Вам пришло письмо от Роскомнадзора — или вы просто хотите разобраться, не нарушаете ли закон. В любом случае, эта статья даст конкретные ответы: что требует закон, кто обязан выполнять требование и что грозит за нарушение.

Сначала — ключевые понятия

Прежде чем разбираться в требованиях, важно понять два базовых термина. Без них закон читается как иностранный язык.

152-ФЗ — это Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006. Он регулирует, как компании и предприниматели должны собирать, хранить и обрабатывать личные данные людей. Именно этот закон обязывает хранить данные россиян на серверах в России.

Оператор персональных данных — любое юридическое или физическое лицо, которое самостоятельно или совместно с другими организует сбор, хранение или обработку персональных данных. Проще говоря: если у вас на сайте есть форма с полем «Имя» или «E-mail» — вы уже оператор ПДн. ИП с базой клиентов в таблице Excel — тоже оператор.

Персональные данные (ПДн) — любая информация, которая прямо или косвенно позволяет идентифицировать конкретного человека: имя, телефон, e-mail, адрес доставки, иногда даже IP-адрес в совокупности с другими данными.

Что именно требует закон — текст нормы простыми словами

Ч. 5 ст. 18 152-ФЗ звучит так:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.»

Что здесь важно понять без юридического образования:

  • Закон говорит о первичной базе данных — той, в которой данные появляются впервые и хранятся в актуальном состоянии.
  • Перечисленные операции («запись, систематизация, накопление») охватывают почти любое взаимодействие с данными: форма регистрации на сайте, CRM-система, база подписчиков рассылки.
  • Норма не запрещает копировать данные за рубеж — она требует, чтобы первичная актуальная база находилась в РФ. Резервная копия на зарубежном сервере формально допустима, но с оговорками (о них ниже).

Вот как соотносятся два требования закона, которые часто путают:

Требование Суть Норма
Локализация Первичная БД должна быть в России Ч. 5 ст. 18 152-ФЗ
Трансграничная передача Ограничения на передачу данных в другие страны Ст. 12 152-ФЗ

Это не одно и то же. Можно локализовать данные в России и при этом нарушить правила трансграничной передачи — и наоборот.

Важно: с 1 марта 2023 года вступили в силу поправки в ст. 12 152-ФЗ (Федеральный закон № 266-ФЗ от 14.07.2022), существенно изменившие порядок трансграничной передачи: введено требование об уведомлении Роскомнадзора до начала передачи и получения разрешения в установленных случаях. Уточните актуальные требования в первоисточнике (rkn.gov.ru).

На кого распространяется требование

Короткий ответ: на всех, кто собирает персональные данные граждан РФ — вне зависимости от размера бизнеса и страны регистрации компании.

Тип оператора Обязан локализовать? Примечание
Российское юрлицо Да Любой размер, включая ООО с одним сотрудником
ИП Да Если собирает ПДн клиентов или сотрудников
НКО, ТСЖ, кооператив Да Если ведут базы членов
Иностранная компания Да Если обрабатывает данные россиян
Маркетплейс Да Данные продавцов и покупателей
SaaS-сервис Да Даже если ПО размещено за рубежом
Сайт-визитка с формой обратной связи Да Форма обратной связи = сбор ПДн

Иностранные компании — наглядный пример

LinkedIn заблокировали в России в 2016 году именно за нарушение требования локализации. Таганский районный суд г. Москвы удовлетворил требование Роскомнадзора; компания не выполнила предписание, и сайт был включён в реестр нарушителей прав субъектов персональных данных. Это был первый прецедент применения нормы к иностранному бизнесу с последствием в виде блокировки — и он показал, что закон работает.

Малый бизнес и ИП — не исключение

Закон не содержит порога по обороту или количеству сотрудников. ИП, который ведёт базу клиентов интернет-магазина в Google Sheets или зарубежной CRM, формально нарушает ч. 5 ст. 18 152-ФЗ. Проверки РКН исторически концентрировались на крупных игроках — но это вопрос правоприменительной практики, а не буквы закона.

Как это работает технически — что считается «хранением в России»

Физическое местонахождение сервера

Ключевой критерий — физическое расположение сервера на территории РФ. Российская регистрация хостинг-провайдера сама по себе недостаточна, если стойки с оборудованием стоят в Амстердаме или Франкфурте.

На практике: выбирайте дата-центры, которые физически находятся в России. Большинство крупных российских хостингов (Selectel, Timeweb, Beget, REG.RU и др.) размещают оборудование в отечественных ЦОД. Уточняйте это в договоре с провайдером — не на словах, а письменно.

Облачные сервисы: AWS, Azure, Google Cloud

Использование зарубежных облаков для хранения первичной базы персональных данных россиян — нарушение. AWS Europe (Frankfurt), Microsoft Azure West Europe, Google Cloud (регионы вне РФ) — все эти регионы находятся за пределами РФ.

