Трансграничная передача данных: как работать с клиентами из Казахстана, Беларуси и Европы
Трансграничная передача персональных данных — это передача данных российских субъектов на серверы или сотрудникам за рубежом. По ст. 12 152-ФЗ (проверено: май 2026) такая передача разрешена, но для ряда стран требует предварительного уведомления РКН. Казахстан, Беларусь и Армения входят в список «адекватных» стран — уведомление не нужно. С европейскими странами сложнее: часть из них в перечне РКН, часть — нет. Разбираем, кто, куда и когда обязан уведомлять регулятора перед передачей данных клиентов.
Онлайн-школа работает с клиентами по всему СНГ и СНГ-плюс. Студент из Казахстана оплачивает курс, куратор из Беларуси ведёт занятия, CRM стоит на европейском сервере. На каждом шаге — передача персональных данных за рубеж. И на каждом шаге — вопрос: нужно ли согласовывать это с РКН?
Большинство онлайн-школ не знают ответа и либо игнорируют требования, либо паникуют и пытаются переехать на отечественные сервера, когда этого не требуется. Разберём систему целиком: от перечня стран до конкретных формулировок в политике ПДн.
Что такое трансграничная передача данных
Трансграничная передача персональных данных — это любая передача данных из России на серверы, расположенные за рубежом, или иностранным организациям и гражданам. Регулируется ст. 12 152-ФЗ (проверено: май 2026). Под это определение попадает не только физическая отправка файлов, но и предоставление доступа к базе данных иностранному сотруднику.
Важно понять, что считается трансграничной передачей, а что нет. Когда студент из Казахстана самостоятельно вводит свои данные на вашем российском сайте — это не трансграничная передача со стороны онлайн-школы. Это сам субъект передаёт свои данные оператору. Когда вы, как оператор, затем передаёте эти данные в иностранную CRM-систему — вот тут начинается трансграничная передача.
Что конкретно подпадает под ст. 12 152-ФЗ:
Чек-лист: что является трансграничной передачей ПДн
- ✓ Использование зарубежных CRM (HubSpot, Salesforce с серверами за рубежом)
- ✓ Email-рассылки через сервисы на иностранных серверах (Mailchimp, ActiveCampaign)
- ✓ Предоставление доступа к базе клиентов иностранному подрядчику или фрилансеру
- ✓ Хранение данных в иностранных облаках (AWS, Google Cloud без российского региона)
- ✓ Передача данных партнёру или аффилиату в другой стране
- ✓ Резервное копирование на зарубежные серверы
Что НЕ является трансграничной передачей в понимании ст. 12: если субъект сам зарегистрировался на иностранном сервисе, или если данные обезличены до передачи настолько, что невозможно идентифицировать конкретного человека.
Подробнее о понятии персональных данных — в глоссарии ЭдПрав.
Адекватные страны: передача без уведомления РКН
РКН ведёт перечень стран, обеспечивающих «адекватную защиту» персональных данных. Передача данных в эти страны не требует предварительного уведомления регулятора — достаточно соблюдать общие требования 152-ФЗ. Перечень утверждён приказом Роскомнадзора и периодически обновляется.
Перечень адекватных стран основан на двух критериях: страна является участником Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108), либо РКН признал её уровень защиты достаточным на основании самостоятельной оценки.
| Регион | Примеры стран | Статус |
|---|---|---|
| Страны ЕС | Германия, Франция, Польша, Австрия | Адекватные (Конвенция 108) |
| СНГ (часть) | Казахстан, Беларусь, Армения, Азербайджан | Адекватные |
| Прочие | Норвегия, Швейцария, Израиль, Канада | Адекватные |
| Без адекватной защиты | США, Китай, Индия, ОАЭ, Турция | Требуется уведомление РКН |
Важный практический момент: нахождение страны в списке адекватных не означает, что передачу можно не документировать вовсе. Вы всё равно обязаны:
- указать факт трансграничной передачи в политике обработки ПДн;
- получить согласие субъекта на такую передачу (если основание — согласие);
- убедиться, что получатель данных в другой стране обеспечивает их защиту.
Разница лишь в том, что предварительного уведомления РКН не требуется. При этом, если РКН запросит информацию о передаче в ходе проверки, вы должны быть готовы её предоставить.
Неадекватные страны: уведомление обязательно
Передача данных в страну с неадекватной защитой требует предварительного уведомления РКН — до начала передачи, не после. При этом РКН вправе запретить или ограничить такую передачу. Штраф за передачу без уведомления — до 500 000 рублей для юридического лица (проверено: май 2026).
максимальный штраф за трансграничную передачу ПДн без уведомления РКН (ст. 12 152-ФЗ)
На практике в категорию «неадекватных» попадают несколько ключевых для бизнеса направлений:
США — самое частое нарушение. Сервисы Mailchimp, HubSpot, Stripe, Intercom, Zendesk хранят данные на американских серверах. Если ваши данные уходят туда — это передача в страну без адекватной защиты. Требуется уведомление РКН и заключение договора с получателем данных с обязательными гарантиями.
Китай — если вы работаете с китайскими платформами (WeChat, Alibaba) или у вас есть партнёры в КНР.
Индия — популярное направление для IT-аутсорсинга. Индийские разработчики, имеющие доступ к базе клиентов, — это уже трансграничная передача в «неадекватную» страну.
ОАЭ и Турция — привлекательные юрисдикции для бизнеса, но без соглашения о защите ПДн.
При передаче в «неадекватные» страны, помимо уведомления РКН, вы обязаны заключить договор с иностранным получателем, содержащий конкретные меры защиты данных. Шаблон такого договора должен соответствовать требованиям, которые РКН может предъявить при проверке.
Подробнее о передаче данных подрядчикам (в том числе иностранным) читайте в статье о передаче ПДн в CRM и подрядчикам.
Казахстан, Беларусь, Армения: подробно
Казахстан, Беларусь и Армения входят в перечень стран с адекватной защитой персональных данных. Предварительное уведомление РКН не требуется. Однако у каждой страны есть собственное законодательство о ПДн, и при работе с местными партнёрами вам нужно учитывать их требования тоже.
Три страны СНГ, с которыми чаще всего работают российские онлайн-школы, имеют разные режимы защиты данных, и это влияет на то, какие документы вам нужно подготовить.
| Страна | Статус у РКН | Свой закон о ПДн | Что важно для онлайн-школы |
|---|---|---|---|
| Казахстан | Адекватная | Закон РК «О персональных данных и их защите» | Локализация данных казахских граждан — на серверах в РК или РФ (ЕАЭС) |
| Беларусь | Адекватная | Закон РБ «О защите персональных данных» 2021 года | Аналог 152-ФЗ, требования схожи |
| Армения | Адекватная | Закон РА «О защите персональных данных» | Конвенция 108, уровень защиты признан достаточным |
Особенность Казахстана: казахское законодательство предъявляет требования к локализации данных граждан РК. Если вы храните данные казахских студентов — теоретически вам нужно хранить их на серверах в Казахстане или ЕАЭС (включая Россию). На практике, если вы российский оператор и клиент сам передал вам данные — претензии со стороны казахских регуляторов к российской компании редки. Но это риск, о котором нужно знать.
Практический совет для типичной онлайн-школы: если ваша CRM и обучающая платформа стоят на российских серверах, никаких дополнительных согласований с РКН для работы с клиентами из Казахстана, Беларуси и Армении не нужно. Достаточно указать в политике ПДн, что данные могут передаваться в рамках договорных отношений в страны с адекватной защитой.
Проблемы возникают, когда вы сами передаёте данные этих клиентов в третьи страны (например, в американский Mailchimp). Тогда правила о трансграничной передаче применяются вне зависимости от гражданства субъекта.
Как уведомить РКН до передачи данных
Уведомление РКН о трансграничной передаче подаётся через личный кабинет на сайте РКН или портал Госуслуг — до начала передачи данных. РКН рассматривает уведомление и вправе запретить передачу. Если в течение определённого срока запрета нет — можно передавать.
Порядок уведомления для передачи в страны без адекватной защиты:
Чек-лист: уведомление РКН о трансграничной передаче
- ✓ Определить конкретную страну-получателя и правовое основание передачи
- ✓ Подготовить договор с иностранным получателем с мерами защиты ПДн
- ✓ Заполнить форму уведомления в личном кабинете РКН (раздел «Трансграничная передача»)
- ✓ Указать: цель передачи, категории данных, перечень субъектов, страна-получатель, меры защиты
- ✓ Дождаться ответа РКН (срок рассмотрения — 10 рабочих дней)
- ✓ При отсутствии запрета — начать передачу и зафиксировать дату в журнале
- ✓ Сохранить копию уведомления и подтверждение его принятия
Что указывать в уведомлении как «цель передачи» для типичных кейсов онлайн-школы:
- Email-рассылка через американский сервис: «Направление маркетинговых и транзакционных сообщений в рамках исполнения договора оферты»
- CRM на зарубежном сервере: «Ведение клиентской базы и управление взаимоотношениями с клиентами»
- Аналитика через иностранный сервис: «Анализ поведения пользователей сайта в целях улучшения качества услуг»
Важно: уведомление подаётся для каждого нового направления передачи. Один документ для нескольких стран или несвязанных целей не подойдёт.
