Перейти к содержанию
инструкция 1 декабря 2026 По состоянию на 1 декабря 2026

Согласие на трансграничную передачу: ст. 12

Трансграничная передача персональных данных без уведомления Роскомнадзора или без надлежащего правового основания — административное правонарушение. Штраф по ч. 8 ст. 13.11 КоАП за нарушение локализации достигает 6 млн ₽, при повторности — до 18 млн ₽.
Статья 12 ФЗ-152 разграничивает два режима: передача в страны с адекватной защитой — без специального согласия; передача в остальные страны — только после уведомления РКН и при наличии самостоятельного правового основания, в том числе отдельного согласия субъекта. С 01.09.2025 согласие по ст. 9 ФЗ-152 (ред. ФЗ-156) должно быть отдельным документом с обязательными реквизитами.
Если вы юрист и готовите ОРД для оператора, передающего данные за рубеж, — ниже пошаговый порядок: от проверки страны назначения до регистрации согласия в реестре РКН.

Трансграничная передача персональных данных регулируется ст. 12 ФЗ-152 и подзаконными актами РКН. В конце 2024 — начале 2025 года законодательство ужесточилось: ФЗ-420 расширил ответственность по ст. 13.11 КоАП до 18 частей, ФЗ-156 изменил требования к форме согласия. Для юриста, сопровождающего оператора с зарубежными подрядчиками или офисами, критично понимать, в каком случае достаточно уведомления РКН, а в каком нужно отдельное согласие субъекта — и как его правильно оформить.

Что такое трансграничная передача и когда требуется согласие?

Трансграничная передача — это передача персональных данных на территорию иностранного государства. Статья 3 ФЗ-152 даёт это определение без привязки к техническому способу: передача через API, выгрузка в облако иностранного провайдера, доступ зарубежного сотрудника к российской базе — всё это трансграничная передача.

Статья 12 ФЗ-152 делит страны на две группы. Первая — государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также государства, обеспечивающие адекватную защиту персональных данных согласно перечню РКН. Передача в эти страны допускается в общем порядке. Вторая группа — все остальные страны. Для передачи в них оператор обязан заблаговременно уведомить РКН и убедиться, что получатель обеспечивает защиту ПДн.

«Ст. 12 ФЗ-152: трансграничная передача ПДн на территорию государства, не обеспечивающего адекватную защиту, допускается при условии уведомления Роскомнадзора и наличия у получателя обязательств, обеспечивающих защиту прав субъектов. Одним из допустимых оснований является согласие субъекта персональных данных.»

Согласие субъекта на трансграничную передачу — не единственное правовое основание. Статья 12 допускает также договор с получателем ПДн, который содержит гарантии защиты, или международный договор. Однако на практике согласие остаётся наиболее распространённым инструментом, особенно когда передача связана с оказанием услуг конкретному субъекту или маркетинговыми коммуникациями.

Шаг 1. Определите страну назначения и режим передачи

Перед составлением документов установите, в какую страну передаются данные. Актуальный перечень государств, обеспечивающих адекватную защиту, утверждается РКН — уточните его на pd.rkn.gov.ru перед подготовкой ОРД, поскольку перечень периодически обновляется.

Если страна входит в перечень — специальное согласие на трансграничную передачу не требуется. Достаточно общего правового основания по ст. 6 ФЗ-152 (например, договор с субъектом). Уведомление РКН по ст. 22 ФЗ-152 должно отражать факт трансграничной передачи.

Если страна не входит в перечень — применяется уведомительный порядок: оператор направляет в РКН уведомление с указанием страны назначения, наименования получателя, цели передачи и планируемого срока. По регламенту РКН уведомление направляется до начала передачи. Одновременно нужно обеспечить правовое основание — согласие субъекта или договор с получателем, содержащий гарантии защиты.

Уже передаёте данные за рубеж без уведомления РКН?

Если оператор использует зарубежные CRM, облака или передаёт данные иностранному холдингу без уведомления РКН — это нарушение ч. 8 ст. 13.11 КоАП. Штраф 1–6 млн ₽. Юристы DATUM подготовят пакет уведомлений и согласий для передачи в страны вне перечня адекватной защиты.

Подготовить документы ОРД

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Составьте согласие на трансграничную передачу

С 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельным документом и не объединяться с договором, офертой или политикой конфиденциальности (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Согласие на трансграничную передачу подчиняется тем же требованиям.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025:

  • фамилия, имя, отчество субъекта и его контактные данные;
  • наименование и адрес оператора;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых даётся согласие;
  • перечень действий с персональными данными и описание способов обработки;
  • срок действия согласия и способ его отзыва;
  • для трансграничной передачи — наименование иностранного государства и получателя, цель передачи, категории передаваемых ПДн.

Согласие, полученное до 01.09.2025, считается действительным, если его содержание соответствовало требованиям, действовавшим на момент его получения. Переоформление не требуется — но новые согласия, оформляемые после 01.09.2025, обязаны соответствовать новым требованиям.

