Трансграничная передача персональных данных: что изменилось в 2026 году
Передача ПДн за рубеж без уведомления РКН — до 18 млн ₽ для юрлиц и уголовная ответственность по ст. 272.1 УК. Что поменялось с 2023 года и как оформить уведомление.
По состоянию на май 2026 года передача персональных данных за рубеж без предварительного уведомления Роскомнадзора грозит штрафом до 18 млн ₽ для юридических лиц (ст. 13.11 ч. 8, ч. 9 КоАП). Требования ужесточались поэтапно: с 2023 года действует разрешительный порядок трансграничной передачи, с 30 мая 2025 года кратно выросли штрафы, а с 1 июля 2025 года прямо запрещён первичный сбор персональных данных в иностранные базы данных. Теперь любая передача будь то использование иностранного CRM, хостинга или аналитики требует предварительного уведомления Роскомнадзора.
Максимальный штраф для юридических лиц — 18 млн ₽ за повторное нарушение (ст. 13.11 ч. 9 КоАП). За первичное нарушение — от 1 до 6 млн ₽ (ч. 8). Помимо административной ответственности, возможно привлечение по ст. 272.1 УК РФ — до 8 лет лишения свободы, если нарушение сопряжено с незаконной трансграничной передачей.
Что изменилось
Закон сейчас трактует трансграничную передачу максимально широко — это не только физическая отправка данных за рубеж, но и предоставление доступа иностранным компаниям, даже если серверы формально находятся в России. С 1 июля 2025 года прямо запрещён первичный сбор персональных данных граждан РФ с использованием баз данных за пределами РФ.
Важно: Даже если сервер в РФ, но компания-владелец — иностранная, это может быть квалифицировано как трансграничная передача. Проверяйте не только IP, но и юрисдикцию владельца.
Какие сервисы попадают под ограничения
- Google Analytics, Mixpanel, Amplitude — аналитика на зарубежной инфраструктуре
- Любые сервисы, где форма на сайте отправляет данные напрямую на зарубежный сервер
- Mailchimp, SendGrid, любые зарубежные email-сервисы
- Intercom, Zendesk и прочие чат-боты с облаком в США/ЕС
- Cloudflare, AWS, Google Cloud, Azure — CDN и хостинг с серверами за рубежом
- Stripe, PayPal — если платёж включает ПДн покупателя
- Любые SaaS-сервисы, где хранятся email или имена пользователей
Российские сервисы под ст. 12 152-ФЗ не попадают. Яндекс.Метрика, VK Pixel, Top.Mail.ru, ЮKassa, CloudPayments обрабатывают данные на территории РФ — уведомление РКН о трансграничной передаче для них не требуется.
Как оформить уведомление
- Определить все трансграничные потоки данных (аудит сервисов).
- Оценить уровень защиты в стране-получателе — есть ли она в перечне РКН (приказ № 128).
- Получить от иностранного получателя сведения о мерах защиты данных и правовом регулировании.
- Подать уведомление в РКН до начала передачи — отдельно от уведомления об обработке ПДн.
Уровень защиты страны-получателя
РКН ведёт публичный перечень стран с «адекватной защитой ПДн» (приказ РКН от 05.08.2022 № 128). В него включаются стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также отдельные государства по оценке РКН.
Для стран из перечня достаточно стандартного уведомления о трансграничной передаче — передачу можно начинать сразу после его подачи. Для остальных стран нужно либо письменное согласие субъекта на передачу, либо одно из оснований ч. 4 ст. 12 152-ФЗ, а также необходимо дождаться рассмотрения уведомления Роскомнадзором.
В перечне все государства ЕС/ЕЭЗ, Великобритания, Швейцария, Канада, Япония, Израиль, Сингапур, Казахстан, Беларусь, Армения и др. США, Китая, Индии, Турции в перечне нет — передача туда требует либо письменного согласия субъекта, либо иного законного основания.
Что будет за нарушение
| Нарушение | Норма | Штраф для юр.лиц |
|---|---|---|
| Передача без уведомления РКН | КоАП 13.11 ч. 8 | 1–6 млн ₽ |
| Повторное нарушение | КоАП 13.11 ч. 9 | 6–18 млн ₽ |
| Уголовная ответственность (незаконная трансграничная передача) | УК РФ 272.1 | До 2 млн ₽ штраф и/или до 8 лет лишения свободы |