Ревиизор.рф
Войти
← Все статьи
Практика11 мая 2026 · 8 мин чтения · Обновлено 17 июня 2026 г.

Трансграничная передача персональных данных: что изменилось в 2026 году

Виктория Ветрянкова
Виктория Ветрянкова
Юрист
Практика

Передача ПДн за рубеж без уведомления РКН — до 18 млн ₽ для юрлиц и уголовная ответственность по ст. 272.1 УК. Что поменялось с 2023 года и как оформить уведомление.

Кратко

С 2023 года трансграничная передача ПДн идёт в разрешительном порядке, с 30 мая 2025 кратно выросли штрафы, с 1 июля 2025 запрещён первичный сбор данных в зарубежные базы. Передача без уведомления РКН — 1–6 млн ₽ (повтор до 18 млн, ст. 13.11 ч. 8–9 КоАП) плюс риск ст. 272.1 УК (до 8 лет). Российские сервисы (Яндекс, VK, ЮKassa) под это не попадают.

По состоянию на май 2026 года передача персональных данных за рубеж без предварительного уведомления Роскомнадзора грозит штрафом до 18 млн ₽ для юридических лиц (ст. 13.11 ч. 8, ч. 9 КоАП). Требования ужесточались поэтапно: с 2023 года действует разрешительный порядок трансграничной передачи, с 30 мая 2025 года кратно выросли штрафы, а с 1 июля 2025 года прямо запрещён первичный сбор персональных данных в иностранные базы данных. Теперь любая передача будь то использование иностранного CRM, хостинга или аналитики требует предварительного уведомления Роскомнадзора.

Максимальный штраф для юридических лиц — 18 млн ₽ за повторное нарушение (ст. 13.11 ч. 9 КоАП). За первичное нарушение — от 1 до 6 млн ₽ (ч. 8). Помимо административной ответственности, возможно привлечение по ст. 272.1 УК РФ — до 8 лет лишения свободы, если нарушение сопряжено с незаконной трансграничной передачей.

Что изменилось

Закон сейчас трактует трансграничную передачу максимально широко — это не только физическая отправка данных за рубеж, но и предоставление доступа иностранным компаниям, даже если серверы формально находятся в России. С 1 июля 2025 года прямо запрещён первичный сбор персональных данных граждан РФ с использованием баз данных за пределами РФ.

Важно: Даже если сервер в РФ, но компания-владелец — иностранная, это может быть квалифицировано как трансграничная передача. Проверяйте не только IP, но и юрисдикцию владельца.

Какие сервисы попадают под ограничения

  • Google Analytics, Mixpanel, Amplitude — аналитика на зарубежной инфраструктуре
  • Любые сервисы, где форма на сайте отправляет данные напрямую на зарубежный сервер
  • Mailchimp, SendGrid, любые зарубежные email-сервисы
  • Intercom, Zendesk и прочие чат-боты с облаком в США/ЕС
  • Cloudflare, AWS, Google Cloud, Azure — CDN и хостинг с серверами за рубежом
  • Stripe, PayPal — если платёж включает ПДн покупателя
  • Любые SaaS-сервисы, где хранятся email или имена пользователей

Российские сервисы под ст. 12 152-ФЗ не попадают. Яндекс.Метрика, VK Pixel, Top.Mail.ru, ЮKassa, CloudPayments обрабатывают данные на территории РФ — уведомление РКН о трансграничной передаче для них не требуется.

Как оформить уведомление

  1. Определить все трансграничные потоки данных (аудит сервисов).
  2. Оценить уровень защиты в стране-получателе — есть ли она в перечне РКН (приказ № 128).
  3. Получить от иностранного получателя сведения о мерах защиты данных и правовом регулировании.
  4. Подать уведомление в РКН до начала передачи — отдельно от уведомления об обработке ПДн.

