Риски использования зарубежных сервисов для хранения данных россиян.

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Использование зарубежных облачных сервисов (CRM-систем, аналитических платформ, сервисов обработки заявок и форм обратной связи) связано с серьёзными юридическими рисками для российских компаний, так как напрямую затрагивает требования ФЗ-152 о локализации и контроле обработки персональных данных.

Нормативные основания

• Ст. 18 ФЗ-152 — персональные данные граждан РФ должны собираться и храниться на территории России.
• Ст. 12 ФЗ-152 — трансграничная передача допустима только при обеспечении надлежащей защиты данных в стране получателя и при согласии субъекта. США, где расположены большинство зарубежных облачных сервисов, в список «достаточных стран» Роскомнадзора не входят.
• Постановление Правительства РФ № 1154 от 01.08.2025 — закрепляет методы и правила обезличивания ПДн, что также затрагивает передачу данных в сторонние сервисы.

Основные риски для компаний

1. Нарушение требования локализации
   Данные российских пользователей фактически хранятся на серверах за рубежом, что противоречит закону.
2. Незаконная трансграничная передача
   Для легальной передачи необходимо уведомлять Роскомнадзор и получать согласие субъектов. На практике такие согласия редко оформляются корректно.
3. Отсутствие контроля над данными
   Зарубежный сервис может обрабатывать и использовать данные по собственным правилам, а компания-оператор теряет контроль и несёт ответственность за утечку.
4. Риски блокировки
   Роскомнадзор имеет право ограничить доступ к ресурсу или заблокировать сайт за нарушение требований локализации.
5. Административные санкции
   Ст. 13.11 КоАП РФ предусматривает ответственность за незаконную обработку, передачу и хранение ПДн, включая значительные штрафы и предписания об устранении нарушений.

Практика и позиция Роскомнадзора

Роскомнадзор в последние годы активно проводит проверки сайтов и сервисов, выявляя использование зарубежных платформ без локализации. В ряде случаев выдавались предписания о прекращении использования таких систем и переводе данных на российские серверы. Компании, которые продолжали работать через иностранные сервисы, сталкивались с блокировкой сайтов или значительными штрафами.

Что важно учитывать организациям

• Любой сервис, где фиксируются контактные данные россиян (email, телефоны, IP, cookie, история заказов), подпадает под действие ФЗ-152.
• Использование зарубежных CRM, форм заявок или аналитики без специальных согласий и уведомлений нарушает закон.
• Даже при наличии согласия субъекта риск остаётся, так как страна-получатель должна обеспечивать «адекватную защиту», чего в случае США и большинства западных стран нет.
• На практике компании всё чаще переходят на российские аналоги (Bitrix24, amoCRM, Яндекс Метрика, VK Workspace и др.).

Вывод

Использование зарубежных сервисов для хранения персональных данных россиян в 2025 году сопряжено с высоким риском: нарушение локализации, незаконная трансграничная передача, блокировка ресурса и административные санкции. Для снижения рисков рекомендуется переходить на локализованные российские решения или использовать гибридные модели с хранением баз данных на территории РФ.

Компания ICTech поможет вашей организации провести аудит используемых сервисов, подобрать соответствующие требованиям ФЗ-152 аналоги и оформить все документы для законной работы с персональными данными.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге