Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД
IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC Заявка в тех поддержку
Эксперты в подборе IT-оборудования

Локализация персональных данных по 152-ФЗ: где и на каком сервере хранить данные клиентов

30 июня 2026
Локализация персональных данных по 152-ФЗ: где и на каком сервере хранить данные клиентов
Содержание:

Закон требует простой вещи, которую регулярно понимают неправильно. Персональные данные граждан России - имена, телефоны, адреса доставки, паспорта ваших клиентов и сотрудников - должны впервые попадать в базу данных, которая физически стоит в России. Не «сайт на российском хостинге», а именно та база, куда запись идёт первой. Это и есть локализация по части 5 статьи 18 152-ФЗ. И касается она почти любого бизнеса: если у вас есть форма заявки, CRM или личный кабинет - вы под требованием.

Локализация - это не «сервер в России»

Самое частое заблуждение звучит так: «мы арендуем хостинг в российском дата-центре, значит с локализацией всё в порядке». Не всё.

Закон оперирует не сайтом и не хостингом, а базой данных, в которую персональные данные записываются первыми. Сайт может крутиться на сервере в Москве, а заявки с него - улетать в зарубежную CRM или иностранный сервис рассылок. Для 152-ФЗ это нарушение: первичная запись прошла в базе за пределами России.

Поэтому вопрос «на каком сервере хранить персональные данные» правильнее ставить иначе: где физически находится каждая база, куда впервые ложатся данные ваших клиентов. Сервер с этой базой - в российской юрисдикции, в дата-центре на территории страны. Всё остальное - веб-фронтенд, балансировщики, кэш - вторично, хотя и о нём мы ещё поговорим в части про техпризнаки.

Если коротко: всё решает место, где данные записываются первыми.

Что изменилось с 1 июля 2025 года

Требование локализации живёт в законе с 2015 года, но 1 июля 2025-го у него сменилась тональность - с разрешительной на запретительную.

Раньше норма звучала как обязанность: оператор при сборе данных обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз, находящихся в России. Теперь та же мысль сформулирована через запрет:

При сборе персональных данных запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение данных граждан РФ с использованием баз, находящихся за пределами территории России, не допускаются - за исключением случаев, указанных в пунктах 2, 3, 4 и 8 части 1 статьи 6.

Разница не косметическая. «Обеспечь использование российской базы» и «запрещено использовать зарубежную базу» по-разному читаются проверяющим и по-разному ложатся в практику. Регулятору теперь проще фиксировать факт нарушения: достаточно показать, что на этапе сбора задействована иностранная база.

Два момента, на которых легко споткнуться.

Исключения почти не про бизнес. Пункты 2, 3, 4 и 8 части 1 статьи 6 - это обработка ради международных договоров и возложенных законом функций, правосудия и исполнения судебных актов, государственных полномочий и госуслуг, защиты жизни и здоровья человека. Для интернет-магазина, клиники или ИТ-компании эти лазейки не работают.

Норма про этап сбора. Перечислены конкретные операции - запись, систематизация, накопление, хранение, уточнение, извлечение. Передача данных в этот список не входит и регулируется отдельно (об этом - раздел про трансграничную передачу).

Перечень операций - закрытый. Если хоть одна из шести (запись, систематизация, накопление, хранение, уточнение, извлечение) при сборе идёт через зарубежную базу - это уже территория нарушения, и неважно, что остальные пять вы делаете в России.

Локализация - это вся цепочка сбора, а не один сайт

Когда разговор заходит о персональных данных, все смотрят на сайт. А данные тем временем собираются десятком других систем, и про половину из них в компании просто забывают.

Любая информационная система, куда данные клиента или сотрудника попадают первыми, - это контур первичного сбора, и он должен быть локализован. Вот типовая карта для среднего бизнеса.

