Логотип Пятый фактор Пятый фактор
Получить консультацию
Материал

Трансграничная передача персональных данных: когда возникает, что требует закон и как не попасть на штрафы

Опубликовано: 08.03.2026 · Обновлено: 08.03.2026 · Время чтения: 18 мин

Полный разбор ст. 12 152-ФЗ, уведомительного порядка, локализации и актуальных санкций — с учётом всех изменений 2023–2025 годов

Почему трансграничная передача стала проблемой для большинства компаний

Ещё несколько лет назад вопрос трансграничной передачи персональных данных воспринимался как специфика крупного транснационального бизнеса. Сегодня всё иначе: многие компании и ИП не только собирают персональные данные, но и передают их за границу, и даже «безобидные» данные о посетителях сайта, собранные через Google Analytics, уже считаются трансграничной передачей данных.

Формально трансграничная передача происходила у большинства российских компаний задолго до того, как они осознали это юридически: через подключённые счётчики аналитики, иностранные почтовые серверы, облачные хранилища, CRM-системы. Именно поэтому реформа 2022–2025 годов, ужесточившая требования статьи 12 Федерального закона № 152-ФЗ «О персональных данных», ударила широко и болезненно.

Если раньше за нарушения в этой сфере компании получали условные штрафы в несколько тысяч рублей, то ответственность для юридического лица теперь предусматривает штраф в размере от 30 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей [20]. За определённые утечки штраф может достичь 500 млн рублей [7]. Регулятор — Роскомнадзор — перешёл к систематическому мониторингу, включая автоматизированные проверки сайтов [14].

Эта статья адресована юристам, ИБ-специалистам, владельцам бизнеса и всем, кто принимает решения об ИТ-инфраструктуре и обработке данных. Мы пройдём путь от понятия трансграничной передачи до конкретного пошагового порядка оформления, разберём типичные ошибки и расскажем о реальных санкциях.

Что такое трансграничная передача персональных данных — определение и критерии

Легальное определение закреплено в п. 11 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ: трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу [1].

Критерий прост: данные покинули территорию России и оказались у иностранного лица или на иностранной территории. Физическое местонахождение серверов — один из индикаторов, но ключевым является именно получатель данных и его юрисдикция.

Три обязательных условия

Для того чтобы факт передачи данных был признан трансграничной передачей персональных данных, должно одновременно совершаться несколько условий: (1) вы передаёте персональные данные; (2) данные передаются иностранному лицу — органу власти, физическому или юридическому лицу; (3) данные передаются на территорию иностранного государства [11].

При отсутствии хотя бы одного из трёх признаков передача не считается трансграничной в смысле ст. 12 152-ФЗ. Именно поэтому, например, внутренняя работа сотрудника с российскими системами из-за рубежа — отдельный вопрос, решаемый иначе.

Что НЕ является трансграничной передачей — разбор пограничных случаев

Практика Роскомнадзора и юридическое сообщество сформировали ряд исключений, которые важно знать:

Если сотрудник компании находится за границей, но продолжает работать в российской организации и подключается к её внутренним информационным системам — это не трансграничная передача. Он не получает данные как третье лицо, он — часть внутреннего бизнес-процесса [11].

Если оба участника находятся в РФ и передают друг другу данные через иностранный мессенджер, это само по себе не считается трансграничной передачей в смысле 152-ФЗ (позиция Роскомнадзора) [11].

Если иностранная компания самостоятельно собирает данные через свои инструменты (пользователь взаимодействует с ресурсами Facebook, Google, LinkedIn и т.д., и передаёт туда данные напрямую), это не считается трансграничной передачей со стороны российской компании, если та не участвует в передаче данных и не инициирует её [11].

Таким образом, ключевой вопрос — инициатор и участник передачи: если именно российская компания-оператор направляет данные иностранной стороне, требования ст. 12 152-ФЗ применяются в полной мере.

