аналитика 10 февраля 2027 По состоянию на 10 февраля 2027

Локализация vs трансграничная передача: что важнее

Локализация и трансграничная передача — два разных требования 152-ФЗ с разными основаниями, сроками и штрафами. Их нарушают независимо, и оба нарушения могут существовать одновременно.

Штраф за нарушение локализации — от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП; за повторное — от 6 до 18 млн ₽. Неуведомление РКН о трансграничной передаче — отдельный состав. Обе нормы действуют с разной логикой, и смешивать их в рамках комплаенса опасно.

Если вы юрист и разбираете документы оператора — проверьте оба требования по отдельным чек-листам: локализацию по ч. 5 ст. 18 ФЗ-152 и трансграничку по ст. 12 ФЗ-152.

С 2015 года операторы обязаны хранить и обрабатывать ПДн граждан РФ на серверах в России. С 2023 года действует обязанность уведомлять РКН до передачи данных в страны без адекватной защиты. К 2025–2026 годам обе нормы обросли судебной практикой и административными штрафами. Юрист, который не разграничивает эти требования, рискует пропустить нарушение или, наоборот, нагнать избыточные ограничения там, где их нет.

Что такое локализация ПДн и кого она касается?

Локализация — обязанность оператора записывать, систематизировать, накапливать, хранить, уточнять и извлекать персональные данные граждан РФ с использованием баз данных, расположенных на территории России. Норма закреплена в ч. 5 ст. 18 ФЗ-152 и действует с 1 сентября 2015 года.

Важно разграничить: требование не означает запрета на любую обработку за рубежом. Трансграничная передача данных — после того как первичная обработка прошла в российской базе — допустима при соблюдении отдельных условий ст. 12 ФЗ-152. Локализация относится именно к первичному сбору и хранению, а не к последующей передаче.

«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются с использованием баз данных, находящихся на территории Российской Федерации.»

Субъект регулирования — любой оператор, обрабатывающий ПДн граждан РФ, вне зависимости от того, зарегистрирован ли он в России. Иностранная компания, собирающая данные российских пользователей через сайт, обязана соблюдать ч. 5 ст. 18 ФЗ-152 наравне с российским юрлицом.

С 2025 года РКН усилил надзор за этим требованием: в числе индикаторов риска при плановых проверках — использование зарубежных CRM, облачных хранилищ и баз данных для первичной записи ПДн граждан РФ.

Есть сомнения в том, где фактически хранятся ПДн вашего клиента?

Юристы, проводящие due diligence или внутренний аудит, нередко сталкиваются с ситуацией, когда оператор формально уведомил РКН, но данные фактически первично записываются в облако AWS или Azure. Это нарушение ч. 5 ст. 18 ФЗ-152 — штраф от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП. DATUM проводит аудит обработки ПДн по чек-листу из 38 пунктов с отчётом и приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что такое трансграничная передача и как она соотносится с локализацией?

Трансграничная передача — это передача персональных данных на территорию иностранного государства или иностранному оператору/физическому лицу. Понятие закреплено в ст. 3 ФЗ-152. Регулирование — ст. 12 ФЗ-152.

Ключевое отличие от локализации: трансграничка регулирует не место хранения, а движение данных через границу. Данные могут первично храниться в России (требование локализации соблюдено), но затем передаваться за рубеж — это уже трансграничная передача, требующая отдельного правового обоснования.

«Ст. 12 ФЗ-152 — до передачи ПДн в иностранное государство, не обеспечивающее надлежащей защиты, оператор обязан уведомить РКН. Перечень государств с адекватной защитой утверждается РКН.»

Логика соотношения двух норм: локализация — это требование к инфраструктуре (где хранится), трансграничка — к потоку данных (куда передаётся). Соблюдение одного не снимает обязанности соблюдать другое.

Пример: российская компания собирает ПДн клиентов на сервере в Москве (локализация соблюдена), а затем передаёт данные в американский маркетинговый инструмент. Передача в США — страну без адекватной защиты по позиции РКН — требует уведомления РКН по ст. 12 ФЗ-152. Если уведомление не подано, возникает самостоятельный состав нарушения.

Какие нормативные основания регулируют каждое требование?

Для юриста, выстраивающего комплаенс, принципиально важно понимать, что каждое требование имеет собственную нормативную цепочку.

Локализация:

Ч. 5 ст. 18 ФЗ-152 — основная норма
Ст. 3 ФЗ-152 — определение понятий «база данных», «хранение», «запись»
Ст. 5 ФЗ-152 — принцип минимизации: хранить только то и там, что предусмотрено целью обработки
Ч. 8 ст. 13.11 КоАП — штраф 1–6 млн ₽ за нарушение локализации
Ч. 9 ст. 13.11 КоАП — штраф 6–18 млн ₽ за повторное нарушение

Трансграничная передача:

Ст. 12 ФЗ-152 — основная норма; условия передачи в страны с адекватной и без адекватной защиты
Ст. 3 ФЗ-152 — определение трансграничной передачи
Ст. 6 ФЗ-152 — правовые основания обработки, применимые и к трансграничным потокам
Приказ РКН об утверждении перечня государств с адекватной защитой (редакция актуальной версии — верифицировать перед публикацией)
Подзаконный акт РКН о порядке уведомления о трансграничной передаче (точные реквизиты — верифицировать)

Что проверить при анализе обработки ПДн оператора

Где физически расположены базы данных, в которых первично записываются ПДн граждан РФ — IP-адреса серверов, договоры с хостером
Передаются ли данные за рубеж после первичной записи — в CRM, аналитические инструменты, облака, дочерние структуры
Подано ли уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 для каждого потока
Соответствуют ли сведения в реестре РКН фактической обработке — категории, цели, страны передачи
Есть ли правовое основание для трансграничной передачи в страну без адекватной защиты (согласие, договор, публичный интерес)

Как штрафы соотносятся по каждому нарушению?

