Рациональный подход к выполнению требования о локализации баз с персональными данными в РФ

Актуальность материала: 07.01.2026

Презентация "Рациональный подход к выполнению требования о локализации баз с персональными данными в РФ":
🔸Мировой опыт: ранжирование типов локализации по степени ограничения свободы оборота данных
🔸Локализация данных в РФ
🔸Эволюция требования о локализации баз с данными граждан РФ
🔸Комментарии к изменениям в требованиях о локализации
🔸Интерпретация Роскомнадзором уточненных требований о локализации
🔸Варианты интерпретации уточненных требований о локализации
🔸Компромиссная интерпретация уточненных требований о локализации
🔸Общие выводы по уточненным требованиям о локализации
🔸Ретроспектива правоприменительной практики 2016-2025гг.
🔸Определение БД с ПД
🔸Сбор ПД не как действие, а как единый процесс
🔸Сбор и иные способы получения ПД
🔸Декомпозиция источников ПД – на примере online-обучения
🔸Экспресс-схема определения подлежащих локализации БД
🔸Стратегии реагирования на требование локализации
🔸Сложности выбора стратегии локализации
🔸Походы к оценке стоимости стратегий локализации
🔸Оценка расходов на реализацию стратегий локализации
🔸Риски и последствия несоблюдения требований о локализации
🔸Оценка рисков при реализации стратегий локализации
🔸Формула оценки привлекательности стратегий
🔸Калькулятор оценки стратегий локализации
🔸Пример ранжирования стратегий локализации

🧮 Пример калькулятора расчета привлекательности стратегий локализации

Рациональный подход к выполнению требования о локализации баз с персональными данными в РФ

Рациональный подход к выполнению требования о локализации баз с персональными данными в РФ

# Презентация Локализация баз с персональными данными в РФ - рациональный подход

## Требование локализации баз с ПД в РФ

### Мировой опыт: ранжирование типов локализации

- Локальная репликация данных (Local data mirroring). Необходимо хранить копию данных локально, но передача данных за пределы страны разрешена. В некоторых случаях требуется соблюдение последовательности обработки данных в виде их локального сбора и/или актуализации. - Локальное хранение данных (Explicit local data storage). Данные должны физически находиться в стране их происхождения. В некоторых случаях допускается трансграничный доступ к данным для их обработки, но с условием локализации результатов обработки данных в стране их происхождения. - Вынужденное локальное хранение и обработка данных (De facto local storage and processing). Локальное хранение данных является вынужденным из-за строгих требований к трансграничной передаче (например, необходимость получения предварительного одобрения на передачу) и правовой неопределённости в отношении передачи данных, что в сочетании со значительными штрафами и произвольной надзорной практикой создаёт неприемлемый регуляторный риск. - Локальное хранение и обработка данных (Explicit local data storage and processing). Государство явно запрещает трансграничную передачу данных. - Дискриминационное локальное хранение и обработка данных (Discriminatory local storage and data processing). Государство применяет дискриминационные лицензирование, сертификацию и другие нормативные ограничения, требующие локального хранения данных и полностью исключающие иностранные организации из процессов локального управления и обработки данных.

### Локализация данных в РФ

Норма о локализации Содержание нормы
149-ФЗ ст.16 ч.4 п.7 Обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязаны обеспечить нахождение на территории РФ баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ.
152-ФЗ ст.18 ч.5 При сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных за пределами территории РФ не допускаются.
236-ФЗ ст.10 ч.4, ст.16 В случае неисполнения иностранным лицом, осуществляющим деятельность в сети «Интернет» на территории РФ, предусмотренной законодательством РФ в области ПД обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПД граждан РФ с использованием БД, находящихся на территории РФ, в отношении указанного иностранного лица могут применяться меры по запрету на сбор и трансграничную передачу ПД.
126-ФЗ ст.64 ч.1 Операторы связи обязаны хранить на территории РФ текстовые сообщения, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети «Интернет» и пользователей услугами связи — до 6 месяцев, а информацию о фактах приема, передачи, доставки и (или) обработки вышеуказанных данных — до 3 лет.
149-ФЗ ст.10.1 ч.3 Организаторы распространения информации в сети «Интернет» обязаны хранить на территории РФ текстовые сообщения, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети «Интернет» до 6 месяцев, а информацию о фактах приема, передачи, доставки и (или) обработки вышеуказанных данных — до 1 года.
87-ФЗ ст.4 п.6 ПП-1317 от 29.08.2025 Экспедитор обязан хранить на территории РФ информацию о заключённых договорах транспортной экспедиции, сторонах этих договоров, лицах, привлекаемых к выполнению этих договоров, свойствах грузов, фактах приёма, обработки, погрузки, хранения, разгрузки, передачи, выдачи грузов, маршрутах следования, видах транспорта, осуществляющего их перевозку, иную информацию, размещаемую в информационных системах, используемых при оказании экспедиционных услуг, в течение 3 лет после окончания исполнения договоров.
Закон 4015-1 ст.29.1 п.5 Технические средства страховщика, используемые для хранения баз данных, должны размещаться на территории РФ.
580-ФЗ ст.14 ч.3 п.3 Технические средства службы заказа легкового такси, которые используются для получения, хранения, обработки и передачи заказов легкового такси, базы данных должны размещаться на территории РФ.
381-ФЗ ст.12¹ п.п. 2–3 Организатор исследований товарных рынков обязан осуществлять запись, систематизацию, накопление, хранение, анализ, извлечение информации, полученной в результате проведённых исследований, с использованием баз данных, находящихся на территории РФ, а также размещать на территории РФ технические средства, используемые для исследований товарных рынков.
ПП РФ №1393 п.9 пп. «г» Правообладатель автоматизированной информационной системы оформления воздушных перевозок должен иметь собственную инфраструктуру обеспечения полного жизненного цикла автоматизированной системы, находящуюся на территории РФ и под её юрисдикцией.
ФСБУ 27/2021 п.25 Экономический субъект должен хранить документы бухгалтерского учёта, а также данные, содержащиеся в таких документах, и размещать базы указанных данных на территории РФ. Если в месте ведения деятельности за пределами РФ есть требование хранения документов бухгалтерского учёта на территории данной страны, то это хранение должно быть обеспечено.
Приказ ФСТЭК №239 п.31 Входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории РФ (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством РФ и (или) международными договорами РФ).

### Эволюция требования о локализации баз с ПД граждан РФ

- [2015.09.01] Добавление ч.5 ст.18 152-ФЗ «О персональных данных»: 

> При сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в п.п.2, 3, 4, 8 ч.1 ст.6 152-ФЗ.

- [2022.09.01] Дополнение в ст.6 152-ФЗ «О персональных данных»: 

> В поручении должна быть установлена обязанность обработчика соблюдать требования, предусмотренные ч.5 ст.18 [ч.3 ст.6 152-ФЗ], а иностранные лица, являющиеся обработчиками для операторов в РФ, несут ответственность перед субъектами ПД в РФ наравне с российскими операторами [ч.6 ст.6 152-ФЗ].

- [2025.07.01] Уточнение ч.5 ст.18 152-ФЗ «О персональных данных»: 

> При сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 [152-ФЗ «О персональных данных»].

## Комментарии к локализации 2.0

- 🔸 Вице-премьер Правительства РФ Дмитрий Григоренко: требования к обработке ПД россиян стали строже: с 1 июля их запрещено накапливать, хранить, обновлять в любых базах за пределами РФ. Поправки уточняют обязанности операторов… осуществлять обработку ПД граждан РФ с использованием различных БД исключительно на территории РФ. Прежнее регулирование позволяло операторам связи осуществлять хранение и обработку таких данных в том числе за пределами России, что не позволяло обеспечить надёжную защиту ПД и создавало предпосылки к их утечке.

- 🔸 Заместитель председателя Совета по развитию цифровой экономики при Совете Федерации РФ, сенатор Артём Шейкин: теперь за рубежом не должно быть даже копий баз с ПД россиян. Те компании, которые вели запись, систематизацию, накопление, хранение данных в зарубежных БД, должны использовать инфраструктуру, расположенную в РФ.

- 🔸 Глава комитета Совфеда по обороне и безопасности Владимир Булавин: ПД граждан РФ должны обрабатываться с использованием БД, расположенных исключительно на территории РФ, без возможности их дублирования за рубежом, как это допускалось ранее. Это действительно более строгий подход к тому, где и как данные могут находиться в процессе их обработки. Это не абсолютный запрет на любую трансграничную передачу ПД, а уточнение правил их первичной обработки и хранения. Это не исключает возможности передачи ПД за рубеж после их локализации в России, если это соответствует другим нормам законодательства.

- 🔸 Член комитета Госдумы по инфополитике, ИТ и связи Антон Немкин: Это ужесточение законодательства — не просто техническая мера, а элемент стратегии цифрового суверенитета. Существует и вероятность того, что какие-то зарубежные сервисы станут менее доступными для жителей РФ, — но только в том случае, если они откажутся адаптироваться под требования закона… В этом случае у них есть выбор: либо они локализуют инфраструктуру в России, либо покидают рынок.

## Интерпретация Роскомнадзором локализации 2.0

💡 Вопросы, адресованные Роскомнадзору в контексте новой [с 01.07.2025] редакции требований о локализации баз с ПД граждан РФ [23-ФЗ от 28.02.2025]:

- 🔸 В какой момент оператор может считать сбор ПД завершённым? - 🔸 Какая из двух нижеперечисленных позиций в отношении новой редакции ч.5 ст.18 является корректной: 

1. новая редакция уточняет действующие до её принятия требования о локализации ПД при сборе и не запрещает последующую трансграничную передачу ПД в соответствии со статьёй 12 152-ФЗ;
2. новая редакция вводит новый запрет на использование иностранных баз ПД, как при сборе, так и после его завершения и локализации ПД в базах данных на территории РФ.

🏛️ Роскомнадзор [субстантивная часть ответа]: Ограничения на осуществление трансграничной передачи ПД, ранее собранных с использованием баз данных, находящихся на территории РФ, в случаях, установленных ч.1 ст.6 152-ФЗ, указанной нормой [ч.5 ст.18 152-ФЗ] не устанавливаются.