Когда возникает трансграничная передача — типичные сценарии бизнеса

Очевидные случаи

Большинство компаний интуитивно понимают трансграничную передачу в следующих ситуациях:

  • передача персональных данных сотрудников в головной офис иностранной материнской компании;
  • отправка документов с персональными данными иностранному контрагенту по электронной почте;
  • бронирование отелей и авиабилетов для командировок через зарубежные платформы;
  • работа с иностранными партнёрами, которым требуется доступ к клиентским данным.

Именно для таких очевидных сценариев изначально и разрабатывалась ст. 12 152-ФЗ.

Неочевидные случаи

Гораздо более широкий и неожиданный для многих круг ситуаций:

На практике трансграничные персональные данные передаются в следующих случаях: использование Google Analytics для сбора метрик посетителей сайта; хранение базы данных на иностранных серверах (например, Dropbox, OneDrive); передача данных через мессенджеры, если серверы находятся за рубежом; использование иностранных облачных CRM-систем [52].

Официальная позиция Роскомнадзора по Google Analytics зафиксирована публично: начальник отдела правового и организационно-методического обеспечения Роскомнадзора Татьяна Коваленко заявила, что действия, связанные с обработкой персональных данных, собранных при помощи сервиса Google Analytics, являются трансграничной передачей, поскольку, согласно политике Google, персональные данные могут передаваться аффилированным лицам, зарегистрированным на территории иностранного государства [17].

Сюда же относятся:

  • использование иностранных платёжных шлюзов, которые получают данные плательщика;
  • интеграция с зарубежными HR-системами или сервисами видеоконференций, где хранятся записи с персональными данными участников;
  • использование пикселей ретаргетинга и рекламных скриптов иностранных платформ;
  • подключение любых зарубежных форм сбора данных на сайте.

Нарушением считается не только явная отправка — например, в зарубежную CRM, — но и автоматическая передача через формы, скрипты, пиксели, email-сервисы, платёжные шлюзы или cookie. Даже если данные уходят в фоновом режиме и без участия человека, это уже трансграничная передача [30].

Правовая база: ст. 12 152-ФЗ в редакции 2022–2025 годов

Основные нормы сосредоточены в трёх источниках:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 08.08.2024), ст. 12 [1];
  • Постановление Правительства РФ от 16.01.2023 № 24 — порядок рассмотрения уведомлений Роскомнадзором и основания для запрета/ограничения передачи [41];
  • Приказ Роскомнадзора от 05.08.2022 № 128 — перечень государств с адекватной защитой, вступивший в силу 01.03.2023 [4, 5].

Две категории стран: «адекватные» и все остальные

Роскомнадзор утвердил перечень из 89 государств, среди которых есть страны — стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны, не являющиеся сторонами Конвенции, но чьи нормы права и принимаемые меры соответствуют её положениям. Документ вступил в силу 1 марта 2023 года [4].

Условиями включения государства в перечень являются наличие комплексного закона о ПДн, уполномоченного органа по их защите и системы санкций [4]. США, как правило, в этот перечень не входят, поэтому передача данных американским сервисам требует соблюдения более жёстких требований.

Если страна входит в «перечень стран с адекватной защитой», то процедура проще: можно передавать ПД сразу, до окончания рассмотрения уведомления. Но если страна не в этом перечне (например, США), то необходимо дождаться 10 рабочих дней после подачи уведомления и убедиться, что нет запрета или ограничений передачи данных [15].

Если РКН всё же принял решение о запрете, оператор обязан обеспечить уничтожение иностранными лицами ранее переданных им персональных данных [1].

Что изменилось с 1 марта 2023 года

Реформа, введённая Федеральным законом от 14.07.2022 № 266-ФЗ, кардинально изменила регулирование:

С 1 марта 2023 года операторы до начала осуществления деятельности по трансграничной передаче персональных данных обязаны направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных [3].

До этой даты требования были существенно мягче: ключевым инструментом оставалось согласие субъектов. После реформы система стала уведомительно-разрешительной: оператор направляет уведомление, ждёт реакции РКН и только затем (для «неадекватных» стран) вправе начать передачу [18].

