Локализация данных: почему старые схемы больше не работают и как не попасть на миллионные штрафы

Если ваш бизнес работает с пользователями из России, то вопрос где хранятся персональные данные касается вас напрямую. Телефоны, имена, email-адреса, заявки с форм, данные сотрудников — всё это подпадает под строгие требования локализации.

Многие компании годами жили в «серой зоне»: данные вроде бы хранятся и в России, и за рубежом, а ответственность размыта. Но с 1 июля 2025 года правила изменились настолько, что многие привычные технические схемы теперь считаются прямым нарушением закона.

Ниже подробно описано, что поменялось, какие мифы приводят к штрафам и как выстроить инфраструктуру так, чтобы избежать блокировки и миллионных выплат.

Что изменилось: от мягких рекомендаций к жесткому запрету

Требования локализовать персональные данные граждан РФ появились еще в 2015 году. Но долгие годы ситуация оставалась гибкой:

• использовали «параллельную запись» данных на российский и зарубежный серверы;
• применяли российский сервер как «трубу» (проксирование);
• размещали временные данные в иностранных облаках.

Роскомнадзор часто ограничивался предписаниями или предупреждениями. Однако практика постепенно ужесточалась: блокировка LinkedIn стала первым громким кейсом, позже штрафы получили Facebook и Twitter.

С 1 июля 2025 года вступили в силу нормы, которые закрыли любые лазейки.

Теперь действует жесткое правило:

Персональные данные граждан РФ должны быть изначально собраны, записаны и сохранены на сервере, физически находящемся в России. Только после завершения этого процесса допускается передача или копирование данных за границу.

Проще говоря, техническая схема должна выглядеть так:

1. пользователь отправляет форму;
2. данные приходят на сервер в РФ;
3. данные сохраняются в российской базе;
4. только затем они могут быть переданы в зарубежные системы (CRM, Helpdesk, ERP и т.д.).

Никаких параллельных потоков, транзита или записи сразу за рубеж.

Три опасных мифа, из-за которых компании теряют деньги

Чтобы соблюдать закон, мало иметь российский сервер. Важно корректно понимать термины, которые интерпретируются не так, как в IT-практике.

Миф 1. «База данных — это большой сервер в дата-центре»

Фактически база данных — любое структурированное хранилище.

Это может быть:

• Excel-файл;
• Google Sheets;
• список контактов HR-менеджера;
• таблица в Notion;
• CRM на зарубежном облаке.

Если файл с персональными данными россиян хранится на иностранном сервере — это нарушение, независимо от размера компании и объема данных.

Миф 2. «Мы собираем данные, но не храним»

В момент, когда пользователь нажал кнопку «Отправить», начинается обработка данных.

Если эти данные по API или форме сразу уходят на иностранный сервер — это нарушение, даже если вы говорите: «мы их не сохраняем».

Первой точкой входа обязан быть сервер в России.

Миф 3. «Параллельный сбор данных в РФ и за рубеж допустим»

Раньше такой подход применяли многие компании: данные летели одновременно на российский сервер и на иностранный.

Теперь это жестко запрещено. Любая схема параллельного сбора считается попыткой обойти закон.

Цена ошибки: сколько стоит неправильная локализация

Штрафы за нарушение правил обработки персональных данных — одни из самых высоких.

Размеры штрафов:

• Первое нарушение: от 1 до 6 млн рублей.
• Повторное нарушение: от 6 до 18 млн рублей.

А если регулятор посчитает действия грубыми или умышленными, санкции могут быть еще выше.

Практика показывает: суды почти всегда встают на сторону Роскомнадзора. Кассации и апелляции, как правило, бесполезны. Факт нарушения фиксируется технически, и опровергнуть его крайне сложно.

Кроме штрафов возможны:

• блокировка сайта;
• запрет обработки данных;
• проверки всего бизнеса.

Как действовать: технический и юридический план

Локализация данных — это не только задача DevOps или системного администратора. Это процесс на стыке права, инфраструктуры и внутренних регламентов.

Ниже — полный план действий.

1. Проведите аудит инфраструктуры и процессов

Проанализируйте:

• формы на сайте;
• CRM-системы;
• системы e-mail-рассылок;
• облачные сервисы;
• резервные копии;
• логи и мониторинг.

Проверьте весь путь прохождения данных: от клика по форме до архивных резервных копий.

2. Внедрите архитектуру «Сначала Россия»

Техническая схема должна гарантировать, что:

• данные сначала приходят на российский сервер;
• происходит запись в российскую базу данных;
• только затем данные уходят в иностранные сервисы.

Это можно реализовать через:

• российский backend/API шлюз;
• российский брокер сообщений (RabbitMQ, Kafka);
• российский reverse-proxy, который делает запись в локальное хранилище.

3. Пропишите методику определения гражданства

Закон защищает граждан РФ.

Если вы не определяете гражданство пользователей, регулятор может посчитать всех клиентов россиянами.

Подходы:

• обязательное поле «Гражданство» в формах;
• геолокация + российский телефон + российский паспортный сервис;
• отдельные правила для b2b и b2c.

Документируйте выбранную методику.

4. Проверьте и обновите договоры с партнерами

Если вы передаете данные:

• в иностранную материнскую компанию,
• CRM за рубежом,
• подрядчику с офисом не в РФ,

нужно юридически корректно оформить передачу.

Часто безопаснее передавать данные как самостоятельному оператору, а не через поручение. Так вы делаете партнера ответственным за свою часть работы, а не отвечаете за все самостоятельно.

5. Выберите хостинг, подтверждающий размещение в РФ

Для выполнения закона необходимо, чтобы сервер физически находился в России.

Провайдер должен:

• иметь дата-центр в РФ;
• иметь документы, подтверждающие местоположение серверов;
• предусматривать ответственность за безопасность инфраструктуры.

6. Уведомите Роскомнадзор

После настройки локализации нужно:

• подать новое уведомление, или
• обновить существующее.

В уведомлении указываются конкретные российские адреса хранения и обработки данных.

Итоги

Локализация данных — это уже не формальность и не «бумажная» задача. Это базовое требование для всех, кто работает с российскими пользователями.

Старые технические схемы больше не работают. Параллельный сбор запрещен. Ответственность жесткая и дорогостоящая.

Перестройка процессов сейчас обойдется дешевле, чем штрафы и блокировка в будущем.

Чтобы получить чек-лист проверки на соответствие требованиям - отправьте заявку!