Перейти к содержанию
справочник 22 апреля 2027 По состоянию на 22 апреля 2027

Трансграничная передача по ст. 12: общий обзор

Трансграничная передача персональных данных — передача ПДн на территорию иностранного государства иностранному органу власти, физическому или юридическому лицу (ст. 3 ФЗ-152).
С 01.07.2025 локализация ужесточена: первичный сбор ПДн граждан РФ должен происходить в базах на территории России. Передача данных в страну без адекватной защиты требует предварительного уведомления Роскомнадзора и соблюдения специальных условий по ст. 12 ФЗ-152.
Если вы юрист и разбираетесь с трансграничкой — этот справочник даёт актуальную нормативную базу, типовые ситуации и чек-лист действий. →

Трансграничная передача по ст. 12 ФЗ-152 — одна из наиболее технически сложных норм для юриста-практика. Закон разделяет страны на две группы: с «адекватной» защитой ПДн и без неё. Для каждой группы предусмотрен отдельный порядок. С 30.05.2025 нарушение локализации (ст. 18 ч. 5) влечёт штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП, при повторении — 6–18 млн ₽. В этом справочнике собраны ключевые понятия, правовые основания и практические ориентиры.

Какие страны считаются «адекватными» по ст. 12 ФЗ-152?

Страна с адекватной защитой ПДн — государство, подписавшее Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, либо включённое в перечень, утверждённый Роскомнадзором.

«Ст. 12 ч. 1 ФЗ-152 — передача в страну, обеспечивающую адекватную защиту прав субъектов ПДн, допускается в соответствии с общими правилами обработки. Передача в страну без адекватной защиты — только при соблюдении условий ч. 4 ст. 12.»

К странам с адекватной защитой относятся государства — участники Конвенции ETS 108. Это большинство стран Европы, ряд государств СНГ. США, Китай, ОАЭ — вне списка адекватных. Актуальный перечень публикует Роскомнадзор; перед каждым проектом с трансграничкой перечень необходимо сверять заново, поскольку состав списка меняется.

Оператор ПДн по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующее и (или) осуществляющее обработку персональных данных. Именно оператор несёт ответственность за соблюдение требований ст. 12 вне зависимости от того, передаёт ли он данные напрямую или через подрядчика.

Каковы условия передачи в страну без адекватной защиты?

Передача в страну, не включённую в перечень адекватных, допускается при выполнении одного из условий, перечисленных в ч. 4 ст. 12 ФЗ-152. Ключевые из них:

  • Письменное согласие субъекта на трансграничную передачу с указанием конкретной страны и целей. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025) — встраивать в договор или политику конфиденциальности нельзя.
  • Исполнение договора, стороной которого является субъект ПДн, — если передача необходима для исполнения условий договора (п. 2 ч. 4 ст. 12).
  • Защита жизни, здоровья или иных жизненно важных интересов субъекта, когда получить его согласие невозможно.
  • Исполнение международного договора РФ или обязанностей, возложенных на оператора законодательством РФ.
«Ст. 12 ч. 4 ФЗ-152 — оператор обязан убедиться, что иностранное государство обеспечивает надлежащую защиту ПДн субъектов. При отсутствии такой защиты — одно из специальных оснований ч. 4 ст. 12.»

Уведомление о трансграничной передаче — документ, направляемый оператором в Роскомнадзор до начала передачи ПДн в страну без адекватной защиты. Подаётся через портал pd.rkn.gov.ru по форме, установленной Приказом РКН №180 от 28.10.2022. Порядок уведомления дополнительно регулируется подзаконным актом, принятым во исполнение ст. 12: до получения разрешения (или истечения срока его выдачи) передача не начинается.

Готовите документы по трансграничной передаче?

Если вы юрист и выясняете, нужно ли уведомлять РКН по конкретному проекту, — ответ зависит от страны назначения, категории ПДн и правового основания. Ошибка на этапе уведомления закрывает возможность добровольного устранения нарушения. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как связаны локализация по ст. 18 ч. 5 и трансграничная передача по ст. 12?

Локализация персональных данных — требование ст. 18 ч. 5 ФЗ-152 о том, что запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться с использованием баз данных, расположенных на территории России.

Локализация и трансграничная передача — разные обязанности. Локализация определяет место первичной обработки. Трансграничная передача регулирует последующее перемещение данных за рубеж. Оба требования могут нарушаться одновременно: если оператор сразу собирает данные в зарубежном облаке — это нарушение ч. 5 ст. 18; если затем ещё и передаёт их в страну без адекватной защиты без уведомления РКН — это отдельное нарушение ст. 12.

С 01.07.2025 (ФЗ-233 от 08.08.2024) требования к локализации ужесточены. Использование зарубежных CRM, облачных хранилищ и SaaS-платформ для первичного сбора ПДн граждан РФ стало явным индикатором риска при проверках Роскомнадзора.

