 150 000 до 300 000 ₽ в редакции с 30.05.2025.»

Шаг 2. Проверьте страну получателя: нужно ли уведомление РКН?

ФЗ-152 делит страны на две категории применительно к ст. 12. Страны, обеспечивающие адекватную защиту персональных данных, перечислены в актуальном приказе РКН (перечень периодически обновляется). Для передачи в такие страны уведомление РКН не требуется при наличии иного правового основания.

Для стран, не включённых в перечень (США, Китай, ОАЭ, Израиль и ряд других), до начала передачи необходимо направить уведомление в РКН. Уведомление подаётся через портал pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022 и должно содержать: наименование иностранного получателя, страну, цели передачи, перечень передаваемых данных, правовое основание.

«Ст. 12 ФЗ-152: передача персональных данных в страну, не обеспечивающую адекватную защиту, осуществляется с уведомлением РКН до начала передачи. Нарушение — ч. 10 ст. 13.11 КоАП; для юрлица — от 100 000 до 300 000 ₽ с 30.05.2025.»

Важный нюанс: уведомление о намерении осуществлять обработку (ст. 22 ФЗ-152) и уведомление о трансграничной передаче (ст. 12 ФЗ-152) — разные документы. Если оператор подал уведомление по ст. 22 при регистрации, это не означает, что он уведомил РКН о конкретной трансграничной передаче. Срок включения в реестр после уведомления — 30 дней.

Шаг 3. Составьте согласие субъекта по требованиям ФЗ-156 от 24.06.2025

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку персональных данных оформляется отдельным документом и не может быть включено в трудовой договор, политику конфиденциальности, оферту или иной документ. Смешанные формы недействительны применительно к обработке, начатой с 01.09.2025. Ранее полученные согласия, оформленные по старым правилам, обратной силой не затрагиваются.

Обязательные реквизиты согласия на передачу в материнскую компанию (ст. 9 ФЗ-152, актуальная редакция):

  • Фамилия, имя, отчество и контактные данные субъекта персональных данных.
  • Полное наименование и адрес оператора — дочерней компании.
  • Полное наименование и страна нахождения иностранного получателя — материнской компании.
  • Цели передачи: конкретные, а не общие («для целей ведения кадрового учёта в рамках группы», «для обработки обращений в службу поддержки»).
  • Перечень персональных данных, передаваемых получателю: поимённо, без категорий «и иные данные».
  • Перечень действий с данными, на которые даётся согласие: передача, хранение, обработка получателем в указанных целях.
  • Срок действия согласия или условие прекращения.
  • Способ отзыва согласия: конкретный адрес, форма, срок обработки отзыва.
«Ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025): согласие — отдельный документ; обработка без согласия требуемой формы — ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000 — 700 000 ₽; повторно — от 1 000 000 до 1 500 000 ₽ (ч. 2.1).»

Отдельное согласие необходимо для каждой цели передачи, если цели разнородны: например, передача данных для расчёта заработной платы и передача для участия в корпоративной системе обучения — разные цели, требующие отдельных согласий или чётко разграниченных пунктов в одном документе.

Если вы юрист и в компании действуют смешанные согласия — в трудовых договорах или оферте — до проверки РКН осталось меньше времени, чем кажется. С 01.09.2025 такие документы не защищают от штрафа по ч. 2 ст. 13.11 КоАП. Юристы DATUM проверят действующие формы и заменят их корректными.

Заказать аудит 152-ФЗ

Шаг 4. Включите трансграничную передачу в политику конфиденциальности и ОРД

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 обязана содержать раздел о трансграничной передаче: наименование получателей, страны, цели, правовые основания. Отсутствие этого раздела — самостоятельное нарушение, фиксируемое РКН при проверке.

Документы ОРД, требующие актуализации при введении трансграничной передачи:

  • Политика обработки персональных данных — добавить раздел о трансграничной передаче с указанием получателя, страны, правового основания и мер защиты.
  • Уведомление в РКН по ст. 22 ФЗ-152 — если трансграничная передача не была указана при первоначальной подаче, направить изменение через pd.rkn.gov.ru.
  • Договор (поручение) с иностранным обработчиком или соглашение о совместной обработке — если материнская компания обрабатывает данные не самостоятельно, а по поручению дочерней.
  • Журнал учёта согласий субъектов на трансграничную передачу.
  • Инструкция ответственного лица по ст. 22.1 ФЗ-152 — включить порядок проверки актуальности согласий при изменении перечня данных или получателей.
«Ст. 18.1 ФЗ-152: оператор обязан опубликовать политику обработки ПДн и обеспечить к ней неограниченный доступ. Неисполнение — ч. 3 ст. 13.11 КоАП; штраф для юрлица — от 30 000 до 60 000 ₽.»

Отдельного внимания требует разграничение ролей: является ли материнская компания самостоятельным оператором или обрабатывает данные по поручению дочерней? От ответа зависит состав договорной документации. Если материнская компания определяет цели и средства обработки — она становится оператором, и согласие должно указывать её как самостоятельного получателя.

Шаг 5. Назначьте ответственного и настройте контроль актуальности согласий

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. При наличии трансграничной передачи функция ответственного расширяется: контроль за актуальностью уведомлений в РКН, мониторинг изменений перечня стран с адекватной защитой, проверка договоров с иностранными получателями.

Ответственный по ст. 22.1 не обязан быть юристом: требования к квалификации закон не закрепляет. Однако при трансграничной передаче целесообразно возложить эту функцию на лицо, способное отслеживать изменения в регуляторной среде — обновления приказов РКН, перечней адекватных стран, требований к форме согласия.

«Ст. 22.1 ФЗ-152: ответственный назначается приказом руководителя; сведения о нём подлежат опубликованию. Отсутствие ответственного создаёт риск при любой плановой или внеплановой проверке РКН.»

Что подготовить перед началом передачи данных в материнскую компанию

  • Определить правовое основание передачи по ст. 6 ФЗ-152 — согласие или иное из 11 оснований.
  • Проверить страну получателя по актуальному перечню адекватных стран РКН; при необходимости направить уведомление о трансграничной передаче по Приказу РКН №180.
  • Получить согласия субъектов в форме отдельного документа с обязательными реквизитами по ст. 9 ФЗ-152 (для согласий с 01.09.2025 — по требованиям ФЗ-156).
  • Актуализировать политику обработки ПДн по ст. 18.1 ФЗ-152 и сведения в реестре РКН по ст. 22 ФЗ-152.
  • Заключить договор с иностранным получателем или соглашение об обработке; назначить ответственного по ст. 22.1 ФЗ-152.

Как выглядят типичные нарушения при передаче данных в материнскую компанию?

Ниже три сценария из практики, которые встречаются при проверках РКН дочерних структур международных групп.

Сценарий 1. Согласие включено в трудовой договор. Ситуация: российская дочерняя компания включила в типовой трудовой договор пункт о согласии на передачу данных в штаб-квартиру (ФРГ). До 01.09.2025 суды расходились в оценке такой формы. С 01.09.2025 по требованиям ФЗ-156 это прямое нарушение: согласие не оформлено отдельным документом. Доказательства: акт проверки РКН с копией трудового договора. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽. Стратегия: немедленная замена форм, переподписание согласий в формате отдельного документа до получения предписания.

Сценарий 2. Уведомление о трансграничной передаче не подавалось. Ситуация: данные клиентов передавались в CRM-систему, размещённую на серверах материнской компании в США, на протяжении двух лет. Уведомление в РКН по ст. 12 ФЗ-152 не направлялось. При жалобе клиента РКН запросил сведения об обработке. Доказательства: логи обращений к CRM, договор с материнской компанией. Исход: протокол по ч. 10 ст. 13.11 КоАП. Стратегия: незамедлительное направление уведомления, подготовка возражений с указанием на устранение нарушения до вынесения постановления — смягчающее обстоятельство по ст. 4.2 КоАП.

Сценарий 3. Передача данных расширилась, но согласие не обновилось. Ситуация: первоначально передавались только контактные данные HR-менеджеров. Затем к передаче добавились данные о зарплате и медицинских страховках. Согласия субъектов содержали устаревший перечень. Проверка РКН установила несоответствие фактической обработки согласиям. Исход: протокол по ч. 1 ст. 13.11 КоАП (обработка в целях, несовместимых с заявленными). Стратегия: регулярный мониторинг соответствия фактического состава передаваемых данных и зафиксированного в согласиях; обновление согласий при каждом изменении перечня данных или целей.

Кейс из практики (Уральский ФО, начало 2026). Юрист дочерней компании европейской группы подготовил ОРД к внеплановой проверке РКН. Согласия работников на передачу данных в материнский офис (Нидерланды) были оформлены единым документом с трудовым договором, подписанным до 01.09.2025. Юристы проверили: обратной силы ФЗ-156 не имеет — старые согласия действительны для обработки, начатой до 01.09.2025. Однако при расширении перечня передаваемых данных уже потребовалось отдельное согласие. РКН нарушений по форме согласий не установил. Отдельно был выявлен пропуск в уведомлении по ст. 22 ФЗ-152 — трансграничная передача не была отражена; компания направила изменение в течение 10 рабочих дней, что РКН учёл как смягчающее обстоятельство.

