Трансграничная передача персональных данных – регулирование в России
Обновлено 04.05.2026 · Юридическая фирма Инмар
Российское право обязывает оператора уведомить Роскомнадзор до начала трансграничной передачи персональных данных — и дождаться истечения десятидневного срока, если страна-получатель не включена в регуляторный перечень государств с адекватной защитой. Параллельно действует самостоятельный запрет: хранить персональные данные российских граждан на серверах, расположенных за пределами РФ. Оба требования существуют независимо друг от друга — нарушить можно каждое из них по отдельности. Действующее регулирование порождает серьёзные коллизии: одни и те же цифровые операции подпадают под разные составы нарушений в зависимости от того, кто является конечным получателем данных. Ниже — детальный разбор законодательной базы, судебной практики, сравнение с подходами ЕС, США и Китая, а также позиция Юридической фирмы Инмар по назревшим изменениям в регулировании.
Российское законодательство о персональных данных (ч.11 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ) определяет, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Сегодня под это определение подпадает значительная часть обычных бизнес-операций: подписание контракта с зарубежным партнёром, подключение иностранной веб-аналитики, использование CRM с серверами вне России, направление данных сотрудника принимающей стороне командировки. Большинство операторов не осознают, что в каждом из этих случаев они обязаны заблаговременно уведомить Роскомнадзор.
Регулирование выстроено вокруг двух самостоятельных требований: локализации — персональные данные российских граждан должны первично собираться и храниться на серверах в России — и уведомительно-разрешительного контроля за последующей трансграничной передачей. Нарушить можно каждое из них независимо от другого. Ниже разбираем оба механизма, их коллизии и то, как российский подход соотносится с практикой ЕС, США и Китая.
Трансграничная передача персональных данных – законодательная база
Центральная норма — статья 12 Закона № 152-ФЗ, которая напрямую посвящена трансграничной передаче и задаёт её условия. Передача допустима только при соблюдении принципов законности, справедливости и конфиденциальности — эта общая рамка конкретизируется через два разных режима в зависимости от страны-получателя.
До начала любой трансграничной передачи оператор обязан уведомить Роскомнадзор. Уведомление подаётся отдельно от уведомления о начале обработки персональных данных и содержит расширенный перечень сведений: данные об операторе и ответственном за обработку лице, основание и цель передачи, категории передаваемых персональных данных и субъектов, перечень стран-получателей, а также результат оценки принимающей стороны на предмет конфиденциальности и безопасности данных. По существу, уведомление логически следует за этапом сбора персональных данных, на котором уже действуют требования о локализации.
Страна-получатель определяет, какой из двух режимов применяется. Роскомнадзор ведёт перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных (ч. 2 ст. 12 Закона № 152-ФЗ). В перечень вошли государства — участники Конвенции Совета Европы № 108 о защите личных данных и ряд других стран с достаточным уровнем законодательства в этой сфере. Действующая редакция перечня утверждена 5 августа 2022 г. (Приказ Роскомнадзора от 05.08.2022 № 128) и включает 89 государств — большинство стран Европы, Великобританию, ряд государств Азии и Латинской Америки.
Для государств из этого перечня режим упрощён: трансграничная передача персональных данных допускается без отдельного согласия субъекта, а начать её можно сразу после направления уведомления, не ожидая реакции регулятора.
Для государств вне перечня условия жёстче. Во-первых, требуется правовое основание передачи — как правило, письменное согласие субъекта персональных данных на трансфер (отдельное от общего согласия на обработку персональных данных) либо одно из оснований, прямо предусмотренных законом: исполнение договора с участием субъекта или защита его жизни. Во-вторых, оператор не вправе начинать передачу до истечения 10 рабочих дней с момента направления уведомления — необходимо убедиться, что Роскомнадзор не запретил её. Исключение — экстренные случаи охраны жизни или здоровья субъекта, когда задержка невозможна.
Таким образом, передача данных в США или любую другую страну вне перечня требует от российской компании не только правового основания, но и соблюдения 10-дневного моратория после уведомления регулятора.
Роскомнадзор, получив уведомление, рассматривает его в течение 10 рабочих дней и вправе ограничить или запретить трансграничную передачу персональных данных — для защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны и безопасности государства, а также его экономических интересов. Государство, иными словами, сохраняет за собой право блокировать вывод данных, если усматривает в нём угрозу национальным интересам.
Трансграничная передача персональных данных – судебная практика
Устойчивой судебной практики по делам о нарушении порядка трансграничной передачи персональных данных в России пока не сложилось. КоАП РФ не содержит специального состава, который прямо охватывал бы такие нарушения, — суды вынуждены применять смежные нормы, что порождает разнобой квалификаций и ставит под сомнение правовую определённость в этой сфере.
На наш взгляд, концептуально наиболее логичной была бы квалификация подобных нарушений по ч. 1 ст. 13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством), поскольку подача уведомления в Роскомнадзор о намерении осуществлять трансграничную передачу выступает одним из обязательных условий правомерности самой передачи: до выполнения этой обязанности передача данных за рубеж происходит вне установленного законом правового режима. Однако до настоящего времени данная норма судами в делах о трансграничной передаче персональных данных не применялась.
В арбитражном деле № А40-242345/2024 суд квалифицировал нарушения, связанные с трансграничной передачей без надлежащего уведомления Роскомнадзора, по ч. 10 ст. 13.11 КоАП РФ. Такая квалификация, на наш взгляд, выглядит спорной: указанная норма ориентирована на иной круг нарушений, и её применение к ситуации непредставления уведомления о трансграничной передаче не вполне соответствует объективной стороне состава.
В двух других делах суды квалифицировали действия операторов по ст. 19.7 КоАП РФ – как непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления контрольно-надзорной функции.
Постановлением мирового судьи судебного участка № 349 района Беговой г. Москвы от 8 июля 2024 года по делу № 5-1009/349/2024 АО «Ньюс Медиа» было привлечено к административной ответственности по ст. 19.7 КоАП РФ. Роскомнадзор установил, что общество использует на принадлежащих ему интернет-ресурсах метрические системы и тем самым передаёт персональные данные пользователей за рубеж в целях показа рекламы, уведомление о намерении осуществлять трансграничную передачу было направлено лишь после начала такой передачи, что суд квалифицировал как несвоевременное представление сведений в уполномоченный орган.
Постановлением мирового судьи судебного участка № 363 района Хамовники г. Москвы от 23 декабря 2025 года по делу № 5-1535/2025 ООО «Правовые новости» признано виновным в совершении правонарушения, предусмотренного ст. 19.7 КоАП РФ. Роскомнадзор зафиксировал использование на интернет-ресурсах оператора иностранной метрической программы, квалифицировал это как трансграничную передачу персональных данных и установил, что уведомление о намерении осуществлять такую передачу не направлялось.
Доводы защиты о том, что обработка обезличенных идентификаторов и IP-адресов якобы не образует обработки персональных данных, суд отклонил, опираясь на закреплённое в законе понимание персональных данных как любой информации, относящейся к прямо или косвенно определяемому физическому лицу.
Такая «миграция» правоприменения между ч. 10 ст. 13.11 и ст. 19.7 КоАП РФ показывает, что система административной ответственности за нарушения в сфере трансграничной передачи персональных данных пока не настроена под содержательную природу этих нарушений и нуждается в выделении самостоятельного состава.
Локализация персональных данных vs. трансграничная передача персональных данных
Вступление в силу 1 июля 2025 года новых правовых норм о локализации персональных данных российских граждан явилось очередным шагом по защите национального информационного суверенитета. Закон установил (ч. 5 ст. 18 Закона № 152-ФЗ), что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением отдельных случаев, прямо предусмотренных законом.
Требование о локализации данных в России не означает автоматического запрета на трансграничную передачу персональных данных. Вместе с тем, логика развития российского информационного права предполагает, что теперь трансграничная передача персональных данных возможна лишь в ограниченных случаях, когда она не нарушает требования о локализации.
Локализация выступает как механизм защиты данных на этапе сбора: она удерживает персональные данные российских граждан в российской юрисдикции. Трансграничная передача персональных данных – это последующий этап, который допускается законом при условии полного соблюдения требований о локализации. Таким образом, Закон о персональных данных устанавливает двойной барьер: локализация – не допустить, чтобы данные собирались не на российские серверы, и контроль трансграничной передачи персональных данных – не допустить несанкционированного или опасного перевода данных за рубеж. Эти механизмы дополняют друг друга: сначала данные «приземляются» в РФ, а затем их вывоз контролируется уведомительным и разрешительным порядком.
Для бизнеса такое разграничение означает, что компании должны, во-первых, обеспечить инфраструктуру в России для хранения персональных данных россиян — требование о локализации данных предполагает использование серверов или отечественных дата-центров, расположенных на территории РФ. Во-вторых, тщательно оценивать юридические риски каждой передачи данных за рубеж в рамках трансграничной передачи персональных данных, проверять, есть ли в принимающей стране адекватная защита, получать согласия, подавать уведомления в Роскомнадзор.
Трансграничная передача персональных данных в рутинных бизнес-операциях
На практике трансграничная передача персональных данных возникает значительно чаще, чем принято думать, – в том числе в ходе вполне обыденных коммерческих операций, при которых ни оператор, ни его контрагенты не осознают, что подпадают под режим ст. 12 Закона № 152-ФЗ.
Возьмём, например, заключение договора с иностранным контрагентом. В тексте договора и сопроводительных документах фигурируют фамилия, имя и должность директора, нередко – также паспортные данные, номер телефона и адрес электронной почты подписанта. Передача этих сведений иностранной стороне формально полностью укладывается в определение, закрепленное в п. 11 ч. 1 ст. 3 Закона № 152-ФЗ: персональные данные физического лица передаются иностранному юридическому лицу.
