Локализация баз данных персональных данных в России: требования 2025 года

Что изменилось в требованиях к локализации персональных данных с 1 июля 2025 года

С 1 июля 2025 года в России вступили в силу самые жесткие правила по локализации персональных данных за всю историю закона № 152-ФЗ. Раньше компании могли собирать данные россиян через иностранные серверы, если потом переносили их в российские базы. Теперь - запрещено. Даже если вы используете американскую CRM, облачный сервис или мобильное приложение, первичный сбор данных гражданина РФ должен происходить исключительно на серверах, расположенных на территории России.

Это не просто техническое уточнение. Это полный пересмотр правил игры. Раньше операторы (те, кто определяет, зачем и как собираются данные) могли переложить ответственность на обработчиков - сторонних провайдеров, которые хранили или обрабатывали данные по их поручению. Теперь и обработчики несут прямую юридическую ответственность. Если ваша компания использует Salesforce, HubSpot, Google Forms или любой другой зарубежный сервис, где данные россиян попадают напрямую - вы нарушаете закон.

Что именно запрещено делать с данными россиян

Новые поправки четко перечисляют действия, которые должны выполняться только на российских серверах:

• Запись данных - например, когда пользователь заполняет форму на сайте или в приложении
• Систематизация - сортировка, классификация, группировка
• Накопление - хранение данных в базе в течение времени
• Хранение - физическое размещение на серверах в России
• Уточнение - обновление адреса, телефона, email
• Извлечение - поиск и получение данных из базы

Важно: все эти действия должны происходить до любой трансграничной передачи. То есть, если вы собираете данные россиянина через веб-форму - она должна отправлять информацию не в США, не в Германию, а в российский сервер. Только после этого вы можете копировать данные за границу для анализа, маркетинга или резервного копирования - но только с уведомлением Роскомнадзора.

Кто теперь отвечает за соблюдение законов

Раньше ответственность лежала только на операторе. Теперь - на всех, кто участвует в цепочке. Это значит:

• Если вы - оператор (например, интернет-магазин), вы обязаны настроить формы и системы так, чтобы данные россиян не уходили за рубеж
• Если вы - обработчик (например, аутсорсинговая компания, которая ведет базу клиентов), вы тоже обязаны хранить эти данные в России
• Если вы - разработчик, который пишет код для CRM, вы должны знать, куда именно идет данные, и не допускать утечек за пределы РФ

Это кардинально меняет отношения с поставщиками. Большинство иностранных SaaS-решений (Salesforce, Zoho, Microsoft Dynamics) не предлагают российские версии с локализованными серверами. Теперь, если вы используете их - вы рискуете. Даже если вы думаете, что «там просто хранится email», - это уже нарушение. Роскомнадзор не интересуется, насколько «важные» данные вы передаете. Любые персональные данные - ФИО, телефон, email, IP-адрес, геолокация - попадают под закон.

Как проверить, не нарушаете ли вы закон

Вот пошаговый аудит, который должна пройти каждая компания, работающая с российскими клиентами:

1. Составьте список всех систем, где собираются данные граждан РФ: веб-сайты, мобильные приложения, CRM, чат-боты, формы обратной связи, платформы для онлайн-записи
2. Определите, куда именно уходят данные при отправке - используйте инструменты вроде Wireshark, Fiddler или просто проверьте настройки хостинга
3. Найдите все точки, где данные могут попадать на иностранные серверы - даже через API, веб-хуки или аналитику (Google Analytics, Яндекс.Метрика, Hotjar)
4. Замените или настройте все эти точки так, чтобы первичный сбор происходил в российской базе данных
5. Обновите договоры с обработчиками: в них должны быть прописаны обязательства по локализации
6. Проведите тест: заполните форму на своем сайте как россиянин - и проверьте, где появляются данные в первый момент

Многие компании думают: «У нас мало российских клиентов, зачем нам это?». Но закон не учитывает объем. Даже один россиянин - и вы обязаны соблюдать правила. В 2025 году Роскомнадзор начал массовые проверки. По данным на август, из 1500 проверенных компаний 10% уже получили предписания. Штрафы - от 10 млн рублей или 2% выручки, в зависимости от того, что больше.

