инструкция 17 ноября 2026 По состоянию на 17 ноября 2026

Трансграничная передача в уведомлении РКН

Трансграничная передача персональных данных — это передача данных на территорию иностранного государства. Она требует отдельного раздела в уведомлении РКН по ст. 22 ФЗ-152 и предварительного уведомления регулятора при передаче в страну без адекватной защиты.

С 30.05.2025 нарушение порядка трансграничной передачи при повторной утечке грозит оборотным штрафом по ч. 15 ст. 13.11 КоАП — от 1 до 3% годовой выручки, не менее 20 млн руб. Ошибки в уведомлении создают отдельное основание для штрафа по ч. 10 ст. 13.11 (100–300 тыс. руб.).

Если вы юрист и настраиваете ОРД для оператора с зарубежными контрагентами — эта инструкция описывает порядок заполнения раздела о трансграничной передаче в уведомлении РКН и документы, которые нужны до подачи.

Уведомление о намерении обрабатывать персональные данные подаётся в Роскомнадзор по форме Приказа РКН № 180 от 28.10.2022. Один из разделов формы посвящён трансграничной передаче. Большинство операторов оставляют его незаполненным или заполняют формально, не понимая, в каких случаях передача данных контрагенту за рубежом уже является трансграничной и требует предварительного уведомления. Эта инструкция описывает шесть шагов: от определения факта трансграничной передачи до оформления соглашения с иностранным обработчиком.

Шаг 1. Определите, есть ли трансграничная передача в обработке данных компании

Трансграничная передача по ст. 12 ФЗ-152 — это любая передача персональных данных на территорию иностранного государства. Передача может осуществляться иностранному органу, иностранному физическому или юридическому лицу. Под это определение подпадает широкий круг операций: от хранения данных в облаке американского провайдера до передачи кадровых данных в иностранный головной офис.

«Ст. 12 ФЗ-152 — до начала передачи ПДн на территорию государства, не обеспечивающего адекватную защиту, оператор обязан уведомить РКН и получить разрешение либо убедиться в наличии оснований, исключающих это требование.»

Типовые ситуации, при которых возникает трансграничная передача: использование CRM или ERP иностранного вендора с серверами за рубежом; рассылочный сервис (Mailchimp, Brevo и аналоги); корпоративная почта на зарубежном хостинге; видеоконференции через зарубежный сервис с сохранением записей; передача данных клиентов в иностранный банк-эквайер; аналитика через GA4 или Meta Pixel; передача данных сотрудников в иностранную материнскую компанию.

Первый шаг — провести инвентаризацию потоков данных. Составьте список всех систем и контрагентов, которые получают персональные данные, и отметьте страну размещения серверов. Если страна не Россия — передача трансграничная.

Что подготовить для шага 1

Реестр информационных систем с указанием страны размещения серверов
Список иностранных контрагентов (подрядчиков, вендоров), которые получают ПДн
Описание категорий ПДн и субъектов по каждому потоку
Договоры с иностранными контрагентами — раздел об обработке данных

Шаг 2. Проверьте, обеспечивает ли страна адекватную защиту персональных данных

Страны делятся на два типа: государства, обеспечивающие адекватную защиту персональных данных, и все остальные. Перечень стран с адекватной защитой утверждён Роскомнадзором. В него традиционно входят государства — участники Конвенции Совета Европы о защите персональных данных (ETS 108) и страны, в отношении которых РКН принял отдельное решение.

«Ст. 12 ФЗ-152 ч. 1 — трансграничная передача в государство, обеспечивающее адекватную защиту, осуществляется без дополнительных условий, кроме соблюдения иных требований ФЗ-152.»

США, Израиль, ОАЭ, Китай и большинство азиатских стран в перечень адекватной защиты не входят. Передача данных в эти государства требует предварительного уведомления РКН и оформления дополнительных документов.

Передача в страну с адекватной защитой всё равно должна быть отражена в уведомлении РКН в соответствующем разделе. Разница в том, что предварительное уведомление о самой передаче не нужно — достаточно отразить её в форме ст. 22.

Есть зарубежные контрагенты и не уверены, нужно ли уведомление РКН?

Если юрист компании выявил передачу данных за рубеж, но не уверен в квалификации — неправильная классификация создаёт основание для штрафа по ч. 10 ст. 13.11 КоАП (100–300 тыс. руб.). Специалисты DATUM проведут аудит потоков данных, определят страны-получатели и подготовят уведомление РКН по форме Приказа № 180.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Подготовьте документы для передачи в страну без адекватной защиты

Для передачи персональных данных в страну, не обеспечивающую адекватную защиту, оператор обязан выполнить два условия: направить предварительное уведомление в РКН и обеспечить правовое основание передачи. Правовые основания перечислены в ч. 4 ст. 12 ФЗ-152. Наиболее распространённые — согласие субъекта на трансграничную передачу и договор в интересах субъекта.

«Ст. 12 ч. 4 ФЗ-152 — трансграничная передача в страну без адекватной защиты допускается при наличии одного из оснований: согласие субъекта, исполнение договора, жизненно важные интересы, государственные нужды, защита прав субъекта в судебном порядке.»

Согласие субъекта на трансграничную передачу — самостоятельный документ. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку персональных данных оформляется отдельным документом и не может включаться в договор, политику или оферту. Согласие на трансграничную передачу должно явно указывать страну-получателя и цель передачи.

Соглашение с иностранным обработчиком (поручение обработки по п. 3 ст. 6 ФЗ-152) должно содержать: перечень обрабатываемых ПДн, цели, перечень действий, обязанность соблюдать конфиденциальность, меры защиты и порядок возврата или уничтожения ПДн по окончании обработки.

Отдельного внимания требует политика конфиденциальности по ст. 18.1 ФЗ-152. Она должна содержать раздел о трансграничной передаче: цель, правовое основание, страна-получатель, контакты иностранного лица. Использовать шаблон политики из интернета без адаптации нельзя — как минимум это нарушение ч. 2 ст. 18.1, что создаёт основание для штрафа по ч. 3 ст. 13.11 КоАП (30–60 тыс. руб.).

Шаг 4. Направьте предварительное уведомление РКН о трансграничной передаче

Предварительное уведомление о трансграничной передаче направляется до начала передачи. Форма и порядок подачи определены подзаконными актами РКН. Уведомление подаётся через портал pd.rkn.gov.ru с авторизацией через ЕСИА или УКЭП.

В уведомлении о трансграничной передаче указываются: наименование и адрес иностранного получателя, страна, цель передачи, категории субъектов и ПДн, правовое основание, а также сведения о мерах защиты. Если передача осуществляется в несколько стран — уведомление подаётся отдельно по каждой стране, не обеспечивающей адекватную защиту.

«Ст. 12 ч. 3 ФЗ-152 — оператор обязан убедиться, что иностранное государство обеспечивает надлежащую защиту ПДн, до начала трансграничной передачи.»

Уведомление о трансграничной передаче — самостоятельный документ, отдельный от уведомления о намерении обрабатывать ПДн по ст. 22 ФЗ-152. В форме ст. 22 (Приказ РКН № 180) необходимо указать факт трансграничной передачи и страны-получатели. Это два разных административных действия, которые нередко путают.

При изменении сведений (новый иностранный контрагент, новая страна, изменение цели) оператор обязан подать уведомление об изменениях в реестре. Срок хранения данных о трансграничной передаче в реестре операторов — бессрочно до подачи уведомления о прекращении обработки.

Шаг 5. Отразите трансграничную передачу в разделе уведомления РКН по ст. 22

Форма уведомления по Приказу РКН № 180 содержит раздел «Трансграничная передача». В нём необходимо указать: осуществляется ли передача (да/нет), перечень государств, в которые передаются ПДн, цель передачи, категории субъектов и ПДн, а также наименование и местонахождение иностранного получателя.

Типичные ошибки при заполнении раздела: указание только стран с адекватной защитой при фактической передаче в третьи страны; отсутствие сведений о SaaS-провайдерах с зарубежными серверами; указание устаревшего адреса иностранного контрагента; расхождение между фактической передачей и заявленными целями.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН до начала обработки ПДн. Изменение сведений, указанных в уведомлении, подлежит отражению в реестре операторов.»

После подачи уведомления оператор включается в реестр в течение 30 дней. Если передача началась до включения в реестр или без уведомления — это нарушение по ч. 10 ст. 13.11 КоАП (100–300 тыс. руб. для юрлица). Нарушение при повторности может перейти в основание для оборотного штрафа.

Раздел о трансграничной передаче также должен быть согласован с содержанием политики конфиденциальности. Расхождение между политикой и реестром — отдельный риск при проверке РКН.

Если вы юрист и заполняете уведомление РКН для оператора с зарубежными сервисами — ошибка в разделе о трансграничной передаче влечёт штраф по ч. 10 ст. 13.11 КоАП. DATUM подготовит уведомление, предварительное согласование с РКН и пакет ОРД под ключ.

Собрать ОРД под ключ

Шаг 6. Назначьте ответственного и синхронизируйте ОРД с требованиями ст. 22.1 и ст. 18.1

Ответственный за организацию обработки персональных данных назначается по ст. 22.1 ФЗ-152. Это обязательное требование для операторов-юрлиц. Ответственный взаимодействует с РКН по вопросам трансграничной передачи, отвечает на запросы субъектов в течение 10 рабочих дней по ст. 20 ФЗ-152 и контролирует соответствие политики конфиденциальности фактической обработке.

«Ст. 22.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн. Ответственный не может быть привлечён к ответственности за ненадлежащую обработку, если выполнял свои обязанности добросовестно.»

Приказ о назначении ответственного по ст. 22.1 — один из базовых документов ОРД, который проверяет РКН в ходе плановых и внеплановых проверок. Должностная инструкция ответственного должна включать обязанности по трансграничной передаче: ведение реестра иностранных получателей, контроль актуальности уведомлений в РКН, хранение согласий субъектов на передачу.

Политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152 должна содержать актуальный раздел о трансграничной передаче. После подачи уведомления в РКН необходимо привести политику в соответствие с заявленными сведениями. Политика публикуется на сайте оператора в открытом доступе — это отдельное требование ч. 2 ст. 18.1, нарушение которого ведёт к штрафу по ч. 3 ст. 13.11 КоАП (30–60 тыс. руб.).

Как применяется порядок на практике: два сценария

Сценарий 1. SaaS-провайдер с серверами в ЕС. Российский ретейлер использует CRM европейского вендора. Серверы — в Германии (страна с адекватной защитой по перечню РКН). Юрист компании при подготовке уведомления по ст. 22 обнаружил, что раздел о трансграничной передаче не заполнен, хотя договор с вендором действует два года. Нарушение по ч. 10 ст. 13.11 — оператор обрабатывает ПДн с нарушением требований уведомления. Стратегия: подать актуализированное уведомление, внести изменения в реестр, дополнить политику конфиденциальности разделом о передаче в Германию, заключить соглашение об обработке данных с вендором в части поручения по п. 3 ст. 6 ФЗ-152.

Сценарий 2. Рассыл через американский сервис. Образовательная компания использует Mailchimp для рассылки по базе клиентов (США — страна без адекватной защиты). Предварительного уведомления РКН о трансграничной передаче не было. Согласия клиентов на рассылку включены в договор оферты, а не оформлены отдельным документом. После 01.09.2025 такие согласия нарушают требования ФЗ-156 по ст. 9 ФЗ-152. Двойной риск: штраф по ч. 2 ст. 13.11 (300–700 тыс. руб.) за ненадлежащее согласие и штраф по ч. 10 (100–300 тыс. руб.) за отсутствие уведомления о передаче в США. Стратегия: переоформить согласия отдельным документом с указанием страны передачи, подать предварительное уведомление о трансграничной передаче, отразить передачу в уведомлении по ст. 22.

Сценарий 3. Кадровые данные в головной офис за рубежом. Дочерняя компания иностранного холдинга передаёт кадровые данные (ФИО, должность, зарплата, паспортные данные) в головной офис в ОАЭ. ОАЭ — страна без адекватной защиты. Передача не отражена ни в уведомлении, ни в политике. Ответственный не назначен. При плановой проверке РКН выявит совокупность нарушений: ч. 10 ст. 13.11 (уведомление), ч. 3 ст. 13.11 (политика) и нарушение ст. 22.1 (отсутствие ответственного). Стратегия: назначить ответственного, направить предварительное уведомление о трансграничной передаче, получить согласия сотрудников на передачу в ОАЭ по ст. 9 ФЗ-152, обновить политику и уведомление в реестре.

Услуги DATUM по теме

Комплект ОРД под ключ — политика, уведомления, согласия, поручение обработки
Аудит соответствия 152-ФЗ — инвентаризация потоков данных и трансграничных передач
DPO-аутсорсинг — ведение реестра операторов и взаимодействие с РКН на абонентской основе

Частые вопросы

1. Какие документы должны быть у оператора при трансграничной передаче ПДн?

