Локализация данных: как бизнесу соответствовать требованиям о хранении данных в России

С 1 июля 2025 года действует новая редакция пятого пункта 18-й статьи закона «О персональных данных». Коротко:первичные базы с данными российских граждан при сборе должны находиться только в России. Роскомнадзор уже штрафует компании на миллионы рублей, а в 2026 году проверок станет больше. Особенно пристально смотрят на иностранные сервисы и на тех, кто до сих пор хранит данные за границей.

Павел Кравчук, директор дивизиона компании Notamedia Integrator, разбирает, какие данные попадают под требования, как выбрать российский ЦОД и организовать миграцию без сбоев.

Что такое локализация данных и зачем она нужна

Локализация персональных данных — это требование закона, по которому первичная запись, накопление, хранение и уточнение сведений о гражданах РФ должны происходить в базах данных, физически расположенных на территории России и управляемых в рамках российской юрисдикции. Раньше операторы могли формально иметь копию в РФ, а основную обработку вести за рубежом. С 1 июля 2025 года это будет считаться нарушением закона о персональных данных.

Новая редакция пункта 5 статьи 18 152-ФЗ прямо запрещает использовать зарубежные базы данных при сборе персональных данных. Из формулировки убрали слово «оператор» — теперь требования распространяются и на обработчиков (тех, кто непосредственно работает с такими данными). Раньше компании поручали обработку сторонним организациям за границей и формально не нарушали закон. Теперь так делать нельзя.

Государство последовательно стремится к цифровому суверенитету. Данные граждан должны быть под юрисдикцией РФ, чтобы их сложнее было перехватить или использовать без контроля, а резидентность данных стала принципом, который РКН отстаивает через штрафы и блокировки.

Кого касается требование о локализации данных

Требование обязательно для любого оператора, который собирает данные граждан России. При этом неважно, где зарегистрирована компания — в РФ или за рубежом. Если сайт или приложение ориентированы на россиян, есть формы регистрации, заказов, подписки (что угодно, что собирает персданные) — локализация нужна.

Подпадают под закон:

• российские юрлица и ИП, ведущие учёт клиентов или сотрудников;

• иностранные компании, целенаправленно работающие с российскими пользователями;

• владельцы сайтов с формами обратной связи, регистрации, рассылок;

• маркетплейсы, агрегаторы, службы доставки;

• HR-платформы и системы подбора персонала;

• медицинские, образовательные, финансовые сервисы.

Кого не касается (исключения по пунктам 2, 3, 4, 8 части 1 статьи 6 152-ФЗ):

• обработка в рамках международных договоров РФ;

• оперативно-розыскная и следственная деятельность;

• журналистика и СМИ (в строго ограниченных рамках);

• данные, которые человек лично и добровольно сделал общедоступными;

• транзитная передача через территорию РФ без обработки.

На практике РКН почти не делает разницы между микробизнесом и корпорацией. Даже если компания небольшая, но собирает телефоны или email‑адреса — локализация обязательна.

Какие данные нужно локализовать

Закон требует локализовать любые персональные данные граждан РФ. Вот что к ним относится:

• ФИО, дата рождения, семейное положение;
• номер телефона, адрес, электронная почта;
• паспортные данные, ИНН, СНИЛС;
• медицинские сведения, группа крови, результаты анализов;
• биометрия — отпечатки пальцев, голос, изображение лица;
• номер банковской карты, платёжная история;
• данные о трудовом стаже, зарплате, дипломах;
• геолокация, IP-адрес, файлы cookie (если они позволяют идентифицировать человека).

Хранение персональных данных граждан РФ должно быть организовано так, чтобы первичная база (она же — мастер-база) находилась в российском ЦОДе — центре обработки данных. Реплики (копии базы) за рубежом допускаются, но запись и обновление должны идти сначала в России. Простой пример нарушения: основная база в AWS во Франкфурте, а в России стоит только копия для чтения. 

Резервные копии — тоже базы данных. Если бэкапы уходят на зарубежный сервер или в иностранный дата-центр, это считается нарушением. Резервное копирование также должно происходить в российские хранилища.

Как локализовать данные: этапы миграции

Миграция данных — процесс, который лучше разбить на шаги. Попытка сделать всё за один день приводит к ошибкам и пробелам в документации.

Шаг 1. Инвентаризация баз данных

Составьте карту всех систем, где хранятся ПДн российских граждан. Чаще всего это CRM-, ERP- и HR-системы, аналитические платформы и резервные копии. Для каждой системы запишите физическое местонахождение серверов — в России они или нет. Не забудьте про облачные сервисы — AWS, Google Cloud, Azure, Salesforce, HubSpot. Часто данные хранятся за рубежом по умолчанию из-за настроек софта, который используется в компаниях.

Шаг 2. Выбор российского ЦОД или облачного провайдера

Определите целевую инфраструктуру, где будут размещаться данные. Вот некоторые варианты:

• собственный сервер в российском ЦОДе;

• аренда стойки (колокейшн) в дата-центре на территории РФ;

• российский облачный провайдер — Яндекс Облако, SberCloud, VK Cloud, МТС Облако и другие

Проверьте, чтобы в договоре с такой организацией было явно указано: серверы находятся в России. Некоторые российские агрегаторы перепродают мощности зарубежных ЦОДов: формально договор с юрлицом из РФ, а данные лежат в Европе. Запросите у провайдера сертификат или письмо с адресом ЦОДа в РФ.

Шаг 3. Миграция данных

Перенесите мастер-базы на российскую инфраструктуру. Зарубежные копии при этом могут оставаться как реплики (при соблюдении правил трансграничной передачи персональных данных), но актуальная запись должна идти в Россию. Сохраните логи миграции — они пригодятся при проверке РКН.

Шаг 4. Оформление документации

Получите от провайдера подтверждение местонахождения серверов и обновите реестр обработки ПДн, внутреннюю политику и согласия на обработку. Если у вас есть уведомление в РКН о начале обработки — внесите изменения и туда.

Шаг 5. Уведомление о трансграничной передаче (если данные уходят за рубеж)

Локализация не запрещает трансграничную передачу, но до её начала нужно подать отдельное уведомление в Роскомнадзор и дождаться разрешения. Без этого — штраф до 6 млн рублей. Передавать данные можно только в страны с определённым уровнем защиты (список утверждён РКН) или при наличии иных законных оснований.

Частые вопросы по теме

• 1
  Можно ли использовать Google Analytics или зарубежную CRM после 1 июля 2025?

  Да, если сбор данных идёт сначала в российскую базу. Например, форма на сайте пишет данные в локальную БД, а потом вы передаёте их в зарубежную систему для аналитики. Но важно, чтобы при сборе данные не уходили напрямую сначала за границу, а потом к вам. И не забудьте уведомить РКН о трансграничной передаче.
• 2
  Что будет, если оставить мастер-базу за рубежом, а в России сделать реплику?

  Это явное нарушение. Штраф за первое — до 6 млн рублей, за повторное — до 18 млн и блокировка сайта. Если фактически данные пишутся в первую очередь за границу, реплика в России не спасает.
• 3
  Какие штрафы грозят за несоблюдение?

  • Первое нарушение: до 6 млн рублей для юрлица (ч. 8 ст. 13.11 КоАП).

  • Повторное нарушение: до 18 млн рублей (ч. 9 ст. 13.11 КоАП).

  • Отдельный штраф за неуведомление о трансграничной передаче — до 6 млн рублей.

  • Блокировка сайта по решению РКН — без суда.

Чек-лист для проверки соблюдения требований законодательства о локализации данных

• Проверьте, где физически находятся серверы с вашими базами.
• Убедитесь, что первичная запись ПДн идёт в российский ЦОД или облако.
• Перенесите мастер-базы в РФ, если они ещё за границей.
• Настройте резервное копирование в российские хранилища.
• При трансграничной передаче — подайте уведомление в РКН.

Заключение

Новые требования к хранению персональных данных перестали быть формальностью и стали обязательными к исполнению. Старые способы обхода (копия в РФ «для галочки», поручение обработки зарубежному подрядчику) больше не работают.

Если вы не уверены, всё ли в порядке — закажите аудит инфраструктуры у Notamedia Integrator. Ошибки в документации или архитектуре могут стоить миллионов рублей даже при первой проверке. И помните: в 2026 году Роскомнадзор постепенно переходит к массовым проверкам и готовиться лучше уже сейчас.