Что делать, если вы используете иностранные сервисы

Есть три реальных пути:

1. Используйте российские аналоги

Рынок быстро адаптировался. В 2025 году российские облачные провайдеры - «Ростелеком», «МТС Cloud», «СберОблако» - заняли 69% рынка локализованных решений. Они предлагают CRM, хранилища, аналитику и даже BI-системы с серверами в России. Многие из них совместимы с международными стандартами, такими как ISO 27001. Стоимость - на 15-30% выше, чем у AWS, но это дешевле, чем штраф.

2. Создайте «буферную» российскую систему

Все данные сначала идут в российскую базу, а потом копируются в иностранные системы. Например: пользователь заполняет форму - данные попадают в базу на сервере в Москве, затем через защищенный канал передаются в Salesforce. Важно: в Salesforce данные не должны появляться до того, как они уже были записаны в России. Это требует технической доработки, но это законный путь.

3. Откажитесь от иностранных сервисов

Некоторые стартапы и малый бизнес просто закрываются. Стоимость перенастройки инфраструктуры - от 5 до 15 млн рублей. Для компаний с 500 российскими клиентами это неподъемно. Но если вы не готовы вкладываться - вы не сможете работать в России. Правило простое: если вы хотите собирать данные россиян - вы должны хранить их в России.

Последствия и реальные примеры

В июне 2025 года агентство PrivacyLine провело опрос среди 500 российских компаний. Результаты:

• 68% столкнулись с техническими сложностями при перенастройке систем
• 42% увеличили ИТ-бюджет в среднем на 25%
• 17% приостановили работу на российском рынке

Один из примеров - онлайн-платформа для записи к врачам. До июля 2025 года она использовала AWS для хранения данных. После проверки Роскомнадзора компания получила предписание: перенести все данные в «СберОблако» за 60 дней. Они потратили 8 млн рублей, переписали 12 API, переучили 15 сотрудников. Сейчас система работает. Но клиенты жалуются: приложение стало медленнее, иногда ложные ошибки.

Другой пример - международная компания, которая продает SaaS-продукт в России. Они не смогли адаптировать платформу и ушли с рынка. Их клиенты - российские банки - перешли на российские аналоги. Теперь эта компания теряет 40 млн рублей в год.

С другой стороны, российские IT-компании растут. По данным J'son & Partners, рынок облачных услуг вырос на 35% в первом полугодии 2025 года. Это не случайность - это прямой результат новых требований.

Что будет дальше

Это не конец. Это начало. Эксперты предупреждают: локализация персональных данных - это первый шаг к цифровому суверенитету. В ближайшие годы могут появиться требования:

• К локализации алгоритмов ИИ - если вы используете ИИ для анализа поведения клиентов, он должен работать на российских серверах
• К локализации данных о платежах - уже сейчас банки не могут передавать данные о транзакциях за границу без разрешения ЦБ
• К локализации логов доступа - IP-адреса, время входа, устройства

Роскомнадзор планирует увеличить количество проверок на 40% в 2025-2026 годах. Судебная практика только формируется - но уже 12 из 17 дел завершились в пользу регулятора. Нет смысла надеяться на лазейки. Их больше нет.

Как не попасть под штраф

Вот что нужно сделать прямо сейчас:

• Проведите аудит всех систем сбора данных - не откладывайте
• Замените или модифицируйте все формы, API, интеграции, которые передают данные россиян за рубеж
• Обновите договоры с обработчиками - в них должны быть прописаны требования локализации
• Обучите сотрудников: даже если вы просто копируете email из формы в Excel - это уже обработка
• Зарегистрируйте свою базу данных в Роскомнадзоре - если вы еще этого не сделали

Если вы не делаете ничего - штраф придет. Не через год. Не через полгода. Через несколько недель после следующей проверки. И он будет не 100 тысяч, а 10 миллионов рублей. Или больше.