Требование локализации персональных данных граждан РФ закреплено в части 5 статьи 18 152-ФЗ ещё с 1 сентября 2015 года. Сбор, запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться с использованием баз данных, находящихся на территории России. Разбираем тему «crm и 152-фз: какие crm соответствуют требованиям локализации».
Что считается базой ПДн
Базы данных, на которые распространяется требование локализации:
- основная база сайта (MySQL, PostgreSQL и др.);
- CRM-система с клиентами и сделками;
- email-сервис рассылок (если хранит контакты);
- сервис аналитики (если идентифицирует пользователей);
- сервис онлайн-чата с историей переписки;
- резервные копии всех вышеуказанных баз.
Если хотя бы одна из этих баз с ПДн граждан РФ хранится на серверах за рубежом – это нарушение локализации.
Российский хостинг – чек-лист
При выборе хостинг-провайдера для сайта оператора ПДн важно проверить:
- дата-центры физически на территории РФ – это указывается в договоре или на сайте провайдера;
- провайдер аккредитован как ИТ-компания (опционально, плюс к надёжности);
- есть SLA по доступности и регламент работы с инцидентами;
- предоставляется HTTPS и поддержка SSL-сертификатов;
- возможность подписать договор на обработку ПДн (договор поручения по ст. 6 ч. 3 152-ФЗ);
- резервное копирование тоже на серверах в РФ.
Популярные российские хостинги, соответствующие требованиям: REG.RU, Timeweb, Beget, Selectel, Яндекс.Облако, VK Cloud.
CDN и сторонние сервисы
CDN-сервисы (Cloudflare, Fastly) могут проксировать трафик через зарубежные серверы – это спорная зона. Если CDN только кэширует статику (картинки, CSS, JS) и не обрабатывает форму со сбором ПДн – формально это допустимо. Если CDN видит и временно хранит запросы с ПДн (например, через WAF) – это уже трансграничная передача и требует отдельного согласия. Безопаснее использовать российские CDN: Selectel CDN, Yandex CDN, VK Cloud CDN.
Email и рассылки
Использование зарубежных email-сервисов (Mailchimp, SendGrid, Brevo) для рассылок по ПДн граждан РФ – нарушение локализации. Российские альтернативы: Unisender, SendPulse (с серверами в РФ), DashaMail, Sendsay, Mailganer. Корпоративная почта на иностранных сервисах (Gmail для бизнеса, Outlook 365) для общения с клиентами – тоже зона риска: вся переписка с ПДн уходит за рубеж.
Штрафы за нарушение локализации
За первичное нарушение локализации (ч. 8 ст. 13.11 КоАП) штраф для юрлица составляет 1–6 млн ₽, при повторном (ч. 9) – 6–18 млн ₽. В судебной практике 2025 года уже есть штрафы 1,5–4 млн ₽ за хранение CRM на зарубежных серверах. Кроме того, нарушение локализации часто тянет за собой неуведомление Роскомнадзора об актуальном местоположении баз – это отдельный состав по ст. 13.11 ч. 10 КоАП. За неуведомление Роскомнадзора о начале обработки ПДн (ч. 10 ст. 13.11 КоАП) штраф для юрлица – 100–300 тыс ₽.
Что делать прямо сейчас
Проверить сайт на нарушения 152-ФЗ можно бесплатно за 30 секунд – без регистрации и оплаты. Сервис help152.ru выполняет 78+ автоматических проверок и показывает общую оценку, количество нарушений по категориям и риск штрафа. Если нужен подробный PDF-отчёт со ссылками на статьи закона и размерами штрафов – доступны три тарифа платного аудита:
- Визитка / Лендинг – 1 490 ₽ для сайтов-визиток, лендингов, портфолио.
- Коммерческий – 2 990 ₽ для корпоративных сайтов, сервисов и SaaS, с юридическими и техническими рекомендациями.
- Бизнес – 4 900 ₽ с расширенными проверками ЗоЗПП, оферты, оплаты и маркировки рекламы.
База правил обновляется при каждом изменении законодательства – аудит учитывает поправки 420-ФЗ, изменения локализации, требования к маркировке рекламы и куки. Сравнить тарифы или запустить бесплатную экспресс-проверку.