Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

ТПД в 2026: как соблюдать требования и снижать риски

Обновлено 08.07.2026 04:30

 

Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС

Сайт: legascom.ru

Email: petukhov@legascom.ru

Трансграничная передача данных (ТПД) остаётся зоной высоких рисков для бизнеса: к 2026 году регуляторная практика сложилась в устойчивую систему, где формального соблюдения норм недостаточно. Чтобы избежать блокировок, штрафов и приостановки деятельности, компаниям нужно выстраивать комплаенс-модель, которая объединяет юридические процедуры, техническую архитектуру и доказательную базу для взаимодействия с Роскомнадзором.

Разрешительный порядок вместо уведомления

С 2022 года ТПД в страны без адекватной защиты персональных данных перешла на разрешительный режим. На практике это означает, что Роскомнадзор оценивает не только комплект документов, но и обоснованность передачи: соответствие целей обработки составу данных и адекватность юрисдикции получателя с учётом внешнеполитического контекста.

Для бизнеса ключевой вывод - закладывать временной резерв на согласования. При запуске новых продуктов или изменении договоров с иностранными контрагентами нужно учитывать, что сроки рассмотрения могут варьироваться, а любая неточность в обосновании ТПД служит основанием для отказа.

Контроль на техническом уровне и реестровая дисциплина

Начиная с 2024–2025 годов регулятор активно применяет инструменты автоматизированного контроля за трансграничным трафиком. В ходе проверок Роскомнадзор вправе запрашивать сведения о фактическом местоположении баз данных и маршрутах передачи информации.

Расхождения между заявленными в документах процессами и реальной ИТ-архитектурой квалифицируются как нарушение. Последствия могут быть оперативными: от административной ответственности до инфраструктурных ограничений - вплоть до блокировки ресурсов и внесения в реестры недобросовестных участников рынка. Поэтому юридическая документация (политики обработки, уведомления, договоры) должна быть синхронизирована с фактической схемой передачи данных.

Как оценивать иностранного контрагента и фиксировать риски

По ч. 5 ст. 12 152‑ФЗ оператор обязан оценить, как иностранный контрагент защищает персональные данные. На практике это одна из самых сложных задач: контрагенты из ЕС и США часто отказываются раскрывать детали своих мер безопасности или подписывать обязательства, соответствующие российским требованиям.

Чтобы снизить риски, юридическая компания ЛЕГАС рекомендует:

включать в договоры с иностранными партнёрами детальные положения о защите данных, максимально приближённые к требованиям ст. 19 152‑ФЗ;

фиксировать все запросы информации и отказы контрагента - это служит доказательством добросовестности оператора при проверках и спорах;

рассматривать маршрутизацию данных через страны с адекватной защитой или дружественные юрисдикции, где стандарты безопасности проще согласовать с российскими нормами.

Оптимизация потоков данных и тренд на локализацию

Если в 2022–2023 годах компании активно резервировали данные в зарубежных дата‑центрах, то к 2026 году тренд развернулся: бизнес всё чаще возвращает данные на локальные мощности либо переносит их в юрисдикции с предсказуемым режимом взаимодействия с РФ - например, страны ЕАЭС или Китай.

Для компаний, которым ТПД объективно необходима (глобальные ИТ‑платформы, логистические цепочки), критически важно документально обосновать невозможность обработки данных без передачи за рубеж. Технико‑экономическое обоснование, подкреплённое заключением профильных специалистов, становится весомым аргументом в диалоге с регулятором.

При этом нельзя забывать о жёстком требовании локализации: сбор персональных данных в базы, размещённые за пределами РФ, запрещён. Это правило остаётся безусловным и напрямую влияет на архитектуру хранения и маршрутизации данных.

Что важно для устойчивого комплаенса по ТПД

К 2026 году успешное соблюдение требований по ТПД строится на трёх факторах:

Тщательная юридическая проработка каждого направления передачи - с учётом целей, состава данных и юрисдикции получателя.

Соответствие документов реальным бизнес‑процессам и ИТ‑архитектуре, включая маршруты передачи и расположение баз данных.

Готовность аргументированно обосновывать необходимость ТПД перед регулятором - с опорой на технические и экономические доводы.

Формальный подход к выполнению норм создаёт высокие риски: от приостановки деятельности до репутационных потерь. Проактивная работа по комплаенсу, напротив, позволяет выстроить предсказуемую и устойчивую модель обмена данными в текущих условиях.