Следовательно, формально оператор должен выполнить весь набор требований ст. 12 Закона № 152-ФЗ – подать уведомление в Роскомнадзор, обеспечить наличие правового основания, оценить уровень защиты в стране-получателе. Каждое подписание контракта с зарубежным партнёром, таким образом, формально запускает отдельный комплаенс-процесс.
Не менее распространённый сценарий — размещение на сайте российского оператора кода Google Analytics, систем веб-аналитики, рекламных пикселей: данные посетителей – IP-адреса, идентификаторы cookies, параметры устройств, история навигации – передаются на серверы иностранной компании.
Эту квалификацию прямо подтвердило Минцифры России в письме от 12.05.2025 № П25-44929 «О применении отдельных положений Федерального закона от 28.02.2025 № 23-ФЗ», указав, что использование отдельных метрических программ, в частности Google Analytics, функционал которых предполагает обработку персональных данных, является трансграничной передачей в понимании п. 11 ст. 3 Закона № 152-ФЗ и подпадает под правовое регулирование ст. 12 этого закона.
Указанная позиция нашла прямое отражение в правоприменительной практике – в упомянутом выше деле № 5-1535/2025 ООО «Правовые новости» было привлечено к административной ответственности по ст. 19.7 КоАП РФ за неуведомление Роскомнадзора о трансграничной передаче, осуществлявшейся через иностранную метрическую программу. Иными словами, одна строчка JavaScript-кода на сайте автоматически переводит оператора в режим «трансграничного экспортёра данных» со всеми сопутствующими обязанностями.
Перечень таких сценариев не исчерпывается двумя примерами: внутригрупповая переписка с иностранными участниками группы, использование зарубежных облачных хранилищ, бронирование гостиниц для сотрудников за рубежом, направление документов иностранным юридическим консультантам, привлечение зарубежного аудитора — всё это формально подпадает под режим ст. 12 Закона № 152-ФЗ, вне зависимости от объёма передаваемых данных и реальных рисков для субъектов.
Трансграничная передача персональных данных – сравнение с подходами ЕС, США и Китая
Регулирование трансграничной передачи персональных данных в России имеет как сходства, так и различия с иностранными правовыми режимами. Рассмотрим три юрисдикции – Европейский союз, США и Китай.
Европейский союз: трансграничная передача персональных данных по GDPR
В Европейском союзе вопросы вывоза персональных данных регулируются Общим регламентом по защите данных (GDPR). GDPR допускает трансграничную передачу персональных данных в третьи страны лишь при наличии адекватного уровня защиты в стране-получателе или при обеспечении иных гарантий.
Европейская комиссия утверждает перечень стран, признанных обеспечивающими адекватную защиту (например, Канада, Япония, Великобритания и др.), аналогично подходу российского Роскомнадзора. Если данные планируется передавать в страну, не отвечающую требованиям об адекватной защите, европейские компании обязаны использовать стандартные договорные положения (Standard Contractual Clauses, SCC) или другие механизмы (правила корпоративной группы, кодексы поведения) для защиты данных. Также в соответствии с нормами GDPR трансграничная передача персональных данных допускается на основании прямого согласия субъекта данных либо необходимости исполнения договора с ним.
Существенно, что в ЕС компании не обязаны уведомлять регулятора о каждой трансграничной передаче персональных данных – процесс более автономный, и достаточно юридически оформить защитные меры. Кроме того, ЕС не требует хранить данные граждан локально внутри страны – правило локализации в Европе применяется лишь точечно, например, для особо чувствительных категорий данных или отдельных секторов.
США: регулирование трансграничной передачи данных и DOJ Bulk Data Rule
В США отсутствует единый федеральный закон, всеобъемлюще регулирующий защиту персональных данных и трансграничную передачу персональных данных. Американское законодательство строится по секторальному принципу – есть законы о финансовой тайне, о медицинской информации (HIPAA), о защите данных детей (COPPA), ряд штатов (например, Калифорния с CCPA/CPRA) приняли собственные акты о приватности. Для трансферов данных из ЕС в США ранее действовала система «Privacy Shield», отменённая в 2020 г. решением Европейского суда; в 2023 г. ей на смену пришло Соглашение о защите данных ЕС–США (Data Privacy Framework).
Принципиально новый этап в американском регулировании наступил с принятием в исполнение Executive Order 14117 от 28 февраля 2024 года финального правила Министерства юстиции США, неформально известного как DOJ Bulk Data Rule (Bulk Data Transfer Rule), а формально – «Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons» (28 CFR Part 202). Правило учреждает Data Security Program и вступило в силу 8 апреля 2025 года; обязательные требования по due diligence, аудиту и отчётности для restricted transactions начали действовать с 6 октября 2025 года, а полное правоприменение – с июля 2025 года после окончания периода добросовестного соблюдения.
