9 апреля 2026

Как уведомить о трансграничной передаче персональных данных в 2026 году

9 апреля 2026

Дарья Бондарчук

Если вы работаете с иностранными партнерами или пользуетесь иностранным сервисом, обрабатывающим персональные данные, об этом нужно сообщать Роскомнадзору. Правила касаются даже малого бизнеса, включая ИП и самозанятых. Рассказываем, почему это обязательно и как отправить уведомление «о намерении осуществлять трансграничную передачу персональных данных».

Что в статье:

Что такое трансграничная передача персональных данных ›

В каких случаях нужно уведомлять о трансграничной передаче ›

Нужно ли еще что-то делать, кроме отправки уведомления ›

Может ли Роскомнадзор запретить передачу данных ›

Как подать уведомление в Роскомнадзор ›

Что грозит за неподачу уведомления ›

Чек-лист при передаче данных за границу ›

Что такое трансграничная передача персональных данных

Это передача персональных данных за границу органу власти иностранного государства, иностранной компании или иностранному физическому лицу (п. 11 ст. 3 закона о персональных данных). Как только вы передаете персональные данные за границу, считается, что вы занимаетесь трансграничной передачей персональных данных. Значит, нужно направить уведомление в Роскомнадзор. Причем это нужно сделать еще до начала передачи таких данных.

Персональными данными могут быть, к примеру:

ФИО и номер телефона;
паспортные данные;
куки — с их помощью записывается информация о пользователе: во сколько он заходил на сайт, с какого устройства и т. д. Несмотря на то, что с помощью cookies нельзя прямо определить конкретного пользователя (например, его ФИО), Роскомнадзор считает их персональными данными.

В каких случаях нужно уведомлять о трансграничной передаче

Вот несколько примеров, когда передача данных считается трансграничной и нужно уведомлять об этом Роскомнадзор:

вы используете Google Analytics или другие иностранные сервисы, например, для отправления рассылок, иностранные CRM-системы для ведения клиентских баз, облачные сервисы (Google Cloud Platform), Google Docs;
вы отправляете в иностранный отель паспортные данные работников для бронирования;
вы передаете данные работников для открытия банковского счета в другой стране;
вы храните персональные данные на сервере, который находится за рубежом.

Когда не нужно отправлять уведомление:

ваш работник находится за границей и обрабатывает персональные данные для исполнения своих должностных обязанностей;
вы передаете персональные данные представительству иностранной компании, которое находится в России;
вы передаете персональные данные своему зарубежному представительству.

Уведомление должны отправлять как компании, так и ИП, самозанятые и другие операторы.

Нужно ли еще что-то делать, кроме отправки уведомления

Да, перед тем как отправить уведомление в Роскомнадзор, нужно получить определенную информацию у иностранного лица, которому вы передаете данные. Перечень такой информации зависит от конкретной страны. Так, иностранные государства, в которые вы передаете персональные данные, подразделяют на те, которые:

обеспечивают адекватную защиту прав субъектов персональных данных;
не обеспечивают адекватную защиту прав субъектов персональных данных.

Если вы передаете персональные данные в страну, которая обеспечивает адекватную защиту, то нужно получить у принимающего иностранного лица информацию:

о принимаемых мерах по защите передаваемых персональных данных;
об условиях прекращения их обработки;
контакты — наименование либо ФИО, номера контактных телефонов, почтовые адреса и адреса электронной почты.

Если вы собираетесь передавать персональные данные в страну, которая не обеспечивает адекватную защиту, то, помимо вышеуказанной информации нужно еще получить сведения о правовом регулировании в области персональных данных иностранного государства (п. 2 ч. 5 ст. 12 закона о персональных данных).

Предоставлять всю эту информацию в Роскомнадзор не нужно. Но ведомство может запросить ее позже.

Как понять, какая страна адекватно защищает персданные, а какая нет

К странам, которые обеспечивают адекватную защиту персональных данных, относятся те, которые указаны в Приказе Роскомнадзора от 05.08.2022 № 128. Например, это Китай, Швейцария, Индия, Сингапур.

Все остальные страны, которые не указаны в этом приказе, не обеспечивают адекватной защиты. Например, США.

Может ли Роскомнадзор запретить передачу данных

Да, может.

При рассмотрении вашего уведомления Роскомнадзор может запретить или ограничить передачу, если увидит риски нарушения прав граждан (на жизнь, здоровье, защиту нравственных ценностей и другие) или подрыва конституционного строя РФ, государственной безопасности.

Например, он может вынести запрет, если иностранное лицо, которому планируется передача персональных данных, не принимает меры по защите передаваемых персональных данных, а также не определило условия прекращения их обработки. Или если иностранное лицо включено в перечень организаций, деятельность которых нежелательна в России.

Кроме того, в ряде случаев Роскомнадзор может ограничить или запретить трансграничную передачу по представлению уполномоченных органов (например, ФСБ — в целях защиты основ конституционного строя и безопасности).

Оператор может, в свою очередь, обжаловать решение Роскомнадзора о запрещении или об ограничении трансграничной передачи персональных данных в судебном порядке или вышестоящему должностному лицу Роскомнадзора. Жалоба может быть подана в течение одного месяца с даты получения решения. Рассмотреть ее ведомство обязано в течение 10 рабочих дней с даты ее регистрации. Решение по результатам рассмотрения жалобы может быть обжаловано в судебном порядке.

Что грозит за неподачу уведомления о трансграничной передаче персональных данных

Пока отдельной статьи за это нарушение не предусмотрено. Штраф возможен поч. 1 ст. 13.11 КоАП РФ за трансграничную передачу данных в нарушение законодательства — 150–300 тыс. руб. для юридических лиц. Также возможен штраф по ст. 19.7 КоАП РФ за непредставление сведений в государственный орган: предупреждение или штраф для юридических лиц от 3 до 5 тыс. руб.

Чек-лист при передаче данных за границу

Проверьте, подавали ли вы уведомление об обработке персональных данных. Если нет, то отправьте сначала его.
Определитесь, нужна ли вам передача именно за границу или является ли ваша передача трансграничной по смыслу закона.
Определитесь, зачем вам это нужно (определите цель).
Определите, что и кому хотите передать.
Убедитесь, что у вас есть основание для трансграничной передачи. Основанием может быть согласие, договор с субъектом персональных данных, закон и т. д. Полный перечень оснований перечислен в ч. 1 ст. 6 закона о персональных данных.
Определите, в какую страну вы передаете данные и проверьте, обеспечивает ли она адекватную защиту прав субъектов персональных данных.
Заранее получите у иностранного лица, которому передаете персональные данные, необходимую информацию:
- о мерах по защите персональных данных;
- об условиях прекращения обработки персональных данных;
- контакты;
- о правовом регулировании в области персональных данных иностранного государства (если передача в «неадекватную страну»).
Заполните и подайте уведомление о намерении осуществлять трансграничную передачу персональных данных. Если данные передаются в государство, не обеспечивающее адекватную защиту прав субъектов персональных данных, начинать передачу можно только после истечения срока рассмотрения уведомления Роскомнадзором, если не поступил запрет или запрос дополнительных сведений. Если передача идет в страну, обеспечивающую адекватную защиту персональных данных, после подачи уведомления ждать 10 рабочих дней не требуется.

Темы:

Вы отписались от рассылки!

Спасибо, что были с нами! Возобновить подписку можно в любой момент на сайте СберБизнес Live