СистемаКакие ПДн собираетКонтур
Сайт, формы заявок, обратный звонокимя, телефон, e-mailпервичный
CRMвесь профиль клиента, история сделокпервичный
Личный кабинет / порталрегистрационные данные, заказыпервичный
Коллтрекинг и телефонияномер, записи разговоровпервичный
Веб-аналитика и пикселиидентификаторы, иногда контакты из формчасто упускают
Сервис e-mail и SMS-рассылокбаза контактовчасто упускают
Чат-бот, мессенджер-платформапереписка, контактычасто упускают
Рекрутинг и HR-системаанкеты, резюме, паспорта сотрудниковпервичный
Хранилище резервных копийкопии всех баз вышевторичный, но критичный

Чаще всего подводит как раз нижняя половина таблицы. Сайт с CRM компания локализует, а коллтрекинг, рассылочный сервис и аналитика остаются на зарубежных платформах - и каждый из них собирает данные граждан РФ в свою базу. Про резервные копии разговор отдельный: бэкап, который заботливо складывается в иностранное облако, выносит за границу копию всех ваших персональных данных разом.

Как Роскомнадзор проверяет локализацию

Проверка идёт не по красивым словам в политике обработки. Регулятор смотрит на технику.

Что реально вскрывают при контроле:

  • расположение хостинга - по IP-адресам и данным регистраторов видно, в какой стране стоит сервер;
  • CDN и облачные сервисы - через какие узлы и в каких странах идёт трафик;
  • аналитика и внешние скрипты, подключённые к формам сбора;
  • маршруты трафика от форм и личного кабинета - куда уходят обращения;
  • фактическое расположение базы - выясняется при запросе документов и осмотре инфраструктуры.

Политику обработки на сайте проверяют тоже, но как формальный документ. Если в ней написано «храним в России», а трафик с формы заявки уходит в зарубежный сервис - расхождение между бумагой и техникой работает против вас, а не наоборот.

Частая ошибка: безупречная политика на сайте и при этом CRM или сервис рассылок в иностранном облаке. Регулятор смотрит, куда фактически записываются данные, а не что написано в документе. Бумага не закрывает технический разрыв.

Риск-ориентированный подход: что локализовать первым

Привести в порядок всё и сразу обычно не выходит - бюджет и руки не резиновые. Поэтому контуры выстраивают в очередь по критичности.

Оценивать имеет смысл по нескольким осям. Объём субъектов: база на сто тысяч клиентов и табличка с тремя подрядчиками - разный масштаб риска. Категория данных: обычные контакты - одно, а специальные категории вроде здоровья и биометрии или данные детей - совсем другой уровень ответственности. Важно, кто субъекты: к данным пациентов и соискателей внимания больше, чем к обезличенной мелочи. И доступность извне: система с публичной формой в интернете рискованнее внутренней базы без внешнего входа. Плюс цена ошибки - что будет при утечке или претензии именно по этому контуру.

Складываем эти оси - получается простая матрица приоритизации.

КонтурКритичностьОчередь
CRM и личный кабинет с большой клиентской базойвысокаяпервая
HR-система с паспортными данными сотрудниковвысокаяпервая
Формы сбора и коллтрекинг на сайтесредняя-высокаявторая
Рассылки, чат-боты, аналитикасредняявторая
Резервные копии всех баз с ПДнвысокая (легко упустить)идёт вместе с первой
Разовые таблицы, архивные выгрузкинизкаятретья

Логика простая: сначала большие первичные контуры с чувствительными данными и их резервные копии, потом средние, потом мелочь. Резервные копии намеренно держим рядом с первой очередью - перенести боевую базу в Россию и оставить её бэкап за рубежом значит не сделать половину работы.

Где и на каком сервере держать базу с персональными данными

Когда понятно, что локализовать, встаёт вопрос размещения. Вариантов по сути три.

Своё железо (on-premise). Сервер стоит у вас или в арендованной стойке российского дата-центра, база - под полным вашим контролем. Максимум контроля над тем, где физически лежат данные и кто к ним имеет доступ. Минус - капитальные затраты и необходимость самим обслуживать инфраструктуру. Подходит, когда данных много, требования к контролю высокие, а инфраструктура и так своя.

Colocation. Ваш сервер в чужом дата-центре на территории России: помещение, питание, охлаждение и каналы - провайдера, железо и данные - ваши. Компромисс между контролем и эксплуатацией.

Российское облако «152-ФЗ». Аренда защищённого облака или виртуальных серверов у провайдера, который держит мощности в России и заявляет соответствие требованиям. Быстрый старт, оплата по подписке, инфраструктуру обслуживает провайдер. Минус - вы зависите от его добросовестности, и проверять расположение данных и зоны размещения придётся уже у него (об этом - раздел про подрядчиков).

