Новые требования к локализации баз данных, содержащих персональные данные: как избежать рисков и штрафов

С первого июля 2025 года в действие вступит новая редакция п. 5 ст. 18 Федерального закона № 152 «О персональных данных» (далее – Закон). Изменения коснутся локализации, то есть месторасположения баз данных (далее – БД), содержащих персональные данные субъектов [1]. Кого коснутся эти изменения? Предлагаем вам задать себе мысленно несколько вопросов:

• Используете ли вы иностранные сервисы для бизнеса (например, облачные сервисы, Google Forms, Google Analytics)?
• Используете ли вы иностранные IT-решения для обработки ПД россиян (например, где находится хостинг вашего сайта)?
• Собираете или передаете ли вы персональные данные через границу при сделках с контрагентами (включены ли такие положения в договоры)?

Если ответ хотя бы на один из этих вопросов «да», то вам точно стоит уделить этой статье немного внимания.

Что изменится

Для наглядности мы подготовили таблицу, в которой сравнили действующую и будущую редакции Закона.

Нынешняя редакция п. 5 ст. 18

Будущая редакция п. 5 ст. 18

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Итак, что же изменилось?

Во-первых, в новой редакции исчезнет термин «оператор». Оператор – это компания, которая решает, зачем и как обрабатывать данные и (или) осуществляет такую обработку. Скобки вокруг союза «или» в определении оператора не случайны [2]. Оператор действительно может организовывать обработку ПД, но не осуществлять ее самостоятельно. Для этого у него есть законная возможность поручить обработку персональных данных другому лицу, перед этим определив, с какой целью, в каком объеме и как оно будет их обрабатывать. Такой «поверенный» называется в законе «Лицо, осуществляющее обработку персональных данных по поручению оператора», однако для упрощения произношения в профессиональных кругах такое лицо называют просто «Обработчик». Другими словами, обработчик – лицо, которое технически выполняет обработку по инструкциям оператора.

Разобравшись с юридическими тонкостями, вернемся к сути. В новой редакции статьи законодатель исключил термин «оператор», что автоматически распространяет действие статьи и на обработчиков. Поскольку по закону Оператор уже давно не может хранить и обрабатывать ПД за рубежом, многие компании просто поручали такую обработку другим компаниям, которые становились теми самыми обработчиками. Другими словами, Операторы легально обходили закон. Со вступлением в силу новой редакции, такой «лазейки» в законе уже не будет.

Такую позицию подтвердили в аппарате вице-премьера – руководителя аппарата правительства Дмитрия Григоренко:

Поправки конкретизируют обязанности операторов ПД обрабатывать такие данные граждан России исключительно на территории нашей страны. Прежнее регулирование разрешало операторам данных осуществлять их хранение и обработку в том числе за пределами России. Это не позволяло обеспечить надежную защиту персональных данных и создавало предпосылки к их утечке.

Во-вторых, формулировка изменится с положительной на отрицательную (с «обязан» на «не допускается»). С точки зрения русского языка это может показаться маловажным, но с точки зрения юридической техники это крайне существенно. Дело в том, что раньше компании могли создавать копии своих баз данных (репликации) в других странах, что не нарушало требований законодательства. Все формальные требования выполнялись, так что это можно было считать вполне легальным способом обхода закона. 

Новая редакция статьи исключит двусмысленные трактовки и введет прямой запрет на сбор персональных данных с использованием баз данных где-либо за пределами Российской Федерации. 

Например, если ваш сайт использует Google Analytics, данные пользователей могут попадать в базы данных в США, что повлечет за собой нарушение новых требований.

Теперь бизнесу запретят передавать данные за границу?

Так может показаться на первый взгляд, но обратим внимание на перечень возможных действий с персональным данными в статье (он остался без изменений) и сравним его с перечнем поименованных действий по обработке персональных данных в законе (см. Таблица 2).

В п. 5 ст. 18 ФЗ «О персональных данных»	В п. 3 ст. 3 ФЗ «О персональных данных»
«…оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение…»	«…сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных...»