По своей юридической природе DOJ Bulk Data Rule представляет собой акт экспортно-санкционного контроля, а не закон о защите персональных данных в духе GDPR. Правило принято в рамках полномочий по International Emergency Economic Powers Act, контролируется National Security Division Минюста и работает по логике, близкой к санкционным режимам OFAC: оно не устанавливает общих требований к каждой трансграничной передаче, но прямо запрещает или ограничивает строго определённый перечень сделок – data brokerage, vendor-, employment- и investment-соглашения – с covered persons и резидентами «стран, вызывающих опасения» (Китай, Россия, Куба, Иран, КНДР, Венесуэла), если эти сделки предоставляют им доступ к bulk U.S. sensitive personal data или government-related data.
«Bulk» при этом определён жёсткими количественными порогами: например, биометрические данные – от 1 000 субъектов, геномные данные – от 100 субъектов, идентификаторы (имена, привязанные к SSN, e-mail, идентификаторам устройств) – от 100 000 субъектов в течение скользящего 12-месячного периода. Большинство обычных коммерческих трансграничных передач под Rule вообще не подпадают.
Такая конструкция делает американский режим методологически самостоятельным и одновременно превращает его в почти эталонную иллюстрацию принципа дифференцированного регулирования: ограничения работают одновременно по объёму (bulk thresholds), по категории (sensitive / government-related), по типу сделки и по стране-получателю. Эта многомерная градация представляет наибольший интерес для сопоставления с российским подходом, к чему мы вернёмся ниже.
Китай: трансграничная передача персональных данных по PIPL
Китай реализует, пожалуй, наиболее жёсткую и одновременно тщательно градуированную модель регулирования трансграничной передачи. С 1 ноября 2021 года в КНР действует Закон о защите личной информации (Personal Information Protection Law, PIPL), построенный во многом по образцу GDPR, но с выраженной «китайской спецификой».
PIPL имеет экстерриториальное действие: его нормы распространяются и на иностранные компании, обрабатывающие данные физических лиц, находящихся в КНР, в связи с предоставлением им товаров и услуг или анализом их поведения — по аналогии с экстерриториальным действием GDPR в ЕС.
PIPL предусматривает несколько альтернативных правовых механизмов: оценку безопасности государственным регулятором (Cyberspace Administration of China, CAC); сертификацию защиты персональной информации в уполномоченной организации; заключение с иностранным получателем договора по стандартной форме, утверждённой регулятором; иные механизмы, предусмотренные международными договорами или подзаконными актами. Дополнительно при передаче данных за рубеж требуются отдельное согласие субъекта, оценка воздействия (PIPIA), а в ряде случаев — назначение представителя на территории КНР.
Принципиально важно, что китайское регулирование выстроено с явной градацией: жёсткие требования (включая обязательную государственную оценку безопасности) применяются прежде всего к операторам критической информационной инфраструктуры, к операторам, обрабатывающим персональные данные большого количества субъектов (с пороговыми значениями, установленными подзаконными актами CAC), а также к передачам особо чувствительных категорий данных. Для менее значимых передач предусмотрены упрощённые механизмы – стандартные договоры или сертификация. В марте 2024 года Китай дополнительно смягчил режим для трансграничных передач неперсональной информации и операций малого бизнеса с целью поддержания инвестиционной привлекательности экономики.
С 1 января 2026 года «трёхпутевая» система была окончательно достроена: вступили в силу Меры по сертификации защиты персональной информации при трансграничной передаче, совместно изданные Cyberspace Administration of China (CAC) и Государственным управлением по рыночному регулированию (SAMR). Меры детально регламентируют третий путь – сертификацию: требования к органам по сертификации, процедуру аудита, содержание сертификата, обязательства оператора перед субъектами данных и трансграничный договор с иностранным получателем как обязательное условие сертификации.
Тем самым все три механизма – оценка безопасности CAC, стандартный договор и сертификация – получили законченное нормативное оформление, что существенно повысило правовую определённость для операторов, в том числе иностранных компаний, работающих с данными лиц, находящихся в КНР.