Что роднит все три варианта и что проверять в любом случае: база физически в России, провайдер - российское юридическое лицо. Дальше идёт тема аттестации информационных систем персональных данных по уровням защищённости - но для большинства малого и среднего бизнеса нет нужды сразу проектировать инфраструктуру уровня крупного ЦОД с полным набором сертификатов. Уровень защиты определяется категорией данных и числом субъектов, и для типичной клиентской базы он скромнее, чем многие думают.

Облачные провайдеры в выдаче по запросу «сервер для персональных данных» наперебой продают «облако 152-ФЗ» - это рабочий вариант, особенно на старте. Но честно: облако не единственный путь. Своё железо в российском дата-центре даёт больше контроля над тем, где именно лежат данные, а в долгую нередко выходит дешевле аренды. Мы об этом подробно писали в разборе плюсов и минусов облачного хранения - выбор зависит от объёма данных, бюджета и того, насколько критичен контроль.

Если идёте по пути своей инфраструктуры, под рукой есть смежные материалы: сравнение российских серверных ОС - Astra, ALT и RED OS, обзор того, кто выпускает серверы в России, и разбор серверов из реестра Минпромторга - последнее актуально, если вы работаете с госзаказом или объектами критической инфраструктуры.

Трансграничная передача персональных данных: разбираемся подробно

Локализацию постоянно путают с трансграничной передачей. Это два разных требования, и смешивать их - частый источник паники на ровном месте.

Чем трансграничная передача отличается от локализации

Локализация - про первичную запись: данные граждан РФ должны лечь в российскую базу первыми. Трансграничная передача - про последующее перемещение уже собранных данных за пределы страны.

Главное, что снимает половину вопросов: первичная запись в России не запрещает дальнейшую передачу данных за рубеж при наличии законного основания. Роскомнадзор и Минцифры в разъяснениях 2025 года прямо подтвердили - норма о локализации не устанавливает ограничений на трансграничную передачу данных, ранее собранных с использованием баз в России. Сначала записали в РФ, а потом, при соблюдении правил трансграничной передачи, можете передавать. Одно другому не противоречит.

Что нужно для трансграничной передачи

Трансграничная передача регулируется отдельной статьёй закона и устроена строже, чем кажется. Главное:

  • Уведомление Роскомнадзора до начала передачи. Отдельное уведомление о трансграничной передаче подают до её старта - это не то же самое, что общее уведомление об обработке.
  • Оценка страны-получателя. Регулятор делит государства на обеспечивающие адекватную защиту прав субъектов (страны Конвенции Совета Европы и из перечня Роскомнадзора) и все остальные. Для второй категории условия жёстче, а регулятор может передачу ограничить или запретить.
  • Законное основание. Согласие субъекта именно на трансграничную передачу, исполнение договора с субъектом, защита жизни и подобные основания - в зависимости от ситуации.

Когда бизнес реально с этим сталкивается

Вот конкретные сценарии:

  • используете зарубежный SaaS - облачную CRM, систему аналитики, helpdesk, где данные уходят на серверы вендора за границей;
  • передаёте данные в материнскую или партнёрскую компанию за рубежом;
  • держите инфраструктуру в международном облаке, где зоны размещения могут оказаться вне России.

В каждом из этих случаев одной локализации мало - нужно отдельно закрывать вопрос трансграничной передачи. И наоборот: если вы всё держите в России и никуда за границу не передаёте, тема трансграничной передачи вас попросту не касается.

Сколько стоит привести всё в порядок

Стоимость соответствия - это не одна покупка, а несколько фронтов работ. Точные суммы зависят от размера компании и зоопарка систем, поэтому разложим по статьям, а не по цифрам.

Аудит систем и потоков данных. С него всё начинается: составить карту, где какие персональные данные собираются, куда текут и где оседают. Этап чаще всего недооценивают - а без карты остальное превращается в стрельбу наугад.

Перенос или замена CRM. Если ключевая система - зарубежная, её либо переносят на российскую инфраструктуру, либо меняют на отечественный аналог с миграцией данных. Обычно самая дорогая и болезненная часть.

Смена облака или хостинга. Перевод сайта, личного кабинета, рассылок и аналитики на российские площадки. Где-то это смена провайдера, где-то поиск замены сервису целиком.