## Варианты интерпретации локализации 2.0

- 🔸 Обязанность обеспечивать выполнение требования локализации баз с ПД граждан РФ вменена не только оператору, но любым лицам, участвующим в формировании/наполнении указанных баз. Данная новелла, в целом, соответствует логике произошедших в 2022 г. изменений в законодательстве о ПД (см. 266-ФЗ от 14.07.2022), согласно которым в поручении устанавливается обязанность обработчика соблюдать требования по локализации [ч.3 ст.6 152-ФЗ], а иностранные обработчики несут ответственность перед субъектами ПД в РФ наравне с российскими операторами [ч.6 ст.6 152-ФЗ].

- 🔸 Осуществление локализации баз с собранными ПД граждан РФ превращается из позитивной обязанности, позволяющей размещать такие БД за рубежом после первичной локализации ранее собранных ПД, в императивный запрет размещать вне РФ базы с собранными ПД граждан РФ. В контексте принятой в 2022 г. нормы об экстерриториальности применения законодательства РФ в отношении обработки ПД иностранными лицами [ч.1.1 ст.1 152-ФЗ], а также сложившейся в 2022–2025 гг. правоприменительной практики, можно предположить нацеленность уточнённой редакции ч.5 ст.18 152-ФЗ, в первую очередь, на иностранные компании и сервисы, осуществляющие сбор ПД на территории РФ с самостоятельными целями или по поручению российских операторов.

- 🔸 Тем не менее, в отсутствие разъяснений уполномоченных органов и релевантной правоприменительной практики, рекомендуется применять риск-ориентированный подход и рассматривать разные варианты интерпретации уточнённых требований о локализации в каждом отдельно взятом случае:

Вариант Описание
[Джага-джага] Базы с ПД размещаются только в РФ — с возможностью дальнейшей трансграничной передачи
[Акуна матата] Базы с собранными ПД размещаются только в РФ, а за рубежом можно размещать базы со сгенерированными ПД
[Полундра] Базы с ПД размещаются только в РФ — без возможности дальнейшей трансграничной передачи
[Нас не догонят] Базы с собранными ПД для «первичной» цели размещаются в РФ — с возможностью дальнейшего размещения таких баз за рубежом для «вторичной» цели

*(Варианты упорядочены по возрастанию регуляторного риска.)*

## Компромиссная интерпретация локализации 2.0

Операции с ПД по ч.5 ст.18 152-ФЗ до 01.07.2025 с 01.07.2025
Трансграничная передача ПД. Ст.12 и ч.5 ст.18 152-ФЗ прямо не предусматривают ограничений на осуществление трансграничной передачи ПД, собранных в РФ. ✔️ ✔️
Сбор/обновление собранных ПД в ЗБД. [ЗБД]: зарубежные базы данных, прямо или косвенно (поручение) контролируемые российскими операторами или обработчиками. [Собранные ПД]: получены от субъектов или их представителей; взяты из общедоступных или открытых источников; зафиксированы путём отслеживания поведения субъектов. ✔️
Хранение собранных ПД в ЗБД после локализации в РФ ✔️
Генерация ПД и их последующее хранение в ЗБД. [Сгенерированные ПД]: получены не от субъектов или их представителей, а от других лиц; образованы путём совершения действий в отношении субъектов; временно или постоянно присвоены субъектам; синтезированы после простого анализа других данных; спрогнозированы после продвинутого анализа наборов данных. ✔️ ⁉️

## Общие выводы по требованиям локализации 2.0

- 01. Основная концепция локализации БПД в РФ при сборе ПД не затронута, явных предпосылок к запрету последующей трансграничной передачи ПД не наблюдается. - 02. Аргументированное и доказуемое определение момента завершения сбора ПД и соответствующее окончание применимости требования ч.5 ст.18 152-ФЗ является критичным. - 03. Желательно не размещать копии собранных на территории РФ ПД в контролируемых зарубежных БД и не признавать использование таких БД в обработке собранных ПД.

## Переход от локализации 2.0 к приземлению обработки ПД

- 🔸 До конца 2025 года Минцифры и ФСТЭК должны определить условия перехода операторов ПД на использование российского программного обеспечения. Об этом говорится в перечне поручений председателя правительства РФ Михаила Мишустина по итогам конференции ЦИПР. - 🔸 Минцифры предлагает установить запрет на использование иностранных корпоративных облачных сервисов и программного обеспечения (ПО) в информационных системах обработки ПД с 01.09.2027. - 🔸 Запрет не коснётся малых и средних предприятий, индивидуальных предпринимателей (ИП) и физических лиц. Полной блокировки доступа к иностранному ПО предложением Минцифры также не предусмотрено. - 🔸 Минцифры предлагает ввести поэтапный запрет на использование для каждой категории и класса таких решений и сервисов с учётом зрелости и конкурентоспособности имеющихся для них российских аналогов, а соответствующие законопроекты разработать совместно с Минпромторгом и другими ведомствами к 01.05.2026. - 🔸 В Минпромторге согласны с подходом о необходимости поэтапного введения ограничений на использование иностранного ПО в работе государственных органов и объектов критической информационной инфраструктуры (КИИ). Сейчас в России действует запрет на использование иностранных облачных сервисов только для госструктур.

## Ретроспектива правоприменительной практики 2016–2025 гг.

### [2016] Блокировка LinkedIn

*(Источники: interfax.ru/russia/537383, interfax.ru/russia/552637)*

### [2018] Блокировка сайта «Умное голосование»

Роскомнадзором подано исковое заявление о несоответствии «Умное голосование» (2019.vote) требованиям законодательства РФ о персональных данных, которое 19.12.2018 полностью удовлетворено Таганским районным судом.

Серверы, содержащие ПД пользователей сайта, находятся в компании Cloudflare, Inc., расположенной на территории США. Суд установил, что были нарушены требования о локализации баз с ПД граждан РФ, то есть об осуществлении сбора и хранения данных граждан РФ с использованием отечественных баз данных (ч.5 ст.18 152-ФЗ «О персональных данных»).

Кроме того, суд постановил, что использование на сайте сервисов Google Analytics и «Яндекс.Метрика», осуществляющих обработку данных пользователей в целях мониторинга активности аудитории сайта, также осуществляется с нарушением требований о локализации баз с ПД, так как:

- использование таких сервисов является действиями по сбору и дальнейшей обработке ПД пользователей сайта; - серверы Google Analytics и «Яндекс.Метрика» находятся в США.

Суд города Москвы (в качестве апелляционной инстанции) 26.02.2019 оставил решение Таганского районного суда без изменения.

*(Источники: mos-gorsud.ru/rs/taganskij/, zakon.ru/blog/2019/1/21/)*

### [2018] Штраф ₽50 тыс. на должностное лицо

Ст.2.4 КоАП РФ — Административная ответственность должностных лиц (требует выполнения «распорядительных» или «административно-хозяйственных» функций).

Ст.13.11 КоАП РФ — Наложение административного штрафа на должностных лиц.

В соответствии с трудовым договором от 27.08.2018 года и в силу положений должностной инструкции (п.4.14) директор Центра немецкого языка — Партнёра Гёте-Института ФГБОУ ВО «ВГСПУ» осуществляет внесение достоверных данных в Управление Роскомнадзора по Волгоградской области и республике Калмыкия. Следовательно, директор является должностным лицом в понимании ст.2.4 КоАП РФ и субъектом административной ответственности. Директор совершила административное правонарушение, предусмотренное ч.8 ст.13.11 КоАП, что подтверждается протоколом об административном правонарушении от 23.09.2020 №АП-34/4/1443. Суд учёл в качестве смягчающих обстоятельств привлечение к административной ответственности за аналогичное правонарушение впервые, раскаяние лица, совершившего административное правонарушение (п.2.2 ст.4.1 КоАП), и назначил административное наказание в виде штрафа в размере ₽50 тыс.

*(Источник: 122.vol.msudrf.ru)*

### [2020] Штраф ₽8 млн на Facebook и Twitter

*(Источник: interfax.ru/russia/695235)*

### [2021] Запрос Роскомнадзором у компаний адресов их серверов

*(Источник: rbc.ru/technology_and_media/28/06/2021/60d6d5cb9a7947e0a57257a2)*

### [2021] Штраф ₽39 млн на Google, Facebook, WhatsApp и Twitter

*(Источники: rkn.gov.ru/news/rsoc/news73828.htm, ria.ru/20210729/shtraf-1743407555.html)*

Судебные решения: - Twitter — mos-sud.ru/422/cases/admin/details/ddcd0952-9148-4634-bcb8-66ab6711e695 - Facebook — mos-sud.ru/422/cases/admin/details/b5c90582-1178-404a-af3f-3769e86776ee - WhatsApp — mos-sud.ru/422/cases/admin/details/5d207d73-efde-4d21-b524-cd18e751687a - Google — mos-sud.ru/422/cases/admin/details/e39a8ecc-69c6-4491-995d-1baf6ac10189

Meta, Google и WhatsApp выплатили штрафы на сумму 22 млн ₽ — tass.ru/ekonomika/13407501

### [2022] ₽53,5 млн штрафов

- 🔸 MyHeritage — 1,5 М ₽ (ч.8) - 🔸 Likee — 1,5 М ₽ (ч.8) - 🔸 Pinterest — 2 М ₽ (ч.8) - 🔸 Twitch — 2 М ₽ (ч.8) - 🔸 Airbnb — 2 М ₽ (ч.8) - 🔸 UPS — 1 М ₽ (ч.8) - 🔸 Zoom — 1 М ₽ (ч.8) - 🔸 Ookla — 1 М ₽ (ч.8) - 🔸 Apple — 2 М ₽ (ч.8) - 🔸 Google — 15 М ₽ (ч.9) - 🔸 WhatsApp — 18 М ₽ (ч.9) - 🔸 Match Group (Tinder) — 2 М ₽ (ч.8) - 🔸 Snapchat — 2 М ₽ (ч.8) - 🔸 Spotify — 0,5 М ₽ (ч.8) - 🔸 Hotels.com — 1 М ₽ (ч.8) - 🔸 Freelancer.com — 0,5 М ₽ (ч.8) - 🔸 АНО «Еврейское Агентство «Сохнут» — 0,5 М ₽ (ч.8)

### [2022] Претензии к представительству Еврейского агентства «Сохнут»

- 🔸 Басманный суд Москвы рассматривает дело о претензиях Минюста РФ к представительству Еврейского агентства «Сохнут» в РФ. - 🔸 Основные претензии к АНО «Сохнут» касаются проблемы неправильно собранных ПД россиян и методов их хранения. - 🔸 В случае невыполнения требований российского законодательства организации может грозить ликвидация.

*(Источник: kommersant.ru/doc/5482414)*

### [2022–2023] Выводы из судебных решений по сервису Speedtest.net

Инсайты решения мирового судьи Таганского района города Москвы (оставлено в силе апелляционной инстанцией от 06.10.2022 и кассационной инстанцией от 26.12.2022) от 14.07.2022 о привлечении компании Ookla LLC к административной ответственности (штраф 1 М ₽) за нелокализацию баз с ПД граждан РФ (ч.8 ст.13.11 КоАП РФ) в рамках сервиса «Speedtest»:

- 🔸 хотя сервис прямо не направлен на российскую аудиторию (отсутствуют русскоязычная версия пользовательского интерфейса, Политика конфиденциальности на русском языке, возможность осуществления расчётов в российской валюте и доставки каких-либо товаров на территории РФ), но на сайте speedtest.net отсутствуют какие-либо ограничения для прохождения процедуры регистрации российских пользователей, поэтому суд посчитал применимыми требования о локализации; 

💡 **Вывод:** иностранным интернет-ресурсам нужно использовать дополнительные организационные и/или технические меры ограничения доступа российских пользователей на ресурс (требовать у пользователя предварительно указывать гражданство перед предоставлением доступа к ресурсу; ограничивать доступ к ресурсу с российских IP-адресов и т.п.).

- 🔸 требования 248-ФЗ от 31.07.2020 «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» и Постановления Правительства РФ от 10.03.2022 № 336 не применяются в отношении лиц, находящихся за пределами территории РФ; - 🔸 под требование о локализации попадает информация о сетевой активности, идентификаторы устройства, файлы Cookie, которая получается в процессе мониторинга поведения пользователя сервиса «Speedtest»; - 🔸 если для регистрации учётной записи на сайте достаточно лишь предоставления пользователем только адреса электронной почты, который в дальнейшем нельзя будет использовать для повторной регистрации, то такой адрес электронной почты является уникальным идентификатором пользователя и его ПД.

⚖️ В постановлении мирового судьи Таганского района города Москвы от 28.07.2023 по делу №5-1176/23 о привлечении компании Ookla LLC к административной ответственности (штраф 6 М ₽) за повторную нелокализацию (ч.9 ст.13.11 КоАП РФ) указано, что «конкретное нахождение баз данных (в том или ином государстве) доказыванию не подлежит», т.е. именно на операторе лежит бремя доказывания факта нахождения баз с ПД граждан РФ на территории РФ (иначе говоря, добросовестность оператора не презюмируется).

### [2022–2023] Использование иностранных сервисов — риск

*(Источники: 72.rkn.gov.ru/news/news343296.htm, 52.rkn.gov.ru/news/news334710.htm)*

### [2023] ₽130 млн штрафов

- 🔸 Padi Americas Inc. — 1,5 М ₽ (ч.8). Причина: использование ПД россиян при заполнении платёжной формы на сайте агентства. - 🔸 International Training — 1 М ₽ (ч.8). Причина: регистрация пользователей из РФ и использование ими личного кабинета, хотя компания сделала всё возможное, чтобы не собирать ПД россиян, в том числе заблокировала доступ на сайт под российским IP-адресом. - 🔸 SNSI (Scuba and Nirox Safety International) — 2 М ₽ (ч.8) - 🔸 Twitch — 13 М ₽ (ч.9) - 🔸 Match Group (Tinder) — 10 М ₽ (ч.9) - 🔸 Zoom Video Communications Inc. — 15 М ₽ (ч.9) - 🔸 Faceit Limited — 1 М ₽ (ч.8) - 🔸 Ookla — 6 М ₽ (ч.9) - 🔸 Molchanovs Pte Ltd. — 0,5 М ₽ (ч.8) - 🔸 MyHeritage — 6 М ₽ (ч.9) - 🔸 Airbnb — 6 М ₽ (ч.9) - 🔸 Spotify — 6 М ₽ (ч.9) - 🔸 United Parcel Service (UPS) — 3 М ₽ (ч.9) - 🔸 Coinbase Ireland Limited — 1 М ₽ (ч.9) - 🔸 Google — 15 М ₽ (ч.9) - 🔸 Proxima Beta (издатель видеоигры PUBG Mobile) — 1 М ₽ (ч.8) - 🔸 Freelancer.com — 3 М ₽ (ч.9) - 🔸 Apple Inc. — 12 М ₽ (ч.9) - 🔸 Pinterest Inc. — 12 М ₽ (ч.9) - 🔸 Snap Inc. (Snapchat) — 9 М ₽ (ч.9) - 🔸 Hotels.com, LP — 6 М ₽ (ч.9) - 🔸 Agoda Company Pte. (дочерняя структура Booking Holdings) — предупреждение (ч.8). Причина: Agoda заявила, что после введения санкций в 2022 г. и отключения РФ от системы SWIFT зарубежные компании отказываются предоставлять соответствующие услуги, а российские поставщики услуг, которые могли бы предоставить серверы для локализации, не могут принять от компании оплату из-за санкций и связанных с этим сложностей.

### [2024–2025] ₽102 млн штрафов

- 🔸 Badoo Trading Limited — 1 М ₽ (ч.8) - 🔸 Open Culture LLC — 2 М ₽ (ч.8) - 🔸 Discord Inc — 2 М ₽ (ч.8) - 🔸 Coursera Inc — 2 М ₽ (ч.8) - 🔸 Spotify AB — 10 М ₽ (ч.9) - 🔸 Bad Kitty's Dad, LDA (Ome.TV) — 2 М ₽ (ч.8) - 🔸 Match Group LLC (Tinder) — 10 М ₽ (ч.9) - 🔸 WhatsApp LLC — 17 М ₽ (ч.9) - 🔸 Hotels.com, LP — 5 М ₽ (ч.9) - 🔸 Twitch Interactive Inc — 13 М ₽ (ч.9) - 🔸 Snap Inc (Snapchat) — 10 М ₽ (ч.9) - 🔸 Pinterest Inc — 12 М ₽ (ч.9) - 🔸 Zoom Video Communications Inc — 15 М ₽ (ч.9) - 🔸 Telegram Messenger Inc — 2 М ₽ (ч.8)

### [2026] ₽17 млн штрафов

- 🔸 Domains By Proxy LLC — 1 М ₽ (ч.8) - 🔸 Bad Kitty's Dad, LDA (Ome.TV) — 6 М ₽ (ч.9) - 🔸 Realtimeboard Inc. dba Miro — 2 М ₽ (ч.8) - 🔸 NIC.UA LLC — 6 М ₽ (ч.9) - 🔸 Realtimeboard Limited — 2 М ₽ (ч.8)

## Определение баз данных, подлежащих локализации

### Определение БД с ПД

- 🔸 При определении понятия «база данных» (БД) следует учитывать, что в законодательстве и правоприменительной практике существует несколько понятий БД, например:

  1. представленная в объективной форме совокупность самостоятельных материалов (статей, расчётов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ) [ст.1260 ГК РФ];
  2. совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь [п.2.1 ГОСТ 34.321-96];
  3. упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных), например, таблица в формате Excel, в которой содержатся ПД [комментарий Роскомнадзора от 09.11.2016].

💡 Согласно п.10 ст.3 152-ФЗ, информационная система ПД (ИСПД) — совокупность содержащихся в БД ПД и обеспечивающих их обработку информационных технологий и технических средств. Иначе говоря, БД является неотъемлемым элементом ИСПД.

⚠️ При определении упорядоченного массива данных, содержащего ПД, в качестве БД дополнительным квалифицирующим признаком является возможность формального определения БД в качестве составного элемента ИСПД в РФ.

### Сбор ПД не как действие, а как единый процесс

- 🔸 Согласно комментарию Роскомнадзора от 09.11.2016:

  1. первичное формирование БД с собранными ПД на бумажных носителях с последующим их внесением в БД ИСПД, используемую в целях, аналогичных сбору ПД на бумажных носителях, следует рассматривать как единый процесс;
  2. разделение указанного единого процесса на отдельные действия законодательством РФ в области ПД не предусмотрено, и отдельные виды обработки ПД, предусмотренные ч.5 ст.18 152-ФЗ, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить ПД на территории РФ.

💡 Интерпретация комментария Роскомнадзора: определение момента завершения сбора ПД и окончания применимости требования ч.5 ст.18 152-ФЗ является не самой тривиальной задачей в силу сложности и комплексности некоторых процессов обработки ПД, т.е. необходимо досконально изучать всю цепочку целенаправленных операций с ПД как «единого процесса» обработки ПД и быть готовым аргументированно и доказуемо обосновать момент («точку») завершения сбора ПД.

⚠️ В качестве аргументируемой и доказуемой «точки» завершения сбора ПД представляется целесообразным обозначать расположенную на территории РФ БД, формально являющуюся составным элементом ИСПД в РФ.