По вопросам уведомления РКН о трансграничной передаче вы можете проконсультироваться через раздел FAQ ЭдПрав.
Как отразить трансграничную передачу в политике ПДн
Политика обработки персональных данных обязана содержать раздел о трансграничной передаче — это прямое требование ст. 18.1 152-ФЗ (проверено: май 2026). Нужно указать страны-получатели, цели передачи и правовое основание. Расплывчатые формулировки типа «данные могут передаваться третьим лицам» не соответствуют требованиям регулятора.
Структура раздела о трансграничной передаче в политике ПДн должна содержать следующие элементы:
| Элемент | Что указывать | Пример |
|---|---|---|
| Факт передачи | Осуществляется/не осуществляется | «Оператор осуществляет трансграничную передачу ПДн» |
| Страны-получатели | Конкретный перечень стран | «Республика Беларусь, Республика Казахстан» |
| Цель передачи | Конкретная цель для каждой страны | «Направление почтовых уведомлений через сервис SendPulse» |
| Правовое основание | Норма закона или согласие субъекта | «Исполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ)» |
| Меры защиты | Для «неадекватных» стран | «Заключён договор с получателем, предусматривающий меры защиты ПДн» |
Если ваша онлайн-школа не передаёт данные за рубеж — это тоже нужно прямо указать: «Трансграничная передача персональных данных не осуществляется». Это защитит вас при проверке, если регулятор обнаружит какую-то передачу и спросит, почему она не отражена в документах.
Типичная ошибка: указать в политике только страны СНГ (как адекватные), а на практике использовать американский Mailchimp. Несоответствие политики реальной практике — отдельный риск при проверке.
Проверьте свою политику ПДн по нашему тарифу на юридический аудит — проверим соответствие раздела о трансграничной передаче реальной практике вашей школы.
Подробнее о структуре и содержании политики обработки данных читайте в статье о политике обработки персональных данных.
Частые вопросы
Нужно ли уведомлять РКН при работе с клиентами из Казахстана?
Какие страны считаются «адекватными» и не требуют уведомления?
Что будет, если передавать данные без уведомления РКН?
Как указать трансграничную передачу в политике обработки персональных данных?
Нужно ли уведомлять РКН, если мы используем Google Analytics?
Да, Google Analytics передаёт данные на серверы в США — стране без адекватной защиты по перечню РКН. Формально это трансграничная передача, требующая уведомления. Большинство онлайн-школ эту норму не соблюдают, но риск штрафа существует. Альтернатива — перейти на Яндекс.Метрику или другой инструмент с российскими серверами.
У нас кофаундер гражданин Казахстана с доступом к базе — это трансграничная передача?
Если кофаундер работает с базой, находясь на территории Казахстана и имея к ней удалённый доступ — да, это трансграничная передача. Если он работает в России и имеет доступ к данным на российских серверах — нет. Гражданство здесь не имеет значения, важна фактическая локация доступа к данным.
Клиент из Украины — нужно ли уведомление РКН?
Украина была в перечне адекватных стран, но в связи с изменением политической ситуации её статус нужно проверять актуально — перечень РКН обновляется. Рекомендуем перед началом работы с данными украинских клиентов проверить актуальный перечень на сайте РКН и проконсультироваться со специалистом.
Если наша платформа GetCourse хранит данные в России, а я, находясь за рубежом, открываю базу — нарушение?
Нет, в данном случае данные остаются на российских серверах. Вы как оператор получаете к ним доступ — это не передача данных за рубеж. Трансграничная передача возникает, когда данные физически реплицируются или копируются на зарубежные серверы, или передаются иностранному лицу для самостоятельной обработки.
Не хотите разбираться сами?
ЭдПрав проверит соответствие вашей практики трансграничной передачи данных требованиям ст. 12 152-ФЗ и поможет актуализировать политику ПДн. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.
Статья подготовлена на основе актуального законодательства РФ на май 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.
Не хотите разбираться сами?
ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.
Попробовать бесплатно →