Российские альтернативы, которые по состоянию на июнь 2025 г. позиционируются как соответствующие требованию локализации:

  • Яндекс Облако (регион ru-central1, Москва)
  • VK Cloud (серверы в РФ)
  • SberCloud
  • МТС Облако

Важный нюанс: убедитесь, что в договоре с провайдером явно указано физическое местонахождение серверов. Некоторые провайдеры используют гибридные схемы.

Резервные копии за рубежом — можно или нет?

Здесь начинается «серая зона». Закон говорит о первичной базе — той, которая используется для записи и хранения актуальных данных. Резервная копия формально не является первичной базой.

Роскомнадзор в своих разъяснениях допускал хранение резервных копий за рубежом при условии, что первичная база находится в России. Однако эта позиция не закреплена в законе и может меняться. Полагаться на неё как на стопроцентную защиту не стоит. Актуальную позицию РКН уточняйте на rkn.gov.ru.

Передача данных на зарубежную обработку в реальном времени

Данные формально хранятся на российском сервере, но аналитика и профилирование происходят на зарубежных мощностях, куда данные передаются в реальном времени.

С технической точки зрения первичная БД в России есть. Но такая передача с 1 марта 2023 года подпадает под обновлённые требования ст. 12 152-ФЗ о трансграничной передаче. Устоявшейся судебной практики, однозначно квалифицирующей подобные схемы, пока недостаточно — это означает правовую неопределённость, что само по себе является риском.

Ответственность — кто отвечает

Важно понимать: ответственность за нарушение требований 152-ФЗ несёт не только юридическое лицо. Физическое лицо — оператор персональных данных (например, индивидуальный разработчик, ведущий онлайн-сервис) — также является субъектом административной ответственности по ст. 13.11 КоАП РФ.

Что это означает на практике:

  1. Ответственность несёт не только юрлицо, но и физлицо — если оно является оператором ПДн.
  2. Масштаб бизнеса не является основанием для освобождения от ответственности.
  3. РКН может выявить нарушение без жалобы пользователя — через технические проверки.

«Для меня это не актуально» — неверная позиция, если у вас есть хоть одна форма на сайте.

Штрафы и ответственность в 2025 году

После поправок, внесённых Федеральным законом № 266-ФЗ от 14.07.2022, санкции за нарушения существенно выросли. Ответственность за нарушение локализации предусмотрена ч. 8 ст. 13.11 КоАП РФ.

Нарушение Штраф для юрлиц (первое) Повторное нарушение
Нарушение требования локализации (ч. 8 ст. 13.11) от 1 до 6 млн руб. от 6 до 18 млн руб.
Незаконная обработка ПДн (ч. 1 ст. 13.11) от 60 000 до 100 000 руб. от 100 000 до 300 000 руб.
Обработка без согласия (ч. 2 ст. 13.11) от 100 000 до 300 000 руб. от 300 000 до 500 000 руб.
Утечка ПДн (ч. 2.1 ст. 13.11) от 3 до 15 млн руб. до 500 млн руб.

Примечание: санкции за утечки ПДн обсуждаются в контексте дальнейшего ужесточения. Актуальную редакцию ст. 13.11 КоАП РФ проверяйте на consultant.ru или pravo.gov.ru.

Помимо штрафа, Роскомнадзор вправе внести оператора в реестр нарушителей с последующей блокировкой сайта. Выйти из реестра можно только после устранения нарушения — процедура небыстрая.

Как РКН узнаёт о нарушениях:

  • Плановые и внеплановые проверки
  • Жалобы пользователей
  • Мониторинг по собственной инициативе, в том числе технический анализ сайтов
  • Информация от других ведомств

Пошаговый чек-лист: как выполнить требование локализации

□ 1. Определите, являетесь ли вы оператором ПДн
      Если вы собираете имя, email, телефон — вы, вероятно, оператор.
      IP-адрес в совокупности с иной информацией тоже может быть ПДн.

□ 2. Проведите аудит хранения данных
      Где физически находятся ваши базы данных, CRM, форм-обработчики?
      Запросите подтверждение у провайдера письменно.

□ 3. Проверьте облачные инструменты
      Google Forms, Mailchimp, Salesforce, Notion, Airtable —
      все они хранят данные за пределами РФ.

□ 4. Выберите российский хостинг или облако
      Убедитесь, что серверы физически в РФ — это должно быть
      зафиксировано в договоре или публичной оферте.

□ 5. Перенесите первичную БД на серверы в РФ
      Это касается: баз пользователей, CRM, рассылочных сервисов,
      систем аналитики с хранением ПДн.

□ 6. Оцените трансграничную передачу данных
      Если данные россиян передаются за рубеж — с 01.03.2023
      требуется соблюдение ст. 12 152-ФЗ: уведомление РКН
      и в ряде случаев получение разрешения.

□ 7. Обновите политику конфиденциальности
      Укажите, где хранятся данные. Устаревшая политика с упоминанием
      зарубежных серверов — дополнительный риск при проверке.

□ 8. Направьте уведомление в РКН
      Обязательно для большинства операторов (ст. 22 152-ФЗ).
      Сделать можно через lkoperator.rkn.gov.ru.

□ 9. Зафиксируйте выполнение документально
      Договор с российским хостингом, внутренний приказ о хранении ПДн,
      обновлённая политика — это ваша доказательная база при проверке.

Локализация и GDPR — как соответствовать двум требованиям одновременно

Компании, работающие с пользователями из ЕС и России, сталкиваются с реальным конфликтом требований. GDPR не запрещает хранить данные в РФ, но требует обеспечить уровень защиты, эквивалентный европейскому. Россия не включена в список стран с «адекватным уровнем защиты» по решению Европейской комиссии.

Практическое решение — разделение баз данных по юрисдикциям:

  • Данные россиян — на серверах в РФ, обрабатываются по 152-ФЗ.
  • Данные резидентов ЕС — на серверах в ЕС или в стране с адекватным уровнем защиты, обрабатываются по GDPR.
  • Для передачи данных между базами используются стандартные договорные положения (SCC) или иные механизмы, предусмотренные GDPR.

Это дороже, чем единая инфраструктура, но это единственный способ не нарушать ни один из законов. «Храним всё в одном месте, авось пронесёт» — не стратегия.

Главный вывод: если у вас есть сайт с формой, CRM или база клиентов — вы оператор персональных данных и обязаны хранить данные россиян на серверах в России. Это требование действует с 2015 года, не зависит от размера бизнеса и грозит штрафом до 18 млн рублей плюс блокировкой сайта при повторном нарушении. Первый шаг — выяснить, где физически стоят ваши серверы.

Часто задаваемые вопросы

Нужна ли локализация для небольшого интернет-магазина?

Да. Если вы собираете имена, адреса доставки и телефоны покупателей — вы оператор ПДн и обязаны хранить эти данные в России. Размер магазина и оборот значения не имеют: закон не содержит порогов по выручке или числу сотрудников.

Можно ли использовать Google Forms, Mailchimp или Notion для работы с данными россиян?

Как основной инструмент хранения — нет. Все эти сервисы хранят данные на серверах за пределами РФ. Допустимый вариант для Google Forms: немедленно передавать данные в российскую систему и не использовать Google как место постоянного хранения. Для Mailchimp и Notion аналогов с российскими серверами нужно искать отдельно.

Что произойдёт, если Роскомнадзор придёт с проверкой и найдёт нарушение?

Стандартный сценарий: сначала предписание об устранении нарушения, затем при его неисполнении — протокол об административном правонарушении, штраф и возможное включение в реестр нарушителей с блокировкой сайта. Выйти из реестра можно только после устранения нарушения и подачи заявления — процедура занимает время.

Распространяется ли требование на cookies и системы веб-аналитики?

Cookies в совокупности с другой информацией могут быть персональными данными — например, если через них вы идентифицируете конкретного пользователя. Системы веб-аналитики, которые хранят такие данные на зарубежных серверах (Google Analytics с европейскими серверами), формально нарушают требование локализации. Вопрос об отнесении конкретных данных к ПДн решается с учётом контекста; при необходимости проконсультируйтесь с юристом.

Нужно ли специально уведомлять РКН о том, что локализация выполнена?

Отдельного уведомления о факте локализации закон не требует. Но общее уведомление об обработке ПДн (ст. 22 152-ФЗ) обязательно для большинства операторов — и в нём нужно корректно указать место хранения данных. Подать уведомление можно через lkoperator.rkn.gov.ru.

Что делать прямо сейчас

Требование локализации действует с 1 сентября 2015 года. Это давно не «новое» правило — это обязательная гигиена работы с данными.

Конкретные шаги:

  1. Запросите у своего хостинг-провайдера письменное подтверждение физического местонахождения серверов.
  2. Составьте реестр всех систем, где хранятся данные пользователей, — от CRM до рассылочного сервиса.
  3. Проверьте, когда последний раз обновлялась политика конфиденциальности и соответствует ли она реальному положению дел.
  4. Если вы ещё не направили уведомление в РКН — сделайте это через личный кабинет оператора (lkoperator.rkn.gov.ru).
  5. Если в инфраструктуре есть зарубежные сервисы с ПДн россиян — запланируйте миграцию и оцените соответствие требованиям ст. 12 152-ФЗ о трансграничной передаче.

Не уверены, всё ли в порядке с вашим сайтом? Проверьте его бесплатно на сервисе ЧистыйСайт — и узнайте о нарушениях раньше, чем это сделает Роскомнадзор.

Статья подготовлена редакцией «ЧистыйСайт» на основе действующей редакции 152-ФЗ, КоАП РФ и правоприменительной практики РКН. Материал носит информационный характер и не является юридической консультацией. По состоянию на июнь 2025 г. Законодательство в сфере персональных данных активно развивается; рекомендуем проверять актуальность сведений в первоисточниках: pravo.gov.ru, rkn.gov.ru.

Источники: Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных» (в ред. Федерального закона № 266-ФЗ от 14.07.2022 и последующих изменений) — consultant.ru, pravo.gov.ru; КоАП РФ ст. 13.11; официальный сайт Роскомнадзора (rkn.gov.ru); сведения о блокировке LinkedIn в реестре нарушителей прав субъектов персональных данных (2016).