справочник 14 апреля 2027 По состоянию на 14 апреля 2027

Локализация ПДн по ч. 5 ст. 18: правила 2026

Локализация персональных данных — требование ч. 5 ст. 18 ФЗ-152 записывать, систематизировать, накапливать, хранить, уточнять и извлекать персональные данные граждан РФ исключительно в базах данных, физически расположенных на территории России.

С 01.07.2025 требование распространяется на первичный сбор данных: операторы не вправе направлять формы с сайта сразу в зарубежные CRM или аналитические системы. Нарушение — ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽; повторно — 6–18 млн ₽ по ч. 9.

→ Если вы юрист и проверяете комплаенс компании — ниже разбор ключевых понятий, правовых оснований и типовых нарушений по состоянию на 2026 год.

Требование локализации действует с 01.09.2015, однако судебная и административная практика по-прежнему формируется: РКН фиксирует случаи хранения российских ПДн в зарубежных облаках, передачи баз через CDN-узлы и использования SaaS-систем без российского дата-центра. Этот справочник даёт точные определения ключевых понятий, описывает правовые основания обработки и перечисляет нарушения, которые чаще всего выявляются при аудите.

Что означает локализация по ч. 5 ст. 18 ФЗ-152?

Норма охватывает шесть операций с данными: запись (первичное внесение в базу), систематизация (упорядочивание по атрибутам), накопление (пополнение базы новыми записями), хранение (удержание данных между операциями), уточнение (изменение существующих записей) и извлечение (выгрузка, формирование отчётов). Каждая из этих операций должна выполняться средствами, расположенными на территории России.

«Ч. 5 ст. 18 ФЗ-152: при сборе ПДн, в том числе через информационно-телекоммуникационную сеть Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.»

Закон не запрещает последующую трансграничную передачу — данные можно реплицировать за рубеж, если первичная обработка уже состоялась в российской базе. Трансграничная передача регулируется отдельно ст. 12 ФЗ-152 и требует уведомления РКН при передаче в страну без адекватного уровня защиты.

Оператор персональных данных по ст. 3 ФЗ-152 — это юридическое лицо, физическое лицо или государственный орган, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн. Именно оператор несёт ответственность за выполнение требований локализации, в том числе когда фактическую обработку выполняет подрядчик по договору поручения (п. 3 ст. 6 ФЗ-152).

Какие категории ПДн подпадают под требование локализации?

Требование распространяется на данные граждан Российской Федерации без различия по категории. Иными словами, локализовать нужно:

Общие ПДн — ФИО, дата рождения, адрес, телефон, email, сведения о трудовой деятельности, паспортные данные.
Специальные категории (ст. 10 ФЗ-152) — состояние здоровья, расовая и национальная принадлежность, политические и религиозные взгляды, интимная жизнь, судимость. Для них действуют дополнительные ограничения: обработка по общему правилу запрещена, кроме исчерпывающего перечня исключений ч. 2 ст. 10.
Биометрические ПДн (ст. 11 ФЗ-152) — изображение лица, голос для идентификации, отпечатки пальцев, радужная оболочка глаза, ДНК. Биометрия, размещаемая в Единой биометрической системе, дополнительно регулируется ФЗ-572.

Субъект персональных данных — физическое лицо, к которому относятся данные. Гражданство субъекта не всегда совпадает с гражданством в документах: Роскомнадзор при проверках исходит из фактического нахождения лица на территории РФ и наличия гражданства РФ, а не из поля «гражданство» в анкете.

Проверяете, правильно ли выстроена локализация в вашей компании?

Юрист, проводящий внутренний комплаенс-аудит, часто сталкивается с тем, что CRM, HR-система или аналитика фактически хранят данные в зарубежном облаке — хотя договор с вендором предусматривает «российский сервер». Проверить реальное размещение данных и оформить корректное поручение обработки — задача для специализированного аудита.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

На каких правовых основаниях ведётся обработка ПДн?

Ст. 6 ФЗ-152 устанавливает одиннадцать оснований обработки. На практике используются четыре наиболее распространённых:

Согласие субъекта (п. 1 ч. 1 ст. 6) — с 01.09.2025 оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Согласие не может включаться в текст договора, политики или оферты. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва.
Исполнение договора (п. 5 ч. 1 ст. 6) — обработка данных стороны договора в объёме, необходимом для его исполнения. Согласие в этом случае не требуется, но объём данных должен соответствовать целям.
Исполнение законной обязанности (п. 2 ч. 1 ст. 6) — например, передача данных в ФНС, СФР, военкоматы по требованию закона.
Законный интерес оператора (п. 7 ч. 1 ст. 6) — применяется ограниченно; интерес оператора не должен ущемлять права субъекта.

Принципы обработки ст. 5 ФЗ-152 обязательны независимо от основания: данные собираются для конкретных целей, объём соответствует целям, базы с несовместимыми целями не объединяются, данные уничтожаются или обезличиваются при достижении цели обработки.

