Трансграничная передача персональных данных: новые правила и требования для бизнеса в 2025 году
С 1 июля 2025 года в России действуют ужесточенные правила по локализации и трансграничной передаче персональных данных граждан РФ. Новые требования касаются всех компаний, работающих с персональными данными и использующих зарубежные сервисы.
Трансграничная передача персональных данных становится одним из наиболее регулируемых аспектов защиты информации в России. С каждым годом требования ужесточаются, а штрафы за нарушения достигают десятков миллионов рублей. Осуществление трансграничной передачи персональных данных требует от бизнеса не только понимания текущих норм, но и готовности к постоянным изменениям в законодательстве.
Что является трансграничной передачей персональных данных
Согласно статье 3 Федерального закона №152-ФЗ, трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Для того чтобы определить, что относится к трансграничной передаче персональных данных, необходимо соблюдение трех критериев одновременно:
- Передаются именно персональные данные
- Данные передаются иностранному лицу (физическому, юридическому или органу власти)
- Данные передаются на территорию иностранного государства
Примеры трансграничной передачи
На практике трансграничные персональные данные передаются в следующих случаях:
- Использование Google Analytics для сбора метрик посетителей сайта
- Отправка документов с персональными данными по электронной почте иностранному партнеру
- Бронирование номеров для сотрудников при направлении в загранкомандировки
- Использование облачных сервисов (Dropbox, OneDrive) для хранения баз данных
- Передача данных через мессенджеры (Telegram, WhatsApp), если серверы находятся за рубежом
Новые требования к локализации с 1 июля 2025 года
Существенные изменения в трансграничную обработку персональных данных внесены поправками, которые вступили в силу 1 июля 2025 года. Новая редакция части 5 статьи 18 Федерального закона №152-ФЗ устанавливает прямой запрет на использование зарубежных баз данных при сборе персональных данных граждан РФ.
Ключевые изменения в локализации
До 1 июля 2025 года действовала позитивная обязанность операторов использовать российские базы данных. С 1 июля 2025 года введен императивный запрет на использование зарубежных баз данных при сборе персональных данных.
Изменения касаются не только операторов, но и обработчиков персональных данных, работающих по поручению. Это означает, что любая схема сбора данных, включающая участие иностранной информационной системы, становится незаконной.
Все типы организаций, ИП, ООО
Все, ОСНО, ПСН, УСН
Да
- Для новых ИП – обслуживание и бухгалтерия бесплатно; Для ООО – обслуживание бесплатно 3 месяца
Пошаговый алгоритм передачи данных
Шаг 1. Проверка регистрации в реестре операторов персональных данных. Перед подачей уведомления о трансграничной передаче необходимо убедиться, что организация уже включена в реестр Роскомнадзора.
Шаг 2. Получение информации от иностранного получателя. Оператор должен запросить у иностранной стороны:
- Информацию о принимаемых мерах по защите передаваемых данных
- Условия прекращения обработки персональных данных
- Контактные данные ответственных лиц
- Информацию о правовом регулировании в области персональных данных (для стран «неадекватной» защиты)
Шаг 3. Получение согласия субъекта персональных данных. Согласие должно быть получено в письменной форме и содержать:
- ФИО лица, чьи данные передаются
- Цель передачи данных
- Перечень стран, в которые передаются данные
- Срок действия согласия
- Подпись субъекта данных
Шаг 4. Подача уведомления в Роскомнадзор. Уведомление подается в электронном виде через портал Госуслуг или на бумажном носителе.
Сроки рассмотрения уведомлений
Роскомнадзор рассматривает уведомления в течение 10 рабочих дней. Для стран с «адекватной» защитой персональных данных передача может осуществляться сразу после подачи уведомления. Для стран «неадекватной» защиты необходимо дождаться решения регулятора.
Ответственность за трансграничную передачу персональных данных
Ответственность за трансграничную передачу персональных данных существенно ужесточена с 30 мая 2025 года. Новые штрафы предусматривают различные размеры наказаний в зависимости от тяжести нарушения.
Административные штрафы
За нарушения при трансграничной передаче данных установлены следующие штрафы:
Для физических лиц: от 10 до 15 тысяч рублей
Для должностных лиц: от 50 до 100 тысяч рублей
Для юридических лиц: от 150 до 300 тысяч рублей
Штрафы за нарушение локализации
За хранение персональных данных граждан РФ на серверах, расположенных за пределами России, предусмотрены серьезные санкции:
Первое нарушение: от 1 до 6 миллионов рублей
Повторное нарушение: от 6 до 18 миллионов рублей
Оборотные штрафы
За повторную утечку персональных данных применяется оборотный штраф — от 1% до 3% от годовой выручки, но не менее 20 миллионов рублей и не более 500 миллионов рублей.
Автоматизация под ключ
— экономьте время и ресурсы
Подберем CRM, ERP или систему электронного документооборота под ваши задачи.
Оставьте заявку — расскажем о решениях, которые окупятся в первые месяцы использования.
Практические рекомендации для бизнеса
Аудит текущих процессов
Проведите комплексную проверку всех систем, используемых для обработки персональных данных:
- Инвентаризация сервисов: Определите все используемые зарубежные сервисы (CRM, облачные платформы, аналитика)
- Проверка хостинга: Убедитесь, что серверы сайта находятся в России
- Анализ договоров: Проверьте договоры с подрядчиками на предмет передачи данных за границу
Подготовка документооборота
Согласия на трансграничную передачу: Подготовьте образцы согласий, содержащие все обязательные элементы:
Я, [ФИО], зарегистрированный по адресу [адрес],
паспорт [серия, номер], выданный [орган, дата],
даю согласие на трансграничную передачу моих персональных данных
в [название страны] с целью [указать цель].
Перечень передаваемых данных: [указать конкретные данные]
Срок действия согласия: [указать срок]
Подпись: _______ Дата: _______
Уведомление Роскомнадзора
Подготовьте и подайте уведомление о намерении осуществлять трансграничную передачу данных. В уведомлении укажите:
- Название и адрес оператора
- Дату и номер первоначального уведомления об обработке ПДн
- Правовое обоснование и цели передачи
- Категории передаваемых данных
- Список стран-получателей
- Дату оценки безопасности данных за рубежом
Типичные ошибки и как их избежать
Ошибка 1: Неполное уведомление Роскомнадзора
Проблема: Многие компании подают неполные уведомления, не указывая все необходимые сведения.
Решение: Используйте официальные образцы заполнения с сайта Роскомнадзора и обязательно указывайте все требуемые данные.
Ошибка 2: Передача данных до получения разрешения
Проблема: Передача данных в страны «неадекватной» защиты до получения решения Роскомнадзора.
Решение: Дождитесь истечения 10-дневного срока рассмотрения или получения положительного решения.
Ошибка 3: Игнорирование требований локализации
Проблема: Использование зарубежных сервисов для первичного сбора данных.
Решение: Обеспечьте первичный сбор данных только на российских серверах, а затем при необходимости передавайте их за границу.
Ключевые моменты:
- Первичный сбор данных должен осуществляться только на российских серверах с 1 июля 2025 года
- Уведомление Роскомнадзора обязательно для любой трансграничной передачи
- Согласие субъектов должно быть получено в письменной форме
- Штрафы за нарушения могут достигать 3% от годового оборота
Трансграничная передача персональных данных в 2025 году требует от бизнеса особого внимания к соблюдению требований локализации и процедурам уведомления регулятора. Ужесточение штрафов до 18 миллионов рублей делает нарушения крайне дорогостоящими.
Сравните тарифы и сроки регистрации бизнеса на нашей витрине