Что такое трансграничная передача
Трансграничная передача возникает не только при явной отправке базы клиентов за границу, но и когда на сайте подключены зарубежные сервисы, получающие данные пользователей: аналитика, рекламные пиксели, CRM, чаты, формы, рассылки, CDN, внешние скрипты.
Если сайт собирает данные граждан РФ, владелец обязан учитывать два требования 152-ФЗ:
- Локализация данных — запись, систематизация, хранение и обработка должны выполняться в базах на территории России (локализация, ст. 18 152-ФЗ);
- Уведомление РКН — до начала трансграничной передачи оператор обязан уведомить Роскомнадзор, который вправе ограничить или запретить конкретную передачу.
Когда на сайте появляется риск
Риск возникает, если используются иностранные сервисы, способные получать данные пользователей:
- Google Analytics, Hotjar и другие иностранные системы аналитики;
- Meta Pixel, TikTok Pixel и рекламные трекеры;
- иностранные CRM (HubSpot, Salesforce и аналоги);
- сервисы рассылок (Mailchimp, SendGrid и др.);
- зарубежные онлайн-чаты и виджеты поддержки;
- Cloudflare, иностранные CDN и облачные сервисы;
- формы, отправляющие данные на зарубежные серверы;
- хостинг или базы данных за пределами РФ.
Владелец часто даже не знает, что такие сервисы стоят на сайте — их подключил подрядчик, маркетолог или агентство. Но ответственность остаётся на операторе, то есть на владельце сайта.
Что считается нарушением
Нарушение может возникнуть, если сайт:
- собирает данные граждан РФ и хранит их в зарубежной базе без соблюдения локализации;
- отправляет заявки, телефоны, email в иностранную CRM;
- использует иностранные трекеры без корректного согласия;
- передаёт данные за границу без уведомления Роскомнадзора;
- не указывает трансграничную передачу в политике;
- устанавливает cookie и пиксели до согласия пользователя.
Сам факт подключения иностранного сервиса не всегда означает нарушение. Но если сервис получает персональные данные, cookie, IP-адреса или идентификаторы — это зона риска, которую нужно оценить и оформить.
Как снизить риски
Вариант 1. Убрать или заменить иностранные сервисы
Заменить Google Analytics на Яндекс.Метрику, использовать российские CRM, переехать на российский хостинг. Но замена сервиса сама по себе не решает всё — всё равно нужно проверить документы, формы, согласия и cookie.
Вариант 2. Оформить передачу правильно
Если иностранный сервис необходим: понять, какие данные он получает и в какую страну; проверить правовое основание и обеспечить локализацию; отразить передачу в политике; получить корректное согласие; подать уведомление в Роскомнадзор до начала передачи; убедиться, что РКН не ограничил передачу.
Штрафы и ответственность
| Нарушение | Штраф для юрлица | Повторно |
|---|---|---|
| Нарушение требований трансграничной передачи | 1 — 6 млн ₽ | — |
| Нарушение локализации данных (зарубежная база) | 1 — 6 млн ₽ | 6 — 18 млн ₽ |
| Обработка данных без согласия (трекеры до баннера) | до 300 000 ₽ | до 500 000 ₽ |
| Нарушение обязанности уведомить об утечке | 1 — 3 млн ₽ | — |
На сайте обычная форма (имя, телефон, email), но после отправки данные уходят в иностранную CRM или рекламный кабинет. В политике о трансграничной передаче ничего нет, уведомление не подано, данные хранятся не в России. Для владельца это выглядит как обычная интеграция — с точки зрения 152-ФЗ это серьёзная зона риска.
Короткий чек-лист
- где физически хранятся данные пользователей;
- куда уходят заявки с сайта;
- какие CRM, формы, чаты и рассылки подключены;
- есть ли иностранные скрипты, пиксели и трекеры;
- запускается ли аналитика до согласия;
- есть ли политика с упоминанием трансграничной передачи;
- есть ли корректные чекбоксы согласия;
- подано ли уведомление в Роскомнадзор.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 12, 18)
- Статья 13.11 КоАП РФ
- Федеральный закон от 24.07.2023 № 420-ФЗ