menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Хранение персональных данных за границей:

Хранение персональных данных за границей: что разрешено, что запрещено и как соблюсти локализацию в 2025 году

лонгриды
13.01.2023
12/09/25
Б-152
Лонгриды
События /
Хранение персональных данных за границей
Облачные технологии, международные подрядчики, SaaS-системы и распределенные команды — все это реалии современного бизнеса. Но когда в игру вступают персональные данные граждан Российской Федерации, правила определяет не только удобство, но и закон.
что разрешено, что запрещено и как соблюсти локализацию в 2025 году
До середины 2025 года компании часто обходили требования о локализации, используя дублирование данных или размещение формально «какой-то» базы в России. Однако с 1 июля вступили в силу изменения в статье 18 152-ФЗ, и теперь нарушить локализацию стало гораздо проще, даже если ваши намерения были добросовестными.
Что изменилось: полный запрет на первичный сбор персональных данных за пределами России
В чем суть изменений: новая трактовка «сбора»
Содержание
Технический пример: раньше и сейчас
Что это означает на практике
Что теперь считается нарушением
Что допускается: как работать с персональными данными законно после 1 июля 2025 года
Как это выглядит в инфраструктуре
Как оценивается трансграничная передача персональных данных
Далее оценка допустимости трансграничной передачи зависит от юрисдикции получателя:
Кто теперь отвечает
Санкции
Что делать бизнесу, ИТ и юристам
Вывод
Что изменилось: полный запрет на первичный сбор персональных данных за пределами России
В чем суть изменений: новая трактовка «сбора»
Содержание
Технический пример: раньше и сейчас
Что это означает на практике
Что теперь считается нарушением
Что допускается: как работать с персональными данными законно после 1 июля 2025 года
Как это выглядит в инфраструктуре
Как оценивается трансграничная передача персональных данных
Далее оценка допустимости трансграничной передачи зависит от юрисдикции получателя:
Кто теперь отвечает
Санкции
Что делать бизнесу, ИТ и юристам
Вывод

Что изменилось: полный запрет на первичный сбор персональных данных за пределами России

С 1 июля 2025 года вступила в силу обновленная ч. 5 ст. 18 152-ФЗ, которая прямо закрепляет запрет на первичный сбор персональных данных граждан РФ с использованием иностранных хранилищ.
Теперь в законе императивно установлено, что первичная обработка (включая сбор, запись, систематизацию и хранение) должна происходить только на серверах, физически расположенных в России.
По сути, это не новая обязанность: и ранее операторы должны были обеспечивать первичный сбор данных на территории РФ. Разница в том, что теперь это требование сформулировано жестче и недвусмысленно, исключая возможность трактовки в пользу сбора за рубежом с последующим копированием в Россию.

В чем суть изменений: новая трактовка «сбора»

Сбор — это совокупность действий, которые фиксируют и систематизируют данные в первый раз:
  • прием информации от пользователя (например, форма обратной связи, подписка, заказ);
  • запись в базу данных (даже временную);
  • логирование события (например, запись в access log, event log);
  • первичная обработка (нормализация, распределение по категориям, тегирование);
  • временная фиксация в очередях или буферах (например, Kafka, Redis, очередь webhook’ов).
Если хоть один из этих этапов первично реализован на сервере за пределами РФ, это считается нарушением.

Технический пример: раньше и сейчас

Было до введения требований о локализации:
Форма на сайте могла отправлять данные напрямую в облачную CRM (например, HubSpot или Salesforce), сервер которой находится в ЕС или США. Это считалось правомерным, т.к. требований о первичном хранении данных в России не было. Можно было, при желании, создавать у себя в РФ копию или измененный вариант базы, но это не являлось обязательным условием.
Такой подход нарушает обновленную ч. 5 ст. 18 152-ФЗ. Первая запись должна происходить в базе данных, физически расположенной на территории России. Лишь после этого возможна трансграничная передача данных при наличии соответствующего правового основания (ст. 12 152-ФЗ).
Сейчас:

Что это означает на практике

  • Нельзя использовать зарубежные формы захвата данных, если они напрямую пишут данные на внешние серверы.
  • Нельзя собирать заявки или обращения через скрипты, подключенные с CDN, если они инициируют запись за пределами РФ.
  • Нельзя логировать пользовательские события (клики, переходы, заполнения форм) в иностранные аналитические системы без предварительной локальной буферизации.