### Сбор и иные способы получения ПД

Сбор ПД (требования локализации применимы)

Тип данных Описание Пример
Предоставленные данные¹ Получены от субъектов или их представителей Заполнение веб-форм на сайте, предоставление резюме
Наблюдаемые данные³ Зафиксированы путём отслеживания поведения субъектов Онлайн-трекинг, геолокация, видеонаблюдение
Распространённые данные² Взяты из общедоступных или открытых источников Исследование учётных записей в социальных сетях

Генерирование ПД (требования локализации не применимы)

Тип данных Описание Пример
Принятые данные⁴ Получены не от субъектов или их представителей, а от других лиц Рекомендация от бывшего работодателя соискателя
Предполагаемые данные⁵ Спрогнозированы после продвинутого анализа наборов данных Расчёт кредитного рейтинга или прогнозирование состояния здоровья
Инициированные данные⁵ Образованы путём взаимодействия или совершения действий в отношении субъектов Заключение трудового договора, предъявление иска о выплате алиментов
Производные данные⁵ Синтезированы после простого анализа других данных Расчёт прибыльности клиента по количеству посещений и купленных товаров
Назначенные данные⁵ Временно или постоянно присвоены субъектам Номер социального страхования, наименование должности

### Декомпозиция источников ПД — на примере online-обучения

Действие Тип данных Требования локализации
Заполнение веб-формы регистрации Предоставленные данные Необходимо соблюдать требования о локализации — Сбор ПД
Отслеживание посещаемости занятий Наблюдаемые данные Необходимо соблюдать требования о локализации — Сбор ПД
Расчёт результатов тестирования Производные данные Требования о локализации неприменимы — Отсутствие сбора ПД
Получение сертификата об обучении Назначенные данные Требования о локализации неприменимы — Отсутствие сбора ПД

### Экспресс-схема определения подлежащих локализации БД

Алгоритм определения:

1. БД содержит ПД граждан РФ или направлена на РФ?

  1. ❌ Нет → Локализация БД с ПД не требуется
  2. ✔️ Да → продолжить

2. ПД вносятся в БД путём получения от субъектов или их представителей?

  1. ✔️ Да → продолжить
  2. ❌ Нет → проверить следующее условие

3. ПД вносятся в БД из общедоступных или открытых источников ПД?

  1. ✔️ Да → продолжить
  2. ❌ Нет → проверить следующее условие

4. ПД вносятся в БД путём мониторинга поведения субъектов?

  1. ✔️ Да → продолжить
  2. ❌ Нет → проверить следующее условие

5. Источником ПД в БД являются только другие БД?

  1. ✔️ Да → Локализация БД с ПД не требуется
  2. ❌ Нет → продолжить

6. БД с ПД размещена на территории РФ?

  1. ✔️ Да → Локализация БД с ПД не требуется
  2. ❌ Нет → продолжить

7. Собранные ПД обновляются или изменяются напрямую в БД?

  1. ❌ Нет → продолжить
  2. ✔️ Да → продолжить

8. Обработка ПД в БД подпадает под исключение⁸?

  1. ✔️ Да → Локализация БД с ПД не требуется
  2. ❌ Нет → Локализация БД с ПД требуется

## Стратегии локализации: оценка и выбор

### Стратегии реагирования на требование локализации

1. Перенос системы целиком в РФ 2. Отказ от автоматизированной обработки ПД 3. Отделение БД от иностранных серверов приложений и перенос БД в РФ 4. Создание в РФ промежуточной БД для сбора, хранения, актуализации и трансграничной передачи ПД 5. Квалификация системы как не имеющей БД для сбора ПД и используемой как сервис коммуникации/передачи ПД 6. Передача статуса оператора ПД иностранному лицу, формально не представленному в РФ 7. Обезличивание или шифрование ПД при сборе в зарубежную БД 8. Одновременный параллельный сбор ПД в российскую и зарубежную БД 9. Сбор ПД в зарубежную БД с последующей репликацией ПД в российскую БД 10. Отказ от модификации системы и связанных с ней потоков ПД в зарубежных БД

### Сложности выбора стратегии

Стратегия 1. Перенос системы в РФ Стратегия 10. Оставить всё как есть
Расходы Максимальные Минимальные
Риски Минимальные Максимальные

### Подходы к оценке стоимости стратегий

Количественный [пример]

Стратегия Расходы Риски
[1] Перенос системы 2 037 000 0
[2] Переход на бумагу 1 320 000 326 000
[3] Перенос БД в РФ 683 000 489 000
[4] Создание БД сбора 841 000 793 000
[5] Система как сервис без БД 640 000 912 000
[6] Передача статуса оператора 50 000 1 693 000
[7] Обезличивание/шифрование 904 000 2 458 000
[8] Параллельный сбор ПД 287 000 4 437 000
[9] Репликация БД в РФ 138 900 5 580 000
[10] Оставить как есть 0 6 470 000

Качественный [пример]

Стоимость внедрения \ Стоимость эксплуатации None Low Medium High Very high n/a
None None Low Low Medium High n/a
Low Low Low Medium Medium High n/a
Medium Low Low Medium High High n/a
High Medium Medium Medium High Very high n/a
Very high Medium High High High Very high n/a
n/a n/a n/a n/a n/a n/a n/a

### Оценка расходов на реализацию стратегий

Расходы на реализацию стратегии включают в себя трудозатраты, связанные с модификацией процесса обработки ПД и с его приведением в соответствие с требованиями законодательства о ПД.

### Риски и последствия несоблюдения требований о локализации

Риски — последствия Описание
Юридические риски — материальные потери Штраф за невыполнение требований о локализации [КоАП ст.13.11 ч.8–9] ЮЛ: 1–6 М ₽ (рецидив — 6–18 М ₽); ДЛ: 100–200 К ₽ (рецидив — 500–800 К ₽). Штраф за неисполнение иностранным лицом, ведущим деятельность в сети «Интернет» на территории РФ, запрета Роскомнадзора на сбор ПД граждан РФ [КоАП ст.19.5.2] ЮЛ: 1,5–6 М ₽ (рецидив — 6–18 М ₽); ДЛ: 100–500 К ₽ (рецидив — 500 К–1 М ₽). Штраф до 100 тыс. ₽ или приостановление деятельности до 90 суток при невыполнении требований прокурора в ходе прокурорского надзора. Иски (включая коллективные)⁶ о компенсации ущерба (обычно до 30 тыс. ₽ на истца) физическим лицам. Договорные санкции, которые могут быть предусмотрены соглашениями с контрагентами.
Практические и организационные риски — практический ущерб Предписание надзорного органа о временной приостановке или о постоянном запрете сбора и дальнейшей обработки ПД, что может означать невозможность достижения поставленной цели обработки ПД [см. п.4 ч.3 ст.23 152-ФЗ и п.6 ст.9, ч.4 ст.10, ст.16 236-ФЗ от 01.07.2021]. Предписание надзорного органа о модификации (изменении алгоритма) процесса обработки ПД в сжатые сроки [обычно до 6 месяцев].
Репутационные риски — репутационный вред Утрата лояльности клиентов и партнёров, недоверие потенциальных контрагентов и инвесторов, негативный образ компании в СМИ, ухудшение деловой репутации компании и её должностных лиц, атаки privacy-экстремистов.

### Формула оценки привлекательности стратегий

Оценка стратегии = TCO + Совокупный риск

где:

- Ci — однократные расходы при реализации стратегии i (CapEx); - Oi — периодические расходы при реализации стратегии i (OpEx); - Tlc — ожидаемый период жизненного цикла реализации стратегии; - Pdet,i — вероятность обнаружения БД надзорным органом при реализации стратегии i; - PV,i — вероятность выявления нарушений в обнаруженной БД по результатам проверки при реализации стратегии i; - PC,i — вероятность подтверждения нарушений в обнаруженной БД судом при реализации стратегии i; - М — мультипликатор влияния на бизнес, в т.ч. учитывающий практический ущерб (Urgency factor); - S1 — расходы на реализацию Стратегии 1, включая периодические за период жизненного цикла; - PM,i — вероятность публикации информации о нарушении при реализации стратегии i; - D — совокупность возможных материальных потерь и репутационного вреда для оператора (System risk size).

### Калькулятор оценки стратегий локализации

Пример оценки стратегий локализации для отдельно взятой системы

Стратегии Перенос системы Переход на бумагу Перенос БД в РФ Создание БД сбора Система как сервис без БД Передача статуса оператора Обезличивание или шифрование Параллельный сбор ПД Репликация БД в РФ Оставить как есть
Внедрение High Low Medium High Low n/a Low None None None
Поддержка Low High Very High Medium Low Medium n/a None Low None
TCO (10 лет) Medium Medium High Medium Low n/a n/a None Low None
Совокупный риск None Low Medium Medium Very High Low Low Very High n/a n/a
Привлекательность стратегии 1 5 6 4 2 7 8 3 9 10

Шкала оценок

Качественная Количественная
None 0
Low 10
Medium 30
High 50
Very High 100
n/a 1000

### Пример ранжирования стратегий

Наименование ИСПД Перенос системы Оставить как есть Переход на бумагу Обезличивание или шифрование Передача статуса оператора Перенос БД в РФ Создание БД сбора Репликация БД в РФ
ИСПД #1 1 4 7 6 8 2 5 3
ИСПД #2 1 6 7 5 8 2 4 3
ИСПД #3 1 4 7 8 6 2 5 3
ИСПД #4 2 8 3 4 6 5 1 7
ИСПД #5 3 8 1 4 6 5 2 7
ИСПД #6 3 8 4 7 5 2 1 6
ИСПД #7 2 8 3 7 6 5 1 4
ИСПД #8 4 8 5 7 6 2 1 3
ИСПД #9 1 4 7 6 8 2 5 3
ИСПД #10 1 4 7 6 8 2 5 3
ИСПД #11 2 8 3 7 6 5 1 4
ИСПД #12 2 8 3 7 6 5 1 4
ИСПД #13 1 4 7 6 8 2 5 3
ИСПД #14 3 5 6 8 7 4 1 2
ИСПД #15 4 6 5 8 7 2 1 3
ИСПД #16 4 6 5 8 7 2 1 3
ИСПД #17 3 8 4 5 7 6 1 2
ИСПД #18 3 8 4 5 7 6 1 2
ИСПД #19 4 8 5 6 7 2 1 3
ИСПД #20 2 8 3 4 6 5 1 7
ИСПД #21 3 8 4 5 2 1 6 7
ИСПД #22 1 2 3 4 7 6 6 8
ИСПД #23 1 3 2 4 7 6 6 8
ИСПД #24 2 4 5 1 8 7 7 3
ИСПД #25 2 4 5 6 1 8 8 3
ИСПД #26 3 8 1 4 6 2 5 7
ИСПД #27 2 8 1 3 6 5 5 7
ИСПД #28 2 8 3 4 6 5 1 7

## Примечания

¹ Сбор ПД означает, что оператор или специально привлечённое оператором для этого третье лицо должен их получать непосредственно у первоисточника, то есть у субъекта ПД или его представителя [комментарий Роскомнадзора].