Ещё одно принципиальное изменение — введение обязанности до подачи уведомления запросить у иностранного получателя:

сведения о принимаемых органами власти иностранного государства, иностранными физическими или юридическими лицами мерах по защите передаваемых персональных данных и об условиях прекращения их обработки; информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся получатели данных (в случае, если предполагается осуществление трансграничной передачи лицам, не являющимся участниками Конвенции) [1].

Что изменилось с 1 июля 2025 года (ФЗ-23)

С 1 июля 2025 года вступил в силу Федеральный закон от 28.02.2025 № 23-ФЗ, содержащий новую редакцию ч. 5 ст. 18 152-ФЗ. Требование о запрете первичного сбора ПДн граждан РФ с использованием иностранных баз данных в первую очередь касается случаев первичного сбора ПДн в базы данных, расположенные вне территории РФ [6].

При этом важно разграничить локализацию и трансграничную передачу: в индивидуальных разъяснениях Роскомнадзора от 24.03.2025 № 08-134789 и Минцифры от 12.05.2025 № П25-44929 указано, что ограничения на трансграничную передачу персональных данных, ранее собранных с использованием баз данных, находящихся на территории РФ, указанной нормой не устанавливаются [8].

Иными словами, правило звучит так: сначала — обязательная запись в российскую базу данных, затем — трансграничная передача по правилам ст. 12 [8]. Прямая запись при первичном сборе в иностранное хранилище теперь прямо запрещена [6].

Пошаговый порядок оформления трансграничной передачи

Шаг 1. Определите, есть ли у вас трансграничная передача

Проведите инвентаризацию всех информационных потоков: какие данные, куда и кому уходят. Особое внимание — неочевидным каналам: веб-аналитика, встроенные виджеты, интеграции с SaaS-системами, инструменты email-маркетинга, платёжные сервисы. Если хотя бы один из них принадлежит иностранному лицу и обрабатывает ПДн ваших пользователей или клиентов — трансграничная передача, скорее всего, есть.

Шаг 2. Проверьте регистрацию в реестре операторов РКН

Перед трансграничной передачей нужно не только подать уведомление, но и убедиться, что вы уже состоите в реестре РКН [6]. Уведомление о трансграничной передаче подаётся отдельно от уведомления об обработке, однако второе является обязательным предусловием первого — в самом бланке уведомления о трансграничной передаче указывается дата и номер уведомления об обработке [1].

Шаг 3. Соберите документы от иностранной стороны

До подачи уведомления оператор обязан получить от иностранного получателя:

действующие Политики по обработке и защите персональных данных; внутренние регламенты, инструкции по обеспечению безопасности данных и информационных систем; акты проведения внутреннего контроля и аудита обеспечения безопасности ПДн; любые другие документы, в которых присутствует описание реализованных технологий, принципов защиты ПДн и используемых средств защиты информации [10].

Если страна получателя не является участником Конвенции Совета Европы № 108, дополнительно потребуется информация о правовом регулировании ПДн в этой стране [1].

Шаг 4. Подготовьте и подайте уведомление в РКН

Уведомление следует направлять в виде документа на бумажном носителе или в электронном виде отдельно от уведомления о намерении осуществлять обработку персональных данных. Форма уведомления нормативно не определена, оператор может разработать её самостоятельно [11].

На практике удобнее всего воспользоваться электронной формой на официальном портале персональных данных Роскомнадзора pd.rkn.gov.ru [3]. Для подачи в электронном виде необходима подтверждённая запись на Госуслугах, привязанная к организации.

Уведомление достаточно подать один раз, а не по каждому факту передачи. Однако оператору необходимо будет подать новое уведомление при изменении деятельности по трансграничной передаче, например, в случае если поменялась цель трансграничной передачи или оператор решил передавать данные иному лицу [17].

Шаг 5. Ожидание и действия после получения ответа

Роскомнадзор рассматривает уведомления операторов о намерении осуществлять трансграничную передачу персональных данных и по итогам рассмотрения вправе принять решение о запрете или ограничении передачи. До истечения 10 рабочих дней после подачи такого уведомления запрещено передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных [3].

Если в течение 10 рабочих дней ответ не поступил и отсутствует уведомление о запрете, передача в «неадекватные» страны считается допустимой. Для стран из «адекватного» перечня ждать 10 дней не нужно [15].