Что теперь считается нарушением

1. Форма на сайте отправляет данные напрямую в иностранный сервис
Например, в Airtable, Notion, Trello, HubSpot, Intercom. Даже если у вас есть копия в России, это все равно прямое нарушение.
Даже если через API дублируете данные в РФ, если первая запись была не у нас, это тоже нарушение.
2. CRM, Helpdesk, ATS размещены за рубежом и принимают заявки, отклики, обращения
Если система первично фиксирует данные пользователя в логах, даже временно, на зарубежных серверах — формально, это уже сбор.
3. Использование зарубежного backend или frontend-хостинга с логами

Что допускается: как работать с персональными данными законно после 1 июля 2025 года

Несмотря на ужесточение требований к локализации, закон не запрещает трансграничное взаимодействие с персональными данными, если соблюдены определенные условия. Главное, правильно организовать первичный сбор и понимать, где проходит граница между допустимым и нарушением.
1. Сначала — запись в базу данных, расположенную в России
Это ключевое условие, вытекающее из новой редакции части 5 статьи 18 закона № 152‑ФЗ:
Первая запись, систематизация и хранение персональных данных граждан РФ должны происходить в базе данных, физически размещенной на территории Российской Федерации.
Эта локальная база становится «основной» с точки зрения закона. Все действия, включающие:
  • прием данных с сайта или из внешней системы,
  • логирование событий,
  • внесение в CRM или ERP,
  • распределение по категориям и тегам
должны в первую очередь происходить внутри российской ИТ-инфраструктуры. Даже если данные поступают через API или веб-интерфейс, конечная точка (база, очередь, лог) обязана находиться в РФ.
После того, как данные записаны и зафиксированы в РФ, допустима их трансграничная передача. Но при соблюдении всех требований № 152‑ФЗ (статьи 12−12.1).
Что необходимо:
  • Правовое основание
Обычно это согласие субъекта ПДн с отдельным указанием на трансграничную передачу. В ряде случаев возможно использование иного основания, если это предусмотрено законом (например, международный договор, судебное производство, защита прав оператора).
  • Уведомление Роскомнадзора
Если осуществляется трансграничная передача персональных данных, оператор обязан подать соответствующее уведомление в Роскомнадзор (или внести изменения в ранее поданное), указав факт передачи, страну получателя, правовое основание и иные сведения, предусмотренные законом.
  • Гарантии со стороны получателя
При передаче данных в страны, не входящие в перечень государств, обеспечивающих адекватную защиту прав субъектов ПДн, оператор обязан убедиться, что получатель:
– обеспечивает достаточный уровень защиты данных;
– заключил договор, предусматривающий обязательства по безопасности и конфиденциальности;
– использует полученные данные исключительно для заявленных целей.
Важно: прямая отправка данных из формы или скрипта на иностранный сервер, минуя локальное хранилище в РФ, даже при наличии согласия субъекта, недопустима.
2. Затем — трансграничная передача (при соблюдении ст. 12 закона № 152‑ФЗ)
Если иностранный контрагент, клиент или партнер передает вам персональные данные (например, контакты, сканы документов, анкеты), и первая запись этих данных происходит в вашей базе, размещенной в России, — это не считается нарушением.
Такой сценарий:
  • не нарушает запрет на сбор вне РФ;
  • не требует локализации данных субъекта, не являющегося гражданином РФ;
  • подпадает под стандартные требования статьи 6 закона (наличие правового основания).
Важно: если такие данные касаются граждан РФ, и отправитель является иностранным партнером, вы все равно обязаны обеспечить локальную фиксацию и правомерную трансграничную передачу, если будет ответный поток.
3. Получение персональных данных от иностранных субъектов с записью в РФ — допустимо

