menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Хранение персональных данных за границей:

Хранение персональных данных за границей: что разрешено, что запрещено и как соблюсти локализацию в 2025 году

лонгриды
13.01.2023
12/09/25
Б-152
Лонгриды
События /
Хранение персональных данных за границей
Облачные технологии, международные подрядчики, SaaS-системы и распределенные команды — все это реалии современного бизнеса. Но когда в игру вступают персональные данные граждан Российской Федерации, правила определяет не только удобство, но и закон.
что разрешено, что запрещено и как соблюсти локализацию в 2025 году
До середины 2025 года компании часто обходили требования о локализации, используя дублирование данных или размещение формально «какой-то» базы в России. Однако с 1 июля вступили в силу изменения в статье 18 152-ФЗ, и теперь нарушить локализацию стало гораздо проще, даже если ваши намерения были добросовестными.
Почему cookies — это персональные данные
Судебная практика и позиция Роскомнадзора
Содержание
Какие cookie-файлы подпадают под действие закона о персональных данных
Классификация cookies и юридические последствия
Какие риски возникают при неправильной работе с cookie-файлами
Что должны сделать разные роли
Как правильно оформить работу с cookies: пошаговый разбор
Вывод
Почему cookies — это персональные данные
Судебная практика и позиция Роскомнадзора
Содержание
Какие cookie-файлы подпадают под действие закона о персональных данных
Классификация cookies и юридические последствия
Какие риски возникают при неправильной работе с cookie-файлами
Что должны сделать разные роли
Как правильно оформить работу с cookies: пошаговый разбор
Вывод

Что изменилось: полный запрет на первичный сбор персональных данных за пределами России

С 1 июля 2025 года вступила в силу обновленная ч. 5 ст. 18 152-ФЗ, которая прямо закрепляет запрет на первичный сбор персональных данных граждан РФ с использованием иностранных хранилищ.
Теперь в законе императивно установлено, что первичная обработка (включая сбор, запись, систематизацию и хранение) должна происходить только на серверах, физически расположенных в России.
По сути, это не новая обязанность: и ранее операторы должны были обеспечивать первичный сбор данных на территории РФ. Разница в том, что теперь это требование сформулировано жестче и недвусмысленно, исключая возможность трактовки в пользу сбора за рубежом с последующим копированием в Россию.

В чем суть изменений: новая трактовка «сбора»

Сбор — это совокупность действий, которые фиксируют и систематизируют данные в первый раз:
  • прием информации от пользователя (например, форма обратной связи, подписка, заказ);
  • запись в базу данных (даже временную);
  • логирование события (например, запись в access log, event log);
  • первичная обработка (нормализация, распределение по категориям, тегирование);
  • временная фиксация в очередях или буферах (например, Kafka, Redis, очередь webhook’ов).
Если хоть один из этих этапов первично реализован на сервере за пределами РФ, это считается нарушением.

Технический пример: раньше и сейчас

Было до введения требований о локализации:
Форма на сайте могла отправлять данные напрямую в облачную CRM (например, HubSpot или Salesforce), сервер которой находится в ЕС или США. Это считалось правомерным, т.к. требований о первичном хранении данных в России не было. Можно было, при желании, создавать у себя в РФ копию или измененный вариант базы, но это не являлось обязательным условием.
Такой подход нарушает обновленную ч. 5 ст. 18 152-ФЗ. Первая запись должна происходить в базе данных, физически расположенной на территории России. Лишь после этого возможна трансграничная передача данных при наличии соответствующего правового основания (ст. 12 152-ФЗ).
Сейчас:

Что это означает на практике

  • Нельзя использовать зарубежные формы захвата данных, если они напрямую пишут данные на внешние серверы.
  • Нельзя собирать заявки или обращения через скрипты, подключенные с CDN, если они инициируют запись за пределами РФ.
  • Нельзя логировать пользовательские события (клики, переходы, заполнения форм) в иностранные аналитические системы без предварительной локальной буферизации.

Что теперь считается нарушением

1. Форма на сайте отправляет данные напрямую в иностранный сервис
Например, в Airtable, Notion, Trello, HubSpot, Intercom. Даже если у вас есть копия в России, это все равно прямое нарушение.
Даже если через API дублируете данные в РФ, если первая запись была не у нас, это тоже нарушение.
2. CRM, Helpdesk, ATS размещены за рубежом и принимают заявки, отклики, обращения
Если система первично фиксирует данные пользователя в логах, даже временно, на зарубежных серверах — формально, это уже сбор.
3. Использование зарубежного backend или frontend-хостинга с логами

Какие риски возникают при неправильной работе с cookie-файлами

Если сайт:
  • не уведомляет пользователя о целях и получателях данных,
  • не соблюдает правила локализации (например, данные отправляются сразу в зарубежные сервисы),
— то это квалифицируется как нарушение законодательства о персональных данных.
Возможные последствия:
Штрафы по ст. 13.11 КоАП РФ:
— при первичном нарушении — от 150 000 до 300 000 ₽ для юрлица;
— при повторном нарушении — от 300 000 до 500 000 ₽;
— для должностных лиц — до 100 000 ₽.
Предписание Роскомнадзора:
— удалить незаконно собранные cookies или прекратить их использование;
— привести сайт в соответствие с требованиями закона.

Что должны сделать разные роли

Маркетолог:
  • Проверить, какие трекеры используются (метрики, пиксели, ретаргетинг).
  • Описать все цели и инструменты в политике конфиденциальности.
Разработчик:
  • Разместить баннер так, чтобы он был виден сразу при входе на сайт, а не «прятался» в футере или во всплывающих окнах, которые легко пропустить.
Digital-директор или продакт:
  • Проверить, кто принимает решения об использовании сторонних сервисов.
  • Убедиться, что согласие логируется (ID сессии, timestamp, тип согласия).
  • Прописать регламент взаимодействия с подрядчиками.
In-house юрист или DPO:
  • Обновить уведомление об обработке ПДн, включить в него собираемые cookies.
  • Обновить политику конфиденциальности и cookies-баннер.

Как правильно оформить работу с cookies: пошаговый разбор

Обработка cookie-файлов требует соблюдения всех требований законодательства. Это не только вопрос наличия баннера, но и прозрачности в документах.
1. Cookie-баннер: первый рубеж защиты
Cookie-баннер — это инструмент для получения осознанного и информированного согласия. Он должен быть:
  • Видимым сразу при заходе на сайт, без необходимости прокручивать страницу или переходить в футер. Иначе это может быть признано как навязанное или неявное согласие, что не соответствует требованиям статьи 6 закона № 152‑ФЗ.
  • Содержать понятный и прямой текст, например: «Мы используем cookie-файлы, в том числе для аналитики и рекламы. Продолжая использовать сайт, вы соглашаетесь на обработку персональных данных. Подробнее — в политике конфиденциальности.»
  • Содержать кнопку/ссылку «Подробнее», ведущую на политику конфиденциальности или отдельную cookie-политику, где раскрываются все детали обработки.
2. Политика конфиденциальности или cookie-политика: полное раскрытие
Документ должен включать:
  • Перечень всех используемых cookies — с указанием их назначения (например, необходимые, статистичесие, маркетинговые).
  • Цели обработки — что именно вы делаете с данными (сбор статистики, улучшение интерфейса, показ рекламы и т. д.).
  • Перечень получателей/третьих лиц — кому передаются данные (например, Яндекс, VK, Mail.ru и др.).
  • Срок хранения cookies — как долго вы или третьи лица будут хранить данные на устройстве пользователя.
  • Права субъекта данных — в том числе право отозвать согласие, подать жалобу и требовать удаления данных.
  • Контакты для связи с оператором персональных данных.
Важно: этот документ должен быть написан понятным языком и доступен без регистрации.

Вывод

Cookie-файлы — это не просто технология, а инструмент, позволяющий отслеживать действия человека в сети. С точки зрения российского законодательства, они могут являться персональными данными, а значит, требуют внимательного и корректного подхода к их использованию.
Если вы работаете с сайтом или мобильным приложением, вы обязаны:
  • в баннере четко обозначать, что собираются cookie-файлы;
  • в политике конфиденциальности или cookie-политике подробно объяснять, какие именно cookie собираются, для чего они используются, и как пользователь может ими управлять.
При этом важно, чтобы баннер был виден при входе на сайт, а не скрыт в футере или в малозаметных элементах интерфейса.
Юридические риски уже не теоретические — они реализуются в виде штрафов и проверок. Даже в условиях моратория на проверки Роскомнадзора до 2030 года, проверки сайтов продолжаются, причем прослеживается тенденция к их автоматизации, что приведет к росту их количества.
С правильной настройкой баннера, корректным описанием cookie в документации и учетом требований закона вы сможете продолжать использовать аналитику и маркетинговые инструменты на законной основе и без лишних рисков.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме