📚 Руководство

Трансграничная передача персональных данных: что должен знать сайт в 2026

Что такое трансграничная передача ПДн, в каких случаях возникает при работе сайта, как оформить и как проверить сайт на наличие нарушений.

Проверить свой сайт

Что такое трансграничная передача персональных данных

Трансграничная передача персональных данных — это передача данных граждан России на серверы или в системы, расположенные за пределами РФ. Понятие закреплено в ст. 12 ФЗ-152 «О персональных данных» и с 2022 года стало зоной повышенного внимания регуляторов.

Для владельца сайта трансграничная передача возникает гораздо чаще, чем кажется. Достаточно использовать один зарубежный SaaS-сервис, который получает данные ваших пользователей.

Типичные ситуации трансграничной передачи на сайте

  • Аналитика: Google Analytics, Google Tag Manager, Hotjar, Clarity (серверы за рубежом)
  • Email-рассылки: Mailchimp, SendGrid, ActiveCampaign, Klaviyo
  • CRM: HubSpot, Salesforce, Pipedrive
  • Чаты и поддержка: Intercom, Zendesk, Freshdesk
  • Платёжные системы: Stripe, PayPal (но не российские НСПК, ЮKassa)
  • CDN: Cloudflare, Fastly — статические файлы на зарубежных серверах
  • Шрифты: Google Fonts — при загрузке передаётся IP-адрес пользователя

Требования ФЗ-152 к трансграничной передаче

Статья 12 ФЗ-152 (редакция 2022 года) устанавливает:

Разрешённая трансграничная передача без уведомления

В страны, обеспечивающие «адекватную защиту» ПДн. К ним относятся все страны-члены Совета Европы, подписавшие Конвенцию 108, — включая большинство стран ЕС, Израиль, Австралию и другие (перечень утверждён приказом РКН).

Передача в страны «без адекватной защиты»

Для передачи в США, Китай, и другие страны без договора с РФ — требуется предварительное уведомление РКН и стандартные договорные условия (аналог SCС в GDPR).

Локализация данных граждан РФ

По ст. 18 ФЗ-152 первичная запись данных граждан РФ должна производиться на серверах в России. Это не запрещает дублировать данные за рубеж — но первичная база должна быть в РФ.

Как легализовать трансграничную передачу

  1. Ревизия внешних сервисов: составьте список всех сторонних сервисов на сайте и определите, куда они передают данные
  2. Проверка страны: для каждого сервиса определите страну обработки данных (обычно указано в Privacy Policy сервиса)
  3. Заключение соглашений: с сервисами из «неадекватных» стран — оформить соглашения об обработке данных (DPA)
  4. Уведомление РКН: направить уведомление о трансграничной передаче на pd.rkn.gov.ru (отдельный раздел)
  5. Отражение в политике: указать в политике конфиденциальности все страны передачи данных и правовые основания
  6. Согласие субъекта: получить явное согласие на трансграничную передачу в форме

Практические рекомендации для сайтов

  • Замените Google Analytics на Яндекс.Метрику — российский сервис не создаёт проблем с локализацией
  • Самохостинг шрифтов: вместо Google Fonts загружайте шрифты на свой сервер
  • Российские аналоги: AmoCRM, Битрикс24, российские email-платформы (UniSender, SendPulse)
  • Cloudflare: можно использовать при правильно оформленном DPA и уведомлении РКН

Как SitePravo выявляет трансграничную передачу

Сервис анализирует все внешние запросы страниц вашего сайта и определяет страны назначения. Для каждого зарубежного сервиса проверяется наличие его упоминания в политике конфиденциальности. Расхождение между фактическими запросами и декларируемыми сервисами — нарушение принципа прозрачности.

Частые вопросы

Google Analytics запрещён в РФ?

Нет, прямого запрета нет. Но его использование без уведомления РКН о трансграничной передаче и без упоминания в политике конфиденциальности — нарушение ФЗ-152.

Нужно ли уведомлять РКН о каждом сервисе?

Уведомление о трансграничной передаче подаётся один раз с перечнем всех стран. При добавлении новых стран — уведомление обновляется.

Проверьте свой сайт прямо сейчас

SitePravo автоматически находит нарушения ФЗ-152, cookie, оферты и других требований — бесплатно за 2–3 минуты.

Запустить бесплатный аудит