Как это выглядит в инфраструктуре

Корректный сценарий предполагает, что все ключевые этапы первичного сбора персональных данных происходят исключительно на территории Российской Федерации.
Например, пользователь заполняет веб-форму, которая отправляет данные на backend-сервер, физически размещенный в российском дата-центре, будь то Selectel, Яндекс. Облако, VK Cloud или иная локальная инфраструктура.
Backend обрабатывает полученные данные, сохраняет их в базу (это может быть PostgreSQL, Redis, Kafka или любая другая система хранения) и лишь затем, при наличии оснований и согласия, инициирует передачу части информации в зарубежную систему (например, в Salesforce или HubSpot).
При этом согласие пользователя на трансграничную передачу оформляется до момента отправки данных за границу, в четкой, информированной форме.
Некорректный сценарий выглядит иначе: данные пользователя, введенные в форму на сайте, сразу отправляются на иностранный сервер (например, в Firebase (США) или Airtable) без предварительной локальной фиксации. Или, например, chatbot на платформе Intercom получает имя и телефон пользователя и сохраняет их в облаке за пределами России, не передавая их сначала в локальную систему.
Такой подход нарушает часть 5 статьи 18 закона № 152‑ФЗ, потому что фактический сбор, запись и систематизация происходят вне юрисдикции РФ. Даже если данные позже копируются в российскую систему, это не спасает от ответственности: первичная точка входа должна находиться внутри страны.

Как оценивается трансграничная передача персональных данных

Пункт 11 статьи 3 Федерального закона № 152‑ФЗ определяет трансграничную передачу как передачу персональных данных на территорию иностранного государства, в том числе:
  • иностранному органу государственной власти,
  • иностранному юридическому лицу,
  • иностранному физическому лицу.
То есть любое перемещение данных за пределы Российской Федерации, если их получателем становится субъект иностранной юрисдикции, автоматически квалифицируется как трансграничная передача.
Однако, не всякая такая передача запрещена. Напротив, она допустима, но только при соблюдении ряда условий.
Прежде всего, данные должны быть:
  • собраны в России — это обязательное предварительное условие. Если сбор происходит за рубежом, вы нарушаете часть 5 статьи 18 закона № 152-ФЗ.
  • переданы на законных основаниях, то есть должен существовать правовой механизм, позволяющий оператору обрабатывать данные (например, согласие субъекта, договор или иной пункт статьи 6 закона).
  • учтены в уведомлении Роскомнадзора, если обработка связана с трансграничной передачей. Также должно быть подано уведомление о трансграничной передаче.

Далее оценка допустимости трансграничной передачи зависит от юрисдикции получателя:

Если страна входит в перечень стран с адекватной защитой ПДн
(перечень утверждается Роскомнадзором и размещается на его официальном сайте)
→ Передача допустима при соблюдении общих условий (основание + уведомление).
Если страна не входит в перечень (например, США, большинство стран Азии, Украина и др.)
Передача персональных данных в такие государства возможна только при наличии дополнительных правовых механизмов, среди которых:
  • Согласие субъекта персональных данных — отдельное, информированное, с указанием страны и конкретного получателя. В согласии должно прямо содержаться указание на осуществление трансграничной передачи;
  • Разрешение Роскомнадзора на такую передачу — требуется всегда при передаче данных в страну, не входящую в перечень государств с адекватным уровнем защиты, особенно при массовых передачах или передаче в непризнанные/рискованные юрисдикции.
Важно: трансграничная передача ≠ сбор данных. Закон четко разделяет эти два процесса:
  • первичный сбор персональных данных граждан РФ должен происходить на территории России;
  • трансграничная передача — это уже вторичный процесс, регулируемый отдельными требованиями ст. 12 152-ФЗ.
Если данные изначально собираются напрямую в зарубежную систему, а затем «возвращаются» в Россию, это не трансграничная передача, а незаконный первичный сбор вне РФ, за который предусмотрена административная ответственность.

