🗄 152-ФЗ · 242-ФЗ
Локализация баз данных с персональными данными
российских граждан: новые требования 2025–2026 гг.
российских граждан: новые требования 2025–2026 гг.
Разбираем, что значит «локализация» по закону, кто обязан хранить данные на серверах в России, как изменились требования и штрафы — и что делать компаниям прямо сейчас.
242-ФЗ · ст. 18(5) 152-ФЗ
Серверы в России
Штрафы до 18 млн ₽
2025–2026
1. Что такое локализация и зачем она нужна
Локализация персональных данных — это обязанность оператора при первичном сборе, систематизации, накоплении и хранении ПДн российских граждан использовать базы данных, физически расположенные на территории Российской Федерации. Требование закреплено в ч. 5 ст. 18 Федерального закона № 152-ФЗ, введённой Федеральным законом № 242-ФЗ от 21.07.2014.
Ключевое слово — «первичная» обработка. Закон не запрещает впоследствии передавать данные за рубеж или дублировать их на зарубежных серверах: важно, чтобы исходная и актуальная копия всегда находилась в России.
📌 Как формулирует закон (ч. 5 ст. 18 Федерального закона № 152-ФЗ)
«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.»
Июль 2014
Принят 242-ФЗ
Введено требование локализации. Срок вступления в силу — 1 сентября 2016 г. (затем перенесён на 2015-й).
Сентябрь 2015
Требование вступило в силу
Срок вступления в силу перенесён на год раньше — 1 сентября 2015 г. Операторы обязаны хранить ПДн россиян в России.
Ноябрь 2016
Блокировка LinkedIn
Первый резонансный случай: Роскомнадзор заблокировал LinkedIn за нарушение требования локализации. Прецедент для всего рынка.
2022–2023
Резкий рост штрафов
Поправки к КоАП: штрафы за повторные нарушения достигли 18 млн руб. РКН запустил автоматизированную систему мониторинга.
2025–2026
Новый этап требований
Усиление контроля за трансграничной передачей, новые процедуры уведомления РКН, расширение круга подконтрольных операторов.
Правовая основа
Ч. 5 ст. 18 Федерального закона № 152-ФЗ (ред. 242-ФЗ)
Что локализуется
Первичная и актуальная база данных — физически в РФ
Трансграничная передача
Разрешена после локализации; требует уведомления РКН
2. Кто обязан локализовать данные
Требование локализации распространяется на любого оператора, который при сборе персональных данных ориентируется на российских граждан — независимо от того, где юридически зарегистрирована компания. Российская компания, иностранный сервис, мобильное приложение или интернет-магазин — критерий один: данные российских граждан собираются целенаправленно.
🔒 Обязаны локализовать
- Российские юридические лица и ИП, ведущие учёт клиентов или сотрудников
- Иностранные компании, целенаправленно работающие с российскими пользователями
- Владельцы сайтов с формами регистрации, обратной связи, подписки
- Маркетплейсы, агрегаторы и сервисы доставки
- HR-платформы и системы подбора персонала
- Медицинские, образовательные, финансовые сервисы
🔓 Исключения по закону
- Обработка в целях международных договоров РФ
- Обработка в оперативно-розыскных и следственных целях
- Журналистика и СМИ (в строго ограниченных случаях)
- Данные лиц, лично и добровольно сделавших их общедоступными
- Транзитная передача через территорию РФ (без обработки)
Практика РКН последних лет показывает: регулятор не делает скидок на «незнание» закона и применяет требования локализации ко всем отраслям без исключения.
🛒
Электронная коммерция
Имена, адреса, история заказов, платёжные данные — всё должно храниться в российских ЦОДах.
🏦
Финансы и страхование
Дополнительно регулируются ЦБ РФ; требования локализации усилены профильными нормативами.
🏥
Медицина и телемедицина
Специальные категории ПДн — повышенный контроль и ответственность за нарушение локализации.
🌍
Иностранные сервисы
Работающие с россиянами платформы обязаны локализоваться вне зависимости от страны регистрации.
Важно: иностранная компания, не имеющая юрлица в России, но целенаправленно предлагающая товары/услуги российским гражданам, также подпадает под требования 152-ФЗ. РКН вправе внести её сайт в реестр нарушителей и заблокировать доступ из России.
3. Что считается локализованной базой данных
Самый частый вопрос операторов: где именно должен стоять сервер и что именно должно на нём находиться? Позиция Роскомнадзора и судебная практика позволяют сформулировать чёткие критерии.
✅ Соответствует
Сервер физически в России
Собственный сервер или аренда мощностей в российском ЦОДе. Актуальная и первичная копия базы данных должна находиться именно здесь.
✅ Соответствует
Российский облачный провайдер
Яндекс.Облако, Sber Cloud, МТС Облако, VK Cloud и другие провайдеры с ЦОДами в РФ — приемлемый вариант при наличии договора поручения обработки.
❌ Не соответствует
Только зарубежный сервер
AWS EU, Google Cloud (EU/US), Azure (не российский регион) — хранение исключительно за рубежом нарушает требования, даже если данные зашифрованы.
❌ Не соответствует
Только зеркало в России
Если основная (мастер) база за рубежом, а в России лишь кеш или реплика для чтения — это нарушение: актуальная база должна быть российской.
Сценарий хранения
Локализация
Экспорт данных
Только сервер в России
✔ Да
✔ Разрешён
Россия (мастер) + зарубеж (реплика)
✔ Да
✔ Разрешён
Зарубеж (мастер) + Россия (реплика)
✘ Нет
✘ Нарушение
Только зарубежный сервер
✘ Нет
✘ Нарушение
Российский облачный провайдер
✔ Да
✔ Разрешён
Позиция РКН: при использовании зарубежных облаков (AWS, GCP, Azure) оператор должен убедиться, что данные хранятся именно в российском регионе (если таковой предусмотрен провайдером) и получить от него письменное подтверждение местонахождения серверов.
4. Новые требования 2025–2026 гг.
Законодательство в области локализации продолжает ужесточаться. В 2022–2024 годах были приняты поправки, которые вступили в силу поэтапно и радикально изменили правоприменительную практику. Ряд новых норм начал применяться в 2025–2026 годах.
📋
2023 → применяется
Уведомление РКН о трансграничной передаче
С марта 2023 года операторы обязаны до начала трансграничной передачи ПДн уведомлять Роскомнадзор и получать разрешение. Исключения — передача в страны, обеспечивающие «адекватный» уровень защиты (список утверждён РКН).
Срок ответа РКН: 10 рабочих дней. Передача без уведомления — самостоятельное нарушение со штрафом до 6 млн руб.
💰
2022–2023 → действует
Кратный рост оборотных штрафов
Поправки в КоАП РФ (Федеральный закон № 266-ФЗ) увеличили штрафы за нарушение локализации: за первичное нарушение — до 6 млн руб., за повторное — до 18 млн руб. для юридических лиц.
Для должностных лиц: первичное нарушение — до 200 000 руб., повторное — до 500 000 руб.
🔍
2024–2025 → усиление
Автоматизированный мониторинг РКН
Роскомнадзор запустил и активно развивает автоматизированную систему выявления нарушений: технические проверки DNS, traceroute, анализ геолокации серверов без выезда инспекторов. Количество выявленных нарушений резко выросло.
В 2024 году число проверочных мероприятий РКН в сфере ПДн увеличилось кратно по сравнению с 2022-м.
🏗
2025–2026 → новое
Расширение требований к подтверждению локализации
Операторы обязаны документально подтверждать место хранения данных: договор с ЦОДом или облачным провайдером с явным указанием юрисдикции серверов. РКН вправе запрашивать эти документы в ходе проверки без предварительного уведомления.
Рекомендуется заранее получить от провайдера письмо или сертификат о местонахождении серверов в РФ и хранить его в пакете документов оператора.
1-е нарушение
до 6 млн ₽
Для юридических лиц по ч. 8 ст. 13.11 КоАП РФ
Повторное
до 18 млн ₽
Для юридических лиц; должностное лицо — до 500 000 ₽
Блокировка
∞
РКН вправе ограничить доступ к сайту без судебного решения
Важно: блокировка сайта по решению РКН применяется вне зависимости от штрафа и может быть введена параллельно. Прецедент с LinkedIn (2016) показал, что регулятор готов блокировать крупные зарубежные платформы — небольшие операторы не являются исключением.
5. Алгоритм выполнения требований
Приведение инфраструктуры в соответствие с требованиями локализации — поэтапный процесс. Попытка сделать всё одновременно, как правило, заканчивается ошибками в документации и пробелами в настройке систем. Ниже — практический алгоритм из шести шагов.
1
Провести инвентаризацию баз данных
Составьте карту всех систем, в которых хранятся ПДн российских граждан: CRM, ERP, HR-системы, аналитические платформы, резервные копии. Для каждой системы зафиксируйте физическое местонахождение серверов.
📊 Реестр ИСПДн⚠ Не забудьте резервные копии
2
Выявить зарубежные системы хранения
Определите, какие из выявленных систем расположены за пределами России. Особое внимание — облачным сервисам: AWS, Google Cloud, Azure, Salesforce, HubSpot, SAP и аналогичным. Зачастую данные хранятся за рубежом «по умолчанию».
☁ Облачные сервисы — зона риска🔍 DNS и traceroute
3
Выбрать российский ЦОД или облако
Определите целевую инфраструктуру: собственный сервер, колокейшн в российском ЦОДе или российский облачный провайдер. При выборе облака убедитесь, что в договоре явно указана Россия как юрисдикция хранения данных.
✔ Яндекс Облако / SberCloud / VK Cloud✔ Колокейшн в РФ
4
Выполнить миграцию данных
Перенесите мастер-базы данных на российскую инфраструктуру. Зарубежные копии могут оставаться как реплики, но актуальная и первичная запись должна осуществляться в России. Сохраните логи миграции как доказательство перехода.
⚠ Мастер должен быть в России📁 Сохраните логи миграции
5
Оформить документацию
Получите от провайдера подтверждение местонахождения серверов (письмо, сертификат, соглашение). Обновите реестр обработки ПДн, внутреннюю политику и уведомление в РКН с указанием новой инфраструктуры.
📄 Сертификат от провайдера🌐 Обновить уведомление РКН
6
Уведомить РКН о трансграничной передаче
Если после локализации данные по-прежнему передаются за рубеж (партнёрам, облачным аналитическим сервисам), направьте в РКН уведомление о трансграничной передаче до её начала и дождитесь разрешения.
⏱ До начала передачи — не после🌐 pd.rkn.gov.ru
Совет: если компания использует западные SaaS-платформы (CRM, ERP, HR), которые не предоставляют российского региона хранения, — рассмотрите возможность использования промежуточного слоя: данные россиян хранятся в российской БД, а в зарубежный сервис передаётся псевдонимизированный идентификатор. Такой подход может обеспечить соответствие требованиям без полной замены платформы. Подробности — на странице wcr-consulting.com.