Содержание уведомления — что обязательно указать (ч. 4 и 5 ст. 12 152-ФЗ)

Уведомление о намерении осуществлять трансграничную передачу ПДн должно содержать [1]:

  1. Наименование (ФИО), адрес оператора, а также дату и номер уведомления о намерении осуществлять обработку ПДн, ранее направленного в соответствии со ст. 22 152-ФЗ.
  2. Наименование и контактные данные лица, ответственного за организацию обработки ПДн.
  3. Правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных ПДн.
  4. Категории и перечень передаваемых персональных данных.
  5. Категории субъектов персональных данных, чьи данные передаются.
  6. Перечень иностранных государств, на территории которых планируется трансграничная передача.
  7. Дата проведения оператором оценки соблюдения иностранной стороной требований по защите ПДн.
  8. Сведения о принимаемых иностранными получателями мерах по защите ПДн и об условиях прекращения их обработки.
  9. Для стран, не являющихся участниками Конвенции 108, — информация о правовом регулировании ПДн в этом государстве.

Также если иное основание передачи — согласие субъекта, оно должно быть информированным и конкретным: указать страны/категории получателей, цели, перечень данных, сроки, способ отзыва и риски. Учтите: наличие согласия не исключает обязанности уведомления РКН, если передача предполагается системно [13].

Штрафы и ответственность: что грозит за нарушения

Административная ответственность с 30 мая 2025 года

30 мая 2025 года в КоАП РФ появилось несколько новых составов правонарушений в сфере персональных данных и дополнительных мер ответственности (Федеральный закон от 30.11.2024 № 420-ФЗ). Статью 13.11 дополнили частями 10–18, а ранее существовавшие части скорректировали [2].

Ключевые размеры штрафов для юридических лиц [2, 8]:

  • Нарушение требований к обработке ПДн (общее) — от 150 000 до 300 000 рублей.
  • Нарушение обязанности уведомить о намерении обрабатывать ПДн (ч. 10 ст. 13.11 КоАП) — от 100 000 до 300 000 рублей.
  • Нарушение обязанности уведомить об утечке персональных данных — от 1 до 3 млн рублей. За утечку данных о не менее чем 1 000 физлиц или не менее 10 000 идентификаторов — от 3 до 5 млн рублей.
  • Штраф за несоблюдение требования о локализации достигает 6 млн рублей за первое нарушение и 18 млн рублей за повторное (ч. 8 и 9 ст. 13.11 КоАП) [8].
  • За нарушение правил обработки персональных данных общей категории максимальный штраф достигает 500 млн рублей. При повторных нарушениях может применяться оборотный штраф [26].

С 30 мая 2025 года ИП несут такую же ответственность, как юридические лица за нарушения, предусмотренные частями 1.1 и 8–18 ст. 13.11 КоАП [7].

Уголовная ответственность (ст. 272.1 УК РФ)

Федеральным законом от 30.11.2024 № 421-ФЗ введена уголовная статья: действие ст. 272.1 УК распространяется на лиц, передающих компьютерную информацию с персональными данными иностранным гражданам, иностранным организациям или иностранным государственным структурам, а равно осуществляющих трансграничное перемещение носителей, содержащих такие данные. За нарушение правил обработки персональных данных специальной категории предусмотрено наказание в форме лишения свободы на срок до пяти лет [26].

Практические кейсы и ошибки

Google Analytics и веб-аналитика

Это наиболее массовый сценарий: по оценкам ряда специалистов, большинство российских коммерческих сайтов до 2023–2025 годов использовали GA без какого-либо уведомления РКН.

Роскомнадзор проверяет сайты компаний и медиа на наличие Google Analytics и высылает их владельцам предписания, в которых требует прислать уведомление о трансграничной передаче данных или прекратить использование иностранного сервиса. Проверка осуществляется с помощью автоматизированных систем, а не вручную [14].

С 1 июля 2025 года сервис Google Analytics собирает и обрабатывает данные пользователей на серверах за пределами России — в США — то есть происходит трансграничная передача персональных данных при первичном сборе, что прямо противоречит обновлённой ч. 5 ст. 18 152-ФЗ [6, 17].

Варианты выхода: переход на российские альтернативы (Яндекс.Метрика, Roistat), реализация прокси-сервера с первичной обработкой в России или полный отказ от GA [17].

Иностранные облака и CRM

Использование Salesforce, HubSpot, AWS, Google Cloud, Microsoft Azure без предварительного уведомления РКН — массовое нарушение, с которым сталкивались и крупные компании. Такие крупные транснациональные корпорации, как Spotify AB, Coursera Inc., Discord Inc., Match Group LLC., отказавшиеся локализовать свои базы данных в России, уже были привлечены к ответственности за нарушение требований закона о локализации. Вышеназванные компании получили штрафы от 2 до 10 миллионов рублей [19].

Командировки и HR-процессы

Турфирмы обязаны отправлять в РКН уведомление о трансграничной передаче персональных данных на каждого клиента [12]. Аналогичная ситуация — с работодателями, бронирующими для сотрудников отели и билеты через иностранные платформы, или передающими данные сотрудников в зарубежный кадровый сервис.

Важный нюанс: если сотрудник самостоятельно покупает билеты и бронирует жильё без участия работодателя — уведомлять РКН работодателю не нужно, поскольку в этом случае работодатель не является инициатором передачи данных [11].

Судебная практика: реальные штрафы

Анализ 72 дел о нарушении требований локализации показал: в 99% случаев дела завершались наложением штрафа. За первичное нарушение штрафы варьируются от 500 000 до 4 000 000 рублей, средний размер составляет 1 500 000 рублей. За повторное нарушение суммы значительно выше: от 3 000 000 до рекордных 18 000 000 рублей, средний штраф — 10 500 000 рублей [13].

Типичные ошибки и как их избежать

На основании анализа требований законодательства и практики можно выделить следующие наиболее распространённые ошибки:

Первая и самая частая: незнание того, что трансграничная передача вообще происходит. Компании используют десятки зарубежных сервисов и не осознают, что каждый из них потенциально является каналом трансграничной передачи. Решение — провести полный аудит IT-инфраструктуры и информационных потоков.

Вторая: оператор направил уведомление об обработке ПДн, но не подал отдельное уведомление о трансграничной передаче. Это два принципиально разных документа с разными требованиями и самостоятельными последствиями за непредставление [3].

Третья: уведомление подано, но оно устарело. Нарушением считается не только отсутствие уведомления, но и любые неточности: неполный перечень целей, устаревшие сведения, ошибки в описании способов обработки [30].

Четвёртая: отсутствие документов от иностранной стороны. Многие операторы не запрашивают у зарубежного получателя политику защиты данных и сведения о принятых мерах безопасности, хотя это прямое требование закона [10].

Пятая: отсутствие пункта о трансграничной передаче в локальных актах и политике безопасности компании; отсутствие назначенного ответственного за защиту персональных данных [8].

Шестая: попытка «дублирования» данных как способ обойти требования локализации. С июля 2025 года этот подход прямо запрещён: первичный сбор данных с использованием сервисов и программных решений, размещённых на зарубежных серверах, равно как и первичный сбор данных в иностранной базе с последующим формальным «дублированием» данных в российские базы данных — включая так называемую «локализацию по API» — входит в прямое противоречие с ч. 5 ст. 18 152-ФЗ [20].

Тренды и будущее регулирования

Несколько векторов, которые прослеживаются в последних изменениях и публичных позициях регуляторов.

Ужесточение штрафов продолжается. Переход от фиксированных к оборотным штрафам — международный тренд (GDPR в Европе действует по аналогичной логике). Для России это новелла 2024–2025 годов, и первые дела с применением оборотных штрафов ещё формируют практику.

Автоматизация надзора. Приказом Минцифры от 01.08.2024 № 682 дополнился перечень индикаторов риска двумя фактами неуведомления Роскомнадзора о трансграничной передаче персональных данных [8]. Это означает, что алгоритмы мониторинга будут выявлять нарушения без участия жалобщиков.

Неопределённость в правоприменении по ФЗ-23 (локализация). Поправки могут свидетельствовать о переходе к более строгому подходу в части последующей передачи данных за рубеж после их локализации в России. Будет ли данная норма более строго толковаться на практике — покажет время [9, 16].

Давление на малый бизнес. Новые правила касаются даже малого бизнеса, включая ИП и самозанятых [11]. Это системное изменение: ранее небольшие компании фактически не попадали в поле зрения регулятора по вопросам трансграничной передачи.

Заключение и рекомендации

Трансграничная передача персональных данных из технической нормы превратилась в реальный бизнес-риск с измеримыми финансовыми последствиями. Закон 152-ФЗ в нынешней редакции требует системного подхода, а не разового подписания документов.

Что делать прямо сейчас:

  1. Проведите аудит всех иностранных сервисов и интеграций, через которые могут передаваться ПДн.
  2. Убедитесь, что компания зарегистрирована как оператор ПДн в реестре РКН.
  3. Проверьте и актуализируйте уведомление о трансграничной передаче — или подайте его, если ещё не сделали этого.
  4. Запросите у иностранных получателей документы об обеспечении безопасности ПДн.
  5. Пересмотрите архитектуру первичного сбора данных: с июля 2025 года он должен происходить исключительно в российских базах данных.
  6. Обновите политику обработки ПДн, локальные акты и должностные инструкции.
  7. Назначьте ответственного за организацию обработки ПДн.

Помните: отсутствие претензий от РКН в прошлом не означает, что нарушений нет. У Роскомнадзора есть широкий арсенал инструментов для выявления нарушений, включая мониторинг сайтов, направление запросов, жалобы субъектов [8]. Мораторий на внеплановые проверки прекратился с 1 января 2025 года.

Как «Пятый фактор» помогает контролировать трансграничные потоки ПДн

Одна из центральных проблем, которую обнажает тема трансграничной передачи — это неполная видимость того, где именно в корпоративной инфраструктуре хранятся и куда движутся персональные данные. Без актуальной карты ПДн компания не может гарантировать, что ни одна интеграция, ни одна БД или CRM не передаёт данные за рубеж без уведомления регулятора.

Именно эту проблему решает «Пятый фактор» — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах (БД, хранилища, почта, AD/LDAP, CRM, 1С, API). Платформа работает с метаданными, структурой и агрегатами, не касаясь «сырых» значений ПДн, — то есть сама не создаёт новых рисков.

Применительно к задачам трансграничной передачи «Пятый фактор» позволяет:

  • непрерывно отслеживать, в каких системах и источниках появляются новые поля с ПДн — до того, как они окажутся в иностранном сервисе без уведомления;
  • быстро увидеть, какие системы интегрированы с внешними (потенциально иностранными) получателями;
  • сократить время аудита перед проверкой РКН за счёт единой актуальной «карты ПДн»;
  • фиксировать изменения ИТ-ландшафта (новые сервисы, интеграции, подрядчики) и своевременно сигнализировать об изменениях, требующих обновления уведомления о трансграничной передаче.

В условиях, когда штрафы за нарушения достигают 18 миллионов рублей за повторное нарушение, а Роскомнадзор перешёл к автоматизированному мониторингу, непрерывный контроль ИТ-ландшафта становится не опциональной мерой, а обязательным элементом комплаенс-стратегии.

Источники

[1] Статья 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 08.08.2024) — https://www.consultant.ru/document/cons_doc_LAW_61801/e4ebbe1780de623c7cf32a59ca82a7bb523a25dd/

[2] Статья 13.11 КоАП РФ (ред. Федерального закона от 30.11.2024 № 420-ФЗ) — https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/

[3] Портал персональных данных РКН — Уведомление о трансграничной передаче — https://pd.rkn.gov.ru/cross-border-transmission/

[4] Роскомнадзор — Утверждён перечень 89 государств с адекватной защитой ПДн — https://rkn.gov.ru/press/news/news74528.htm

[5] Приказ Роскомнадзора от 05.08.2022 № 128 — https://www.consultant.ru/document/cons_doc_LAW_426970/

[6] Comply.ru — Локализация и трансграничная передача персональных данных: что изменилось с 1 июля 2025 года — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[7] B1 — Новые правила локализации персональных данных граждан РФ (март 2025) — https://b1.ru/insights/law-messenger/localization-of-personal-data-of-russian-citizens-6-march-2025/

[8] КонсультантПлюс — Персональные данные: новые штрафы с 30 мая 2025 года — https://www.consultant.ru/legalnews/28492/

[9] PrivacyLine — Локализация персональных данных: обзор изменений и судебной практики (72 дела) — https://privacyline.ru/news/lokalizatsiya-personalnyh-dannyh-obzor-izmenenij-i-sudebnoj-praktiki

[10] In4security — Трансграничная передача персональных данных (вопрос-ответ) — https://in4security.com/news/tpost/rotryk5up1-transgranichnaya-peredacha-personalnih-d

[11] B-152.ru — Как организовать трансграничную передачу персональных данных — https://b-152.ru/kak_organizovat_transgranichnuyu_peredachu_personalnyh_dannyh

[12] Кабельщик — Позиция РКН по Google Analytics как трансграничной передаче — https://www.cableman.ru/content/obrabotka-personalnykh-dannykh-sobrannykh-pri-pomoshchi-google-analytics-yavlyaetsya

[13] Gorodissky.ru — Новый порядок трансграничной передачи данных (2023) — https://www.gorodissky.ru/publications/articles/novyy-poryadok-transgranichnoy-peredachi-dannykh/

[14] Lidings.com — ФЗ от 28.02.2025 № 23-ФЗ: локализация ПДн с 1 июля 2025 — https://www.lidings.com/ru/media/legalupdates/localization_pd_update/

[15] SEOnews — Новые требования к локализации баз данных (март 2025) — https://m.seonews.ru/analytics/novye-trebovaniya-k-lokalizatsii-baz-dannykh-soderzhashchikh-personalnye-dannye-kak-izbezhat-riskov-/

[16] РБК Компании — Защита персональных данных: ключевые изменения с 30 мая 2025 — https://companies.rbc.ru/news/ebVqgdTAqA/zaschita-personalnyih-dannyih-klyuchevyie-izmeneniya-s-30-maya-2025-goda/

[17] Enkod — Google Analytics, Telegram, WhatsApp и закон о ПДн — https://enkod.io/blog/zakon-o-personalnyh-dannyh-chto-nuzhno-znat-crm-marketologu-ob-ispolzovanii-telegram-whatsapp-i-google-analytics/

[18] Zum Punkt — Новое о персональных данных в 2025 — https://zumpunkt.ru/expertise/novoe-o-personalnyh-dannyh-v-2025-glavnye-izmeneniya/

[19] Birch Legal — Уточнения по локализации: ФЗ-23, вступает в силу с 1 июля 2025 — https://www.birchlegal.ru/legal_alerts/2235/

[20] Data-sec.ru — Штрафы за персональные данные в 2026 году — https://data-sec.ru/personal-data/fines/

Быстрые вопросы и ответы

Что такое трансграничная передача персональных данных?

Это передача данных на территорию иностранного государства.

Какие штрафы предусмотрены за нарушения?

Штрафы могут достигать 18 миллионов рублей за повторные нарушения.

Что не считается трансграничной передачей?

Работа сотрудника за границей с российскими системами не является передачей.

Каковы основные условия трансграничной передачи?

Данные должны передаваться иностранному лицу на территорию иностранного государства.

Как Роскомнадзор контролирует передачу данных?

Регулятор проводит мониторинг и автоматизированные проверки сайтов.

Нужна консультация по вашему контуру?
Покажем, где появляются персональные данные и какие риски требуют внимания в первую очередь.
Получить консультацию Все материалы
Файлы cookie

Мы используем обязательные технические cookie, чтобы сайт работал корректно. Аналитика включается только при вашем согласии и может быть отключена позже в любой момент. Подробнее — в политике cookie и настройках cookie.