² На сбор общедоступных ПД требования ч.5 ст.18 152-ФЗ распространяются в полном объёме [комментарий Роскомнадзора].

³ Решение Таганского районного суда от 2018 г. по делу сайта «Умное голосование» в отношении использования сервисов Google Analytics и «Яндекс.Метрика», а также решение мирового судьи Таганского района по делу сервиса Speedtest.net в отношении сведений о сетевой активности, cookies, идентификаторов устройства.

⁴ За исключением случаев, когда оператор получает ПД от третьего лица, специально привлечённого оператором для сбора ПД [разъяснения Минкомсвязи от 2015 г.].

⁵ Данные виды сведений можно квалифицировать как созданные путём использования имеющихся в наличии персональных данных, т.к. под «использованием ПД» можно понимать действия с ПД, не относящиеся к иным формам обработки данных [разъяснения Минкомсвязи от 2015 г.].

⁶ С 01.10.2019 г. начала действовать новая гл. 22.3 ГПК РФ, закрепляющая возможность подачи в суд коллективных (или групповых) исков по гражданским делам и порядок рассмотрения таких дел судами общей юрисдикции (№ 191-ФЗ от 18.07.2019 г.). При этом возможность подачи коллективных исков в арбитражные суды была закреплена в гл. 28.2 АПК ещё в 2009 году (№ 205-ФЗ от 19.07.2009 г.). Когда судиться предстоит «разновесным» сторонам (гражданам против крупной компании в связи с нарушениями экологического законодательства, утечкой ПД и др.) — массовость требований, как показывает опыт стран, где коллективные иски активно используются, влечёт за собой широкий общественный резонанс, а это повышает репутационные риски компании-ответчика.

⁷ Направленность БД сайта или мобильного приложения на территорию РФ ранее определялась, в том числе: адресом сайта в российской доменной зоне (.ru, .рф, .su, whois-service.ru/domains/?id=russian); русскоязычной версией пользовательского интерфейса; возможностью доставки товара, оказания услуги или пользования цифровым контентом в РФ. Решение мирового судьи Таганского района по делу сервиса Speedtest.net поставило под сомнение вышеприведённую практику, если на Интернет-ресурсе отсутствуют какие-либо ограничения для прохождения процедуры регистрации российских пользователей.

⁸ См. п.п. 2, 3, 4, 8 ч.1 ст.6 Федерального закона № 152-ФЗ «О персональных данных».

Статья о сути и особенностях рационального подхода к выполнению требования о локализации баз с персональными данными в РФ

Автор: Алексей Витальевич Мунтян, генеральный директор ООО «Лекс Инжиниринг» (Privacy Advocates), соучредитель Общественного учреждения «Сообщество профессионалов в области инфоприватности» (RPPA.pro)

В статье рассмотрена сложившаяся в России регуляторная модель локализации баз персональных данных на фоне роста геополитической напряженности и в рамках стратегии цифрового суверенитета. Проведен анализ действующих нормативных требований к операторам по размещению и хранению персональных данных российских граждан на территории РФ. Выделены исключения для отдельных категорий операторов и ситуации, при которых локализация не требуется. Отдельное внимание уделено авторской методологии по идентификации подлежащих локализации баз данных и выбору оптимальных стратегий выполнения требований на основе риск-ориентированного подхода. Автор подчеркивает относительную гибкость действующих ограничений и отсутствие полного запрета на трансграничную передачу персональных данных после этапа их первоначального сбора. Анализируются позиции государственных органов и ключевые разъяснения профильных регуляторов относительно существа и практики применения требований локализации. Статья может быть полезна юристам, специалистам по информационной безопасности и лицам, ответственным за организацию обработки персональных данных.

Рост мировой геополитической напряженности в первой половине 2014 года между Россией и некоторыми зарубежными странами, взаимные и встречные санкции побудили российские власти выступить с рядом инициатив по обеспечению национальной безопасности. Одной из указанных инициатив стало вступившее в силу с 1 сентября 2015 года требование о так называемой локализации баз с персональными данными (ПД) на территории Российской Федерации.

В настоящем материале автором предпринята попытка описать существо, базовые принципы и особенности юридической обязанности операторов по размещению баз с персональными данными на территории РФ, а также изложить авторскую методологию по определению подлежащих локализации баз данных и рациональной оценке привлекательности возможных стратегий выполнения оператором требований по локализации на основе риск-ориентированного подхода.

1. Мировой опыт ограничения свободы оборота данных

В XXI веке требования локализации данных активно эволюционировали в сторону увеличения как диапазона охватываемых данных, так и количества стран. По оценке автора, число стран, которые ввели требования локализации данных, почти удвоилось с 35 в 2017 году до 82 в 2025 году. Общее количество действующих требований локализации данных (как формальных, так и фактических) увеличилось более чем втрое: с 67 в 2017 году до 214 в 2025 году. Китай (33 требования), Индия (15), Россия (10) и Турция (9) —мировые лидеры по количеству требований локализации данных и их охвату.

Аргументация политиков и иных заинтересованных лиц в необходимости локализации данных постоянно меняется. Многие ранее поддерживали локализацию, глубоко не вникая в то, как международные компании управляют данными на глобальном уровне, соблюдая при этом местные законы.

Однако все больше политиков открыто поддерживают локализацию как форму протекционизма. Например, во Франции, Индии и Южной Корее творчески подходят к использованию произвольного и непрозрачного лицензирования, сертификации и других нормативных ограничений для создания условий вынужденной локализации данных (и выдавливания из национального рынка иностранных компаний и продуктов в сфере обработки данных).

Можно выделить основные мотивы, используемые для обоснования политики локализации данных:

  • обеспечение конфиденциальности и кибербезопасности (например, Индия);
  • цифровой протекционизм и суверенитет данных (например, ЕС);
  • контроль цифрового пространства (например, Китай);
  • содействие местным правоохранительным и надзорным органам (например, Турция);
  • геополитические риски и финансовые санкции (например, Россия).

Изучение действующих норм в различных странах позволяет сформулировать основные виды ограничений трансграничного оборота данных:

  • формальное ограничение передачи определенных типов данных за пределы границ государства;
  • фактическое ограничение трансграничной передачи путем создания условий, затрудняющих такую передачу: она становится сложной, дорогостоящей и нестабильной;
  • ограничение оборота данных, определяемых в широких и расплывчатых категориях: конфиденциальные, важные, ключевые или относящиеся к национальной безопасности.

Комбинации обозначенных выше видов ограничений трансграничного оборота данных позволяют установить и осуществить ранжирование пяти наиболее часто встречающихся типов локализации по степени ограничения свободы оборота данных (от меньшей к большей степени):

  1. локальная репликация данных (Local data mirroring). Необходимо хранить копию данных локально, но передача данных за пределы страны разрешена. В некоторых случаях требуется соблюдение последовательности обработки данных в виде их локального сбора и/или актуализации;
  2. локальное хранение данных (Explicit local data storage). Данные должны физически находиться в стране их происхождения. В некоторых случаях допускается трансграничный доступ к данным для их обработки, но с условием локализации результатов обработки данных в стране их происхождения;
  3. вынужденное локальное хранение и обработка данных (De facto local storage and processing). Локальное хранение данных является вынужденным из-за строгих требований к трансграничной передаче (например, необходимость получения предварительного одобрения на передачу) и правовой неопределенности в отношении передачи данных, что в сочетании со значительными штрафами и произвольной надзорной практикой создает неприемлемый регуляторный риск;
  4. локальное хранение и обработка данных (Explicit local data storage and processing). Государство явно запрещает трансграничную передачу данных;
  5. дискриминационное локальное хранение и обработка данных (Discriminatory local storage and data processing). Государство применяет дискриминационные лицензирование, сертификацию и другие нормативные ограничения, требующие локального хранения данных и полностью исключающие иностранные организации из процессов локального управления и обработки данных.

2. Действующие в РФ требования о локализации данных

По состоянию на 31 июля 2025 года в России действовало порядка десятка норм о локализации данных, баз данных и технических средств, предназначенных для хранения и иной обработки данных (см. таблицу).

Нормы о локализации данных в РФ

По результатам анализа вышеперечисленных требований о локализации данных можно сделать вывод, что регуляторная модель ограничения трансграничного оборота данных в России сочетает черты двух типов локализации данных — «локальная репликация данных» (Local data mirroring) и «локальное хранение данных» (Explicit local data storage), что свидетельствует об относительно мягком подходе российских властей к ограничению трансграничного оборота данных, в том числе персональных, по сравнению с некоторыми другими юрисдикциями.

3. Эволюция требования по размещению баз с персональными данными на территории России в 2014–2025 годах

Первого сентября 2015 года вступил в силу закон1), которым в ст. 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) была добавлена ч. 5 следующего содержания: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Это требование распространяется на всех операторов, за исключением некоторых случаев обработки персональных данных СМИ и органами государственной власти. К исключениям также относится п. 2 ч. 1 ст. 6 Закона о персональных данных в случаях обработки ПД «для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей». Однако, по нашему мнению, такое исключение может применяться только в тех случаях, когда на оператора прямо возлагается обязанность по сбору и дальнейшей обработке персональных данных за рубежом, так как в противном случае операторы получат возможность фактического игнорирования требования о локализации, ссылаясь на необходимость и (или) целесообразность использования зарубежных баз для сбора ПД в целях надлежащего исполнения операторами собственных юридических обязанностей (например, посредством использования зарубежных сервисов для аутсорсинга ведения кадрового учета, предусмотренного трудовым законодательством РФ). Важная особенность положений ч. 5 ст. 18 Закона о персональных данных — акцент на гражданстве субъектов персональных данных. Ранее законодательство РФ было направлено на защиту прав субъектов персональных данных безотносительно их гражданства.

В случае если оператор поручает другому лицу обработку ПД, включая их сбор, указанное требование распространяется также и на это лицо. При этом оператор обязан обеспечить размещение данных на территории РФ.

Необходимо отметить, что требование распространяется только на обработку ПД при их сборе. Таким образом, последующие действия с персональными данными могут производиться в базах данных на территории иностранных государств. Кроме того, требования о локализации ПД граждан РФ при их сборе не затрагивают трансграничную передачу персональных данных, которая подлежит осуществлению в соответствии с требованиями статьи 12 Закона о персональных данных.

С 1 сентября 2022 года в ч. 3 ст. 6 Закона о персональных данных было уточнено2) требование к договору о поручении обработки ПД, в котором отныне должна быть установлена обязанность лица, обрабатывающего персональные данные по поручению оператора (так называемого обработчика), соблюдать требования, предусмотренные ч. 5 ст. 18 Закона, а, согласно ч. 6 ст. 6 иностранные лица, являющиеся обработчиками для операторов в РФ, несут ответственность перед субъектами ПД в России наравне с отечественными операторами.

Наиболее существенно положения ч. 5 ст. 18 Закона о персональных данных изменились в 2025 году, актуальная редакция которой с 1 июля 2025 года выглядит следующим образом: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона»3).

Представляется нелишним привести ряд наиболее показательных комментариев некоторых федеральных чиновников и политиков к изменениям в требованиях о локализации, которые в определенном смысле раскрывают контекст и мотивацию рассматриваемых изменений.

Вице-премьер Правительства РФ Дмитрий Григоренко: «Требования к обработке персональных данных россиян стали строже: с 1 июля их запрещено накапливать, хранить, обновлять в любых базах за пределами РФ. Поправки уточняют обязанности операторов… осуществлять обработку персональных данных граждан РФ с использованием различных баз данных исключительно на территории РФ. Прежнее регулирование позволяло операторам связи осуществлять хранение и обработку таких данных в том числе за пределами России, что не позволяло обеспечить надежную защиту персональных данных и создавало предпосылки к их утечке»4).

Заместитель председателя Совета по развитию цифровой экономики при Совете Федерации РФ, сенатор Артем Шейкин: «Теперь за рубежом не должно быть даже копий баз с персональными данными россиян. Те компании, которые вели запись, систематизацию, накопление, хранение данных в зарубежных базах данных, должны использовать инфраструктуру, расположенную в РФ»5).

Член Комитета Госдумы по инфополитике, ИТ и связи, депутат Антон Немкин: «Это ужесточение законодательства не просто техническая мера, а элемент стратегии цифрового суверенитета. Существует и вероятность того, что какие-то зарубежные сервисы станут менее доступными для жителей РФ, но только в том случае, если они откажутся адаптироваться под требования закона… В этом случае у них есть выбор: либо они локализуют инфраструктуру в России, либо покидают рынок»6).

Одним из наибольших опасений российских операторов стали потенциальные ограничения или запреты в отношении возможности осуществлять трансграничную передачу персональных данных, ранее собранных с использованием баз данных, находящихся на территории РФ, в случаях, установленных ч. 1 ст. 6 Закона о персональных данных. Но, по мнению Роскомнадзора7), ч. 5 ст. 18 Закона о персональных данных таких ограничений не устанавливается.

Так, положения уточненной реакции ч. 5 ст. 18 Закона о персональных данных можно интерпретировать следующим образом: отныне локализация баз с собранными персональными данными граждан РФ превращается из позитивной обязанности, позволяющей размещать такие базы данных за рубежом после первичной локализации ранее собранных ПД, в императивный запрет размещать базы с персональными данными граждан РФ вне России. В контексте принятой в 2022 году нормы8) об экстерриториальности применения российского законодательства в отношении обработки персональных данных иностранными лицами9), а также сложившейся в 2022–2025 годах правоприменительной практики можно предположить нацеленность уточненной редакции требования о локализации в первую очередь на иностранные компании и сервисы, осуществляющие сбор ПД на территории РФ с самостоятельными целями или по поручению российских операторов. При этом российские операторы и обработчики с 1 июля 2025 года из-за возросших регуляторных рисков и (временной) правовой неопределенности будут пытаться не размещать собранные на территории РФ персональные данные в зарубежных базах данных, а также формально не признавать использование последних в обработке собранных в России ПД.

4. Интерпретация содержания и основные принципы выполнения юридической обязанности операторов по размещению баз с персональными данными на территории России

В начале августа 2015 года на сайте Минкомсвязи открылся раздел «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года»10). В нем есть ответы на вопросы, подготовленные на основании информации, которая получена от представителей бизнеса, научного сообщества и органов государственной власти (Совета Федерации, Минкомсвязи, Роскомнадзора). Роскомнадзор в ноябре 2016 года опубликовал свой комментарий, в том числе касательно ч. 5 ст. 18 Закона о персональных данных11). Следует обратить внимание, что публикуемые в этих источниках разъяснения иногда противоречат друг другу12). Также нижеприведенные интерпретации норм не всегда могут считаться официальными разъяснениями, так как не все эти органы, например Роскомнадзор, наделены правомочием давать их.

Мы выделили десять тезисов из интерпретации Роскомнадзором и Минкомсвязью содержания ч. 5 ст. 18 Закона о персональных данных:

  • нормы ч. 5 ст. 18 Закона о персональных данных распространяются на всех операторов в РФ;
  • сбор персональных данных — это процесс целенаправленного получения данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации в базе данных на территории РФ возникает только в период сбора ПД. Если, например, в зарубежной системе на основании собранных и локализованных в РФ данных о работнике определяется его грейд13), делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие ПД нельзя рассматривать как получаемые во время сбора, т.е. они не были получены от субъекта или через уполномоченных оператором лиц;
  • база персональных данных — это упорядоченный массив ПД, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных);
  • формирование и актуализация базы с персональными данными российских граждан в процессе их сбора должны осуществляться на территории РФ. Требования ч. 5 ст. 18 не позволяют осуществлять отдельные процедуры, в том числе хранение ПД, в базах данных на территории иностранного государства в процессе сбора персональных данных российских граждан;
  • каждый случай, в котором при сборе ПД будет осуществляться одновременное хранение баз данных на территории РФ и иностранного государства, будет нарушением ч. 5 ст. 18, поскольку оператор при сборе персональных данных допустит их хранение в базах данных за пределами РФ. После сбора ПД, т.е. после формирования базы с персональными данными на территории РФ, недопустимо изменение условий ее хранения путем переноса такой базы данных на территорию иностранного государства;
  • в ч. 5 ст. 18 отсутствует запрет на трансграничную передачу персональных данных. Обработка ПД посредством их передачи, в том числе на территорию иностранного государства, является трансграничной передачей. Допускается передача ПД российских граждан, содержащихся в базах данных, находящихся в РФ, в том числе на территорию иностранных государств, в порядке и в соответствии с условиями, определенными законодательством о ПД (см. ст. 12 Закона о персональных данных);
  • информационная система персональных данных14) может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ;
  • оператор в РФ по-прежнему обладает правом поручить обработку ПД иностранному лицу и осуществлять их трансграничную передачу. Например, российские дочерние организации могут передавать персональные данные своих работников в зарубежные информационные системы и базы данных (HR-системы, ERP-системы и т.п.), операторами которых являются иностранные материнские компании или иные организации;
  • обработка ПД для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18, путем размещения в центрах обработки данных на территории РФ базы данных, содержащей персональные данные граждан РФ, большего размера или аналогичного объему ПД, передаваемых на территорию иностранного государства;
  • операторы должны самостоятельно определять процедуру установления гражданства субъекта персональных данных. Если у оператора возникли трудности или сомнения в правильной идентификации гражданства субъектов ПД, то он может осуществлять хранение персональных данных этих субъектов в базах данных, размещенных на территории РФ.

Таким образом, операторам, обрабатывающим или организующим обработку персональных данных граждан РФ, рекомендуется соблюдать следующие базовые принципы комплаенса для соблюдения требований ч. 5 ст. 18 Закона о персональных данных:

  1. сбор персональных данных, в том числе с территории иностранных государств, ведется только в базах данных на территории РФ;
  2. объем и актуальность персональных данных, хранящихся в базах данных на территории РФ, должны быть равны или превосходить соответствующие показатели в отношении персональных данных, хранящихся в зарубежных базах данных;
  3. получение новых персональных данных посредством использования (анализа) имеющихся персональных данных, которые были собраны в базах данных на территории РФ и переданы за рубеж, может производиться с помощью зарубежных баз данных и без предварительной локализации в РФ.

При этом соблюдения только этих базовых принципов будет недостаточно для определения подлежащих локализации баз данных и рациональной оценке привлекательности возможных стратегий выполнения оператором требований по локализации на основе риск-ориентированного подхода. Указанные вопросы будут более подробно рассмотрены в следующих разделах статьи.

5. Определение баз данных, подлежащих локализации

При определении понятия «база данных» следует учитывать, что в законодательстве и правоприменительной практике существует несколько вариантов его содержания, например:

  • представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ)15);
  • совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь16)
  • упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных), например таблица в формате Excel, в которой содержатся персональные данные17).

Согласно п. 10 ст. 3 Закона о персональных данных информационная система персональных данных — это совокупность содержащихся в базе данных ПД и обеспечивающих их обработку информационных технологий и технических средств. Иначе говоря, база данных — неотъемлемый элемент информационной системы ПД. При определении массива данных, содержащего персональные данные, в качестве базы данных дополнительным квалифицирующим признаком является возможность формального определения базы данных в качестве составного элемента информационной системы персональных данных, расположенной на территории РФ.

