Локализация персональных данных в 2026: требования 152-ФЗ, документы, переход на российские сервисы

Локализация персональных данных — обязательное требование 152-ФЗ хранить и обрабатывать персональные данные граждан Российской Федерации на территории России в первичных базах данных. Требование закреплено в части 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и действует с 1 сентября 2015 года. С 2022-2025 годов соблюдение локализации стало одним из самых актуальных и проверяемых требований Роскомнадзора.

Простая формула локализации

Закон требует, чтобы при сборе, записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении ПДн граждан РФ оператор использовал базы данных, находящиеся на территории Российской Федерации. Это «первичная» обработка — то, что происходит сразу после получения данных.

После первичной обработки данные могут передаваться за рубеж в рамках трансграничной передачи с соблюдением отдельных требований ст. 12 152-ФЗ. Но первичные базы должны быть в России — это базовое и непреложное условие.

Кого касается локализация

• Все российские операторы ПДн — без исключений по размеру или отрасли
• Иностранные компании, обрабатывающие данные граждан РФ через интернет-сайты с targeting на российский рынок (русский язык, рублёвые цены, доставка в РФ)
• Группы компаний с зарубежными офисами — российский офис обязан хранить базу российских клиентов локально, даже если глобальная корпоративная база ведётся в США/ЕС
• Госорганы и муниципалитеты — для них требования ещё строже (Приказ ФСТЭК №117 для ГИС)

Когда локализация НЕ требуется

Часть 5 ст. 18 152-ФЗ предусматривает исключения, когда первичная обработка может проходить за рубежом:

• Необходимость для исполнения международного договора, в котором Россия выступает стороной (визы, посольские документы)
• Защита конституционного строя, обороны и безопасности государства
• Журналистская и научно-творческая деятельность в общественных интересах
• Исключительно личные и семейные нужды субъекта (без передачи третьим лицам)

В коммерческой практике эти исключения почти не работают — для бизнеса локализация фактически обязательна.

Нарушение локализации ПДн — одно из самых дорогих нарушений 152-ФЗ. С учётом редакции 420-ФЗ от 30.11.2024 штрафы существенно выросли.

Административная ответственность (ст. 13.11 КоАП РФ)

Часть 8 ст. 13.11 КоАП РФ (в действующей редакции) применяется за невыполнение требований к локализации:

• Для должностных лиц — от 100 000 до 200 000 ₽
• Для индивидуальных предпринимателей — от 100 000 до 300 000 ₽
• Для юридических лиц — от 1 000 000 до 6 000 000 ₽

Повторное нарушение — штраф для юрлиц до 18 000 000 ₽ (ч. 9 ст. 13.11 КоАП РФ).

Блокировка сайта (ст. 15.1, 15.5 ФЗ-149)

Помимо штрафа Роскомнадзор может включить сайт в реестр нарушителей прав субъектов ПДн и заблокировать его на территории РФ. Известные случаи: блокировки LinkedIn (2016), Twitter/X (2022), множество мелких сайтов в 2024-2025.

Параллельная ответственность за утечку

Если данные на иностранных серверах утекут — оператор получает двойную ответственность:

• Штраф за нарушение локализации (до 6 000 000 ₽)
• Штраф за утечку по новой редакции ст. 13.11 КоАП (от 3 до 15 млн ₽ за первую, оборотный 1-3% за повторную)
• Уголовная ответственность по ст. 272.1 УК РФ — до 5 лет лишения свободы (с тяжкими последствиями — до 10 лет)

Без локализации все эти штрафы складываются. Это самая дорогая «экономия» в долгосрочной перспективе.

С 2024 года Роскомнадзор активно использует автоматизированный мониторинг сайтов для выявления нарушений локализации. Проверка идёт по нескольким признакам.

Технические признаки нарушения локализации

• Хостинг сайта за рубежом — IP-адрес сервера в недружественной юрисдикции (US, EU). Бот РКН определяет страну хостинга через WHOIS и трассировку
• Зарубежные CDN — Cloudflare, Akamai, AWS CloudFront с обработкой контента (не только кеширование)
• Зарубежные SaaS-сервисы с обработкой ПДн: Salesforce, HubSpot, Mailchimp, Intercom, Slack, Zendesk
• Зарубежные платёжные системы — Stripe, PayPal без локального гейтвея
• Зарубежные аналитические сервисы — Google Analytics 4, Meta Pixel, Hotjar — хранят cookies и данные пользователей
• Зарубежные системы антифрода — reCAPTCHA, Cloudflare Bot Management
• Шрифты с зарубежных CDN — Google Fonts, Adobe Fonts

Документарные признаки нарушения

• Уведомление РКН об обработке ПДн не указывает зарубежных операторов в качестве обработчиков
• Политика обработки ПДн не описывает зарубежных сервисов
• Согласие на обработку не упоминает передачу данных за рубеж
• Договоров поручения с зарубежными контрагентами нет или они формальные

Что делать, если бот РКН уже зафиксировал нарушение

Действуйте быстро — у вас 30 дней на устранение нарушения с момента предписания РКН. Алгоритм:

1. Получите официальное предписание РКН (через личный кабинет на pd.rkn.gov.ru)
2. Проведите аудит всех сервисов, обрабатывающих ПДн
3. Замените зарубежные сервисы на российские аналоги или перенесите данные на серверы в РФ
4. Обновите политику обработки ПДн, согласия, уведомление в РКН
5. Подайте ответ в РКН с описанием устранённых нарушений
6. При необходимости — пройдите внеплановую проверку

Чтобы избежать предписания, проводите аудит локализации ПДн раз в год — это требование Роскомнадзора + смягчающее обстоятельство при штрафе.

Переход с зарубежных сервисов на российские — это не только техническая работа, но и большая документарная задача. Без обновления документов проверка РКН зафиксирует нарушение даже после реальной миграции данных. Разберём 6 категорий документов, которые требуют обновления.

1. Политика обработки персональных данных

Главный публичный документ оператора. Обновить нужно:

• Перечень обработчиков ПДн (третьих лиц): убрать зарубежные сервисы, добавить российские аналоги (Яндекс Метрика вместо Google Analytics, VK Pixel вместо Meta Pixel, СберПлатёж вместо Stripe)
• Сведения о трансграничной передаче — если её больше нет, явно указать «трансграничная передача не осуществляется»
• Информация о хостинге — серверы на территории РФ
• Перечень используемых СЗИ — отечественные средства защиты (КриптоПро, ViPNet, Касперский) вместо зарубежных аналогов

Готовый шаблон политики в нашем конструкторе автоматически адаптируется под выбранные сервисы.

2. Согласие на обработку персональных данных

• Убрать упоминание трансграничной передачи (если её больше нет)
• Обновить перечень целей обработки в соответствии с новыми обработчиками
• Получить новые согласия от существующих субъектов ПДн, если перечень обработчиков существенно изменился — это критично

3. Уведомление оператора в Роскомнадзоре

С 1 марта 2024 года расширен перечень обязательных сведений. При переходе на локализацию обновить:

• Раздел «Трансграничная передача» — если её больше нет, заполнить отрицательно
• Раздел «Информация о средствах защиты» — указать новые российские СЗИ
• Категории обрабатываемых данных — если состав изменился

Подача обновлённого уведомления — обязательная в течение 10 рабочих дней с момента изменений. Бесплатный bookmarklet для автозаполнения формы РКН ускоряет процедуру.

4. Договоры поручения с обработчиками (ст. 6 ч. 3 152-ФЗ)

• Расторгнуть договоры с зарубежными обработчиками
• Заключить новые с российскими (Яндекс, VK, Сбер, российские хостинг-провайдеры)
• В договорах прописать ответственность сторон, меры защиты, права субъектов ПДн
• Сохранять копии договоров — РКН запросит при проверке

5. Внутренние документы (политики, регламенты, инструкции)

• Положение об обработке ПДн
• Регламент работы с информационными системами
• Инструкции для сотрудников по работе с новыми сервисами
• Регламент реагирования на инциденты — обновить контакты, шаблоны, сценарии

6. Модель угроз

Модель угроз по методике ФСТЭК 2021 должна учитывать новую архитектуру: какие сервисы используются, какие потоки данных, где находятся серверы. При смене инфраструктуры модель угроз требует пересмотра — это формальное требование Приказа ФСТЭК №21 для ИСПДн.

Локализация — это не разовая миграция, а длительный проект, который требует чёткого плана. Разберём 7 категорий сервисов и российские альтернативы 2025-2026 годов. Это не каталог брендов и не реклама, а ориентация по основным классам систем — конкретный выбор зависит от вашей инфраструктуры.

1. Веб-аналитика (вместо Google Analytics, Yandex Metrica)

Самая массовая категория. Google Analytics 4 хранит сессии в зарубежных дата-центрах, что нарушает локализацию. Российские альтернативы — Яндекс Метрика (российские серверы), Top Mail.ru (актуально для отдельных кейсов). Перенос исторических данных невозможен — стоит сохранить старые отчёты как архив и начать новые с момента перехода.

2. Реклама и пиксели (вместо Meta Pixel, Google Ads pixel)

Пиксели социальных сетей и рекламных систем фиксируют поведение пользователей. Российские альтернативы — VK Pixel, Яндекс Метрика goals (с инжектом в рекламные сети). Стороннее преимущество — обе российские системы интегрируются с рекламными кабинетами «у источника».

3. Captcha и антибот (вместо Google reCAPTCHA, Cloudflare Bot Management)

Зарубежные капчи передают cookie и поведенческие данные за рубеж. Российские альтернативы — Яндекс SmartCaptcha (бесплатна, легко интегрируется через JavaScript), VK Captcha. Замена обычно занимает 1-2 часа разработчика.

4. Шрифты (вместо Google Fonts, Adobe Fonts)

Google Fonts при загрузке с CDN передаёт IP пользователя. Решения: скачать шрифты и захостить на собственном сервере, использовать российские CDN (Selectel, Mail.ru), использовать системные шрифты (Arial, Tahoma, sans-serif).

5. Хостинг и облачные сервисы (вместо AWS, GCP, Azure, DigitalOcean)

Самая сложная категория. Миграция от 1 недели до 6 месяцев в зависимости от размера инфраструктуры. Российские альтернативы — Selectel, Yandex Cloud, VK Cloud, Reg.ru, Timeweb, Beget. Требуется не только перенос, но и обновление всех договоров и документов.

6. Почтовые рассылки (вместо Mailchimp, SendGrid, Mailgun)

Зарубежные сервисы рассылок хранят базы подписчиков на своих серверах — прямое нарушение локализации. Российские альтернативы — UniSender, SendPulse, DashaMail, Notisend. Перенос баз субъектов с получением новых согласий — отдельная процедура.

7. CRM, helpdesk, мессенджеры (вместо Salesforce, HubSpot, Zendesk, Intercom)

Зарубежные SaaS-CRM с обработкой клиентских данных — массовое нарушение. Российские альтернативы — Битрикс24, amoCRM, Мегаплан, Юздеск. Миграция сложная: данные клиентов + история взаимодействий + интеграции.

Чек-лист перехода

1. Провести инвентаризацию всех зарубежных сервисов (см. бесплатный сканер сайта)
2. Приоритизировать переход — начать с критичных (хостинг, CRM, аналитика)
3. Выбрать российские аналоги — закладывать срок 1-3 месяца на каждый
4. Заключить договоры поручения обработки ПДн с российскими подрядчиками
5. Параллельно обновлять документы (политика, согласия, уведомление РКН)
6. Тестировать миграции на staging до продакшена
7. Получить новые согласия субъектов ПДн
8. Подать обновлённое уведомление в РКН

Локализация — не только техническая миграция, но и большой документарный проект. Документы — наша зона. Технические рекомендации даём, миграцией не занимаемся (нет своего хостинг-бизнеса) — для технической части привлекаем партнёров.