Сравнительная таблица: дифференциация регулирования трансграничной передачи
Для наглядности основные параметры, определяющие наличие или отсутствие градации в регулировании трансграничной передачи (а не связанные с ней общие санкции за нарушения локализации или иной обработки), сведены в следующую таблицу:
| Критерий дифференциации | Россия (152-ФЗ) | ЕС (GDPR) | США (DOJ Bulk Data Rule) | Китай (PIPL) |
|---|---|---|---|---|
| Дифференциация по объёму передаваемых данных | Отсутствует — единый режим уведомления независимо от объёма | Учитывается косвенно через DPIA для масштабной обработки | Прямая количественная градация — пороги bulk (например, биометрия — от 1 000 субъектов, идентификаторы — от 100 000) | Прямые количественные пороги по числу субъектов, определяющие применимый механизм |
| Дифференциация по категории данных | Не предусмотрена в порядке трансграничной передачи | Усиленный режим для специальных категорий (ст. 9 GDPR) | Выделены sensitive personal data и government-related data | Усиленный режим для чувствительной личной информации (sensitive PI) |
| Дифференциация по виду деятельности / статусу оператора | Точечно — отдельные отраслевые акты (например, ФЗ № 87-ФЗ о транспортно-экспедиционной деятельности) | Секторальные нормы (медицина, финансы, телеком) | Выраженно секторальный подход; режим работает по типам сделок (data brokerage, vendor, employment, investment) | Особый режим для операторов критической информационной инфраструктуры и крупных операторов ПД |
| Дифференциация по стране-получателю | Перечень из 89 «адекватных» государств (Приказ Роскомнадзора № 128); для остальных — общий уведомительный порядок | Решения об адекватности Еврокомиссии; для прочих стран — SCC, BCR, иные гарантии | Прямые запреты в отношении «стран, вызывающих опасения» (Китай, Россия, Куба, Иран, КНДР, Венесуэла) | Не используется список адекватных стран; режим строится через оценку безопасности и сертификацию |
| Природа основного механизма контроля | Уведомительно-разрешительный (уведомление в Роскомнадзор; для стран вне перечня — 10-дневный срок) | Рамочный, основанный на самостоятельно избираемых правовых механизмах (без обязательного уведомления) | Экспортно-санкционный по природе (28 CFR Part 202; контроль National Security Division DOJ) | Разрешительный для крупных передач (оценка безопасности CAC) либо договорно-сертификационный для остальных; с 01.01.2026 трёхпутевая система (оценка безопасности / стандартный договор / сертификация CAC + SAMR) получила окончательное нормативное оформление |
Сопоставление показывает, что зарубежные правопорядки строят регулирование трансграничной передачи на основе многомерной градации: по объёму обрабатываемых данных, по категории данных, по виду деятельности оператора, по статусу принимающей страны. При этом наиболее жёстким и всеобъемлющим регулятором трансграничных потоков данных в части защиты прав субъектов остаётся ЕС с его GDPR – режим строгий, но гибкий в выборе инструментов.
Американский DOJ Bulk Data Rule по природе иной: это акт экспортно-санкционного контроля с узким предметным охватом (только bulk sensitive data в сделках с «опасными» странами), а не общий закон о защите данных. Россия же на данный момент применяет к большинству ситуаций единый универсальный режим, что в условиях массовой цифровизации создаёт сложности, к которым мы переходим ниже.
Трансграничная передача персональных данных – коллизии закона
Действующее регулирование при всей своей внешней стройности порождает целый ряд внутренних противоречий и практических затруднений. Среди них можно выделить три значимые группы проблем – дефект самого определения трансграничной передачи, коллизия трансграничной передачи и локализации, а также отсутствие градации регулирования.
Дефект определения термина «трансграничная передача персональных данных»
Одна из заметных проблем – узость и формальность определения, закреплённого в п. 11 ч. 1 ст. 3 Закона № 152-ФЗ. Термин охватывает лишь прямую передачу персональных данных иностранному получателю, оставляя за рамками регулирования целый ряд распространённых сценариев цифровой эпохи. Юридическая фирма Инмар подготовила и направила в Государственную Думу законодательную инициативу по совершенствованию законодательства о персональных данных, направленную на устранение этого пробела.
Действующая формулировка не охватывает, в частности, обмен данными между российскими пользователями через иностранные мессенджеры, иностранную почту и SaaS-сервисы, при котором хранение и маршрутизация осуществляются на серверах за рубежом, удалённый доступ иностранных подрядчиков к базам данных, размещённым в России (техническая поддержка, администрирование, мониторинг SOC, удалённая диагностика), резервное копирование и репликацию данных в зарубежные дата-центры, доступ зарубежных центров мониторинга и привлечение иностранных подрядчиков – все ситуации, в которых данные либо физически покидают российскую юрисдикцию, либо становятся доступны иностранным лицам, но при буквальном прочтении нормы трансграничной передачей не считаются.
Эта же проблема порождает коллизию между требованиями о локализации (ч. 5 ст. 18 Закона № 152-ФЗ) и публичными разъяснениями регулятора, по которым обмен между российскими лицами через иностранные сервисы трансграничной передачей не признаётся: де-факто данные собираются на оборудовании, находящемся вне российской юрисдикции, что прямо противоречит требованиям о локализации, а де-юре, по формальному толкованию п. 11 ч. 1 ст. 3, состава трансграничной передачи не возникает только потому, что отправитель и получатель – российские лица.
Та же коллизия воспроизводится применительно к иностранным облачным сервисам – хранилищам данных, корпоративным платформам и SaaS-решениям (например, AWS S3, Google Cloud Storage, Microsoft Azure, корпоративные версии Microsoft 365 или Google Workspace), когда ими пользуются российские компании для хранения данных своих российских же клиентов или сотрудников.
