Трансграничная передача персональных данных: требования и ограничения в 2025 году

Что такое трансграничная передача персональных данных?

Трансграничная передача персональных данных - это когда компания или организация из России отправляет личную информацию российских граждан за пределы страны. Это может быть простая ситуация: сотрудник отправляет данные клиента в облачный сервис, например Google Analytics, который работает на серверах в США. Или это может быть сложный сценарий: российская компания передает базу клиентов своему партнеру в Китае для обработки заказов. Важно понимать: трансграничная передача происходит даже тогда, когда вы просто используете зарубежный сервис, который хранит или обрабатывает данные за пределами России.

Почему это регулируется строго?

Россия не просто хочет контролировать данные своих граждан - она хочет защищать их от рисков, которые возникают при передаче информации в страны с другими законами. Например, в некоторых странах нет законов, запрещающих продажу личных данных рекламным компаниям, или нет независимых органов, которые могут наказать нарушителей. Если ваша база клиентов окажется в такой стране, вы рискуете не только штрафами, но и потерей доверия клиентов. Закон № 152-ФЗ, принятый в 2006 году, и его обновления, особенно от 2022 года, созданы именно для того, чтобы вы не стали причиной утечки или злоупотребления данными россиян.

Что изменилось с 1 марта 2023 года?

С этого момента любая трансграничная передача данных требует обязательного уведомления Роскомнадзора. Раньше можно было просто передавать данные, если не было явного запрета. Теперь - никаких передач без уведомления. Это не запрос на разрешение - это уведомление. Вы не ждете ответа от ведомства. Вы отправляете форму, и если она заполнена правильно, вы можете начинать передачу. Но если вы не отправите уведомление - это уже нарушение, и за него предусмотрены штрафы до 200 тысяч рублей для юридических лиц.

Как правильно составить уведомление?

Уведомление - это не просто бланк. Это юридический документ с семью обязательными пунктами:

1. Полные данные оператора: название, адрес, номер уведомления о регистрации обработки данных.
2. Информация о ответственном за обработку: ФИО, телефон, почта.
3. Правовое основание передачи: например, исполнение договора, согласие субъекта данных.
4. Перечень передаваемых данных: имя, телефон, email, адрес - всё, что отправляете.
5. Категории субъектов: клиенты, сотрудники, поставщики - кто именно в этой базе.
6. Список стран, в которые вы передаете данные: например, США, Китай, Германия.
7. Дополнительные сведения - если требует Роскомнадзор.

Форма уведомления доступна на сайте Роскомнадзора. Подать его можно электронно через профиль на Госуслугах - это быстрее и надежнее, чем почта. Важно: уведомление отправляется отдельно от уведомления о регистрации обработки данных. Не путайте их.

Какие страны можно использовать без согласия?

Роскомнадзор ведет специальный перечень стран, где, по мнению российских властей, уровень защиты персональных данных считается «адекватным». В эти страны можно передавать данные без дополнительных условий - только после уведомления. Список обновляется, но на 2025 год в него входят:

• Армения
• Беларусь
• Казахстан
• Киргизия
• Таджикистан
• Узбекистан

Это страны Евразийского экономического союза. Передача в них - самый простой путь. Если вы хотите передавать данные в Европу, США, Китай или другие страны - вам нужно либо получить письменное согласие субъекта данных, либо доказать, что передача необходима для защиты жизни или здоровья человека.

Что значит «письменное согласие»?

Согласие - это не просто галочка в форме. Это документ, где человек явно указывает, что он знает, куда его данные отправляются, зачем и на каких условиях. Согласие должно содержать:

• Наименование страны получателя.
• Перечень передаваемых данных.
• Цель передачи.
• Срок действия согласия.
• Подпись субъекта данных.

Согласие можно оформить в электронном виде - но только если оно подписано квалифицированной электронной подписью (КЭП). Просто кликнуть «Согласен» в браузере - недостаточно. Это частая ошибка, которая приводит к штрафам. Даже если вы используете зарубежный CRM-сервис, вы обязаны собрать такое согласие от каждого клиента, чьи данные попадают за границу.

Когда можно передавать данные без согласия?

Есть только три исключения, когда вы можете передавать данные в «неадекватные» страны без согласия:

1. Это требуется для защиты жизни, здоровья или иных жизненно важных интересов субъекта данных. Например, если пациент срочно нуждается в медицинской помощи за границей.
2. Передача предусмотрена международным договором России. Например, если вы участвуете в совместном проекте с ЕС, где есть специальные соглашения.
3. Передача необходима для выполнения обязательств по договору, заключенному с субъектом данных - но только если это прямо указано в договоре и он не против.

Во всех остальных случаях - без согласия или без включения страны в перечень - передача запрещена.

Кто несет ответственность?

Здесь важно понять: вы несете ответственность не только как оператор, но и вместе с иностранным получателем. Если данные утекут в США, и клиент подаст жалобу - Роскомнадзор будет требовать объяснения от вас, российского оператора. Иностранный сервис не обязан отчитываться перед российскими властями. Вы - единственный, кто отвечает. Это значит, что вы должны проверять, какие меры безопасности применяет зарубежный партнер. Спросите у них: есть ли у них шифрование? Есть ли политика конфиденциальности? Есть ли ответственное лицо по защите данных? Без этого - вы рискуете.

Что происходит на практике?

Статистика Роскомнадзора говорит сама за себя: за первый квартал 2023 года было выявлено 147 нарушений - на 38% больше, чем в 2022 году. Самые частые ошибки:

• 35% компаний вообще не подали уведомление.
• 28% подали неполное уведомление - например, забыли указать одну страну или не описали все типы данных.
• 22% передавали данные в страны не из списка без согласия.

Компании, которые занимаются трансграничными операциями, тратят в среднем от 2 до 5 дней на подготовку уведомления. Это не просто бумажная работа - это проверка всех договоров, анализа сервисов, переписывание политик обработки данных. Многие думают, что «у нас же всё автоматизировано», но автоматизация не освобождает от юридической ответственности.

Что изменится с 1 июля 2025 года?

С этой даты вступает в силу обновленная норма о локализации персональных данных. Она требует, чтобы сбор, хранение и обработка данных российских граждан происходили на серверах в России. Это не отменяет трансграничную передачу - но делает её сложнее. Если вы собираете данные в России, но сразу отправляете их в облако за границу - это может быть расценено как нарушение локализации. Вам нужно будет сначала хранить данные на российских серверах, а потом уже передавать их за границу - если это разрешено. Многие компании сейчас начинают пересматривать архитектуру своих систем, чтобы не попасть под штрафы в будущем.

Что делать прямо сейчас?

1. Составьте список всех сервисов, которые вы используете: Google Analytics, Mailchimp, HubSpot, Dropbox, Salesforce - всё это трансграничная передача.
2. Проверьте, в какие страны эти сервисы передают данные. Найдите их политику конфиденциальности.
3. Определите, какие из этих стран входят в утвержденный перечень Роскомнадзора.
4. Соберите письменные согласия от всех клиентов, чьи данные попадают за границу - с указанием стран и целей.
5. Подайте уведомление в Роскомнадзор через Госуслуги - не откладывайте.
6. Обновите политику обработки персональных данных - добавьте раздел о трансграничной передаче с полными деталями.

Не ждите проверки. Штрафы уже приходят. В 2023 году средний штраф за нарушение ТППД составил 85 тысяч рублей. Это не просто деньги - это репутационный риск, который может повредить бизнесу сильнее, чем любая потеря клиентов.