Обоснование по законодательству
- ФЗ-152, ст. 18, ч. 5 — оператор при сборе ПДн обязан обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.
- ФЗ-242 от 21.07.2014 — ввёл поправки о локализации в ФЗ-152.
- КоАП РФ, ст. 13.11 — нарушение требований к хранению и обработке ПДн (включая требование локализации) влечёт административную ответственность.
Практика и позиция Роскомнадзора
Роскомнадзор регулярно проверяет компании на предмет соблюдения требований локализации. Знаковый пример — блокировка LinkedIn в 2016 году за несоблюдение этих норм. В дальнейшем проверки усилились: регулятор требует, чтобы базы первичной записи (например, анкеты на сайте, формы обратной связи, регистрация аккаунтов) находились на серверах в РФ. При этом вторичная обработка (например, резервное копирование или аналитика) может вестись за границей, но только после выполнения требования о первичной локализации.
Что это означает для бизнеса
Любая компания, которая собирает данные граждан РФ через сайт, мобильное приложение или офлайн-анкеты, обязана хранить их сначала в российских дата-центрах. Это касается как крупных IT-компаний и банков, так и малого бизнеса — интернет-магазинов, школ, турагентств, медицинских организаций.
Если компания использует зарубежные CRM или сервисы рассылок, важно убедиться, что они соответствуют требованиям локализации или интегрированы с локальными базами данных.
Рекомендации и выводы
Компании нужно:
- Определить, где физически хранятся их базы данных.
- Перенести или настроить первичное хранение ПДн граждан РФ на российские серверы.
- Закрепить это в локальных документах по ФЗ-152.
- Подготовить доказательства для проверки Роскомнадзора (договоры с дата-центрами в РФ, технические схемы).
ICTech поможет вашей компании провести аудит хранения ПДн и подготовить необходимые документы. Это позволит избежать штрафов, блокировок сайта и сохранить доверие клиентов.
