Трансграничная передача должна быть раскрыта пользователю
Что требуется
Заметно
оператор обязан учитывать требования к трансграничной передаче и раскрывать существенные условия обработки в политике. Применимость: сайтам, которые используют зарубежные сервисы для форм, аналитики, рассылок, CRM, CDN или платёжных виджетов. Нарушение для CPLY фиксируется только по публичным признакам: на сайте есть признаки передачи данных внешним зарубежным получателям, но политика не раскрывает трансграничную передачу или получателей.
Кому применимо
сайтам, которые используют зарубежные сервисы для форм, аналитики, рассылок, CRM, CDN или платёжных виджетов.
Когда мы это проверяем: есть персональные формы и внешние зарубежные обработчики, видимые по доменам, скриптам, виджетам или endpoint-ам.
На чём основано
152-ФЗ, ст. 12; ст. 18.1 ч. 2
ст. 12 регулирует трансграничную передачу, а публичная политика должна помогать субъекту понять существенные условия обработки; CPLY фиксирует отсутствие раскрытия при видимых зарубежных получателях.
Официальный источник → · Текст статьи →
Что считается нарушением
на сайте есть признаки передачи данных внешним зарубежным получателям, но политика не раскрывает трансграничную передачу или получателей.
Не считается нарушением: техническая загрузка статических ресурсов без передачи данных пользователя.
Примеры: форма отправляет данные в зарубежный сервис, а политика не упоминает трансграничную передачу — нарушение.
Чем грозит
Когда данные посетителей уходят на сторонние, в том числе зарубежные, серверы, у такой передачи должно быть законное основание, а посетитель должен узнавать о ней из политики (152-ФЗ, ст. 12). Непонятные получатели данных вызывают вопросы у проверяющих и подрывают доверие посетителей.
При FAIL карточка показывает конкретный публичный пробел: признаки передачи есть, раскрытия в политике нет. Риск подтверждается только при применимости требования и наличии доказательств crawler-а.
Как мы это проверяем
crawler сопоставляет внешние домены и интеграции со сведениями в политике обработки персональных данных.
Какие доказательства собираем: crawler сопоставляет внешние домены и интеграции со сведениями в политике обработки персональных данных. Минимальный набор фактов: network.third_party_hosts.*, documents.privacy_policy.text, forms.personal_data.*. Карточка finding должна ссылаться на URL/скриншот/текстовый фрагмент, из которого сделан вывод.
Как исправить
Проверьте, какие сторонние сервисы получают данные с сайта и зачем. Уберите те, что не нужны, а нужные опишите в политике обработки данных: кто получает данные и для чего.
Статусы проверки
Зелёная карточка
политика раскрывает трансграничную передачу или её отсутствие.
Жёлтая карточка
внешние сервисы найдены, но описание передачи неполное.
Красная карточка
признаки передачи есть, раскрытия в политике нет.
Проверка неприменима
нет персональных данных и внешних обработчиков.
Какие проверки закрывают требование
-
Данные уходят на внешний сервер
проверяем автоматически
-
Неизвестный счётчик слежения
проверяем автоматически
Документ и редакция
Федеральный закон №152-ФЗ «О персональных данных» · редакция v1 от 2026-07-01