Отправитель данных – российская компания, получатель – тоже российская компания или российский пользователь; иностранный облачный провайдер в этой конструкции выступает лишь техническим посредником-хранителем, не являясь самостоятельным получателем данных в смысле п. 11 ч. 1 ст. 3 Закона № 152-ФЗ. Ведомственные разъяснения последовательно придерживаются этой логики: раз конечный получатель – российское лицо, трансграничной передачи нет.
Тогда как в случае с метрическими программами (Google Analytics и аналогами) квалифицирующий признак принципиально иной: иностранная компания сама является конечным получателем и самостоятельным обработчиком данных – в своих рекламных и аналитических целях, – а не просто технической средой передачи.
Получается парадоксальная картина: российская компания, которая хранит персональные данные клиентов на серверах AWS в Ирландии, формально не осуществляет трансграничную передачу и не обязана уведомлять Роскомнадзор – но при этом грубо нарушает требования о локализации. Российская компания, разместившая на своём сайте счётчик Google Analytics, напротив, совершает трансграничную передачу и обязана уведомить регулятора. Обе ситуации одинаково незаконны – но по разным основаниям и с разными правовыми последствиями.
На наш взгляд, решением описанных коллизий должно служить не ужесточение запретов и не расширение уведомительных обязанностей применительно ко всем без исключения трансграничным операциям. Мы убеждены, что законодательство в этой сфере нуждается в двух взаимосвязанных точечных изменениях.
Первая – чёткое законодательное определение трансграничной передачи, охватывающее все случаи фактического перемещения данных за пределы российской юрисдикции или их фактической доступности иностранным лицам, включая облачное хранение и удалённый доступ; такой подход закреплён в законодательной инициативе нашей фирмы, направленной в Государственную Думу.
Вторая – последовательная дифференциация регуляторных требований: для обычных бизнес-операций, не затрагивающих критическую информационную инфраструктуру, специальные категории персональных данных или субъектов, находящихся под особой защитой, трансграничная передача должна осуществляться без избыточного регулирования.
Жёсткий контроль при этом необходимо сосредоточить там, где он действительно оправдан: на передачах данных критической инфраструктуры, биометрических и медицинских сведений, массовых клиентских баз – особенно в юрисдикции, представляющие реальные риски для прав субъектов и национальной безопасности.
В рамках законодательной инициативы юридической фирмы Инмар предлагается уточнить определение, признавая трансграничной передачей любые действия, в результате которых персональные данные перемещаются за пределы территории Российской Федерации – включая запись, систематизацию, накопление, хранение, уточнение и извлечение в информационных системах, расположенных за рубежом, – либо становятся доступными иностранному государственному органу, иностранному физическому или юридическому лицу, международной организации либо иному лицу, находящемуся за пределами территории Российской Федерации.
Принятие подобной формулировки устранило бы выявленные пробелы и распространило нормы ст. 12 Закона № 152-ФЗ на трансграничные процессы обработки данных, которые де-факто происходят, но под действующее определение не подпадают.
Соотношение трансграничной передачи и локализации: формальный обход требований
Некоторые отечественные специалисты в сфере персональных данных полагают, что требование о локализации данных касается только первичного сбора персональных данных. После того, как такой массив данных собран на территории России, по их мнению оператор вправе осуществлять трансграничную передачу персональных данных и полностью или частично передавать в иностранные юрисдикции базы с персональными данными российских граждан.
На наш взгляд, такая позиция противоречит концепции национального информационного суверенитета и создает существенные риски для операторов, которые будут следовать подобным рекомендациям.
Во-первых, любая трансграничная передача персональных данных российских лиц, при которой эти данные сохраняются на оборудовании, находящемся под иностранной юрисдикцией, создаёт сбор этих данных на иностранном оборудовании. Следовательно, это прямое нарушение ч. 5 ст. 18 Закона № 152-ФЗ. Никакое распределение функций при обработке данных — аргументация в духе «сбор осуществляется в России, а в иностранную CRM данные уже переданы для обработки, что выходит за рамки понятия сбора» — не защитит от обоснованных претензий регулирующих органов.
Во-вторых, если российский законодатель ориентирован на создание режима максимальной защиты национального информационного суверенитета, составляющей частью которого являются персональные данные граждан, трудно объяснить, почему персональные данные граждан России должны передаваться в какие-то зарубежные программы. Ведь можно использовать российские аналоги соответствующего программного обеспечения. Можно изменить архитектуру иностранного программного обеспечения, с тем, чтобы персональные данные всегда находились в России, а иностранная программная оболочка лишь обрабатывала их.
Необходимость градации регулирования
Третья принципиальная проблема российского регулирования – его универсальность и, как следствие, избыточность применительно к трансграничной передаче. Действующая модель применяет единый набор уведомительных и разрешительных процедур ко всем без исключения операциям, подпадающим под определение трансграничной передачи: и к разовой передаче минимального объёма данных, и к систематическому экспорту крупных клиентских массивов, и к обмену между связанными лицами в рамках одной коммерческой сделки, и к промышленному data brokerage, и к передаче в дружественную юрисдикцию из «белого списка», и в государство, представляющее реальные риски для прав субъектов.
Каждая такая операция формально требует подачи уведомления и – для стран вне перечня адекватной защиты – десятидневного ожидания. Бизнес теряет время и оперативность, а контролирующий орган распыляет ресурс на значительный объём низкорисковых случаев, которые сами по себе не несут угрозы информационному суверенитету.
Сравнительный обзор зарубежных правопорядков, приведённый выше, демонстрирует иную, выраженно градуированную логику. Регулирование трансграничной передачи в этих юрисдикциях выстраивается одновременно по нескольким критериям, которые могут применяться как самостоятельно, так и в сочетании.
Первый критерий – статус оператора. Особо строгий режим логично закрепить за государственными и муниципальными органами, операторами критической информационной инфраструктуры и иными лицами, чья деятельность по своей природе связана с повышенными рисками для национальной безопасности; эта модель реализована в КНР.
Второй – объём передаваемых данных: наиболее жёсткие требования должны применяться к «массовым» передачам, по аналогии с порогами bulk в DOJ Bulk Data Rule (биометрические данные – от 1 000 субъектов, идентификаторы – от 100 000, геномные данные – от 100), тогда как разовая передача данных одного-двух физических лиц очевидно не должна запускать тот же контрольный механизм.
Третий – категория самих данных: усиленный режим логичен для специальных категорий, прежде всего биометрических, медицинских и данных о состоянии здоровья, что требует учёта подходов к категориям данных и отраслевой специфики – в частности, особенностей обработки персональных данных в медицинских организациях. Четвёртый – вид деятельности оператора: точечное отраслевое регулирование, учитывающее природу конкретного бизнеса.
Российский законодатель уже опирался на этот четвёртый принцип — в Федеральном законе от 30.06.2003 № 87-ФЗ «О транспортно-экспедиционной деятельности» с изменениями, внесёнными Федеральным законом от 07.06.2025 № 140-ФЗ. Закон обязывает экспедитора обеспечивать приём, передачу и сохранность информации об экспедиционных услугах с использованием баз данных и технических средств, находящихся на территории Российской Федерации, и одновременно прямо запрещает передачу за рубеж информации, содержащей персональные данные клиентов, за единственным исключением – передачи персональных данных клиентов, являющихся стороной договора транспортной экспедиции при оказании услуг по организации международных перевозок грузов, при условии, что такая передача допускается международными договорами Российской Федерации и Законом № 152-ФЗ.
Это решение показывает, как точечное отраслевое регулирование одновременно защищает национальный информационный суверенитет и сохраняет функциональность международных коммерческих отношений в конкретной отрасли.
Распространение подобного подхода – с дифференциацией по субъекту, объёму, категории данных и виду деятельности – на общий закон о персональных данных позволило бы снизить избыточную регуляторную нагрузку для добросовестного бизнеса в простых случаях и одновременно сосредоточить административный ресурс на действительно рисковых сценариях массовой обработки и передачи чувствительных данных.
FAQ – часто задаваемые вопросы
Является ли использование Google Analytics на сайте российского оператора трансграничной передачей персональных данных?
Да. Это прямо подтверждено письмом Минцифры России от 12.05.2025 № П25-44929: использование отдельных метрических программ, в частности Google Analytics, функционал которых предполагает обработку персональных данных, является трансграничной передачей в понимании п. 11 ст. 3 Закона № 152-ФЗ и подпадает под регулирование ст. 12 этого закона.
Перед использованием Google Analytics необходимо подать уведомление в Роскомнадзор по форме, размещённой на Портале персональных данных (pd.rkn.gov.ru).
Использование Google-таблиц или иных облачных инструментов Google для совместной работы – это трансграничная передача?
По публичным разъяснениям регулирующих органов, в подобных случаях трансграничной передачи персональных данных не возникает (логика та же, что и применительно к иностранным мессенджерам: формально «передача» осуществляется между российскими пользователями). Вместе с тем эта позиция не устраняет другую проблему – нарушение требований о локализации, установленных ч. 5 ст. 18 Закона № 152-ФЗ.
Если в Google-таблицах происходит сбор, систематизация, накопление и хранение персональных данных граждан Российской Федерации, то всё это происходит с использованием баз данных, находящихся за пределами территории РФ, что прямо запрещено законом. Таким образом, при отсутствии формальной квалификации в качестве трансграничной передачи использование подобных сервисов всё равно создаёт серьёзный риск ответственности по составам, связанным с нарушением локализации.
Образует ли трансграничную передачу указание данных российского директора в договоре с иностранным контрагентом?
