Федеральный закон № 242-ФЗ, внёсший поправки в 152-ФЗ и вступивший в силу 1 сентября 2015 года, установил принцип локализации персональных данных: при сборе персональных данных граждан Российской Федерации оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории России. Требование закреплено в ч. 5 ст. 18 152-ФЗ.
Кого касается требование о локализации
Требование применяется ко всем операторам персональных данных — как российским, так и иностранным компаниям — если они:
- целенаправленно собирают данные граждан РФ;
- предлагают товары или услуги гражданам РФ;
- отслеживают поведение граждан РФ в интернете.
Таким образом, даже зарубежный сайт, ориентированный на российскую аудиторию, формально обязан соблюдать требования 152-ФЗ о локализации.
Что именно должно храниться в России
Закон требует, чтобы первичная база персональных данных находилась в России. При этом допускается:
- наличие зеркальных копий на зарубежных серверах для резервирования;
- передача данных за рубеж в рамках трансграничной передачи при соблюдении требований ст. 12 152-ФЗ.
Ключевое правило: Любое обновление и обработка актуальной версии данных должны происходить на российском сервере. Зарубежная копия может быть только производной от российской, а не первичной.
Практические последствия для сайтов
SaaS-сервисы
Использование иностранных SaaS-платформ для хранения данных российских пользователей (например, Salesforce, HubSpot, Mailchimp) нарушает требование о локализации. Необходимо либо выбрать российский аналог, либо убедиться, что данные хранятся на российских серверах поставщика услуги.
CRM-системы
Облачные CRM, серверы которых расположены за рубежом, не соответствуют требованиям. Рекомендуется использовать Битрикс24 (российская локализация), AmoCRM (при хранении данных в РФ) или on-premise решения.
Email-рассылки
Подписные базы (имена, email-адреса) являются персональными данными и должны первично храниться на российском сервере. Sendsay, DashaMail, Unisender хранят данные в России.
Аналитика
Google Analytics хранит данные на серверах Google LLC в США. Это потенциальное нарушение ФЗ-242. Яндекс.Метрика хранит данные в России — рекомендуется использовать именно её. Подробнее: Яндекс.Метрика вместо Google Analytics: полный гайд.
Ответственность за нарушение
| Нарушение | Статья КоАП | Штраф |
|---|---|---|
| Нелокализованная БД ПД (первичное нарушение) | ч. 8 ст. 13.11 КоАП | до 6 млн руб. |
| Повторное нарушение | ч. 8.1 ст. 13.11 КоАП | до 18 млн руб. |
| Блокировка сайта | Ст. 15.5 ФЗ-149 | Внесение в реестр РКН |
За нарушение требований о локализации Роскомнадзор вправе заблокировать доступ к сайту на территории России. Именно по этой причине в 2020–2022 годах были временно заблокированы LinkedIn, а угроза блокировки нависала над Facebook и Instagram.
Как проверить соответствие
- Составьте реестр всех сторонних сервисов, которые получают данные ваших пользователей.
- Для каждого сервиса выясните страну хранения данных (Data Processing Agreement или политика конфиденциальности сервиса).
- Замените иностранные сервисы на российские аналоги или переведите данные на российские серверы.
- Заключите договоры на обработку данных с российскими поставщиками.
- Зафиксируйте выполненные меры в технической документации.
Связанные статьи
Подробнее о трансграничной передаче данных читайте в статье Трансграничная передача данных: новые правила 2025–2026. О российских аналогах иностранных сервисов — в материале Российские аналоги иностранных сервисов для сайтов.
Итог
Локализация данных — это не только буква закона, но и вопрос информационной безопасности. Перевод данных пользователей на российские серверы защищает их от иностранных юрисдикций и обеспечивает предсказуемость правовой среды. Проверьте, где хранятся данные вашего сайта, с помощью инструментов на help152.ru.