«Ст. 18 ч. 5 ФЗ-152 — нарушение требования о локализации влечёт штраф для юридического лица 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП (в редакции с 30.05.2025); при повторном нарушении — 6–18 млн ₽ по ч. 9 ст. 13.11 КоАП.»

Что подготовить юристу по трансграничке

  • Карту потоков данных: какие ПДн, в какие страны и на каком правовом основании передаются.
  • Проверку страны назначения по актуальному перечню адекватных стран на pd.rkn.gov.ru.
  • Для стран без адекватной защиты — уведомление в РКН до начала передачи (форма по Приказу РКН №180).
  • Отдельные согласия субъектов на трансграничную передачу (если основание — согласие), оформленные по требованиям ст. 9 в ред. с 01.09.2025.
  • Договорные положения с иностранным получателем об обязательствах по защите ПДн.

Типовые ситуации при трансграничной передаче

Ситуация 1. SaaS-платформа с серверами в ЕС. Компания использует зарубежный HRM-сервис. Данные сотрудников хранятся в облаке на серверах в Германии. Страна — адекватная (Конвенция ETS 108). Локализация соблюдена, если в России есть дублирующая база. Уведомление РКН по ст. 12 в части передачи в ЕС не требуется. Риск — отсутствие российской копии базы нарушает ст. 18 ч. 5.

Ситуация 2. Передача аналитики в США. Оператор передаёт поведенческие данные пользователей американскому аналитическому агентству. США — страна без адекватной защиты. Требуется уведомление РКН до передачи. Согласие субъектов — отдельный документ с указанием США как страны передачи, цели и перечня ПДн. Нарушение — штраф по ч. 8 ст. 13.11 и риск предписания РКН о прекращении обработки.

Ситуация 3. Исполнение договора с иностранным контрагентом. Российский работодатель направляет данные сотрудника зарубежному партнёру для оформления командировки. Основание — исполнение договора (п. 2 ч. 4 ст. 12). Согласие субъекта не требуется, но передача должна быть минимально необходимой для цели командировки и зафиксирована в ОРД оператора.

Если вы юрист и у компании уже есть зарубежные подрядчики, а уведомление РКН о трансграничной передаче не подавалось — это действующее нарушение. Каждый день без уведомления увеличивает риск штрафа при внеплановой проверке.

Заказать аудит 152-ФЗ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Автоматизированная и неавтоматизированная обработка охватываются одинаково.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований. Основные: согласие субъекта (п. 1), исполнение договора (п. 5), исполнение обязанностей оператора по законодательству (п. 2), судопроизводство (п. 3), защита жизни субъекта (п. 7). Для специальных категорий ПДн (ст. 10) и биометрических ПДн (ст. 11) перечень оснований уже. При трансграничной передаче основание должно быть самостоятельным — наличие согласия на обработку не заменяет отдельное согласие на трансграничную передачу.

3. Что грозит за нарушение ст. 12 ФЗ-152?

Нарушение порядка трансграничной передачи (передача без уведомления, отсутствие правового основания) квалифицируется по ч. 1 или ч. 8 ст. 13.11 КоАП в редакции с 30.05.2025. Нарушение локализации по ст. 18 ч. 5 — ч. 8 ст. 13.11: штраф для юрлица 1–6 млн ₽, при повторении — 6–18 млн ₽ по ч. 9. Роскомнадзор также вправе выдать предписание о прекращении трансграничной передачи.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомления РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) и об осуществлении трансграничной передачи (ст. 12) не зависит от размера бизнеса. Исключения из реестра операторов (ст. 22 ч. 2) — узкий перечень: обработка в связке с трудовым договором, личная/семейная тайна и несколько аналогичных случаев. Трансграничная передача под исключения не подпадает.

5. С какого возраста нужно согласие на ПДн?

По общему правилу ст. 9 ФЗ-152 согласие даёт сам субъект. Для несовершеннолетних до 18 лет согласие даёт законный представитель (родитель, опекун). ФЗ-152 не устанавливает отдельной планки возраста для самостоятельного согласия — в отличие от ряда европейских юрисдикций. При обработке ПДн детей в образовательных и медицинских организациях применяются дополнительные требования профильного законодательства.

Итог

Трансграничная передача по ст. 12 ФЗ-152 требует от юриста двух параллельных проверок: соответствия страны назначения перечню адекватных и наличия самостоятельного правового основания для передачи в страну без адекватной защиты. С 01.07.2025 к этому добавляется контроль локализации по ст. 18 ч. 5: первичная обработка ПДн граждан РФ должна происходить в российских базах.

Юристы DATUM сопровождают трансграничные проекты с 2014 года: карта потоков данных, подготовка уведомлений в РКН, согласия субъектов по ФЗ-156 и договорные положения с иностранными получателями.

Услуги DATUM по теме

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в SaaS, трансграничные сервисы аналитики (GA4, Meta Pixel), политики конфиденциальности для маркетплейсов и мобильных приложений.

22 апреля 2027 года