Не менее важная задача для оператора — определение момента завершения сбора персональных данных и окончания применимости требования ч. 5 ст. 18 Закона о персональных данных. Так, согласно комментарию Роскомнадзора от 9 ноября 2016 года первичное формирование базы данных с собранными персональными данными на бумажных носителях с последующим их внесением в базу данных информационной системы персональных данных, используемую в целях, аналогичных сбору персональных данных на бумажных носителях, следует рассматривать как единый процесс; разделение указанного единого процесса на отдельные действия законодательством РФ в области персональных данных не предусмотрено, и отдельные виды обработки персональных данных, предусмотренные ч. 5 ст. 18, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории РФ.

Иными словами, определение момента завершения сбора персональных данных и окончания применимости требования ч. 5 ст. 18 — не самая тривиальная задача в силу сложности и комплексности некоторых процессов обработки персональных данных. То есть необходимо досконально изучать всю цепочку целенаправленных операций с персональными данными как «единого процесса» обработки ПД и быть готовым аргументированно, с доказательствами обосновать точку завершения их сбора. В качестве такой точки завершения сбора персональных данных представляется целесообразным обозначать расположенную на территории РФ базу данных, формально являющуюся составным элементом информационной системы персональных данных, расположенной на территории РФ. В противном случае оператор рискует столкнуться с негативной для него правоприменительной практикой. Например, в постановлении мирового судьи Таганского района города Москвы от 28 июля 2023 по делу № 5-1176/23 о привлечении компании Ookla LLC к административной ответственности за повторное невыполнение требования о локализации баз с персональными данными указано, что «конкретное нахождение баз данных (в том или ином государстве) доказыванию не подлежит», т.е. именно на операторе лежит бремя доказывания факта нахождения баз с ПД граждан РФ на территории РФ. Иначе говоря, добросовестность оператора судом не презюмируется.

При определении момента окончания сбора персональных данных оператору необходимо иметь четкое представление обо всех возможных способах их получения из различных источников и возможность разделить указанные способы получения на имеющие и не имеющие отношение к сбору ПД.

В качестве получаемых путем сбора можно определить следующие категории ПД:

  1. предоставленные данные18) — это персональные данные, полученные от физических лиц или их представителей, например путем заполнения физическими лицами веб-форм на сайте или представлением своего резюме при отзыве на вакансию;
  2. распространенные данные19) — это персональные данные, взятые из общедоступных или открытых источников, например путем исследования учетных записей пользователей в социальных сетях;
  3. наблюдаемые данные20) — это персональные данные, фиксируемые путем отслеживания поведения физических лиц, например посредством онлайн-трекинга поведения пользователей интернет-ресурсов, сбора данных о геолокации, видеонаблюдения.

В качестве получаемых иным образом, отличным от сбора, можно определить следующие категории ПД:

  1. принятые данные21) — это персональные данные, полученные не от физических лиц или их представителей, а от других лиц, например рекомендация от бывшего или действующего работодателя соискателя;
  2. инициированные данные22) — это персональные данные, образованные путем взаимодействия с физическими лицами (и) или совершения действий в их отношении, например заключение с договора физическим лицом или предъявление ему искового требования;
  3. назначенные данные23) — это персональные данные, временно или постоянно присвоенные физическим лицам, например номер социального страхования, наименование должности;
  4. производные данные24) — это персональные данные, синтезированные после простого анализа других данных, например путем расчета прибыльности клиента по количеству посещений и купленных товаров;
  5. предполагаемые данные25) — это персональные данные, спрогнозированные после продвинутого анализа наборов данных, например путем расчета кредитного рейтинга или прогнозирования состояния здоровья.

Далее вниманию читателей предлагается схема экспресс-определения подлежащих локализации баз с ПД (рис. 1), которая позволит оперативно, с минимальными трудозатратами и приемлемой точностью проанализировать большое количество баз данных. Как показывает наш десятилетний опыт применения схемы, она обладает точностью 95%, т.е. только в отношении каждой двадцатой проанализированной базы данных требуется проведение дополнительной оценки в отношении применимости требований о локализации.

Рис. 1. Схема экспресс-определения подлежащих локализации баз с персональными данными Схема экспресс-определения подлежащих локализации баз с персональными данными

К приведенной схеме необходимо добавить несколько примечаний: — направленность интернет-ресурса или мобильного приложения на территорию РФ ранее определялась в том числе адресом сайта в российской доменной зоне (.ru, .рф, .su, whois-service.ru/domains/?id=russian); русскоязычной версией пользовательского интерфейса; возможностью доставки товара, оказания услуги или пользования цифровым контентом в России. Но решение Второго КСОЮ от 26 декабря 2022 года по делу № 16-9987/2022 о сервисе Speedtest.net поставило под сомнение вышеприведенную практику, если на интернет-ресурсе или мобильном приложении отсутствуют какие-либо ограничения для прохождения процедуры регистрации российских пользователей; — требования о локализации подпадают под исключение в случаях, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона о персональных данных.

6. Способы (стратегии) выполнения требований по локализации

В связи с противоречивостью и фрагментарностью правоприменительной практики и комментариев уполномоченных органов затруднительно сделать однозначные выводы об оптимальных стратегиях выполнения требований к обработке персональных данных операторами, обладающими базами с ПД российских граждан за пределами территории РФ. Можно выделить десять возможных стратегий выполнения требований ч. 5 ст. 18 Закона о персональных данных, которые также допустимо комбинировать. Они сфокусированы на вопросах логики распределения информационных потоков с ПД внутри и между базами данных и информационными системами, но также в некоторых случаях затрагивают и вопросы правового характера.

Перечислим возможные стратегии выполнения требований по локализации, а также проиллюстрируем их соответствующими принципиальными схемами (см. рис. 2):

  1. перенос зарубежной информационной системы ПД целиком в РФ;
  2. отказ от автоматизированной обработки ПД;
  3. отделение базы данных от иностранных серверов приложений и перенос базы данных в РФ;
  4. создание в РФ промежуточной базы данных для сбора, хранения, актуализации и трансграничной передачи ПД;
  5. квалификация системы как не имеющей базы данных для сбора ПД и используемой как сервис коммуникации/передачи ПД;
  6. передача статуса оператора ПД иностранному лицу, формально не представленному в РФ;
  7. обезличивание или шифрование ПД при сборе в зарубежную базу данных;
  8. сбор ПД в зарубежную базу данных с последующей их репликацией в российскую базу данных;
  9. одновременный параллельный сбор ПД в российскую и зарубежную базы данных;
  10. отказ от модификации системы и связанных с ней потоков ПД в зарубежных базах данных.

Рис. 2. Принципиальные схемы возможных стратегий выполнения требований по локализации Принципиальные схемы возможных стратегий выполнения требований по локализации

Следует дать дополнительные пояснения к некоторым из стратегий и к схеме в целом:

  • стратегия № 4 подразумевает создание на территории РФ промежуточной информационной системы или базы данных с целью хранения, уточнения, удаления собираемых в России ПД и их последующей передачи для обработки другому оператору, в том числе за границу. Процессы в зарубежных системах (например, в глобальных системах международных холдингов и групп компаний), связанные с последующей обработкой персональных данных, сохраняются неизменными или адаптируются для автоматического использования данных из России;
  • стратегия № 6 подразумевает отказ от процесса обработки ПД с помощью организации — российского резидента. Она реализуется путем прямого сбора, систематизации, обновления и хранения персональных данных с помощью организации за пределами России, которая будет квалифицироваться в качестве оператора, осуществляющего обработку ПД от своего имени и под свою ответственность;
  • каждая из десяти стратегий, отображенных на схеме, имеет соответствующую цветовую индикацию своего краткого описания, которая корреспондирует величине сопутствующих юридических (комплаенс) рисков. Так, стратегия № 1 обозначена ярко-зеленым цветом, что демонстрирует ее безрисковость для оператора. Выбор же стратегии № 10 чреват наибольшим риском среди всех, поэтому ее описание имеет темно-красный цвет.

Перечисленные стратегии формировались исходя из презумпции, что обработка ПД при осуществлении процедур по обеспечению непрерывности информационно-технологической инфраструктуры и восстановления ее после сбоев, при разработке и тестировании программных модулей информационных систем, сервисов, платформ и ресурсов не регулируется напрямую ч. 5 ст. 18 Закона о персональных данных. Это предположение основывается на следующем доводе: в рамках резервной информационно-технологической инфраструктуры сред разработки и тестирования программных модулей систем и сервисов не осуществляется сбор ПД субъектов. Персональные данные передаются в указанную инфраструктуру и среды из иных баз с ними. Для минимизации юридических рисков, связанных с обработкой ПД в указанных случаях оператору рекомендуется рассмотреть возможность применения технологий защищенной обработки данных, в том числе шифрования.

7. Оценки привлекательности стратегий выполнения требований по локализации

Оценка стратегий выполняется в отношении только тех систем, базы данных (включающие ПД) которых полностью или частично располагаются за пределами РФ. Выбор той или иной стратегии выполнения требований по локализации основывается на принципе оценки расходов оператора на ее реализацию и минимизации вероятного ущерба оператору. Учитываются как расходы на реализацию стратегии (CapEx), так и регулярные (ежегодные) расходы на ее поддержание на весь период жизненного цикла (OpEx). При этом вероятный ущерб оператору условно подразделяется на материальные потери (административные штрафы, удовлетворенные исковые требования к оператору, договорные санкции в отношении оператора), практический ущерб (например, по причине исполнения предписания о модификации процесса обработки ПД в сжатые сроки) и репутационный вред (утрата лояльности клиентов и партнеров, недоверие потенциальных контрагентов и инвесторов, негативный образ оператора в СМИ).

Для просчета рисков, сопутствующих применению стратегий выполнения требований по локализации, необходимо оценить вероятность выявления правонарушения (обнаружить несоответствие могут Роскомнадзор и органы прокуратуры РФ, субъекты ПД, контрагенты оператора и иные лица) и дальнейшего доказывания этого факта в суде. Для этого требуется оценить степень соответствия стратегии требованиям ч. 5 ст. 18 Закона о персональных данных с точки зрения уполномоченных органов, опирающихся на собственное ведомственное мнение, и судов, руководствующихся юридической трактовкой и внутренним убеждением. При оценке рисков применяется допущение, что в течение жизненного цикла стратегий проверка со стороны уполномоченных органов будет проведена как минимум один раз.