4 уровня поддержки

1. Бесплатный сканер сайта /audit

Автоматический аудит за 15 секунд — обнаружит все зарубежные сервисы на вашем сайте (Google Analytics, Meta Pixel, Cloudflare, Mailchimp, Google Fonts, reCAPTCHA). Первичная оценка масштаба работ по локализации — без регистрации.

2. Обновление документов через конструктор

В конструкторе Кибероснова Документы сгенерируется обновлённый комплект документов под новую архитектуру: политика обработки ПДн (без зарубежных обработчиков), согласия (с правильными целями), уведомление оператора в РКН (раздел «трансграничная передача» закрыт), договоры поручения с российскими подрядчиками, регламент реагирования на инциденты с новыми контактами. Срок — 15-30 минут на полный пакет.

3. Аудит «Под ключ» с миграцией

Команда ИБ + юрист + разработчик приведёт сайт и документы в полное соответствие 152-ФЗ за 14 рабочих дней. Включает: замену зарубежных трекеров (GA→Метрика, Meta Pixel→VK Pixel, reCAPTCHA→SmartCaptcha), локализацию шрифтов, обновление всех документов, подачу уведомления в РКН, гарантию 6 месяцев. Цена индивидуальная — после бесплатного сканера.

4. Сопровождение проверки РКН

Если уже получили предписание РКН — наша команда подготовит ответ, исправит документы и сайт в срок 30 дней, сопроводит проверку. Это часть услуги «Под ключ» с гарантией 6 месяцев.

Чем отличаемся от классического подхода

Начните с бесплатного сканера сайта на 152-ФЗ — увидите сколько зарубежных сервисов нужно заменить и какие документы переработать.

По опыту работы с компаниями в 2024-2025 годах после массовых проверок локализации, выделим 7 ошибок, которые встречаются чаще всего.

Ошибка 1. Миграция без обновления документов

Самая массовая. Серверы перенесли на российский хостинг — а в политике обработки ПДн по-прежнему упомянуты AWS и Google. Бот РКН при проверке смотрит документы, а не реальную инфраструктуру. Без обновления документов миграция бесполезна.

Ошибка 2. Замена «частичная»

Google Analytics убрали, но остались Google Fonts, reCAPTCHA, Stripe. Бот РКН зафиксирует это как нарушение. Локализация требует полного ухода от зарубежных сервисов, обрабатывающих ПДн.

Ошибка 3. Использование CDN с обработкой

Cloudflare как CDN (только кеширование) — допустимо. Cloudflare с Bot Management или WAF — это уже обработка ПДн (cookies, поведенческие данные) на зарубежных серверах. Аналогично — Akamai, Fastly.

Ошибка 4. Облачные CRM с зарубежной обработкой

HubSpot, Salesforce, Pipedrive, Intercom — хранят базы клиентов на своих серверах за рубежом. Российские филиалы зарубежных CRM (если есть) могут иметь обработку в РФ — проверяйте конкретные условия в договоре.

Ошибка 5. Согласия не переоформлены

При существенном изменении перечня обработчиков ПДн нужно получить новые согласия. Старые согласия теряют силу. Без новых согласий обработка после миграции — незаконна.

Ошибка 6. Уведомление РКН не обновлено

10 рабочих дней с момента изменений — обязательный срок обновления уведомления. Многие забывают. РКН при проверке сверяет уведомление с реальной обработкой — расхождение фиксируется как отдельное нарушение.

Ошибка 7. Хранение зарубежной копии «на всякий случай»

Часть компаний делает «дублирующую» копию данных за рубежом — для отказоустойчивости. Это нарушение даже если основная копия в РФ: первичная обработка должна быть в РФ, дублирование за рубежом — это уже трансграничная передача со своими правилами.

Как избежать ошибок

• Запустить автоматический аудит до начала миграции — увидите полную карту зарубежных сервисов
• Сделать список всех нужных замен и приоритизировать
• Параллельно с миграцией обновлять документы — не оставлять «на потом»
• Получить новые согласия субъектов ПДн
• Подать обновлённое уведомление в РКН в срок 10 дней
• Запланировать внутренний аудит через 3 месяца после миграции