Отдельное согласие на распространение ПДн (ст. 10.1 ФЗ-152) и согласие на трансграничную передачу — самостоятельные документы. Не объединяйте их в одном бланке.

Шаг 3. Подайте уведомление в Роскомнадзор

Уведомление о трансграничной передаче подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Форма уведомления установлена Приказом РКН №180 от 28.10.2022.

В уведомлении указываются: наименование иностранного государства или международной организации — получателя ПДн; наименование и контактные данные получателя; цель трансграничной передачи; перечень категорий передаваемых персональных данных; правовое основание передачи.

Если оператор ещё не включён в реестр операторов ПДн — уведомление по ст. 22 ФЗ-152 подаётся одновременно или до уведомления о трансграничной передаче. Срок включения в реестр — до 30 дней с момента получения уведомления РКН. Неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Уведомление о трансграничной передаче направляется до начала передачи. Изменение сведений — например, смена получателя или страны — требует подачи нового уведомления об изменении сведений по форме из Приказа РКН №180.

Что подготовить юристу для трансграничной передачи

  • Выписка из реестра операторов ПДн (pd.rkn.gov.ru) — проверить актуальность сведений о трансграничной передаче.
  • Отдельное согласие субъекта по ст. 9 ФЗ-152 (ред. ФЗ-156) с реквизитами получателя и страны назначения.
  • Уведомление в РКН о трансграничной передаче по форме Приказа РКН №180.
  • Договор с получателем ПДн, содержащий обязательства по защите прав субъектов (если согласие не является единственным основанием).
  • Обновлённая политика обработки персональных данных с разделом о трансграничной передаче по ч. 2 ст. 18.1 ФЗ-152.

Шаг 4. Обновите политику обработки персональных данных

Статья 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки персональных данных. Часть 2 ст. 18.1 устанавливает обязательные разделы: основания обработки, цели, сроки, перечень третьих лиц, которым ПДн передаются, порядок реализации прав субъектов. Трансграничная передача — отдельный раздел политики.

В разделе о трансграничной передаче необходимо указать: страну (страны) назначения, наименование получателя или класс получателей (например, «иностранный холдинг в группе компаний»), цель передачи, категории ПДн, правовое основание, способ отзыва согласия. Политика должна быть доступна на сайте оператора или по иному общедоступному адресу.

Отсутствие опубликованной политики или её несоответствие требованиям — нарушение по ч. 3 ст. 13.11 КоАП, штраф для юридического лица 30 000 – 60 000 ₽. Небольшая сумма не означает низкий риск: протокол по ч. 3 составляется быстро и нередко сопровождает более тяжкие составы.

Шаг 5. Назначьте ответственного за обработку персональных данных

Статья 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки персональных данных. Назначение оформляется приказом. Ответственный ведёт взаимодействие с РКН, отвечает на обращения субъектов в срок 10 рабочих дней по ст. 20 ФЗ-152 и контролирует исполнение требований ФЗ-152 внутри организации.

При трансграничной передаче ответственный также координирует уведомительный порядок: своевременно подаёт уведомления об изменении сведений, ведёт реестр согласий на трансграничную передачу, фиксирует факт и дату каждой передачи в журнале обработки.

DPO-аутсорсинг — допустимая альтернатива штатной единице. В этом случае в приказе указывается наименование сторонней организации и конкретный специалист, уполномоченный действовать от имени оператора. Требования ч. 4 ст. 22.1 к квалификации ответственного распространяются и на аутсорсингового исполнителя.

Если вы юрист и вам нужно собрать полный пакет ОРД для оператора с трансграничной передачей — политику, согласия, уведомления РКН и приказ об ответственном по ст. 22.1 — юристы DATUM подготовят комплект под ключ. Срок регистрации в реестре РКН — до 30 дней.

Собрать ОРД под ключ

Как применяются нормы на практике: типичные ситуации

Ситуация 1. SaaS-оператор передаёт данные клиентов в облако американского провайдера. США не входят в перечень стран с адекватной защитой. Оператор не подал уведомление в РКН и не получил отдельных согласий от субъектов. При проверке РКН зафиксировал нарушение ч. 8 ст. 13.11 КоАП (ненадлежащая локализация) и ч. 10 ст. 13.11 (неуведомление о намерении обрабатывать). Суммарный штраф для юридического лица — 1,1–6,3 млн ₽. Стратегия: до проверки подать уведомление о трансграничной передаче, получить согласия субъектов по новой форме (ред. с 01.09.2025), зафиксировать дату устранения в ОРД.

Ситуация 2. Холдинг передаёт данные работников в головной офис в Германии. Германия — государство, ратифицировавшее Конвенцию СЕ о защите ПДн. Специальное согласие на трансграничную передачу не требуется. Однако в реестре РКН оператор не отразил факт передачи. РКН при плановой проверке потребовал уточнить уведомление по ст. 22. Штраф не назначен — оператор устранил нарушение до составления протокола. Стратегия: вести реестр сведений в актуальном состоянии, проверять уведомление перед каждой плановой проверкой РКН.

Ситуация 3. Маркетинговая платформа использует данные пользователей для таргетированной рекламы через зарубежный сервис. Согласие на обработку включено в пользовательское соглашение — до 01.09.2025 это допускалось. После 01.09.2025 такое согласие не соответствует требованиям ФЗ-156: оно не является отдельным документом. Основание для передачи отсутствует. Нарушение — ч. 2 ст. 13.11 КоАП, штраф 300 000 – 700 000 ₽. Стратегия: переработать форму согласия, разделить согласие на обработку и согласие на трансграничную передачу, получить согласия от активных пользователей заново.

Связанные услуги DATUM

  • Комплект ОРД под ключ — политика, согласия, уведомления, журналы, приказы для оператора с трансграничной передачей.
  • Аудит соответствия 152-ФЗ — проверка 38 пунктов, включая трансграничную передачу и локализацию.
  • DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1, ответы субъектам, взаимодействие с РКН.

Частые вопросы

1. Какие документы должны быть у оператора при трансграничной передаче?

Минимальный комплект — уведомление в реестре РКН по ст. 22 ФЗ-152 с указанием факта трансграничной передачи, отдельное согласие субъекта по ст. 9 ФЗ-152 (при передаче в страну вне перечня адекватной защиты) или договор с получателем, политика обработки ПДн с разделом о трансграничной передаче по ч. 2 ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1 и журнал учёта передач. Если оператор не подавал уведомление о намерении обрабатывать — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

2. Как составить политику обработки персональных данных с разделом о трансграничной передаче?

Политика должна содержать разделы, перечисленные в ч. 2 ст. 18.1 ФЗ-152: основания обработки, цели, сроки, перечень третьих лиц. Раздел о трансграничной передаче включает страну назначения, наименование получателя, цель и категории ПДн, правовое основание и способ отзыва согласия. Политика публикуется в свободном доступе — на сайте оператора или по иному общедоступному адресу. Отсутствие публикации — ч. 3 ст. 13.11 КоАП, штраф до 60 000 ₽. Шаблон из интернета без адаптации под реальную обработку не соответствует требованиям: РКН при проверке сопоставляет текст политики с фактической деятельностью оператора.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным за организацию обработки ПДн назначается сотрудник с достаточной квалификацией в области защиты ПДн. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. Назначение оформляется приказом руководителя. Допускается аутсорсинг: в этом случае приказом уполномочивается сторонняя организация и конкретный специалист. Ответственный принимает обращения субъектов и обязан ответить в течение 10 рабочих дней (ст. 20 ФЗ-152).

4. Можно ли использовать готовый шаблон согласия на трансграничную передачу из интернета?

Шаблон из открытых источников можно использовать как основу, но не как готовый документ. Согласие должно содержать конкретное наименование оператора, реальный перечень передаваемых данных, страну и наименование получателя, фактическую цель передачи. Типовой шаблон этих сведений не содержит. Кроме того, с 01.09.2025 согласие должно быть оформлено отдельным документом по требованиям ФЗ-156. Использование несоответствующей формы — нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽.

5. Какие согласия нужно переоформить после 01.09.2025?

Переоформлению подлежат согласия, которые включены в текст договора, оферты, пользовательского соглашения или политики конфиденциальности и получены после 01.09.2025. Согласия, полученные до 01.09.2025 по действовавшим на тот момент правилам, сохраняют силу — ФЗ-156 обратной силы не имеет. Однако если согласие обновляется или субъект его отзывает и даёт новое — новое согласие оформляется уже по требованиям ФЗ-156: отдельным документом со всеми реквизитами ст. 9 ФЗ-152.

Итог

Трансграничная передача персональных данных требует от оператора трёх последовательных действий: установить режим страны назначения, обеспечить правовое основание — согласие субъекта или договор с получателем — и уведомить Роскомнадзор до начала передачи. С 01.09.2025 согласие на трансграничную передачу оформляется отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Политика обработки персональных данных должна отражать факт трансграничной передачи.

Юристы DATUM сопровождают операторов при подготовке уведомлений в РКН, составлении согласий по новым требованиям и аудите действующего ОРД на соответствие ФЗ-152 в редакции 2025 года.

Нужна помощь с ОРД для трансграничной передачи?

Если ваш оператор передаёт данные за рубеж и вы не уверены в полноте документов — юристы DATUM проведут аудит текущего состояния и соберут комплект ОРД под ключ: политику, согласия, уведомления в РКН, приказ по ст. 22.1. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия по ст. 9 ФЗ-152 в ред. ФЗ-156, обработка через КЭДО, трансграничная передача, сопровождение проверок РКН.

1 декабря 2026 года