Пересмотр резервного копирования. Бэкапы переводятся в российский контур - и это отдельная работа, про которую забывают. Как выстроить хранение копий правильно, мы разбирали в материале про выбор сервера для резервного копирования.

Разделение сред. Прод, тест и демо нередко живут вперемешку, и в тестовую базу утекают боевые персональные данные. Разнести среды и обезличить данные в непродуктивных - часть приведения в порядок.

Документация. Политики, согласия, перечень потоков ПДн, договоры поручения с подрядчиками. Бумага, которая должна совпадать с техникой.

Что обычно съедает бюджет сильнее всего - миграция CRM и поиск замены тем зарубежным сервисам, у которых нет вменяемого российского аналога. Аудит и документация дешевле в деньгах, но требуют времени и погружения.

Как не получить нарушение через подрядчика

Тонкий момент: ответственность за локализацию лежит на вас как на операторе, даже если данные фактически обрабатывает кто-то другой по вашему поручению. Хостер, облачный провайдер, интегратор, разработчик, маркетинговое агентство - все они обработчики по поручению, и их прокол становится вашим нарушением.

Защита здесь одна - грамотный договор поручения и внятный SLA. Что в них должно быть прописано:

  • расположение баз данных в России - явным пунктом, а не на словах;
  • запрет или обязательное согласование трансграничной передачи, чтобы подрядчик не увёз данные в зарубежную зону облака;
  • закрытый перечень действий и целей обработки - что именно и зачем подрядчик делает с данными;
  • конфиденциальность и обязанность применять меры защиты по статье 19 закона;
  • право на аудит и запрос подтверждений, где реально лежат данные;
  • уведомление об инцидентах в оговорённый срок, чтобы про утечку у подрядчика узнавать не из новостей;
  • контроль субподряда: третьих лиц подрядчик не привлекает без вашего ведома и переносит на них те же обязательства.

Отдельно стоит запрашивать у облачного провайдера, в каких зонах и дата-центрах физически размещаются ваши данные. «Облако 152-ФЗ» в названии тарифа - это маркетинг, а не гарантия; гарантия - в договоре и в ответе на прямой вопрос о расположении.

Штрафы за нарушение локализации

Цифры заметные, и за последние годы они выросли. За нарушение требования о локализации отвечает статья 13.11 КоАП.

НарушениеДолжностные лицаЮридические лица
Первое (часть 8)100 000 - 200 000 ₽1 000 000 - 6 000 000 ₽
Повторное (часть 9)500 000 - 800 000 ₽6 000 000 - 18 000 000 ₽

Эти суммы не надо путать с оборотными штрафами. Оборотные штрафы - процент от выручки - ввели отдельно, и они касаются утечек персональных данных, а не локализации. Это разные составы: за то, что база не в России, штрафуют фиксированными миллионами по частям 8 и 9, за допущенную утечку - процентом от оборота по другим частям той же статьи.

И норма не лежит мёртвым грузом. Роскомнадзор применяет требование локализации и к иностранным компаниям, работающим с данными россиян. Расчёт «нас не заметят» с ростом штрафов и числа проверок работает всё хуже.

Архитектурный чек-лист: что задокументировать

Локализация держится на инженерии не меньше, чем на юристах. Чтобы пройти проверку и просто понимать свою инфраструктуру, держите ответы на четыре вопроса - на бумаге, а не в голове одного админа.

  • где физически стоит сервер или СХД с базой ПДн - дата-центр, город, страна, провайдер;
  • как и куда реплицируются данные - копии, реплики, отказоустойчивые узлы и их расположение;
  • где лежат резервные копии - и не утекают ли они в зарубежное облако вместе с автоматическим бэкапом;
  • кто реально имеет доступ - учётные записи, подрядчики, техподдержка, удалённые администраторы.

Этот же документ пригодится и без всякой проверки. Когда инфраструктуру обслуживает не один человек, карта «что где лежит и кто имеет доступ» экономит часы при любом инциденте. Заодно полезно свериться с общими организационными и техническими мерами защиты персональных данных - локализация закрывает вопрос «где», а защита - вопрос «как».

Частые заблуждения, из-за которых кажется, что всё в порядке

Несколько установок, которые регулярно подводят.