Кто теперь отвечает

С 1 июля ответственность за соблюдение локализации возложена не только на оператора персональных данных, но и на любое лицо, участвующее в формировании и наполнении базы.
То есть:
  • ИТ-директор, выбравший архитектуру с зарубежным API как точкой первичного приема данных;
  • веб-разработчик, подключивший счетчик или чат-бота без прокси через российский сервер;
  • обработчик (например, подрядчик, подрядная разработческая команда или интегратор), использующий внешний сервис для первичного приема данных;
  • юрист, не предусмотревший в договоре с обработчиком требование о локализации —
все они могут быть признаны участниками нарушения.

Санкции

За нарушение требований к локализации персональных данных предусмотрены следующие меры:
  • административный штраф до 6 млн рублей — по ч. 8 ст. 13.11 КоАП РФ (за первичное нарушение);
  • до 18 млн рублей — за повторное нарушение (ч. 9 ст. 13.11 КоАП РФ);
  • блокировка ресурса по IP-адресу или доменному имени — по требованию Роскомнадзора и на основании решения суда (в соответствии с законом № 149-ФЗ);
  • обязательное предписание Роскомнадзора об удалении персональных данных из иностранных баз или их переносе на территорию РФ;
  • внесение сведений о нарушении в реестр Роскомнадзора, что может повлечь за собой усиленное внимание к компании при последующих проверках.
Роскомнадзор уже неоднократно подчеркивал, что будет активно проверять не только крупных операторов, но и малый бизнес, ИП, сайты с простыми формами и онлайн-сервисами.

Что делать бизнесу, ИТ и юристам

1. Провести инвентаризацию точек сбора данных:
  • Где происходит запись?
  • Какие сервисы участвуют?
  • Где размещены серверы?
2. Обеспечить локализацию до трансграничной передачи:
  • Сначала запись в российскую ИСПДн;
  • Затем, при необходимости, отправка за рубеж (через backend, API).
3. Настроить архитектуру:
  • Использовать промежуточные буферы, прокси-сервисы, middleware на территории РФ;
  • Разделить уровни: сбор → хранение → передача.
4. Зафиксировать процесс в документах:
  • DPIA, карты обработки, политики;
  • соглашения с подрядчиками;
  • внутренние регламенты.
  • трансграничная передача — это уже вторичный процесс, регулируемый отдельными требованиями ст. 12 152-ФЗ.
5. При необходимости, внести изменения в логику CRM, Helpdesk, ATS, чат-ботов.

Вывод

Хранение персональных данных за пределами России по-прежнему допустимо — но только при строгом соблюдении установленных законом условий. Ключевое из них: персональные данные граждан РФ сначала должны собираться, записываться и систематизироваться первично на территории Российской Федерации.
Это означает:
  • Первичный сбор — исключительно в российской инфраструктуре: любые формы, логи, очереди, базы и первые касания данных должны находиться физически в РФ.
  • Изменение, актуализация и хранение данных — также происходят в локальной базе, которая считается основной с точки зрения закона.
  • Трансграничная передача — возможна только после локального сбора и при наличии правового основания, включая согласие субъекта или иные предусмотренные законом механизмы.
Иными словами: если ваша компания ориентируется на международные рынки, использует зарубежные системы и строит масштабируемую цифровую инфраструктуру, локализация должна быть встроена в архитектуру как обязательное технологическое и правовое условие. Это инструмент правовой безопасности и устойчивости вашего бизнеса.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме