Локализация персональных данных: требования 242-ФЗ к хранению на серверах в РФ

Локализация персональных данных — это обязанность оператора обеспечить, чтобы при сборе персональных данных граждан РФ запись, систематизация, накопление, хранение, уточнение и извлечение этих данных осуществлялись с использованием баз данных, находящихся на территории Российской Федерации.

Требование закреплено в ч. 5 ст. 18 Федерального закона № 152-ФЗ «О персональных данных» и было введено Федеральным законом № 242-ФЗ от 21 июля 2014 года, вступившим в силу 1 сентября 2015 года.

Смысл нормы — государство хочет сохранить юрисдикционный контроль над данными своих граждан. Если базы данных физически находятся на территории РФ, Роскомнадзор и иные надзорные органы могут реализовать свои полномочия: провести проверку, изъять носители, заблокировать доступ. Когда данные хранятся за рубежом, эти меры превращаются в формальность — иностранный провайдер не обязан выполнять требования российского регулятора.

Важно понимать: локализация — это не запрет на передачу данных за рубеж. Это требование к месту первичного хранения. Оператор обязан сначала записать данные в российскую базу, и уже после этого может передавать их за границу — при соблюдении правил трансграничной передачи.

Требование локализации опирается на три ключевых источника:

1. Часть 5 статьи 18 Федерального закона № 152-ФЗ

Основная норма: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Обратите внимание на формулировку «при сборе». Закон привязывает обязанность к моменту сбора, а не к факту хранения. Если оператор собирает данные граждан РФ — неважно, через сайт, приложение, бумажную анкету или API — первичная база обязана быть в России.

2. Федеральный закон № 242-ФЗ от 21.07.2014

Закон-поправка, который ввёл требование локализации. Помимо изменений в 152-ФЗ, он наделил Роскомнадзор правом ограничивать доступ к информационным ресурсам, нарушающим требование локализации (ст. 15.5 Федерального закона № 149-ФЗ «Об информации»). Именно на основании этой нормы были заблокированы LinkedIn и ограничен Booking.

3. Разъяснения Роскомнадзора

Роскомнадзор неоднократно пояснял позицию:

• Локализация ≠ запрет трансграничной передачи. Можно передавать данные за рубеж после первичной записи в российскую базу
• Гражданство определяется по совокупности признаков: паспорт РФ, регистрация на .ru-домене, российский IP — ни один из них не является абсолютным критерием. На практике, если оператор работает на российский рынок, он обязан локализовать данные всех пользователей
• «База данных» трактуется широко: не только СУБД, но и любой структурированный набор данных — таблицы, CRM, файловые хранилища, облачные сервисы

Оператор фиксирует факт локализации в Политике обработки персональных данных — указывает место расположения серверов и наименование хостинг-провайдера.

Требование локализации распространяется на всех операторов, которые собирают персональные данные граждан РФ. Это касается как российских компаний, так и иностранных, ориентированных на российский рынок.

Обязательна для:

• Любых российских юридических лиц и ИП — работодатели, интернет-магазины, сервисы подписок, клиники, образовательные учреждения
• Иностранных компаний, которые направляют свою деятельность на территорию РФ (сайт на русском, приём платежей в рублях, маркетинг на российскую аудиторию)
• Государственных и муниципальных органов
• Операторов, использующих облачные сервисы — если облако расположено за пределами РФ, оператор нарушает закон

Исключения (ч. 5 ст. 18 152-ФЗ):

Требование локализации не применяется, если обработка персональных данных необходима для:

• Достижения целей международных договоров и законов РФ (например, дипломатическая и консульская деятельность)
• Осуществления правосудия и исполнения судебных актов
• Осуществления полномочий федеральных и региональных органов исполнительной власти, включая деятельность Пенсионного фонда
• Деятельности СМИ и научной/литературной/иной творческой деятельности — при условии, что не нарушаются права субъектов

Спорные случаи (разъяснения Роскомнадзора):

• Авиаперевозки. Бронирование международных рейсов требует передачи данных пассажиров в системы типа Amadeus, Sabre (расположены за рубежом). Роскомнадзор неоднократно указывал, что авиакомпании обязаны первично сохранять данные в российской базе, а затем передавать в международные системы. На практике требование исполняется выборочно
• Бронирование отелей. Booking.com был ограничен в России в том числе из-за нарушения требований локализации — данные российских граждан хранились на серверах в Нидерландах
• Глобальные HR-системы. Если международная компания использует SAP SuccessFactors или Workday с серверами в ЕС, данные российских сотрудников должны первично храниться в РФ. Многие компании решают это через локальную реплику или отдельную инсталляцию

Выбор облачного провайдера — ключевой вопрос при выполнении требований локализации. Рассмотрим основные варианты.

Зарубежные облака (AWS, Azure, GCP)

Amazon Web Services (AWS) не имеет дата-центров в России. Ближайшие регионы — Франкфурт и Стокгольм. Использование AWS для хранения персональных данных граждан РФ нарушает требование локализации, даже если данные зашифрованы.

Microsoft Azure — аналогичная ситуация. Azure-регион в России не запущен. Партнёрские решения (например, через провайдера в РФ) технически позволяют разместить данные на территории страны, но требуют юридической экспертизы — формально оператором данных остаётся российская компания, а не Microsoft.

Google Cloud Platform — дата-центров в РФ нет. Те же ограничения, что и для AWS.

Российские облака

Яндекс.Облако — дата-центры во Владимире, Мытищах, Сасово. Сертифицирован ФСТЭК (аттестат соответствия УЗ-1). Подходит для хранения любых категорий ПДн, включая специальные и биометрические.

VK Cloud (бывш. Mail.ru Cloud Solutions) — дата-центры в Москве, аттестат соответствия требованиям 152-ФЗ. Поддерживает размещение ГИС.

Selectel — собственные дата-центры в Москве и Санкт-Петербурге. Аттестованный сегмент для ПДн.

Ростелеком (РТК-ЦОД) — государственный провайдер, дата-центры в нескольких регионах. Используется госорганами и субъектами КИИ.

Гибридный подход

Многие компании используют гибридную схему: персональные данные граждан РФ хранятся в российском облаке (Яндекс, VK Cloud), а обезличенные данные, аналитика и ML-пайплайны — в AWS/GCP. Это законно при условии, что обезличенные данные действительно невозможно связать с конкретным субъектом без дополнительной информации.

Ключевой риск: использование зарубежного SaaS для CRM, HR, маркетинга (Salesforce, HubSpot, BambooHR). Даже если основной сервер в РФ, передача данных в зарубежный SaaS без первичной записи в российскую базу — нарушение. Операторы обязаны фиксировать место хранения баз данных в политике обработки ПДн и в уведомлении Роскомнадзора.

Что проверять при выборе облачного провайдера

При заключении договора с облачным провайдером для хранения персональных данных убедитесь в наличии следующих условий:

• Юридический адрес ЦОД — должен быть указан конкретный адрес дата-центра на территории РФ, а не только юридический адрес компании-провайдера
• Аттестат соответствия — для ИСПДн 1 и 2 уровня защищённости требуется аттестованная инфраструктура (ФСТЭК)
• SLA по доступности — от 99.95% для критичных систем, с фиксацией ответственности за простой
• Порядок обработки по поручению — провайдер выступает лицом, обрабатывающим ПДн по поручению оператора (ч. 3 ст. 6 152-ФЗ), это должно быть отражено в договоре
• Порядок уничтожения данных — при расторжении договора провайдер обязан удалить все копии данных и подтвердить это актом

Это два разных правовых режима, которые часто путают. Разберём принципиальные отличия.

Локализация (ч. 5 ст. 18 152-ФЗ)

• Суть: первичная база данных — на территории РФ
• Адресат: все операторы, собирающие ПДн граждан РФ
• Предмет: место расположения базы данных
• Нарушение: административный штраф + блокировка ресурса

Трансграничная передача (ст. 12 152-ФЗ)

• Суть: передача данных на территорию иностранного государства
• Адресат: оператор, который передаёт данные за рубеж
• Предмет: факт передачи и условия, на которых она осуществляется
• Условия: страна-получатель обеспечивает адекватную защиту (Конвенция 108) или субъект дал согласие

Принципиальная разница: локализация регулирует, ГДЕ хранить, а трансграничная передача — КОМУ и КУДА передавать. Оператор может одновременно соблюдать оба требования: хранить данные в РФ (локализация) и передавать копию за рубеж (трансграничная передача) — при наличии правовых оснований.

Типичный сценарий: российская компания использует CRM на российском сервере (локализация соблюдена), но отправляет данные клиентов в головной офис в Германии для аналитики (трансграничная передача — нужно согласие субъекта или подтверждение адекватной защиты в стране-получателе).

С 1 марта 2023 года трансграничная передача требует уведомления Роскомнадзора до начала передачи. Роскомнадзор вправе запретить передачу в конкретную страну или конкретному получателю, если сочтёт, что защита данных неадекватна.

Ответственность за нарушение требований локализации предусмотрена статьёй 13.11 КоАП РФ и статьёй 15.5 Федерального закона № 149-ФЗ.

Административные штрафы (ст. 13.11 КоАП)

С учётом последних изменений (Федеральный закон № 589-ФЗ от 12.12.2023):

18 миллионов рублей — максимальный штраф за повторное нарушение для юридического лица. Для крупных компаний это чувствительная сумма, для среднего бизнеса — критическая.

Блокировка ресурса (ст. 15.5 149-ФЗ)

Роскомнадзор вправе ограничить доступ к информационному ресурсу оператора на территории РФ. Механизм применялся неоднократно:

• LinkedIn (2016) — первый крупный прецедент. Таганский суд Москвы удовлетворил иск Роскомнадзора. LinkedIn отказался локализовать данные российских пользователей. Блокировка действует по сей день, хотя обходится через VPN
• Booking.com (2022) — ограничение доступа после отказа локализовать базы данных и на фоне санкционного давления
• Twitter/X (2021–2022) — замедление трафика и угроза блокировки. Twitter в итоге начал локализацию, размещение данных частично перенесено в РФ

Реестр нарушителей

Роскомнадзор ведёт реестр нарушителей прав субъектов ПДн (ст. 15.5 149-ФЗ). Попадание в реестр означает автоматическую блокировку ресурса операторами связи на территории РФ. Исключение из реестра — только после устранения нарушения и решения суда.

Подробнее о всех штрафах за нарушение законодательства о персональных данных читайте в статье Штрафы за нарушение обработки персональных данных.

Пошаговый план приведения в соответствие требованиям ч. 5 ст. 18 152-ФЗ.

1. Аудит текущей инфраструктуры

Определите, где физически хранятся все базы данных с ПДн граждан РФ:

• Собственные серверы (где расположены?)
• Облачные сервисы (какой провайдер, какой регион?)
• SaaS-решения (CRM, HR, бухгалтерия — где серверы?)
• Бэкапы (куда реплицируются?)

2. Миграция на российские серверы

Если данные хранятся за рубежом — перенесите первичную базу в РФ. Варианты:

• Собственный или арендованный сервер в российском ЦОД
• Российское облако (Яндекс.Облако, VK Cloud, Selectel)
• Гибридная схема: ПДн в РФ, обезличенные данные — где удобно

3. Пересмотр договоров с контрагентами

Проверьте, что все поручения обработки (ст. 6 152-ФЗ) содержат указание на место хранения данных. Контрагент, который обрабатывает ПДн по вашему поручению, тоже обязан хранить их в РФ.

4. Обновление документации

• Политика обработки ПДн — указать место хранения баз данных, наименование хостинг-провайдера
• Уведомление Роскомнадзора — указать сведения о месте нахождения базы данных (обязательное поле с 1 сентября 2022 года)
• Согласия на обработку ПДн — если предусмотрена трансграничная передача, получить отдельное согласие субъекта

5. Техническая реализация

• Настройте geo-routing: запросы от российских пользователей должны обрабатываться российским сервером
• Убедитесь, что бэкапы хранятся в РФ (или зашифрованы и обезличены)
• Проведите пентест: убедитесь, что данные не «утекают» в зарубежные сервисы через CDN, логирование или аналитику

6. Документальное подтверждение

Подготовьте доказательную базу на случай проверки Роскомнадзора:

• Договор с хостинг-провайдером (указание на расположение ЦОД)
• Акт классификации ИСПДн (где указано место хранения)
• Логи системы — фиксируют, что первичная запись осуществляется в российскую базу

Используйте наш конструктор документов для автоматической генерации политики обработки ПДн с указанием сведений о локализации.

Нужна политика обработки ПДн с учётом локализации? Создайте документ в конструкторе — поля о месте хранения данных и провайдере заполняются автоматически.

Типичные ошибки при локализации

• Google Analytics / Яндекс.Метрика. Данные систем аналитики (cookie ID, IP, поведенческие данные) могут квалифицироваться как ПДн. Google Analytics передаёт данные на серверы Google в США — это потенциальное нарушение. Яндекс.Метрика хранит данные в РФ
• Email-маркетинг. Mailchimp, SendGrid, HubSpot — серверы за рубежом. Если список рассылки содержит ФИО и email российских граждан, первичная база должна быть в РФ. Российские аналоги: UniSender, DashaMail, Sendsay. Вопрос пересекается с проблематикой cookies и 152-ФЗ — cookie-файлы зарубежных сервисов тоже хранятся за пределами РФ
• Мессенджеры и видеосвязь. Корпоративный Slack, Zoom, Microsoft Teams — переписка сотрудников может содержать ПДн. Формально это тоже нарушение, хотя на практике Роскомнадзор пока не привлекает за это массово
• Бэкапы в зарубежные облака. Автоматические бэкапы в S3 (AWS) или Azure Blob — распространённая ошибка. Даже резервные копии, содержащие ПДн, должны храниться в РФ

Включите проверку локализации в программу ежегодного аудита на соответствие 152-ФЗ — это поможет выявить скрытые нарушения вовремя. Актуальные штрафы за нарушения достигают 18 млн рублей.