Отметим, что нет необходимости учитывать возможность нарушения оператором требования об уведомлении Роскомнадзора о месте нахождения баз данных, содержащих ПД граждан РФ, предусмотренного п. 10.1 ч. 3 ст. 22 Закона о персональных данных, и привлечения его к ответственности по ч. 10 ст. 13.11 КоАП РФ или по ст. 19.7 КоАП РФ, поскольку указанная обязанность должна быть исполнена оператором вне зависимости от выбора стратегии.

Привлекательность стратегии определяется по формуле, позволяющей оценить величину расходов на ее реализацию:

C_i+O_i×T_lc+P_(det,i)×P_(V,i)×P_(C,i)×M×S_1+P_(det,i)×P_(V i)×P_(M,i)×D, где:

Ci — однократные расходы при реализации стратегии i (CapEx);

Oi — периодические расходы при реализации стратегии i (OpEx);

Tlc — ожидаемый период жизненного цикла реализации стратегии;

Pdet,i — вероятность обнаружения баз данных надзорным органом при реализации стратегии i;

PV,i — вероятность выявления нарушений в обнаруженной базе данных по результатам проверки при реализации стратегии i;

PC,i — вероятность подтверждения нарушений в обнаруженной базе данных судом при реализации стратегии i;

М — мультипликатор влияния на бизнес;

S1 — расходы на реализацию cтратегии 1, включая периодические за период жизненного цикла;

PM,i — вероятность публикации информации о нарушении при реализации стратегии i;

D — совокупность возможных материальных потерь, практического ущерба и репутационного вреда для оператора.

Влияние на бизнес выражается в виде расходов на реализацию стратегии, умноженных на мультипликатор. Мультипликатор зависит от критичности системы для бизнеса, сложности переноса системы, вовлеченности ее в основные бизнес-процессы и находится в промежутке от 1 до 3 единиц.

Вероятность обнаружения баз данных определяется экспертным способом и зависит в первую очередь от того, был ли уведомлен Роскомнадзор о рассматриваемой базе с персональными данными, а также от вовлеченности такой базы в деятельность оператора, и оценивается по шкале от 0 до 100%. Для основных бизнес-процессов вероятность обнаружения базы данных выше. Вероятность выявления нарушения требований по локализации зависит от реализованной стратегии и компетентности проверяющих. Вероятность публикации информации о нарушении (в том числе на интернет-порталах надзорных органов и в СМИ) зависит от значимости нарушения, степени вовлеченности базы данных в основные процессы оператора, а также от известности самого оператора.

С примерами подготовки калькулятора для автоматизированной оценки стратегий локализации и визуального отображения результатов ранжирования стратегий локализации по степени их привлекательности можно ознакомиться по ссылке ниже.

🧮 Пример калькулятора расчета привлекательности стратегий локализации

A rational approach to complying with the Russian data localisation law

This article analyses Russia’s regulatory framework on the localisation of personal data storage amid rising geopolitical tensions and the country’s drive for digital sovereignty. The study systematically reviews the key legislative requirements mandating that operators who process personal data of Russian citizens ensure such data is stored within the Russian Federation. The article elaborates on the risk-based methodology proposed for identifying which databases are subject to localisation and how organisations can rationally evaluate compliance strategies. The author emphasises that the current legal approach is relatively flexible: initial collection and storage must occur locally, but subsequent cross-border data transfers are not entirely prohibited. The analysis includes exceptions for specific types of operators and processing scenarios. The structure of the article covers the legal basis for localisation, categorisation of affected databases and strategic guidance for compliance. The findings are particularly relevant for legal practitioners, IT security experts, and data protection officers. Keywords: personal data localisation, personal data databases, Russian localisation laws, Federal Law No. 152-FZ „On Personal Data“, cross-border data transfer, digital sovereignty, data storage regulation, data storage in Russia, international data localisation experience.

INFORMATION ABOUT THE AUTHOR: Alexey V. Muntyan, Chief Executive Officer of LLC „Lex Engineering“ (Privacy Advocates), co-founder of the Public Institution „Community of Information Privacy Professionals“ (RPPA.pro)

, , , , , ,
1)
Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
2)
Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“». URL: http://publication.pravo.gov.ru/document/0001202207140080 (дата обращения: 26.08.2025).
3)
Федеральный закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“ и отдельные законодательные акты Российской Федерации».
4)
См.: Персональные данные россиян запретили хранить на любых базах за рубежом / ТАСС. 2025. 1 марта. URL: https://tass.ru/obschestvo/23279147 (дата обращения: 26.08.2025).
5)
См.: Сенатор Шейкин рассказал о запрете хранить данные россиян на зарубежных серверах / ТАСС. 2025. 28 февр. URL: https://tass.ru/obschestvo/23267235 (дата обращения: 26.08.2025).
6)
См.: Капустина Л. Персональные данные россиян нельзя будет хранить за рубежом. Как это скажется на использовании мессенджеров и соцсетей / РГ. 2025. 29 июня. URL: https://rg.ru/2025/06/29/deputat-rabotu-servisov-ne-obespechivshih-hranenie-dannyh-v-rf-mogut-ogranichit.html (дата обращения: 26.08.2025).
7)
См.: письмо Роскомнадзора от 24.03.2025 № 134789 «О рассмотрении обращения».
8)
См.: Федеральный закон от 14.07.2022 № 266-ФЗ.
9)
См.: ч. 1.1 ст. 1 Закона № 152-ФЗ, а также вывод в решении Второго КСОЮ от 26.12.2022 по делу № 16-9987/2022 о привлечении компании Ookla LLC к административной ответственности за нелокализацию баз с персональными данными граждан РФ (ч. 8 ст. 13.11 КоАП РФ) в рамках сервиса Speedtest, который хотя прямо не направлен на российскую аудиторию (отсутствуют русскоязычная версия пользовательского интерфейса, Политика конфиденциальности на русском языке, возможность осуществления расчетов в российской валюте и доставки каких-либо товаров на территории РФ), но на сайте speedtest.net нет каких-либо ограничений для прохождения процедуры регистрации российских пользователей, поэтому суд посчитал применимыми требования о локализации.
10)
В настоящее время сайт http://minsvyaz.ru/ru/personaldata/ недоступен. Копия Разъяснения размещено на интернет-портале RPPA — Общественного учреждения «Сообщество профессионалов в области приватности». См.: Разъяснения Минкомсвязи России от 25.08.2015 «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года согласно положениям 242-ФЗ». URL: https://rppa.pro/npa/minkomsvyaz_25.08.2015 (дата обращения: 26.08.2025).
11)
См.: Комментарий Роскомнадзора от 09.11.2016 к Федеральному закону от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». URL: https://pd.rkn.gov.ru/docs/Kommentarij_242-FZ_final.docx (дата обращения: 26.08.2025).
12)
Например, Минкомсвязь указывает, что понятие «база данных» на уровне федерального закона раскрыто в абз. 2 ст. 1260 ГК РФ следующим образом: «Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины». Тут же ведомство поясняет, что при применении ч. 5 ст. 18 Закона № 152-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме. Роскомнадзор придерживается мнения, что следует руководствоваться понятием, которое дано в Модельном законе о персональных данных, принятом в Санкт-Петербурге 16.10.1999 постановлением № 14-19 на 14-м пленарном заседании Межпарламентской Ассамблеи государств — участников СНГ: «База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных)». Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и в каком формате обрабатываются — бумажном или электронном.
13)
Грейд (от англ. grade — «уровень, ступень») — система ранжирования должностей в компании по определенным критериям.
14)
См.: п. 10 ст. 3 Закона о персональных данных.
15)
См.: ст. 1260 ГК РФ.
16)
См.: п. 2.1 ГОСТ 34.321-96 «Информационные технологии. Система стандартов по базам данных. Эталонная модель управления данными». В том же ГОСТе даны определения термина «схема базы данных»: «Формальное описание данных в соответствии с конкретной схемой данных» и термина «схема данных»: «Логическое представление организации данных». Персональные данные в сообщениях электронной почты содержатся в теле передаваемых сообщений и прикрепленных к сообщениям документах. Данные в документах и теле сообщений неоднородны, не структурированы, не взаимосвязаны, т.е. не организованы логически — не являются частью схемы данных и схемы базы данных. Следовательно, ПД в теле сообщений и прикрепленных документах не входят в состав базы данных, и потому электронная почта не подпадает под определение информационной системы персональных данных (в части сообщений и прикрепленных документов).
17)
См.: Комментарий Роскомнадзора от 09.11.2016 к Федеральному закону от 21.07.2014 № 242-ФЗ.
18)
Сбор персональных данных означает, что оператор или специально привлеченное оператором для этого третье лицо должны их получать непосредственно у первоисточника, т.е. у субъекта персональных данных или его представителя (см.: Комментарий Роскомнадзора от 09.11.2016 к Федеральному закону от 21.07.2014 № 242-ФЗ).
19)
На сбор ПД из общедоступных источников требования ч. 5 ст. 18 Закона о персональных данных распространяются в полном объеме (см. там же).
20)
См.: решение Таганского районного суда от 19.12.2018 по делу № 02-4261/2018 о блокировке сайта «Умное голосование» из-за использования сервисов Google Analytics и «Яндекс.Метрика», а также решение Второго КСОЮ от 26.12.2022 по делу № 16-9987/2022 о сервисе Speedtest.net и отнесении сведений о сетевой активности пользователя, cookies, идентификаторов устройства к персональным данным.
21)
За исключением случаев, когда оператор получает ПД от третьего лица, специально привлеченного оператором для их сбора (см.: Разъяснения Минкомсвязи России от 25.08.2015 «Обработка и хранение персональных данных в РФ…»).
22) , 23) , 24) , 25)
Эти виды сведений можно квалифицировать как созданные путем использования имеющихся ПД, так как под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки данных (см.: Разъяснения Минкомсвязи России от 25.08.2015 «Обработка и хранение персональных данных в РФ…»).