Трансграничная передача персональных данных: что нужно учитывать бизнесу

Вы подключили зарубежную CRM, почту, аналитику, колл-трекинг, облачные диски или поддержку сайта — и даже не заметили, что персональные данные “уехали” за границу. Для Роскомнадзора это не “техническая деталь”, а трансграничная передача ПД по ФЗ-152. Ошибка стоит дорого: предписание, блокировка отдельных процессов, штрафы, а при инциденте — отдельные обязанности по уведомлению.

🔎 Если хотите быстро понять, есть ли у вас трансграничка (и где именно), начните с проверки сайта и сервисов:
Провести аудит на соответствие требованиям Роскомнадзора →

Что считается трансграничной передачей и почему это важно

Что такое трансграничная передача

Это передача персональных данных на территорию иностранного государства — как напрямую (выгрузили базу подрядчику), так и косвенно (данные уходят в иностранную облачную инфраструктуру сервиса).

Типовые “триггеры”:

• зарубежная CRM/HelpDesk/рассылки;
• облачные хранилища и корпоративная почта с серверами вне РФ;
• веб-аналитика, виджеты, колл-трекинг, антиспам/капча;
• техподдержка, которая получает доступ к заявкам/переписке.

Главный юридический нюанс

С 1 марта 2023 оператор обязан ДО начала трансграничной передачи направить в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу (оно подаётся отдельно от “обычного” уведомления об обработке по ст. 22).

Что требует ФЗ-152 и как на это смотрит практика

1) Уведомление в Роскомнадзор “до начала”

Если трансграничная передача уже идёт (сервис подключён, заявки уходят, сотрудники работают) — формально нарушение уже состоялось. Поэтому правильный подход: сначала инвентаризация и правовая модель, затем подключение/настройка.

Подать уведомление можно через форму Роскомнадзора.

2) “Адекватная защита” и риск ограничений

ФЗ-152 вводит логику: куда передаёте (страна) и есть ли там достаточный уровень защиты прав субъектов. В отдельных случаях Роскомнадзор вправе запретить или ограничить трансграничную передачу.

3) Инциденты: 24 часа и 72 часа

Если произошла утечка/несанкционированный доступ, у оператора появляются отдельные обязанности по уведомлению: в течение 24 часов сообщить об инциденте и в течение 72 часов направить результаты внутреннего расследования.

Штрафы и риски: почему “у нас маленький бизнес” не спасает

Роскомнадзор проверяет не “размер компании”, а факт нарушения и меры, которые оператор предпринял.

Что чаще всего бьёт по бизнесу:

• неподанное уведомление (когда оно требуется) — штрафы для юрлиц до 100–300 тыс. ₽ по новым составам ст. 13.11 КоАП РФ;
• неуведомление об утечке — штрафы для юрлиц от 1 до 3 млн ₽;
• “крупные” утечки и повторность — значительно более жёсткие санкции, вплоть до прогрессивных и оборотных подходов в отдельных составах.

Как бизнесу выстроить трансграничную передачу правильно

Шаг 1. Сделайте карту сервисов (10–30 минут)

Список всех точек, где живут ПД:

• сайт (формы, чат, колл-трекинг, аналитика);
• CRM/таск-менеджер/HelpDesk;
• почта и облака;
• подрядчики (маркетинг, IT, колл-центр);
• хостинг/серверы/резервные копии.

Шаг 2. Определите: есть ли “выезд” за РФ

Проверьте:

• где расположены серверы и бэкапы;
• кто имеет доступ (в т.ч. иностранная поддержка);
• передаются ли данные в третьи страны через интеграции.

Шаг 3. Закрепите правовую модель

Минимум, который должен быть у оператора персональных данных:

• актуальные локальные акты и регламенты;
• реестр процессов обработки;
• договоры с подрядчиками как “поручение обработки” (кто/что/зачем/меры защиты/инциденты/удаление);
• корректные согласия (если они нужны именно в вашем сценарии).

📌 Если нужно “разложить по полочкам” конкретно вашу ситуацию (страны, сервисы, документы, уведомления) — проще сделать это с профильными юристами:

Получить консультацию по соблюдению обязанности →

Шаг 4. Подайте уведомление о трансграничной передаче

Уведомление направляется до начала передачи. Форма позволяет указывать цели и страны (варианты подачи могут отличаться по логике заполнения).

Шаг 5. Подготовьте план на случай инцидента

Чтобы не “сгореть” на сроках 24/72:

• назначьте ответственных;
• настройте мониторинг/журналы;
• закрепите порядок взаимодействия с подрядчиками;
• подготовьте шаблоны уведомлений.

Вывод

Трансграничная передача — это не редкий кейс “только у корпораций”. Она возникает у большинства компаний через привычные сервисы: CRM, почту, аналитику и подрядчиков. Юридически отвечает оператор персональных данных (то есть бизнес), поэтому задача — вовремя выявить трансграничку, оформить документы и подать уведомления, а также быть готовыми к проверке Роскомнадзора и инцидентам.

Практический чек-лист ✅

Проверка факта трансгранички

• Составлены все сервисы/подрядчики, где есть ПД
• Понято, где физически хранятся данные и бэкапы
• Проверены интеграции сайта/CRM/аналитики

Документы и договоры

• Есть реестр процессов обработки ПД
• С подрядчиками оформлено поручение обработки (меры защиты, инциденты, удаление)
• Политика и формы на сайте соответствуют фактическим передачам

Роскомнадзор

• Оценена обязанность уведомления об обработке и актуализация сведений
• Подано уведомление о намерении трансграничной передачи до начала
• Подготовлен план реагирования на инциденты 24/72

📎 Быстро свериться по требованиям на 2026 год:

Скачать чек-лист «Требования Роскомнадзора к операторам ПД в 2026» →

Что делать бизнесу прямо сейчас

1. Проведите инвентаризацию сервисов: CRM, почта, облака, аналитика, виджеты, подрядчики.
2. Определите страны и точки хранения/доступа.
3. Приведите в порядок договоры и локальные акты под реальные процессы.
4. Подайте уведомление о трансграничной передаче (если применимо) и подготовьте план на случай инцидента.

Самый практичный старт — аудит (сразу покажет, где именно “уезжают” данные и что исправлять в первую очередь):

Пройти аудит →