В п. 5 ст. 18 ФЗ «О персональных данных» названа лишь половина от всех возможных вариантов обработки персональных данных. Таким образом, другая половина операций с персональными данными, включая передачу, под регулирование статьи не подпадает. Следовательно, изменения в законе не затронут и трансграничную передачу [3], – операторы всё также смогут передавать персональные данные за пределы РФ (обращаем ваше внимание, что операторы обязаны уведомить Роскомнадзор о факте трансграничной передачи), – однако усложнят доступ иностранным компаниям к персональным данным граждан РФ, так как хранить такие данные станет необходимо исключительно в России. Также это может существенно затруднить доступ самих граждан РФ к услугам таких компаний.

Означает ли вышесказанное, что запретят получать данные через иностранные мессенджеры, например, Telegram? Формально, Telegram заявляет, что не хранит данные на своих серверах, а выступает лишь посредником между вами и субъектом, данные которого вы собираете, а потому не попадает под действие статьи. Тем не менее, в Telegram есть функция отложенных сообщений, так что иногда он всё же хранит информацию. В любом случае, на данный момент точно ничего сказать нельзя. «Правильный» ответ мы узнаем, когда сложится практика надзорного органа и судов.

Штрафы до 18 млн рублей: какие компании уже пострадали?

Такие крупные транснациональные корпорации, как Spotify AB, Coursera Inc., Discord Inc., Match Group, LLC., отказавшиеся локализовать свои базы данных в России, уже были привлечены к ответственности за нарушение требований Закона о локализации БД. Вышеназванные компании получили штрафы от 2 до 10 миллионов рублей при максимальной санкции в 18 миллионов рублей. Решения были вынесены до вступления новой редакции закона в силу, поэтому после первого июля 2025 года судебная практика, вероятно, расширится. Если вы хотите обезопасить себя от штрафов, то нужно начать действовать незамедлительно.

Стратегии для бизнеса: как избежать рисков и штрафов

Уже сейчас можно точно сказать одно: несоблюдение новых требований к локализации персональных данных повлечет за собой очень большие риски. Для их снижения видится уместным провести аудит вашей организации и проверить, не собираются ли и не хранятся ли ПД за пределами РФ (проверить хостинг сайта, договоры с подрядчиками, документацию по обработке ПД (учтены ли требования в Политике по обработке ПД, согласиях и поручениях на обработку ПД)). Если персональные данные всё же обрабатываются за границей, то нужно незамедлительно принять меры и привести процессы в соответствие с законом, иначе штраф неизбежен.

Что предпринять, если вы подпадаете под требования о локализации? В целом, выходами из сложившейся ситуации могут стать:

• Перенос БД в Россию – самый лучший и безопасный вариант. Однако дороговизна и неудобство в использовании могут стать существенным минусом.
• Отделение БД от иностранных серверов и перенос их в РФ. Будет стоить дешевле, но не снимет все риски.
• Использование за границей систем, не собирающих ПД, а лишь передающих их дальше (сервисы коммуникации/передачи). По этой причине, вероятнее всего, требования закона не коснутся Telegram.

Нужно подчеркнуть, что предложенные варианты (кроме первого) лишь снижают риски, но не снимают их полностью. Более конкретные рекомендации можно будет давать только после того, как сформируется новая практика надзорного органа и судов.

Итоги: что день грядущий нам готовит?

С первого июля вступят в силу изменения в п. 5 ст. 18 ФЗ «О персональных данных». Они ужесточат требования к локализации ПД, по сути, принудив операторов отказаться от зарубежных баз данных в пользу отечественных. Старые методы обхода закона больше работать не будут, а продолжение их применения создаст многомиллионные риски. Поэтому нужно заранее проверить компанию на предмет сбора и хранения персональных данных за пределами РФ и, в случае обнаружения таких процессов, выстроить их верным образом. 

Трансграничная передача между операторами или между оператором и обработчиком (на которого теперь также распространяется действие статьи) не будет запрещена, однако в техническом и организационном плане у сторон могут возникнуть сложности. Как их лучше всего избежать – покажет время и практика, но, в случае использования зарубежных баз данных, однозначно стоит задуматься о возможности переноса таких БД в Россию.