Уровень защиты страны-получателя

РКН ведёт публичный перечень стран с «адекватной защитой ПДн» (приказ РКН от 05.08.2022 № 128). В него включаются стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также отдельные государства по оценке РКН.

Для стран из перечня достаточно стандартного уведомления о трансграничной передаче — передачу можно начинать сразу после его подачи. Для остальных стран нужно либо письменное согласие субъекта на передачу, либо одно из оснований ч. 4 ст. 12 152-ФЗ, а также необходимо дождаться рассмотрения уведомления Роскомнадзором.

В перечне все государства ЕС/ЕЭЗ, Великобритания, Швейцария, Канада, Япония, Израиль, Сингапур, Казахстан, Беларусь, Армения и др. США, Китая, Индии, Турции в перечне нет — передача туда требует либо письменного согласия субъекта, либо иного законного основания.

Что будет за нарушение

НарушениеНормаШтраф для юр.лиц
Передача без уведомления РКНКоАП 13.11 ч. 81–6 млн ₽
Повторное нарушениеКоАП 13.11 ч. 96–18 млн ₽
Уголовная ответственность (незаконная трансграничная передача)УК РФ 272.1До 2 млн ₽ штраф и/или до 8 лет лишения свободы

Частые вопросы

Сколько штраф за трансграничную передачу персональных данных?

За передачу без уведомления РКН — 1–6 млн ₽ для юрлиц (ст. 13.11 ч. 8 КоАП), за повторное нарушение — 6–18 млн ₽ (ч. 9). Дополнительно возможна уголовная ответственность по ст. 272.1 УК — до 8 лет лишения свободы. По состоянию на 2026.

Какие сервисы попадают под трансграничную передачу?

Google Analytics, Mixpanel, Amplitude, Mailchimp, SendGrid, Intercom, Zendesk, Cloudflare, AWS, Google Cloud, Azure, Stripe, PayPal и любые зарубежные SaaS, где хранятся email или имена. Российские сервисы (Яндекс.Метрика, VK Pixel, Top.Mail.ru, ЮKassa, CloudPayments) под уведомление не попадают.

Как уведомить РКН о трансграничной передаче?

Проведите аудит зарубежных сервисов, оцените страну-получателя по перечню РКН (приказ № 128), получите от получателя сведения о мерах защиты и подайте уведомление в РКН до начала передачи — отдельно от уведомления об обработке ПДн.

В какие страны можно передавать данные без согласия?

В страны из перечня РКН с адекватной защитой (приказ от 05.08.2022 № 128): ЕС/ЕЭЗ, Великобритания, Швейцария, Канада, Япония, Израиль, Сингапур, Казахстан, Беларусь, Армения и др. США, Китая, Индии, Турции в перечне нет — туда нужно письменное согласие субъекта или иное законное основание.

Проверьте свой сайт
Ревиизор находит нарушения автоматически и показывает точные статьи КоАП и возможные суммы штрафов
⚡ Проверить сайт
#152-ФЗ#Роскомнадзор#Штрафы

Читайте также

Практика
23 июня 2026 · 8 мин

Cookie-баннер прячет половину посетителей: поднимите свою аналитику

Cookie-баннер по 152-ФЗ не грузит Метрику до клика «Принять» — и 40–70% посетителей не попадают в статистику. Решение —

152-ФЗАналитика
ID
Практика
17 июня 2026 · 8 мин

Иностранная авторизация на сайте под запретом: чем заменить в 2026 году

Российские сайты обязаны авторизовать пользователей только российскими способами. Чем заменить вход через Google, Apple

152-ФЗ149-ФЗ
Практика
17 июня 2026 · 8 мин

Штрафы за персональные данные в 2026 году: статья 13.11 КоАП по составам

Сколько стоит нарушение 152-ФЗ в 2026 году: от 30 тыс. ₽ за отсутствие политики до 15 млн ₽ за утечку и оборотных штрафо

152-ФЗШтрафы