Формально – да. По букве п. 11 ч. 1 ст. 3 Закона № 152-ФЗ передача фамилии, имени, должности и иных персональных данных физического лица иностранному юридическому лицу подпадает под определение трансграничной передачи и формально требует подачи уведомления в Роскомнадзор. Этот пример демонстрирует один из недостатков нынешней редакции закона – отсутствие градации в зависимости от объёма и характера передаваемых данных.
Что грозит за неуведомление Роскомнадзора о трансграничной передаче персональных данных?
Специального состава административного правонарушения за неуведомление о трансграничной передаче в КоАП РФ нет. На практике суды квалифицируют такие нарушения по различным статьям – чаще всего по ст. 19.7 КоАП РФ (непредставление сведений в государственный орган), реже – по отдельным частям ст. 13.11 КоАП РФ. Размеры штрафов в имеющейся практике относительно невелики (3 000 рублей в обоих упомянутых делах), однако это не отменяет рисков, связанных с возможным запретом или ограничением передачи Роскомнадзором, а также сопутствующих нарушений по составам, связанным с локализацией данных.
Можно ли начать трансграничную передачу сразу после подачи уведомления в Роскомнадзор?
Это зависит от страны-получателя. Если страна включена в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных (89 государств по Приказу Роскомнадзора от 05.08.2022 № 128) или является участником Конвенции Совета Европы № 108, передачу можно начинать сразу после направления уведомления. Если страна в перечне не значится, оператор обязан дождаться истечения 10 рабочих дней с момента направления уведомления и убедиться, что Роскомнадзор не запретил передачу.
Распространяется ли режим трансграничной передачи на персональные данные сотрудников?
Да. Трудовые отношения не выводят персональные данные работников из-под действия ст. 12 Закона № 152-ФЗ. Передача работодателем сведений о сотруднике иностранной организации — принимающей стороне командировки, иностранному заказчику по договору о предоставлении персонала, иностранному банку для выплаты вознаграждения — подпадает под определение трансграничной передачи и требует соблюдения всех условий: наличия правового основания (как правило, согласия на обработку персональных данных работника или необходимости исполнения трудового договора), уведомления Роскомнадзора и, для стран вне перечня адекватной защиты, ожидания 10-дневного срока.
На практике работодателям рекомендуется включать соответствующее согласие на трансграничную передачу персональных данных сотрудников непосредственно в трудовой договор или оформлять его отдельным документом.
Требуется ли согласие субъекта на трансграничную передачу его данных?
Если страна-получатель включена в перечень адекватной защиты, отдельного согласия на трансграничную передачу не требуется (общие основания обработки по ст. 6 Закона № 152-ФЗ остаются обязательными). Для стран, не включённых в перечень, требуется специальное правовое основание – чаще всего письменное согласие субъекта персональных данных на трансграничную передачу либо одно из иных оснований, прямо предусмотренных законом (исполнение договора со стороной которого является субъект, защита жизни и здоровья и т. п.).
Трансграничная передача персональных данных – мировой тренд на контроль со стороны государства
Государственный контроль над трансграничными потоками данных — не российская специфика. ЕС, США и Китай движутся в том же направлении, но каждый выстраивает собственную архитектуру ограничений. Европейский союз создал наиболее разработанный режим защиты прав субъектов — строгий, но гибкий в выборе инструментов, без обязательного уведомления регулятора и без требования локализации. США применяют точечный, санкционно-ориентированный инструментарий: DOJ Bulk Data Rule адресован не бизнесу в целом, а узкому классу сделок с «опасными» юрисдикциями. Китай выстроил многоуровневую систему, в которой интенсивность контроля прямо зависит от категории данных, масштаба оператора и страны назначения.
Россия по жёсткости формальных требований к операторам превосходит ЕС: она ввела обязательную локализацию и уведомительно-разрешительный порядок трансграничной передачи без каких-либо изъятий по объёму или категории данных. Вместе с тем по содержательной эффективности этот режим уступает зарубежным аналогам — из-за отсутствия градации он создаёт максимальную нагрузку там, где риск минимален, и не даёт регулятору инструментов для концентрации ресурсов на действительно опасных передачах.
Для бизнеса это означает практическое следствие: трансграничная передача персональных данных сегодня требует одновременного учёта требований нескольких правовых систем. Российские операторы, передающие данные за рубеж, и иностранные компании, работающие с данными граждан РФ, вынуждены балансировать между Законом № 152-ФЗ, GDPR, PIPL и — в части сделок с американской стороной — DOJ Bulk Data Rule. Правовой анализ каждой такой операции перестал быть формальностью.
Если ваша компания передаёт данные за рубеж или использует иностранные сервисы, мы готовы оценить риски и выстроить корректную модель комплаенса. Наши юристы по защите персональных данных сопровождают операторов на всех этапах — от подготовки уведомлений в Роскомнадзор до защиты по административным делам.
Эксперт по теме
Старший партнер