Что проверить юристу при аудите локализации

Местонахождение серверов каждой информационной системы, обрабатывающей ПДн граждан РФ (договор с вендором + технический акт).
Наличие и актуальность уведомления в реестре операторов РКН с указанием места хранения баз данных.
Договор поручения обработки с подрядчиком (ч. 3 ст. 6 ФЗ-152): перечень операций, место обработки, обязанность обеспечить локализацию.
Отдельные согласия субъектов, оформленные по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156), — не вшитые в договор.
Уведомление РКН о трансграничной передаче, если данные реплицируются за рубеж после первичной обработки в РФ (ст. 12 ФЗ-152).

Какая ответственность предусмотрена за нарушение локализации?

Административная ответственность установлена ч. 8 и ч. 9 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024, действующей с 30.05.2025.

«Ч. 8 ст. 13.11 КоАП — невыполнение обязанности по локализации: штраф для юридического лица 1 000 000 — 6 000 000 ₽. Ч. 9 ст. 13.11 — повторное нарушение локализации: 6 000 000 — 18 000 000 ₽.»

Дела рассматриваются мировыми судьями с 28.12.2025 (ФЗ-508 от 28.12.2025). Протокол составляет Роскомнадзор. Проверки могут быть плановыми и внеплановыми; индикаторы риска для внеплановой проверки включают жалобы субъектов, публикации в СМИ о работе сервиса и данные технического мониторинга РКН.

Помимо административной ответственности, нарушение локализации может квалифицироваться как неправомерный доступ к компьютерной информации по ст. 272 УК РФ (при умышленном обходе требования) или подпадать под ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) при незаконном хранении компьютерной информации с ПДн.

Типовые ситуации при нарушении локализации

Ситуация 1. CRM зарубежного вендора без российского ЦОД. Компания использует HubSpot или Salesforce; данные клиентов-граждан РФ хранятся исключительно на серверах в США или ЕС. Доказательства: договор с вендором, техническая документация, данные трассировки. Вероятный исход: протокол по ч. 8 ст. 13.11, штраф 1–6 млн ₽. Стратегия: до получения протокола — перевести первичную запись на российский ЦОД, зафиксировать переход документально, уведомить РКН об изменении сведений.

Ситуация 2. Данные в реестре РКН указаны верно, но фактически хранятся за рубежом. Оператор подал уведомление с российским адресом сервера, однако по факту данные реплицируются в зарубежный ЦОД без предшествующей первичной обработки в РФ. Доказательства: технический аудит маршрутизации, логи DNS. Исход: нарушение ч. 5 ст. 18 и ч. 8 ст. 13.11; представление ложных сведений РКН создаёт дополнительный риск. Стратегия: немедленная техническая корректировка + обновление уведомления в РКН.

Ситуация 3. Подрядчик по поручению хранит данные за рубежом. Оператор передал обработку агентству или IT-подрядчику; в договоре место хранения не зафиксировано, подрядчик использует зарубежную платформу. По принципу ВС РФ оператор отвечает за утечку и нарушения через подрядчика. Стратегия: включить в договор поручения обязанность использовать только российские ЦОД, провести технический аудит подрядчика.

Если вы юрист и готовите компанию к проверке РКН по локализации — проверьте, правильно ли составлены договоры поручения и уведомление. Нарушение ч. 5 ст. 18 ФЗ-152 обнаруживается на первом же запросе инспектора о месте хранения данных.

Заказать аудит 152-ФЗ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Перечень открытый: любая техническая операция с данными, позволяющими идентифицировать физическое лицо, признаётся обработкой и подпадает под требования закона.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает одиннадцать оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), выполнение законной обязанности (п. 2). Согласие с 01.09.2025 оформляется отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 — не включается в договор или оферту.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (18 частей в ред. ФЗ-420 от 30.11.2024): от 30 000 ₽ (ч. 3, отсутствие политики) до оборотного штрафа 1–3% годовой выручки, не менее 20 млн ₽ (ч. 15, повторная крупная утечка). За нарушение локализации — ч. 8 (1–6 млн ₽) или ч. 9 при повторности (6–18 млн ₽). Уголовная ответственность — ст. 272.1 УК РФ (с 11.12.2024), до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Ст. 22 ФЗ-152 обязывает уведомить РКН до начала обработки ПДн. Исключения ч. 2 ст. 22 ограничены: не уведомляют, например, при обработке данных работников исключительно для трудовых отношений. Малый бизнес под общее исключение не подпадает. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Итог

Локализация персональных данных по ч. 5 ст. 18 ФЗ-152 — не формальность: нарушение выявляется при первой же технической проверке и влечёт штраф от 1 млн ₽, а при повторности — до 18 млн ₽. Ключевые риски связаны с зарубежными SaaS-системами, договорами поручения без указания места хранения и расхождением между уведомлением в реестре РКН и фактическим размещением данных.

Юристы DATUM сопровождают аудиты локализации с 2014 года: проверяем договоры с вендорами, техническую архитектуру, уведомления в РКН и пакет ОРД по 38 пунктам.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка локализации, договоров поручения, уведомлений РКН
Комплект ОРД под ключ — политика, согласия, договор поручения, журналы
DPO-аутсорсинг — ответственный за обработку по ст. 22.1 на абонементе

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

14 апреля 2027 года