Федеральный закон № 152-ФЗ «О персональных данных» остается ключевым нормативным актом, регулирующим обработку информации о гражданах России. С 1 июля 2025 года вступили в силу существенные изменения (внесенные Федеральным законом № 23-ФЗ), которые значительно ужесточили требования к локализации баз данных. Теперь первичный сбор, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных (ПДн) граждан РФ должны выполняться исключительно с использованием баз данных, физически расположенных на территории России.
Это требование напрямую влияет на архитектуру ИТ-инфраструктуры компаний. Многие организации, ранее использовавшие зарубежные облачные сервисы или аналитические инструменты, вынуждены полностью пересматривать свои системы. Нарушение новой редакции ч. 5 ст. 18 152-ФЗ влечет серьезные административные штрафы, а в отдельных случаях — блокировку доступа к ресурсам.
Почему локализация стала критичной в 2025–2026 годах
Поправки закрыли большинство «серых» схем, которые раньше позволяли отправлять данные за рубеж на этапе сбора с последующим возвратом в Россию. Теперь запрещено использовать любые формы, скрипты или виджеты, которые сразу передают ПДн на зарубежные серверы. Это касается не только хранения, но и самого процесса первичной записи информации.
Компании, работающие с российскими пользователями через сайты, мобильные приложения, CRM-системы или облачные платформы, обязаны обеспечить, чтобы точка входа данных находилась в РФ. Роскомнадзор активно использует автоматизированные системы сканирования сайтов, выявляя нарушения, связанные с трансграничной передачей на этапе сбора.
iiii Tech — ИТ-компания, специализирующаяся на комплексном развитии цифровых платформ бизнеса и формировании устойчивой информационной безопасности организации https://iiii-tech.com/services/information-security/, обеспечивая защиту данных, приложений и инфраструктуры от киберугроз, утечек и атак за счет внедрения и сопровождения AntiDDoS, WAF, EDR, SIEM и систем управления уязвимостями с учетом требований ФЗ-152, КИИ и международных стандартов. Помимо этого, компания реализует проекты по созданию и эксплуатации облачных и гибридных сред, предоставляет managed-сервисы, разрабатывает корпоративные хранилища данных и BI-решения, автоматизирует бизнес-процессы и RPA, выполняет внедрение и поддержку 1С, DevOps и тестирование программного обеспечения, заказную разработку и микросервисные архитектуры, а также предлагает отраслевые ИТ-решения для ритейла, промышленности, логистики, телекома и HR.
Практические шаги по локализации ИТ-инфраструктуры
Процесс приведения инфраструктуры в соответствие требованиям 152-ФЗ требует системного подхода. Ниже приведены основные этапы, которые необходимо выполнить большинству операторов ПДн.
- Проведите полный аудит существующей ИТ-инфраструктуры и потоков данных. Сначала определите все места сбора, обработки и хранения персональных данных граждан РФ: веб-формы на сайте, мобильные приложения, CRM, ERP, email-рассылки, аналитика, чат-боты, облачные сервисы. Составьте карту потоков данных — где именно происходит первичная запись информации. Проверьте, проходят ли данные через зарубежные серверы (Google Analytics, Meta Pixel, Hotjar, Firebase, Zoom с чувствительными данными и т.п.). Зафиксируйте все сторонние скрипты и API, которые могут отправлять ПДн за пределы России. Этот аудит должен проводиться с участием ИТ, юридического отдела и специалиста по информационной безопасности — только так можно выявить скрытые каналы утечки.
- Перенесите базы данных и обеспечьте локализацию первичного сбора. Основная база данных с ПДн граждан РФ должна физически находиться в дата-центрах на территории России (рекомендуется использовать ЦОДы из реестра Минцифры). Возможные варианты: полный перенос всей ИСПДн в российский дата-центр или облако с подтвержденным соответствием 152-ФЗ; отделение базы данных от серверов приложений с размещением только БД в РФ; создание промежуточной российской базы для первичной записи с последующей (при необходимости и разрешении) передачей; настройка репликации, когда мастер-база остается в РФ, а реплики синхронизируются с зарубежными системами только в разрешенных случаях. Замените зарубежные сервисы сбора на российские аналоги (Яндекс.Метрика вместо Google Analytics, российские формы и CRM). После переноса обязательно протестируйте маршруты данных — убедитесь, что первичная запись происходит только в РФ.
- Обновите документацию, согласия и политики. Переработайте политику обработки ПДн, согласия и договоры с учетом новых требований. С 1 сентября 2025 года согласие на обработку должно оформляться отдельно, без смешивания с офертой или политикой конфиденциальности. Укажите в документах актуальные цели обработки, сроки хранения и меры локализации. Зарегистрируйте изменения в реестре операторов Роскомнадзора, если это необходимо. Организуйте обучение сотрудников и внедрите внутренние регламенты по работе с ПДн.
Типичные ошибки при локализации, которых следует избегать
Многие компании, несмотря на усилия, продолжают допускать нарушения, приводящие к предписаниям и штрафам.
- Продолжают использовать зарубежные инструменты аналитики и маркетинга без изменений. Самая распространенная ошибка — оставлять Google Analytics, Meta Pixel, Hotjar или Google Forms, считая, что «данные потом вернутся в Россию». С 1 июля 2025 года такая практика прямо запрещена: первичная передача на зарубежный сервер уже является нарушением ч. 5 ст. 18 152-ФЗ. Роскомнадзор блокировал и продолжает блокировать ресурсы за подобные схемы. Даже если компания использует прокси или VPN для маскировки, автоматизированные сканеры регулятора легко выявляют факт трансграничной передачи на этапе сбора.
- Неполный перенос или игнорирование промежуточных хранилищ. Часто компании переносят только основную базу, но забывают про бэкапы, реплики, тестовые среды, логи или промежуточные хранилища в зарубежных облаках. В результате данные продолжают попадать за рубеж. Другая ошибка — перенос только части инфраструктуры, когда формы на сайте по-прежнему отправляют информацию на иностранные серверы, а потом данные «подтягиваются» в российскую базу. Это не соответствует закону: первичная запись должна происходить исключительно в РФ.
Локализация ИТ-инфраструктуры по обновленным требованиям 152-ФЗ — это не разовая акция, а постоянный процесс поддержания соответствия. Своевременное выполнение этих шагов позволяет избежать штрафов до нескольких миллионов рублей, предписаний и блокировки ресурсов. Компании, которые уже завершили миграцию в 2025 году, отмечают не только снижение рисков, но и повышение общей надежности систем за счет перехода на сертифицированные российские решения. В 2026 году требования продолжат ужесточаться, поэтому начинать работу нужно как можно раньше.
Вопросы и ответы
1. Что именно требует закон 152-ФЗ в части локализации персональных данных на февраль 2026 года? С 1 июля 2025 года (ФЗ № 23-ФЗ) вступила в силу новая редакция ч. 5 ст. 18 152-ФЗ. Теперь первичный сбор, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться исключительно с использованием баз данных, физически расположенных на территории России. Это касается не только хранения основной копии, но и самого первого момента фиксации данных — через веб-формы, приложения, API и любые другие точки входа. Ранее многие компании использовали схему «сначала за рубеж, потом зеркало в РФ» — такая практика теперь прямо запрещена. Роскомнадзор трактует нарушение как использование любой зарубежной базы даже для промежуточной записи или передачи на этапе сбора.
2. Какие операции с данными подпадают под требование первичной локализации? Закон перечисляет конкретные действия: запись, систематизация, накопление, хранение, уточнение (обновление) и извлечение. Именно эти операции при первичном сборе должны происходить на российских серверах. Обычная аналитика, кэширование или временная буферизация за рубежом без записи в постоянную базу тоже может быть расценена как нарушение, если в процессе происходит любая из перечисленных операций. Поэтому сейчас стандартная рекомендация — полное исключение зарубежных сервисов на этапе первичного ввода данных.
3. Какие сервисы чаще всего нарушают требование локализации в 2026 году? Самые проблемные — Google Analytics (включая GA4), Google Tag Manager (если отправляет ПДн), Meta Pixel / Facebook Conversions API, Hotjar, Microsoft Clarity, Google reCAPTCHA v3 (когда собирает поведенческие данные), Amplitude, Mixpanel, Firebase Analytics, зарубежные CRM с формами (HubSpot, Pardot и т.п.), чат-виджеты Intercom, Drift, Zendesk Chat с записью в зарубежную базу. Даже если основной сервер в России, но форма отправляет данные сначала на зарубежный endpoint — это уже нарушение ч. 5 ст. 18.
4. Можно ли сейчас использовать зарубежные облака (AWS, Azure, Google Cloud) для хранения ПДн россиян? Нет, нельзя. С 1 июля 2025 года прямой запрет на любые операции первичной записи и хранения в зарубежных дата-центрах. Даже если компания имеет выделенный регион в РФ (например, Azure Russia или AWS Outposts), но первичная точка входа идёт через глобальный endpoint — это нарушение. Допускается только инфраструктура, физически расположенная в РФ и соответствующая требованиям (желательно из реестра Минцифры или с аттестацией по 152-ФЗ).
5. Что делать, если компания уже использует зарубежный SaaS, где нет российского региона? Необходимо либо полностью отказаться от сервиса, либо перейти на российский аналог, либо внедрить промежуточный российский слой (proxy / российскую БД-обёртку), который принимает данные первым и только потом (при наличии оснований) передаёт дальше. Наиболее реалистичный путь в 2026 году — миграция на 1С-Битрикс24, amoCRM, retailCRM, Яндекс.Формы + Яндекс.Облако / VK Cloud / SberCloud / Yandex Cloud и другие сертифицированные платформы.
6. Как правильно провести аудит инфраструктуры на соответствие локализации? Начать с составления полной карты потоков данных: все точки сбора (сайт, приложение, Telegram-бот, email, колл-центр, партнёры). Затем проверить каждый скрипт, API, webhook, pixel на предмет отправки ПДн за рубеж. Использовать инструменты типа Fiddler, Charles Proxy, Wireshark или автоматизированные сканеры Роскомнадзора-подобные. Обязательно задокументировать: где происходит первая запись (INSERT / CREATE), какие IP-адреса резолвятся при отправке формы, есть ли CNAME на зарубежные домены. Аудит должен быть подписан ИТ + юрист + ИБ.
7. Нужно ли регистрировать изменения в реестре операторов Роскомнадзора после локализации? Если меняется место нахождения баз данных или способы обработки — да, требуется подать уведомление об изменениях в течение 10 рабочих дней (ст. 22 152-ФЗ). Многие компании этого не делают, получая штрафы до 75–300 тыс. руб. После переноса обновите адрес размещения ИСПДн в уведомлении.
8. Какие штрафы грозят за нарушение локализации в 2026 году? По ч. 8 ст. 13.11 КоАП РФ — до 6 млн руб. для юрлиц за нарушение требований к локализации. При повторном нарушении — до 18 млн руб. Если нарушение привело к утечке — отдельные составы до 15–20 млн руб. или проценты от выручки (в тяжёлых случаях). Блокировка сайта по решению суда тоже возможна.
9. Правда ли, что бэкапы и реплики тоже должны быть только в России? Да. Закон требует, чтобы все операции первичного накопления и хранения происходили в РФ. Поэтому бэкапы, реплики, тестовые копии, DR-сайты с ПДн россиян также должны находиться в российских ЦОД. Раздельное хранение (основная + резервная + тестовая) в разных сегментах внутри РФ — стандартная практика.
10. Можно ли отправлять данные за рубеж после первичной записи в России? Да, при соблюдении правил трансграничной передачи (ст. 12 152-ФЗ): наличие адекватной защиты в стране-получателе, согласие субъекта или иное основание, уведомление РКН (если требуется). Но первичная запись обязана быть в РФ — это ключевое отличие от старой редакции.
11. Как заменить Google Analytics без потери функциональности? Перейти на Яндекс.Метрику (полный аналог + российская юрисдикция), Roistat, Calltouch, Google Analytics через российский прокси-сервер (но это рискованно и не рекомендуется). Многие используют связку Метрика + Amplitude-подобные российские BI-инструменты. Важно: отключить все отправки client_id, user_id и других идентификаторов, которые можно отнести к ПДн.
12. Влияет ли локализация на мобильные приложения? Да, напрямую. Если приложение отправляет аналитику, краши, события в Firebase / Appsflyer / Adjust — это нарушение. Нужно перевести всю аналитику на российские SDK (AppMetrica, Adjust с российским сервером — но лучше полностью отечественные). Базы в App Store / Google Play не считаются хранением — нарушение только при записи на зарубежный бэкенд.
13. Что делать с чат-ботами и онлайн-консультантами? Многие зарубежные (Tidio, JivoSite старые версии, Chatra) пишут напрямую в зарубежную БД — запрещено. Переход на российские: JivoSite (после локализации), SaleBot, Carrot Quest, BotHelp, Smartbot Pro. Проверяйте, чтобы первый ответ бота и сбор контактов шёл через российский сервер.
14. Нужно ли менять политику конфиденциальности и согласие после локализации? Обязательно. С 1 сентября 2025 года согласие должно быть отдельным документом (не галочка в оферте), с чётким указанием целей, сроков, локализации. В политике обработки ПДн теперь обязательно прописывать место хранения (РФ) и меры локализации.
15. Какие российские облака лучше всего подходят для 152-ФЗ в 2026 году? VK Cloud, Yandex Cloud, SberCloud, Ростелеком-ЦОД, Selectel, МТС Cloud, МегаФон Cloud — все они предлагают аттестованные по 152-ФЗ уровни защиты (УЗ-1–УЗ-4). Выбор зависит от бюджета, масштаба и нужного уровня аттестации.
16. Как часто Роскомнадзор проверяет локализацию в 2026 году? Проверки участились: автоматизированное сканирование сайтов + внеплановые по жалобам + плановые по графику. В 2026 году план проверок уже опубликован, много внимания уделяется e-commerce, финтеху, маркетплейсам и SaaS.
17. Можно ли использовать CDN (Cloudflare, Akamai) при локализации? Только если CDN не кэширует и не записывает ПДн. Большинство CDN кэшируют формы и POST-запросы — это риск. Рекомендуется российский CDN (Gcore российский кластер, CDNvideo, NGENIX) или прямое подключение без кэширования чувствительных страниц.
18. Что будет, если компания не успеет локализоваться к середине 2026 года? Риск получения предписания в течение 1–3 месяцев после выявления, затем штраф (до 6 млн), при неисполнении — повторный штраф до 18 млн + возможная блокировка ресурса. В 2026 году регулятор активно использует автоматику, поэтому игнорировать уже опасно.
19. Влияют ли новые правила на обработку биометрических данных? Да, требования к биометрии ещё строже (отдельный закон + ЕБС). Локализация обязательна, плюс повышенный уровень защиты (УЗ-1), отдельное согласие и оценка вреда.
20. Стоит ли локализовать инфраструктуру, если компания работает только с иностранными клиентами? Если собираете ПДн хотя бы одного гражданина РФ — да, требования применяются. Даже если 99% аудитории — иностранцы, один россиянин делает вас оператором с обязанностью локализации. Поэтому многие глобальные компании заводят отдельный российский сегмент или полностью отказываются от российского рынка.