  • «Облако российское - значит всё ок». А зоны размещения? А субподрядчики провайдера? А куда уходят его собственные бэкапы? Российский бренд провайдера не отменяет проверки, где именно лежат данные.
  • «Мы не собираем персональные данные». Форма обратной связи, коллтрекинг, аналитика и чат на сайте собирают - даже если вам кажется, что нет. Имя с телефоном в заявке - уже персональные данные.
  • «Хватит галочки в политике». Политика - формальность, которую проверяют, но она не закрывает технику. Расхождение бумаги и реального расположения данных работает против вас.
  • «Локализация - это про шифрование». Нет. Шифрование и меры защиты - отдельное требование. Локализация - исключительно про географию первичной записи. Можно идеально шифровать данные в зарубежной базе и всё равно нарушать закон.
  • «Перенесли боевую базу - готово». А тестовая среда с копией боевых данных? А выгрузки в Excel, которые лежат в зарубежном корпоративном диске? Контур шире, чем одна продакшен-база.

Коротко по сути

Локализация персональных данных - это требование, чтобы данные граждан РФ впервые записывались в базу, физически расположенную в России. Не про сайт, не про хостинг, не про шифрование - про место первой записи. С 1 июля 2025 года формулировка стала запретительной, и проверяют не политику, а технику: где реально лежит каждая база. Локализуйте контуры по очереди, начиная с крупных и чувствительных вместе с их резервными копиями, держите данные на своём железе или в российском облаке с проверяемым расположением, отдельно закрывайте трансграничную передачу и подстрахуйтесь договором с каждым подрядчиком. Цена вопроса при нарушении - от миллиона рублей и выше.

Частые вопросы

Где хранить персональные данные клиентов по 152-ФЗ?

В базе данных, физически расположенной в России, - на своём сервере, в colocation или в российском облаке. Главное, чтобы первичная запись данных клиентов шла именно в эту базу, а не в зарубежный сервис.

А персональные данные сотрудников?

Точно так же. Анкеты, резюме, паспортные данные и трудовые сведения сотрудников - это персональные данные граждан РФ, и HR-система с ними подпадает под требование локализации наравне с клиентской CRM.

Какой срок хранения персональных данных по 152-ФЗ?

Закон не задаёт единый срок в годах. Данные хранят не дольше, чем нужно для цели обработки, после чего их удаляют или обезличивают. Конкретные сроки определяются целью, согласием субъекта и иными законами (например, бухгалтерские и кадровые документы имеют свои сроки хранения).

Можно ли держать резервные копии за рубежом?

Резервная копия базы с персональными данными - это те же данные, вынесенные за пределы России. Безопаснее держать бэкапы в российском контуре. Передача копий за границу - уже трансграничная передача со своими правилами и уведомлением Роскомнадзора.

Нужен ли малому бизнесу аттестованный дата-центр?

Чаще всего нет. Уровень защищённости зависит от категории данных и числа субъектов, и для типичной клиентской базы малого бизнеса требования скромнее, чем у крупных систем с биометрией или медицинскими данными. Сразу проектировать инфраструктуру уровня большого ЦОД не нужно - достаточно российского размещения и адекватных мер защиты под вашу категорию данных.

По теме

ПОДПИСКА

НА РАССЫЛКУ
ПОЛЕЗНЫЕ СТАТЬИ, АКЦИИ
И ЗАКРЫТЫЕ РАСПРОДАЖИ
Котик подписка
Вам также может быть интересно

Оставить заявку
Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Заявка в тех поддержку
Загрузка формы…
Не удалось загрузить форму. Обновите страницу или свяжитесь с нами по телефону.
Консультация
ИТ-специалиста
Оставьте контакты — свяжемся с вами в течение нескольких минут и подготовим коммерческое предложение
IT-архитектор подберет сервер под вашу задачу
Заполните форму — наш специалист свяжется с вами в течение 15 минут, уточнит задачу и подготовит коммерческое предложение
Заказать сервер
Отправим конфигурацию вам на почту. Менеджер перезвонит в течение 15 минут
Зарегистрироваться в бонусной программе
Консультация
ИТ-специалиста
Оставьте контакты — свяжемся с вами в течение нескольких минут и подготовим коммерческое предложение