Используете Google Analytics, Meta, AWS или зарубежную CRM? С 30 мая 2025 года штрафы за нарушения при трансграничной передаче данных выросли до 10 миллионов рублей. В этой статье разберем, как легально работать с иностранными сервисами и избежать семизначных штрафов.
Реальный кейс: Интернет-магазин использовал американскую CRM для хранения данных 50 000 клиентов. При проверке Роскомнадзор оштрафовал компанию на 3 млн рублей за отсутствие уведомления о трансграничной передаче. После 30 мая 2025 года штраф за аналогичное нарушение составит до 10 млн рублей.
Что считается трансграничной передачей ПДн?
Передача персональных данных на территорию иностранного государства:
-
Российскому юрлицу с серверами за рубежом
-
Международной компании
-
Иностранному государству
Законные основания для трансграничной передачи (ст. 12 152-ФЗ):
-
Страны-участницы Конвенции 108 (список утверждается Роскомнадзором)
-
Страны, обеспечивающие адекватную защиту (перечень правительства РФ)
-
Письменное согласие субъекта на передачу
-
Исполнение договора с субъектом
-
Защита жизни и здоровья субъекта
⚠️ Важно! Большинство популярных направлений передачи (США, ЕС, Китай) не входят в официальные перечни разрешенных стран.
Пошаговая инструкция по легализации трансграничной передачи:
Шаг 1: Составьте реестр всех иностранных сервисов
-
CRM-системы
-
Облачные хранилища
-
Сервисы аналитики
-
Email-рассылки
-
Мессенджеры для бизнеса
Шаг 2: Определите правовое основание для каждого случая
-
Для маркетинговых рассылок - только согласие субъекта
-
Для исполнения договора - уведомление РКН
Шаг 3: Внесите сведения в уведомление Роскомнадзора
Укажите в форме уведомления:
-
Цели передачи
-
Категории субъектов
-
Перечень данных
-
Список стран
Шаг 4: Получите согласия субъектов
Согласие должно содержать:
-
Конкретную страну передачи
-
Наименование иностранного оператора
-
Цели передачи
Таблица рисков популярных сервисов:
| Сервис | Тип данных | Риск | Легализация |
|---|---|---|---|
| Google Analytics | обезличенные | низкий | согласие в политике |
| Meta Business | контакты, поведение | высокий | явное согласие |
| AWS/Azure | все категории | критический | договор + уведомление РКН |
| Slack/Teams | переписка | средний | согласие сотрудников |
| Mailchimp | email-адреса | высокий | согласие подписчиков |
Кейс: Легализация работы с зарубежной CRM
Компания: ООО "Стартап" с 10 000 клиентов в базе
Проблема: Использование Salesforce без юридического основания
Решение:
-
Внесли изменения в уведомление РКН
-
Разработали форму согласия на передачу в США
-
Обновили политику конфиденциальности
-
Получили согласия от новых клиентов
-
Заключили договор с Salesforce
Результат: Комплаенс достигнут, риски минимизированы.
FAQ по трансграничной передаче:
Вопрос: Нужно ли уведомлять РКН при использовании VPN?
Ответ: Да, если через VPN передаются персональные данные клиентов или сотрудников.
Вопрос: Как работать с сервисами, которые не дают гарантий выполнения 152-ФЗ?
Ответ: Либо получать согласие субъектов, либо отказываться от таких сервисов.
Вопрос: Распространяются ли правила на обезличенные данные?
Ответ: Нет, но важно документально подтвердить факт обезличивания.
Наша услуга "Аудит трансграничной передачи" включает:
-
Анализ всех используемых сервисов
-
Разработку необходимых документов
-
Подготовку уведомлений для РКН
-
Консультации по рискованным сервисам