Кейс из практики (Северо-Западный ФО, осень 2025). Дочерняя IT-компания американской группы передавала данные пользователей сервиса в аналитическую систему штаб-квартиры без согласия субъектов — на основании п. 7 ч. 1 ст. 6 ФЗ-152 (законные интересы оператора). РКН при проверке установил, что интересы оператора не перевешивали права субъектов — передача данных 80 000 клиентов без согласия не соответствует принципу соразмерности ст. 5 ФЗ-152. Компания заплатила штраф в сотни тысяч рублей по ч. 1 ст. 13.11 КоАП и в течение двух месяцев получила согласия ретроспективно — через рассылку с требованием подтверждения. Около 15% субъектов не подтвердили; их данные были исключены из передаваемого массива.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн, передающего данные за рубеж?

Минимальный комплект: уведомление в реестре РКН по ст. 22 ФЗ-152 с указанием трансграничной передачи, уведомление о трансграничной передаче по ст. 12 (если страна не в перечне адекватных), политика обработки ПДн по ст. 18.1 с разделом о трансграничной передаче, согласия субъектов в форме отдельного документа по ст. 9 (для обработки с 01.09.2025 — по требованиям ФЗ-156), договор с иностранным получателем или соглашение об обработке по поручению, приказ о назначении ответственного по ст. 22.1 ФЗ-152.

2. Как составить политику обработки ПДн с разделом о трансграничной передаче?

Политика должна содержать: наименование и страну каждого иностранного получателя, перечень передаваемых категорий данных, цели и правовые основания передачи, меры защиты, применяемые получателем, и порядок отзыва согласия. Публикуется на сайте оператора в открытом доступе — отсутствие раздела о трансграничной передаче при её фактическом осуществлении квалифицируется РКН как нарушение ст. 18.1 ФЗ-152.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152 при наличии трансграничной передачи?

Закон не предъявляет квалификационных требований: ответственным может быть штатный юрист, HR-менеджер или DPO-аутсорсер. При трансграничной передаче предпочтителен специалист, способный отслеживать изменения в перечне адекватных стран и требованиях РКН. Сведения об ответственном публикуются в открытом доступе. Передача функции внешнему DPO не снимает ответственности с оператора за нарушения по ст. 13.11 КоАП.

4. Можно ли использовать шаблон согласия из интернета?

Шаблон из открытых источников допустим как отправная точка, но не как готовый документ. Согласие должно содержать конкретные данные: наименование и страну иностранного получателя, точный перечень передаваемых данных, конкретные цели. Обобщённые формулировки («данные могут передаваться третьим лицам») не соответствуют требованиям ст. 9 ФЗ-152 и не защищают от штрафа по ч. 2 ст. 13.11 КоАП. Особенно критично: с 01.09.2025 согласие — строго отдельный документ по ФЗ-156.

5. Какие согласия нужно переоформить после 01.09.2025?

Переоформления требуют согласия, которые после 01.09.2025 используются для оснований новой обработки или для расширения перечня данных и целей. Согласия, полученные до 01.09.2025 для ранее начатой обработки в том же объёме, остаются действительными — ФЗ-156 обратной силы не имеет. Если после 01.09.2025 дочерняя компания добавила новые категории данных для передачи в материнскую структуру — для этой части обработки требуется новое согласие в форме отдельного документа.

6. Что делать, если материнская компания требует данные «срочно», до подачи уведомления в РКН?

Передача данных до направления уведомления по ст. 12 ФЗ-152 является нарушением вне зависимости от срочности корпоративного запроса. Уведомление направляется электронно через pd.rkn.gov.ru — технически это занимает несколько часов при наличии УКЭП. До подтверждения РКН передачу следует отложить или ограничиться данными, обработка которых обеспечена иным правовым основанием (например, п. 5 ч. 1 ст. 6 ФЗ-152 — исполнение договора). Ссылка на корпоративную необходимость не является смягчающим обстоятельством по КоАП.

Итог

Передача персональных данных в материнскую компанию за рубеж требует последовательного прохождения пяти шагов: установления правового основания, проверки страны получателя, получения согласия по актуальным требованиям ФЗ-156, актуализации политики и уведомления РКН, назначения ответственного. Каждый пропущенный шаг создаёт самостоятельный состав нарушения по ст. 13.11 КоАП — от 30 000 до 700 000 ₽ за первичное и до 1 500 000 ₽ при повторном. При систематическом нарушении и утечке применяется оборотный штраф по ч. 15 ст. 13.11 КоАП — от 1 до 3% годовой выручки, но не менее 20 000 000 ₽.

Практика DATUM по сопровождению трансграничной передачи включает оценку правового основания, подготовку комплекта согласий по ст. 9 ФЗ-152 в редакции ФЗ-156, подачу уведомлений в РКН по ст. 12 и ст. 22, актуализацию политики по ст. 18.1 и назначение ответственного по ст. 22.1.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

29 января 2027 года