Обоснование по законодательству
- ФЗ-152, ст. 18, ч. 5 — оператор обязан обеспечивать сбор, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ в базах данных, находящихся на территории России.
- ФЗ-242 от 21.07.2014 — ввёл требование локализации ПДн.
- КоАП РФ, ст. 13.11 — нарушение правил локализации ПДн влечёт административную ответственность.
Практика и позиция Роскомнадзора
Роскомнадзор неоднократно заявлял: использование зарубежных CRM, сервисов рассылок или облачных платформ допустимо только при условии, что данные сначала записываются в базе на территории РФ. На проверках регулятор требует доказательства — договоры с дата-центрами в России, описание архитектуры ИТ-систем и внутренние регламенты.
Показательный пример — блокировка LinkedIn в 2016 году: сервис не выполнил требование о локализации и был полностью ограничен в России.
Что это значит для бизнеса
- Если компания использует зарубежные серверы напрямую для сбора данных (например, через сайт, подключённый к иностранному CRM), это нарушение.
- Решение — хранить «первичку» в России, а зарубежные сервисы подключать через интеграцию.
- При передаче данных за рубеж важно предусмотреть в политике ПДн и согласиях субъектов упоминание о трансграничной передаче.
Рекомендации и выводы
Да, перенос серверов с ПДн в Россию обязателен для соответствия закону. Чтобы действовать правильно, нужно:
- Организовать хранение первичной базы данных в российских дата-центрах.
- Проверить все зарубежные сервисы и выстроить интеграцию с локальной системой.
- Зафиксировать порядок локализации и трансграничной передачи ПДн во внутренних документах.
- Подготовить доказательную базу для Роскомнадзора (договоры, схемы обработки).
Компания ICTech поможет вашей организации разработать корректный пакет документов и настроить процессы так, чтобы работа с ПДн соответствовала требованиям локализации. Это защитит бизнес от штрафов и блокировок, а также укрепит доверие клиентов.
