Трансграничная передача персональных данных: что это, кто обязан уведомить РКН, штрафы 2026

Если на вашем сайте стоит Google Analytics, Google Fonts, YouTube, reCAPTCHA, Mailchimp или Stripe — у вас уже идёт трансграничная передача персональных данных. С 1 марта 2023 года это требует отдельного уведомления Роскомнадзора. Штраф за неподачу — до 6 000 000 ₽ для ООО.

Что такое трансграничная передача данных

Простыми словами: трансграничная передача — это любая ситуация, когда персональные данные пользователей вашего сайта попадают на серверы, расположенные за пределами России. Не важно, кто их там обрабатывает — компания США, Германии, Китая или Казахстана.

И это не только про «отправку базы клиентов в облако». Передача возникает автоматически в момент, когда:

• Пользователь открывает страницу, и его браузер подгружает скрипт с зарубежного сервера
• Пользователь отправляет форму, а её обрабатывает иностранный сервис
• На странице встроен виджет, видео, карта или шрифт от иностранной компании

Браузер пользователя сам отправляет на чужой сервер минимум IP-адрес, User-Agent, иногда cookies — это уже персональные данные по позиции Роскомнадзора.

Когда у вашего сайта возникает трансграничная передача

Список конкретных триггеров. Если хотя бы один из этих сервисов подключён — у вас уже идёт трансграничная передача:

Аналитика и реклама

• Google Analytics, Google Tag Manager, Google Ads — серверы в США
• Facebook (Meta) Pixel, Meta SDK — США
• TikTok Pixel — США / Сингапур
• Hotjar — Мальта / США
• Mixpanel, Amplitude — США

Виджеты и встроенные элементы

• Google reCAPTCHA — США
• Google Maps — США
• Google Fonts (загрузка шрифтов с fonts.googleapis.com) — США
• YouTube embed — США
• Instagram embed, Facebook like-кнопки — США
• Vimeo — США

Email-маркетинг и CRM

• Mailchimp — США
• SendGrid — США
• HubSpot — США

Платежи

• Stripe — США / Ирландия
• PayPal — США

Чаты и поддержка

• Intercom — США
• Zendesk — США
• Tawk.to — США
• Calendly — США

CDN и подключение библиотек

• Cloudflare CDN — США
• jsDelivr, unpkg — обычно США / ЕС

Платформы для сайтов

• Wix — США / Израиль
• Shopify — Канада / США
• Squarespace — США

Что говорит закон

Базовая норма — статья 12 закона 152-ФЗ «О персональных данных». Раньше трансграничную передачу можно было осуществлять, просто упомянув её в политике. С 14 июля 2022 года был принят 266-ФЗ, который вступил в силу 1 марта 2023 года.

Что изменилось:

• Появилась обязанность подавать отдельное уведомление о намерении начать трансграничную передачу
• Подавать его нужно до начала такой передачи
• В уведомлении нужно указать страны, цели и категории данных
• РКН вправе запретить или ограничить передачу в конкретные страны

Кто обязан подавать уведомление

Все, кто фактически передаёт персональные данные за границу. Закон не делит операторов по размеру или форме собственности.

То есть уведомление обязаны подать:

• ООО любого размера — даже маленькое с одним лендингом
• ИП — даже если сайт — это просто визитка с формой
• Самозанятые и физлица, если ведут сайт коммерческого характера

Это отдельное уведомление от обычного уведомления оператора (которое подаётся через pd.rkn.gov.ru один раз при начале обработки ПД). Если вы уже зарегистрированы как оператор — это не отменяет необходимости подать ещё одно уведомление, именно про трансграничную передачу.

Штрафы по ч. 8 ст. 13.11 КоАП РФ

За нарушение порядка трансграничной передачи (включая неподачу уведомления) предусмотрены отдельные штрафы:

• Юридические лица: 1 000 000 — 6 000 000 ₽
• ИП и должностные лица: 100 000 — 200 000 ₽
• Физические лица: 30 000 — 50 000 ₽

При повторном нарушении суммы удваиваются. Также Роскомнадзор может вынести предписание о прекращении передачи — и тогда придётся в срочном порядке отключать все зарубежные сервисы.

На практике в 2024–2025 годах массовых штрафов конкретно по ч. 8 ст. 13.11 пока немного — но проверки усиливаются, и риск растёт с каждым годом. Особенно после жалоб конкурентов или клиентов.

