Локализация персональных данных: кого касается 242-ФЗ
Про локализацию персональных данных вспоминают обычно в двух случаях: когда приходит письмо от Роскомнадзора и когда подрядчик отказывается переносить базу с зарубежного сервера. Оба случая поздние. Само требование действует с 2015 года, формулируется в одну фразу, но почти всегда нарушается незаметно: через сервисы, которые поставили «на пробу» и забыли. Ниже разбор того, что закон реально требует, к кому это относится и как за полчаса проверить, нет ли у вас этой проблемы.
Что такое локализация и откуда она взялась
Локализация — это требование размещать базы данных, в которых вы записываете и храните персональные данные граждан России, на серверах внутри страны.
Закон, который это ввёл, в обиходе называют «242-ФЗ» или «закон о локализации». Строго говоря, отдельного закона с таким содержанием нет: 242-ФЗ от 21 июля 2014 года — это поправки к основному закону о персональных данных, 152-ФЗ. Именно они добавили в статью 18 новую часть 5. Поправки вступили в силу 1 сентября 2015 года, и с тех пор требование действует для всех, кто собирает данные россиян.
Формулировка короткая. По части 5 статьи 18 152-ФЗ при сборе персональных данных граждан России не допускается их запись, систематизация, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся за пределами Российской Федерации (за рядом узких исключений, прямо названных в законе). Иными словами, первичная база должна быть в России. Та база, куда данные попадают в первый раз, должна находиться на российском сервере. Зарубежная база допускается только как копия, а не как замена российской.
Кого это касается
Короткий ответ: почти всех, у кого есть сайт с любой формой обратной связи.
Закон не делает различий по размеру бизнеса или организационной форме. Под локализацию попадает любой, кто собирает персональные данные граждан России: интернет-магазин с корзиной и доставкой, клиника с онлайн-записью, инфобизнес с формой подписки, обычный лендинг с одним полем «оставьте телефон». Персональные данные — это не только паспорт. Имя, телефон, email, а при наличии идентификатора и cookie посетителя — этого уже достаточно, чтобы требование заработало.
Важный момент про географию: значение имеет не то, где находитесь вы, а то, чьи данные вы собираете. Если ваши клиенты — граждане России, локализация касается вас, даже если сам бизнес зарегистрирован за рубежом. И наоборот, если вы работаете только с иностранной аудиторией, требование на вас формально не распространяется — но доказывать это придётся вам.
Как проверить свой стек
Проблема локализации почти никогда не выглядит как один большой сервер за границей. Чаще данные утекают за рубеж по частям, через сервисы, которые подключены к сайту и работают незаметно. Пройдитесь по четырём слоям.
Формы и виджеты. Любая форма, чат или поп-ап, которые собирают контакты, отправляют данные куда-то на бэкенд. Вопрос в том, куда именно. Встроенный чат-виджет западного сервиса, иностранный конструктор форм, всплывающее окно с зарубежного домена — каждый из них может писать данные посетителя в базу за пределами РФ.
Аналитика. Это самый частый источник нарушения, потому что аналитику ставят первой и почти никогда не снимают. Системы, которые передают идентификаторы посетителей на зарубежные серверы, создают ровно ту ситуацию, против которой направлен закон: первичная запись данных о россиянине происходит за границей. После ужесточения практики в 2025 году к этому слою стоит относиться особенно внимательно.
CRM и рассылки. Сюда данные попадают уже структурированно: имя, телефон, история обращений. Если CRM, сервис email-рассылок или поддержки размещён на зарубежной инфраструктуре, это прямое хранение базы данных россиян за пределами России. Российские аналоги (CRM, рассылочные платформы, чаты) проблему закрывают, а западные создают.
Хостинг и инфраструктура. Сам сайт, его база данных, бэкапы и реплики. Зарубежный облачный хостинг — это и есть та самая основная база на иностранном сервере. Сюда же относятся прокси-сервисы, через которые проходит весь трафик сайта, включая содержимое форм: технически это передача данных третьему лицу за рубеж.
Типичные нарушения
Большинство проблем сводится к нескольким повторяющимся сценариям.
- Сайт развёрнут на зарубежном облаке — данные пишутся в первичную базу за пределами РФ.
- Стоит зарубежная аналитика, которая передаёт идентификаторы посетителей на иностранные серверы.
- CRM или сервис рассылок западные, и вся клиентская база фактически хранится за границей.
- Платёжный процессинг вне РФ обрабатывает и сохраняет данные плательщиков.
- Зарубежный прокси перед сайтом пропускает через себя содержимое всех форм.
Объединяет их одно: данные россиян в первый раз записываются не в России. Именно это и нарушает запрет части 5 статьи 18, независимо от того, есть ли у вас при этом российская копия.
Что грозит и что делать
Ответственность за нарушение локализации серьёзная. КоАП выделяет её в отдельный состав со штрафами в миллионах рублей, а при повторном нарушении в течение года суммы кратно растут (конкретные нормы — в перечне ниже). Для малого бизнеса даже нижняя граница ощутима, а Роскомнадзор с 2025 года использует автоматический мониторинг, который находит зарубежные запросы на сайте без ручной проверки.
Практический порядок действий простой. Сначала составьте список всех сервисов, которые касаются данных посетителей: хостинг, аналитика, формы, CRM, рассылки, платежи, чаты. Затем по каждому проверьте, где он физически хранит данные. Зарубежные заменяйте на российские аналоги или, если без сервиса не обойтись и данные действительно уходят за границу легально, оформляйте отдельное согласие пользователя на трансграничную передачу. И помните, что разовая чистка не решает вопрос навсегда: каждый новый виджет или сервис «на пробу» способен снова открыть утечку.
Если не уверены, что именно подключено к вашему сайту и куда уходят данные, это можно увидеть автоматически. Сервис Sitelaw сканирует страницу, находит запросы к зарубежным сервисам и показывает, какие из них создают риск по локализации. Запустить проверку и разобраться с требованиями 242-ФЗ можно на странице проверки по 242-ФЗ.
Нормативная база
- Федеральный закон от 21.07.2014 № 242-ФЗ — внёс в 152-ФЗ требование локализации (часть 5 статьи 18), в силе с 01.09.2015.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 5 статьи 18 — при сборе персональных данных граждан РФ не допускается их запись, систематизация, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся за пределами территории РФ (за исключением случаев, прямо предусмотренных законом).
- КоАП РФ, статья 13.11 часть 8 — нарушение требований о локализации (первое).
- КоАП РФ, статья 13.11 часть 9 — повторное нарушение требований о локализации в течение года.