- Первичная запись персональных данных граждан РФ должна происходить на серверах в России
- Передача данных за рубеж допускается только после выполнения требований локализации
- Использование AWS, Google Cloud и других зарубежных платформ требует отдельной проверки схемы хранения
- За нарушение требований локализации предусмотрены штрафы до 18 млн рублей
- Трансграничная передача ПД требует оценки уровня защиты в иностранном государстве
Что такое локализация персональных данных
Статья 18.1 ФЗ-152 устанавливает: при сборе персональных данных граждан России оператор обязан обеспечить запись, систематизацию, накопление и хранение с использованием баз данных, расположенных на территории РФ.
Ключевое понятие — первичная запись. Данные должны сначала попасть в российскую инфраструктуру.
Нарушение требований локализации — одно из самых серьёзных нарушений ФЗ-152. Штраф может достигать 18 млн рублей при повторном нарушении.
Что считается первичной записью
Первичная запись — это первый момент сохранения персональных данных после их получения от пользователя.
Корректная схема
- Пользователь отправляет данные через сайт
- Данные сохраняются на сервере в РФ
- После этого возможна передача за рубеж
Некорректная схема
- Данные сразу отправляются в иностранный сервис
- Российская копия отсутствует
В таком случае требования локализации нарушаются.
Если форма сайта напрямую подключена к зарубежному CRM или облачному сервису без российской базы-посредника, РКН может признать локализацию несоблюдённой.
Популярные сервисы и локализация
| Сервис | Статус | |---|---| | amoCRM | ✅ Серверы в РФ | | Битрикс24 | ✅ Серверы в РФ | | Salesforce | ⚠️ Нужна первичная запись в РФ | | HubSpot | ⚠️ Нужна первичная запись в РФ | | Google Analytics | ⚠️ Трансграничная передача | | Яндекс.Метрика | ✅ Серверы в РФ | | AWS | ⚠️ Требуется локализация через РФ | | Google Cloud | ⚠️ Требуется локализация через РФ | | Microsoft Azure | ⚠️ Требуется локализация через РФ |
Когда разрешена передача данных за рубеж
Трансграничная передача не запрещена, но допускается только после соблюдения требований локализации.
Оператор обязан:
- Проверить уровень защиты данных в стране получателя
- Уведомить РКН (в ряде случаев)
- Зафиксировать порядок передачи во внутренних документах
Что нужно проверить
| Вопрос | Почему важно | |---|---| | Где физически находятся серверы | Определяет соблюдение локализации | | Кто имеет доступ к данным | Требования безопасности | | Есть ли резервная копия в РФ | Подтверждение локализации | | Указана ли передача в политике | Информирование субъектов |
Локализация и облачные сервисы
Использование облаков не запрещено, если соблюдены требования закона.
Допустимый вариант
- Российская CRM или сервер
- Затем синхронизация с зарубежным сервисом
Рискованный вариант
- Форма напрямую отправляет данные в иностранный SaaS
Наличие офиса компании в России не означает локализацию данных. Важна именно территория размещения баз данных и первичной записи.
Как РКН проверяет локализацию
Обычно проверяют:
- DNS и IP-инфраструктуру
- договоры с хостингом и SaaS
- маршруты передачи данных
- политики конфиденциальности
- ответы операторов на запросы РКН
При жалобе или проверке могут запросить:
- схемы хранения данных,
- описание IT-инфраструктуры,
- перечень зарубежных сервисов,
- договоры с обработчиками.
Ответственность за нарушение
| Нарушение | Штраф | |---|---| | Первичное нарушение локализации | До 6 млн ₽ | | Повторное нарушение | До 18 млн ₽ | | Отсутствие уведомления о трансграничной передаче | Дополнительные санкции |
- Первичная запись ПД граждан РФ происходит в Россииобязательно
- Определены все зарубежные сервисы, работающие с ПДобязательно
- Проверены маршруты передачи данныхобязательно
- В политике описана трансграничная передача
- Заключены договоры с обработчиками и облачными сервисами
- Есть резервное хранение данных в РФ
- При необходимости направлено уведомление в РКН