Автор: Владимир
08.07.2025
Законодатель усилил требования по хранению данных российских граждан внутри страны
С 30 мая 2025 года (а для отдельных норм — с 1 июля 2025) вступает в силу обновлённая редакция п.5 ст.18 Федерального закона О персональных данных № 152-ФЗ (Закон о ПД). Теперь все данные российских пользователей должны храниться и обрабатываться исключительно на территории России. Под хранением и обработкой понимается любой процесс — сбор, систематизация, передача, хранение — который должен происходить на локальных (российских) серверах.
Если ваш сайт или служба до сих пор использует сторонние решения в области информационных технологий, из-за которых персональные данные передаются за границу (например, хостинг сайта за рубежом, облачные хранилища иностранной юрисдикции, сервисы, где данные пользователей уходят на иностранные серверы) — необходимо перейти на российские аналоги либо настроить инфраструктуру так, чтобы данные граждан РФ не покидали страну.
Важно, что прямой запрет на сбор персональных данных через зарубежные базы теперь закреплён законодательно. Ранее формально требовалось лишь обеспечить первоначальную запись данных в РФ, и некоторые компании держали основную базу за рубежом, дублируя данные в России. Теперь такой подход незаконен: вся инфраструктура, участвующая в работе с персональными данными россиян, должна находиться в РФ. Это требование распространяется и на облачные сервисы, виджеты, формы обратной связи — любые модули, которые могут передавать информацию на иностранные серверы.
Примеры запрещённых решений
Среди популярных сервисов, использование которых стало проблемным, Роскомнадзор прямо указывает на «Гугл Аналитикс» (Google Analytics), «Пиксель Меты» (Meta Pixel, также известный как «Пиксель Фейсбук») и «Хотджар» (Hotjar). Эти инструменты отправляют данные о пользователях на серверы в других странах, что теперь считается нарушением закона. Компаниям рекомендуется как можно быстрее перейти на проверенные отечественные или сертифицированные решения, размещённые в РФ (например, Яндекс Метрика).
Аналогичная логика применяется к любым иностранным сервисам почтовых рассылок, системам управления клиентами, облачным документам («Гугл Формы», «Гугл Документы», «Гугл Таблицы» и т.п.) — их использование допустимо только при гарантированном хранении данных на территории Российской Федерации либо после получения специальных разрешений. Но лучше их использования избегать.
Трансграничная передача данных
Новые правила не означают тотального запрета на международный обмен данными, но значительно его осложняют. Операторы по-прежнему могут передавать персональные данные за пределы РФ при наличии законных оснований (например, согласия субъекта или для исполнения договора с ним), однако теперь необходимо уведомлять Роскомнадзор о каждом факте трансграничной передачи и зачастую получать разрешение регулятора. С 2022 года в России введён реестр трансграничных передач данных, и оператор обязан подать в Роскомнадзор заявку на каждую категорию данных, планируемых к передаче за рубеж, с обоснованием необходимости.
Передача допускается только после получения одобрения Роскомнадзора и включения информации о ней в реестр. Заявку можно подать онлайн через портал Роскомнадзора; срок рассмотрения — до 10 рабочих дней. Если разрешение получено, оператор всё равно несёт ответственность за сохранность данных за рубежом и должен соблюдать ограничения (например, передавать только в страны, обеспечивающие адекватную защиту прав субъектов ПД). Нарушение порядка трансграничной передачи (например, передача без уведомления РКН) влечёт административную ответственность по КоАП РФ.
Практические шаги
- Проверьте, где физически находятся ваши серверы и резервные копии данных. Если они вне РФ — перенесите данные в Россию или к провайдеру, имеющему дата-центры в РФ.
- Отключите любые внешние скрипты и виджеты, отправляющие данные пользователей на иностранные серверы (счетчики, аналитика, чат-боты и пр.), либо замените их российскими аналогами.
- Если бизнес критически нуждается в использовании иностранного сервиса (например, обмен данными с зарубежным контрагентом или головным офисом), официально уведомьте об этом Роскомнадзор заранее и получите разрешение. Без такого уведомления передача будет считаться нелегальной, даже при согласии пользователя.
