Как произвести трансграничную передачу персональных данных в 2026 году

Отправка договоров зарубежным партнерам, использование иностранных CRM или облачных сервисов, командировки сотрудников — все это подпадает под действие ФЗ от 27.07.2006 №152-ФЗ. Новые правила с июля 2025 года ужесточили первичный сбор данных, но сама передача остается легальной при условии отправки уведомления о трансграничной передаче персональных данных в Роскомнадзор. Разберемся, что нужно сделать оператору, чтобы отправлять данные за границу на законных основаниях.

Что такое трансграничная передача

Трансграничная передача персональных данных — это отправка личных сведений физлица на территорию иностранного государства (ст.3 ФЗ №152-ФЗ). Например, иностранному органу власти, физическому или юридическому лицу.

Для квалификации передачи как трансграничной должны выполняться три условия:

1. Передаются именно персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному физлицу.
2. Получатель — иностранный субъект (госорган, компания, гражданин).
3. Данные фактически направляются за пределы РФ.

Что относится к трансграничной передаче персональных данных на практике? Чаще всего это повседневные действия: отправка договора с данными контрагента по электронной почте зарубежному партнеру; использование облачных сервисов хранения (типа OneDrive), если серверы расположены вне России; бронирование отеля для сотрудника в командировке через иностранную систему. Даже отправка резюме кандидата в головной офис иностранной компании — уже трансграничная передача. Важен именно факт попадания ПДн под юрисдикцию другого государства.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Последние изменения в правилах ТППДн

Главное нововведение от 01 июля 2025 года — запрет на первичный сбор ПДн граждан РФ с помощью иностранного ПО и сервисов (ч.5 ст.18 ФЗ №152-ФЗ). Проще говоря, вы можете собирать данные через ПО с базами в РФ, а потом осуществить трансграничную передачу персональных данных в страну, обеспечивающую адекватный уровень защиты ПДн.

Важно! ТПДн после локализации данных в РФ нужно согласовать с Роскомнадзором, подав отдельное уведомление.

Порядок трансграничной передачи данных

Первый шаг — убедиться в первичном сборе ПДн в России. Все данные физлиц должны изначально обрабатываться и храниться на серверах внутри страны. Если информация пока находится за рубежом — немедленно перенесите ее. Параллельно проверьте внутреннюю документацию на актуальность и соответствие ФЗ №152-ФЗ.

Что нужно сделать для трансграничной передачи персональных данных работников и других физических лиц далее:

1. Определите и проверьте получателя данных за рубежом. Запросите у иностранного контрагента (юридического лица, госоргана или физлица) полные реквизиты: название, адрес, контактные данные. Важно установить уровень защиты ПДн в стране получателя. Если государство участвует в Конвенции Совета Европы №108 или включено в список Приказ Роскомнадзора от 05.08.2022 №128, передача упрощена. Если же страна не попадает в этот список, нужно доказать, что лицо, которому передаются ПДн, принимает адекватные меры для защиты информации.
2. Получите явное письменное согласие субъекта. Это обязательное условие ТППДн. Согласие оформляется письменно или в электронном виде. Оно должно содержать: ФИО работника; цель передачи; перечень передаваемых данных; наименование страны (стран) получателя; срок действия согласия; подпись субъекта ПДн.
3. Подайте уведомление в Роскомнадзор. Сделайте это до начала фактической передачи данных. Уведомление подается личный кабинет на сайте РКН (требуется учетная запись Госуслуг). Укажите наименование и адрес вашей организации; реестровый номер; контакты ответственного лица; цели и правовые основания передачи; категории и перечень передаваемых ПДн; список стран назначения; дату оценки уровня защиты у получателя. Убедитесь, что ваша компания уже внесена в реестр операторов РКН — это обязательное условие для подачи такого уведомления.
4. Будьте готовы к запросам Роскомнадзора. После подачи уведомления ведомство может запросить дополнительные сведения или разъяснения. Вы обязаны предоставить их в течение 10 рабочих дней. Статус рассмотрения уведомления отслеживайте онлайн на сайте РКН.

Есть ли штрафы для оператора

Специального штрафа за трансграничную передачу персональных данных нет, поскольку эта процедура при соблюдении всех условий не запрещена законами РФ. Но если вы будете использовать иностранное ПО для первичного сбора ПДн в РФ, вас могут привлечь к ответственности по ч.8 ст.13.11 КоАП РФ и оштрафовать на сумму до 6 млн рублей.

Также компанию могут оштрафовать за другие нарушения. Например, если вы не подали уведомление о начале обработки ПДн, хотя должны были согласно ст.22 ФЗ №152-ФЗ, штраф составит до 300 000 рублей. Если допустили утечку биометрии — до 20 млн рублей.

Заключение

Операторы часто используют для работы иностранные CRM-системы, облачные хранилища, отправляют договоры с данными физлиц партнерам в другие страны, бронируют отели для сотрудников через иностранные сервисы. Эти действия подпадают под определение ст. 3 ФЗ №152-ФЗ. С июля 2025 года первичный сбор ПДн с помощью иностранных сервисов запрещен, но возможна легальная отправка после локализации данных в РФ при условии согласования трансграничной передачи данных с Роскомнадзором.