Минимальный пакет: уведомление в реестре РКН по ст. 22 с заполненным разделом о трансграничной передаче; предварительное уведомление о передаче в страну без адекватной защиты (если применимо); согласие субъектов на трансграничную передачу или иное правовое основание по ч. 4 ст. 12 ФЗ-152; соглашение об обработке с иностранным контрагентом (поручение по п. 3 ст. 6); политика конфиденциальности с разделом о передаче по ст. 18.1; приказ о назначении ответственного по ст. 22.1.

2. Как составить политику обработки ПДн с учётом трансграничной передачи?

Политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152 должна содержать обязательный раздел о трансграничной передаче: цель передачи, правовое основание, страна-получатель, наименование и адрес иностранного лица, категории субъектов и ПДн. Сведения в политике должны совпадать со сведениями в реестре РКН. Политика публикуется на сайте в открытом доступе до начала сбора данных. Использовать шаблон без адаптации нельзя — каждая компания имеет уникальный состав обрабатываемых данных и уникальный перечень иностранных получателей.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным за организацию обработки персональных данных может быть любой сотрудник компании. Требования к квалификации — в ч. 4 ст. 22.1 ФЗ-152: лицо не должно иметь судимости за преступления в сфере экономики или против государственной власти. Назначение оформляется приказом. Ответственный взаимодействует с РКН, отвечает на запросы субъектов в срок 10 рабочих дней по ст. 20 ФЗ-152 и ведёт документацию по трансграничной передаче. Если штатного специалиста нет — функцию можно передать внешнему DPO-аутсорсеру.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон из открытых источников не отражает фактический состав обрабатываемых данных конкретной компании, перечень используемых систем и иностранных получателей. Политика, не соответствующая фактической обработке, — нарушение ч. 2 ст. 18.1 ФЗ-152 с штрафом по ч. 3 ст. 13.11 КоАП (30–60 тыс. руб.). При наличии трансграничной передачи риск выше: расхождение между политикой и реестром РКН может быть квалифицировано как нарушение требований уведомления по ч. 10 ст. 13.11 (100–300 тыс. руб.).

5. Какие согласия на трансграничную передачу нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку персональных данных, включая согласие на трансграничную передачу, оформляется отдельным документом. Включать согласие в договор, оферту или политику конфиденциальности запрещено. В согласии на трансграничную передачу обязательно указывается страна-получатель, цель передачи, наименование иностранного получателя, перечень передаваемых данных и срок действия согласия. Старые согласия, полученные до 01.09.2025, обратной силы закон не имеет — переоформлять их не требуется, но новые согласия с этой даты должны соответствовать обновлённым требованиям.

6. Что грозит, если не подать предварительное уведомление о трансграничной передаче?

Нарушение порядка уведомления РКН о трансграничной передаче квалифицируется по ч. 10 ст. 13.11 КоАП — штраф для юрлица 100–300 тыс. руб. При повторном нарушении — ч. 10 в сочетании с иными нарушениями может образовать совокупность, при которой последующая утечка данных перерастает в оборотный штраф по ч. 15 ст. 13.11 (1–3% годовой выручки, не менее 20 млн руб.). Помимо административной ответственности, с 11.12.2024 введена ст. 272.1 УК РФ: незаконная передача ПДн за рубеж — до 8 лет лишения свободы по ч. 4 этой статьи.

Итог

Трансграничная передача персональных данных требует системного подхода: инвентаризации потоков данных, проверки страны-получателя по перечню РКН, предварительного уведомления регулятора, оформления согласий субъектов по правилам ФЗ-156, поручения обработки иностранному контрагенту и синхронизации политики конфиденциальности с реестром операторов. Каждый из шести шагов создаёт отдельный документ, отсутствие которого — самостоятельное основание для штрафа по ст. 13.11 КоАП.

Специалисты DATUM сопровождают операторов при подаче уведомлений о трансграничной передаче, формировании пакета ОРД и взаимодействии с Роскомнадзором — включая ситуации, когда передача уже осуществлялась без уведомления и необходимо минимизировать последствия.

Нужна помощь с трансграничной передачей или уведомлением РКН?

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Подготовим пакет документов для трансграничной передачи, направим уведомление в РКН и синхронизируем политику конфиденциальности с реестром операторов. Свяжитесь по телефону, email или Telegram — ответим за 2 часа.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.