Трансграничная передача персональных данных в 2025 году: как избежать штрафов и сохранить доверие клиентов

С 1 июля 2025 года в России вступают в силу новые правила обработки персональных данных, ужесточающие требования к трансграничной передаче информации. Эти изменения затрагивают все компании, работающие с данными граждан РФ, особенно тех, кто использует иностранные сервисы или хранит данные за рубежом.

Что изменилось?

Согласно новой редакции части 5 статьи 18 Федерального закона № 152-ФЗ «О персональных данных», операторам запрещено:

Записывать, систематизировать, накапливать, хранить, уточнять и извлекать персональные данные граждан РФ с использованием баз данных, находящихся за пределами территории РФ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 этого закона.

Это означает, что использование иностранных сервисов для обработки персональных данных без соответствующих оснований становится нарушением закона.

Что такое трансграничная передача данных — простыми словами

Трансграничная передача персональных данных — это передача информации на территорию другого государства, в том числе иностранному контрагенту, сервису или провайдеру. Даже если вы пользуетесь привычными облачными решениями — вы, возможно, уже нарушаете закон.

Примеры трансграничной передачи персональных данных

• Google Формы — вы отправляете клиенту бриф в форме, клиент заполняет поля, и всё автоматически уходит на серверы Google за границей.
• Почта Gmail — заявки с сайта направляются на адрес вида info@company.gmail.com. Это тоже трансграничная передача.
• Сервисы аналитики (Google Analytics, Tag Manager, ReCAPTCHA) — собирают cookie, IP-адреса, поведение пользователей. Роскомнадзор прямо признал эти данные персональными и считает, что их передача — трансгранична.
• Trello, Notion, Airtable, Slack — хранение клиентских данных, задач, обсуждений = трансграничная передача.
• CRM с иностранной инфраструктурой — Pipedrive, HubSpot и др.

Важно: amoCRM (Kommo) и Битрикс24 — российские продукты. При использовании серверов в РФ трансграничной передачи может не быть. Но как только подключаются внешние интеграции — она возникает.

Что говорит Роскомнадзор про Google Аналитику

"Использование функционала Google Analytics позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении — что указывает на обработку его персональных данных". (Роскомнадзор, письмо от 22.11.2023)

"Сведения, собираемые метрическими сервисами, являются персональными данными. И должны обрабатываться с соблюдением закона 152-ФЗ. Требуется уведомление и согласие пользователя". (Вебинар Роскомнадзора от 01.03.2023)

Таким образом, аналитика Google = трансграничная передача. Причины:

• Данные обрабатываются за рубежом;
• Политика конфиденциальности Google предусматривает передачу данных другим странам;
• Невозможно обеспечить локализацию баз в РФ.

Требования РКН к аналитике:

1. Получить согласие пользователя на сбор и передачу данных.
2. Сообщить, что осуществляется трансграничная передача.
3. Обеспечить хранение данных в РФ (практически невыполнимо для Google Analytics).

Как уведомлять Роскомнадзор о трансграничной передаче

Согласно изменениям, вступившим в силу с 1 марта 2023 года (Закон №266-ФЗ):

• Компании обязаны уведомлять Роскомнадзор о трансграничной передаче персональных данных.
• Передавать данные в страны с недостаточной защитой можно только после одобрения от РКН.
• Перечень стран с адекватной защитой утверждён Приказом Роскомнадзора №128 от 05.08.2022.
• США в этот перечень не входят.

Процедура:

1. Получить от получателя данных сведения об адресе, юрисдикции, мерах защиты и условиях обработки.
2. Оценить правовое регулирование в его стране (если она не входит в список РКН).
3. Подать уведомление через сайт Роскомнадзора.

После подачи уведомления в страны с неадекватной защитой передача возможна только через 10 рабочих дней (если не получено возражений от РКН).

Что грозит за нарушение

• Неуведомление РКН: штраф 3 000–5 000 рублей (для юрлиц).
• Передача данных при запрете: штраф до 100 000 рублей.
• Нарушение локализации: штраф до 6 млн рублей.
• Оборотные штрафы: до 3% выручки компании, если произошла утечка данных.
• Уголовная ответственность: до 8 лет лишения свободы.

Что делать?

1. Аудит всех точек сбора данных — формы, письма, CRM, метрики.
2. Локализация — перенос обработки данных на российские серверы.
3. Документы — обновление политики конфиденциальности, оферт, согласий.
4. Уведомление РКН — если вы всё же передаёте данные за рубеж.
5. Обучение команды — чтобы все понимали, как не налететь на штраф.

Как мы можем помочь

В условиях ужесточения законодательства особенно важно обеспечить полное соответствие вашего сайта новым требованиям. Мы предлагаем:

• Аудит сайта и всех подключенных сервисов.
• Оценку рисков трансграничной передачи.
• Подготовку и внедрение нужных документов.
• Настройку безопасных форм, отказ от рисковых интеграций.
• Консультации по уведомлению РКН.

Грамотно оформленный сайт — это не только про дизайн. Это ещё и про закон. Если вам нужен сайт, который и выглядит современно, и соответствует требованиям 152-ФЗ — просто напишите нам. А мы сделаем всё остальное.