От обязанности к запрету: в чём принципиальная разница
До 1 июля 2025 года ч. 5 ст. 18 Федерального закона № 152-ФЗ формулировала требование в позитивном ключе: оператор обязан обеспечить обработку персональных данных граждан РФ с использованием баз данных, расположенных на территории России. Такая конструкция допускала широкое толкование: можно было держать «зеркальную» копию на российском сервере, а реальная обработка при этом происходила на зарубежных мощностях.
С 1 июля 2025 года (Федеральный закон от 28.02.2025 № 23-ФЗ) формулировка кардинально изменилась — введён прямой запрет: использование баз данных, находящихся за пределами территории РФ, при сборе, записи, систематизации, накоплении, хранении, уточнении и извлечении персональных данных граждан РФ не допускается.
Юридическая разница существенна:
- Прежняя норма — позитивная обязанность (есть российская БД — требование выполнено, даже если параллельно используется зарубежная);
- Новая норма — императивный запрет (любое задействование иностранной БД на этапе сбора данных является нарушением вне зависимости от наличия российской копии).
На кого распространяются новые требования
Требования ч. 5 ст. 18 152-ФЗ в обновлённой редакции распространяются на любого оператора, осуществляющего сбор персональных данных граждан Российской Федерации, — независимо от места регистрации юридического лица. Это означает, что под действие закона подпадают:
- российские юридические лица и индивидуальные предприниматели, ведущие учёт клиентов, сотрудников, пользователей;
- иностранные компании, целенаправленно работающие с российской аудиторией (предлагающие товары, услуги или контент гражданам РФ), даже при отсутствии российского юридического лица;
- владельцы сайтов с формами регистрации, обратной связи, подписки;
- маркетплейсы, агрегаторы, сервисы доставки, HR-платформы, медицинские, образовательные и финансовые сервисы;
- операторы, обрабатывающие данные по поручению другого оператора (обработчики).
Важная новация: из обновлённой редакции статьи исключено упоминание «оператора» как единственного субъекта обязательства. Это означает, что требования о локализации теперь потенциально распространяются и на обработчиков — лиц, обрабатывающих данные по поручению оператора на основании договора. Административная ответственность, однако, по-прежнему формально адресована оператору (ч. 8–9 ст. 13.11 КоАП РФ).
Зоны риска: какие инструменты и сервисы попадают под запрет
Наибольшую угрозу с точки зрения соответствия новым требованиям представляют широко распространённые зарубежные сервисы, при использовании которых данные граждан РФ изначально записываются на иностранные серверы:
Аналитика и трекинг:
- Google Analytics / GA4 — по позиции Роскомнадзора, использование этого сервиса предполагает обработку персональных данных (IP-адреса, идентификаторы браузера, поведенческие данные) на серверах Google за пределами РФ непосредственно в момент сбора;
- Meta Pixel, TikTok Pixel — аналогичная ситуация.
CRM и корпоративные системы:
- Salesforce, HubSpot, Zoho CRM — если данные клиентов изначально записываются в облачную инфраструктуру, расположенную за рубежом, это нарушение новых требований;
- SAP, Workday, Oracle HCM в зарубежных облачных конфигурациях — данные о сотрудниках-гражданах РФ должны первично записываться в российских БД.
Облачные платформы:
- Прямое использование AWS EU, Google Cloud, Microsoft Azure (без российских регионов) в качестве первичного хранилища данных граждан РФ.
Корпоративная коммуникация и HR:
- Использование зарубежных форм обратной связи, корпоративных порталов и HRMS, где данные сотрудников-россиян сразу попадают в зарубежную БД.
Что по-прежнему разрешено: трансграничная передача после локализации
Поправки не устанавливают запрет на трансграничную передачу персональных данных как таковую — это принципиально важно понимать. Законодательство разграничивает два разных процесса:
- Первичный сбор и обработка — должны осуществляться исключительно с использованием баз данных на территории РФ;
- Трансграничная передача — допустима после того, как данные были первично зафиксированы в российской базе, при соблюдении требований ст. 12 152-ФЗ (уведомление Роскомнадзора, наличие оснований для передачи).
Это подтверждено официальными разъяснениями Роскомнадзора (письмо от 24.03.2025 № 08-134789) и Минцифры (письмо от 12.05.2025 № П25-44929): новая редакция ч. 5 ст. 18 152-ФЗ не ограничивает последующую передачу данных, собранных в России, в иностранные системы.
Таким образом, допустимая схема работы выглядит следующим образом:
Сбор данных → российская БД (первичная запись) → трансграничная передача в иностранную систему при соблюдении ст. 12 152-ФЗ
Недопустимая схема:
Сбор данных → иностранная БД (даже при наличии российской «копии»)
Пошаговый алгоритм приведения процессов в соответствие
Шаг 1. Инвентаризация и маппинг потоков данных
Проведите аудит всех бизнес-процессов, в которых участвуют персональные данные граждан РФ. Зафиксируйте: какие данные собираются, в какой момент и в какую систему они попадают первыми. Особое внимание уделите веб-аналитике, формам на сайте, CRM-системам, HR-платформам и системам клиентской поддержки.
Шаг 2. Выявление «точек риска»
Определите, какие из используемых систем являются зарубежными и в которых первичная запись данных граждан РФ происходит на иностранных серверах. Проверьте конфигурацию облачных платформ: где физически расположены серверы, обрабатывающие ваши данные.
Шаг 3. Выбор российской инфраструктуры
Выберите подходящее решение для первичной обработки данных:
- Российский ЦОД с физическими серверами;
- Российские облачные провайдеры: Yandex Cloud, VK Cloud, MTS Cloud, SberCloud, Облако МТС, ИТ-решения Ростелекома и другие.
Получите документальное подтверждение от провайдера — договор или справку с указанием адреса и юрисдикции серверов.
Шаг 4. Техническая реализация
Обеспечьте архитектуру, при которой данные граждан РФ сначала записываются в российскую базу данных, и только после этого при необходимости передаются в зарубежные системы. При использовании западного SaaS без российских регионов рассмотрите применение промежуточного слоя (proxy/API gateway) с российской инфраструктурой, куда данные попадают первыми.
Шаг 5. Договорная работа
Пересмотрите договоры с подрядчиками и провайдерами, имеющими доступ к персональным данным. Включите в них:
- требование первичной обработки данных граждан РФ в российских базах;
- описание потоков данных;
- ответственность за нарушение требований локализации;
- обязательство по документированию технических мер.
Шаг 6. Уведомление Роскомнадзора о трансграничной передаче
Если после локализации данные всё же передаются за рубеж, направьте уведомление через официальный портал РКН (pd.rkn.gov.ru) в соответствии с требованиями ст. 12 152-ФЗ. Уведомление необходимо подать до начала трансграничной передачи и дождаться ответа регулятора.
Defense-файл: доказательная база на случай проверки
Одним из ключевых инструментов снижения регуляторного риска является формирование так называемого defense-файла — пакета документации, подтверждающей соответствие требованиям локализации. В его состав рекомендуется включить:
- технические логи и журналы первичной записи данных с указанием серверов и временных меток;
- блок-схемы и описания потоков данных (data flow diagrams), демонстрирующие, что сбор осуществляется через российскую инфраструктуру;
- договоры с российскими ЦОД или облачными провайдерами с указанием юрисдикции серверов;
- внутренние политики обработки персональных данных, актуализированные с учётом новых требований;
- договоры с подрядчиками, содержащие требования о локализации;
- переписку с Роскомнадзором и уведомления о трансграничной передаче.
Наличие такого пакета документов позволит аргументированно ответить на запросы регулятора и существенно снизить риски при проведении проверок.
Ответственность обработчиков: новая неопределённость
До принятия поправок норма ч. 5 ст. 18 152-ФЗ прямо указывала на оператора как субъекта обязательства. В новой редакции упоминание оператора исключено из этой части статьи. Данное изменение порождает правовую неопределённость: следует ли теперь считать обработчиков (лиц, действующих по поручению оператора) также обязанными соблюдать требование локализации?
На практике это означает, что:
- Операторы несут административную ответственность по ч. 8–9 ст. 13.11 КоАП РФ за нарушение требований локализации;
- Обработчики формально не подпадают под прямую административную ответственность за локализацию, однако новая редакция может свидетельствовать о намерении законодателя распространить требования и на них;
- До формирования чёткой правоприменительной практики и официального толкования Роскомнадзора операторам рекомендуется контрактно обязывать обработчиков соблюдать требования локализации, не полагаясь на неопределённость нормы.
Другие ключевые изменения в 152-ФЗ в 2025 году
Помимо поправок, вступивших в силу 1 июля 2025 года, в течение 2025 года в законодательстве о персональных данных произошёл ряд других существенных изменений, которые операторы должны принять во внимание.
С 30 мая 2025 года значительно ужесточена ответственность за утечки персональных данных. Теперь сам факт утечки является самостоятельным основанием для крупного штрафа. Введены оборотные штрафы: за массовую утечку — до 15 млн рублей, за утечку биометрических данных — до 20 млн рублей, за повторные нарушения — до 3% годовой выручки компании.
С 1 сентября 2025 года вступили в силу новые требования к получению согласия субъектов на обработку персональных данных. Согласие:
- должно быть оформлено отдельным документом (нельзя встраивать его в договор, оферту или политику конфиденциальности);
- должно быть конкретным, информированным и однозначным;
- должно прямо указывать цели обработки и перечень обрабатываемых данных.
В 2025 году в Уголовный кодекс РФ введена статья 272.1, устанавливающая уголовную ответственность за незаконный сбор, хранение, использование или распространение персональных данных. Это означает переход от исключительно административного к уголовно-правовому регулированию в наиболее серьёзных случаях нарушений.
Особенности для иностранных компаний
Иностранные организации, целенаправленно работающие с российской аудиторией (предлагающие товары, услуги, информационные продукты гражданам РФ), подпадают под действие 152-ФЗ вне зависимости от наличия российского юридического лица. Роскомнадзор вправе:
- внести сайт компании в реестр нарушителей и заблокировать к нему доступ из России без судебного решения (прецедент — блокировка LinkedIn в 2016 году);
- потребовать соблюдения всего комплекса требований 152-ФЗ, включая локализацию, уведомление о трансграничной передаче и соблюдение требований к согласию;
- применить санкции к российским дочерним структурам или представительствам иностранной компании.
Для иностранных компаний, работающих с российскими пользователями, наиболее прагматичным решением является:
- Открытие российского юридического лица и использование российской инфраструктуры для первичного сбора данных;
- Либо применение технической архитектуры с промежуточным российским узлом (российский edge-сервер или API-прокси), куда данные попадают первыми, а затем передаются в основную инфраструктуру компании при соблюдении правил трансграничной передачи.