Как подать уведомление пошагово

Шаг 1. Зайти на сайт Роскомнадзора

Адрес формы: pd.rkn.gov.ru/operators-registry/notification-for-cross-border-transfer.

Шаг 2. Авторизоваться через Госуслуги (ЕСИА)

ИП — заходит как индивидуальный предприниматель, ООО — как юридическое лицо (нужна ЭЦП руководителя или уполномоченного сотрудника).

Шаг 3. Заполнить форму уведомления

Основные поля:

• Сведения об операторе (наименование, ИНН, ОГРН/ОГРНИП)
• Страны, в которые осуществляется передача
• Цели передачи (например, «веб-аналитика», «email-рассылки», «приём платежей»)
• Категории субъектов (посетители сайта, клиенты, подписчики)
• Категории и перечень передаваемых данных
• Правовое основание передачи (обычно — согласие субъекта)
• Дата начала передачи
• Сведения об иностранных получателях (по возможности)

Шаг 4. Отправить и дождаться обработки

После отправки уведомление поступает в РКН. По общему правилу начать передачу можно через 10 рабочих дней после подачи (если речь идёт о странах, не обеспечивающих адекватную защиту ПД, срок больше — РКН рассматривает заявление и может запретить).

Как минимизировать риск без подачи уведомления

Самый чистый путь — вообще убрать передачу за границу. Тогда уведомление подавать не нужно. Вот российские альтернативы для самых популярных сервисов:

Аналитика

• Google Analytics → Яндекс.Метрика
• Google Tag Manager → нет прямого аналога; можно вынести нужные пиксели в собственный код или использовать менеджер тегов от Яндекса

Карты и капча

• Google Maps → Яндекс.Карты, 2GIS
• Google reCAPTCHA → Yandex SmartCaptcha

Шрифты и видео

• Google Fonts → загружайте шрифты со своего сервера (можно скачать на google-webfonts-helper и положить в свой проект)
• YouTube embed → VK Видео, Rutube

Email-маркетинг

• Mailchimp / SendGrid → Unisender, SendPulse, DashaMail

Платежи

• Stripe / PayPal → ЮKassa, Тинькофф эквайринг, СберPay

Чаты и поддержка

• Intercom / Tawk.to → JivoSite, amoCRM-чат

CDN и хостинг

• Cloudflare CDN → Selectel CDN, NGENIX, СберCloud CDN
• Wix / Shopify / Squarespace → Tilda, 1С-Битрикс, Битрикс24.Сайты

Частые вопросы

А если у меня просто Google Fonts — это правда передача?

Да. Когда страница вашего сайта подключает шрифт с fonts.googleapis.com, браузер пользователя отправляет на серверы Google в США свой IP-адрес и User-Agent. По позиции РКН — это обработка персональных данных, причём именно трансграничная.

Можно ли просто добавить пункт в политику и этого достаточно?

Нет. Упоминания в политике конфиденциальности недостаточно с марта 2023 года. Нужно подать отдельное уведомление в РКН до фактического начала передачи. Политика — это про информацию для пользователей, уведомление — про учёт у регулятора.

А если в политике написано «не передаём за границу», но GA стоит?

Это худший вариант. Вы вводите пользователей в заблуждение, и при проверке РКН зафиксирует сразу два нарушения: фактическую трансграничную передачу без уведомления и несоответствие политики реальной обработке. Штрафы суммируются.

Что если страна-получатель из санкционного списка?

РКН ведёт списки стран с разным уровнем защиты ПД. В страны, не обеспечивающие «адекватную защиту», передавать сложнее: РКН может запретить или ограничить передачу после рассмотрения уведомления. США в этих списках находятся в особом положении — передача туда возможна, но под контролем.

А если сервис формально мировой, но серверы в РФ?

Тогда трансграничной передачи нет. Например, если вы используете VK ID, Яндекс ID, СберID — серверы российские, уведомление не нужно. Главный критерий — где физически обрабатываются данные.

Что делать прямо сейчас

1. Откройте отчёт нашего сервиса — он покажет, какие зарубежные сервисы и скрипты подключены к вашему сайту
2. Решите по каждому: заменить на российский аналог или оставить и подать уведомление
3. Если оставляете — подайте уведомление через pd.rkn.gov.ru с авторизацией через Госуслуги
4. Приведите политику конфиденциальности в соответствие с реальностью: укажите конкретные страны, сервисы и цели передачи
5. Проверьте, что у вас подано и общее уведомление оператора — без него штраф будет даже до вопроса о трансграничной передаче