Штрафная логика по двум нарушениям принципиально различается по размеру и субъекту применения.

За нарушение локализации (ч. 8 ст. 13.11 КоАП) — штраф для юридического лица от 1 до 6 млн ₽. При повторном нарушении (ч. 9 ст. 13.11 КоАП) — от 6 до 18 млн ₽. Эти составы введены в действующей редакции ст. 13.11 КоАП в рамках ФЗ-420 от 30.11.2024, действующего с 30.05.2025.

За неуведомление РКН о трансграничной передаче самостоятельного штрафного состава в ст. 13.11 КоАП нет — нарушение может квалифицироваться по общим составам за незаконную обработку (ч. 1 ст. 13.11: 150–300 тыс. ₽) либо по составу о неуведомлении об изменениях в обработке (ч. 10 ст. 13.11: 100–300 тыс. ₽). Сами данные, переданные за рубеж без надлежащего основания, могут образовывать состав незаконной обработки по ч. 1 или ч. 2 ст. 13.11 КоАП в зависимости от наличия согласия.

Таким образом, нарушение локализации несёт более высокий прямой штрафной риск, тогда как нарушение трансграничной нормы чаще влечёт предписание РКН с последующим штрафом за неисполнение.

Если вы юрист и анализируете комплаенс клиента — проверьте оба контура: локализацию и трансграничку. Их часто закрывают одним уведомлением, хотя это два разных процессуальных обязательства перед РКН. DATUM соберёт комплект ОРД под ключ с учётом обоих требований.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Интернет-ретейлер из Центрального ФО (осень 2025) использовал зарубежный SaaS для CRM: данные российских покупателей первично записывались на серверах в Нидерландах. РКН при плановой проверке установил нарушение ч. 5 ст. 18 ФЗ-152. Дополнительно выяснилось, что уведомление о трансграничной передаче в РКН не подавалось. По результатам проверки составлены два протокола: по ч. 8 ст. 13.11 КоАП (нарушение локализации — штраф в диапазоне миллионов рублей) и по ч. 1 ст. 13.11 КоАП (незаконная обработка). Юрист компании привлечён к делу на стадии уже составленных протоколов — переговорное поле существенно сузилось.

Кейс 2. IT-компания из Северо-Западного ФО (начало 2026) провела предварительный аудит перед сменой облачного провайдера. Юрист выявил, что данные технически хранятся на российском узле, однако резервные копии автоматически выгружались на зарубежный сервер. Аудит квалифицировал это как нарушение локализации (ч. 5 ст. 18 ФЗ-152) и одновременно как незадекларированную трансграничную передачу. Компания устранила нарушение до проверки РКН, подала актуализированное уведомление. Претензий со стороны регулятора не последовало.

Типовые ситуации: как нарушения возникают одновременно

Ситуация 1. Облачный провайдер без российского узла. Оператор подключил SaaS-решение (HubSpot, Salesforce, аналог) без анализа того, где физически хранятся данные. ПДн граждан РФ первично записываются на серверах в ЕС или США. Это нарушение локализации. Параллельно оператор не подавал уведомление о трансграничной передаче — второй самостоятельный состав. Стратегия: перевод на российский провайдер или включение российского узла как первичного хранилища; подача уведомления по ст. 12 ФЗ-152 в РКН с описанием правового основания и страны назначения.

Ситуация 2. Холдинг с иностранной материнской компанией. Российская «дочка» собирает ПДн клиентов и автоматически реплицирует базу в корпоративное хранилище группы за рубежом для целей отчётности. Локализация соблюдена — первичная база в России. Но репликация — это трансграничная передача, требующая уведомления РКН. Исход при проверке: предписание устранить нарушение ст. 12 ФЗ-152, штраф по общему составу. Стратегия: оценить страну-получателя, подать уведомление, при необходимости — заключить соглашение с получателем данных.

Ситуация 3. Уведомление РКН подано, но реестр устарел. Оператор уведомил РКН три года назад. С тех пор добавились новые системы обработки, в том числе зарубежные. Фактическая обработка шире заявленного. При проверке РКН сопоставляет уведомление с реальной инфраструктурой — расхождение квалифицируется как нарушение ст. 22 ФЗ-152 (неподача актуализированного уведомления) и может сопровождаться протоколом по ч. 1 ст. 13.11 КоАП. Стратегия: ежегодный пересмотр уведомления, подача изменений через pd.rkn.gov.ru.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка локализации и трансграничных потоков по чек-листу из 38 пунктов
Комплект ОРД под ключ — уведомления РКН, политика, согласия, регламенты с учётом ст. 12 и ч. 5 ст. 18 ФЗ-152
DPO-аутсорсинг — постоянный мониторинг актуальности уведомлений и трансграничных потоков

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (ст. 3 ФЗ-152). Для целей локализации значимы именно первые пять: запись, систематизация, накопление, хранение, уточнение — они должны происходить на российских серверах в соответствии с ч. 5 ст. 18 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований: согласие субъекта, исполнение договора, исполнение обязанностей оператора по законодательству, судопроизводство и иные. При трансграничной передаче в страну без адекватной защиты — согласие субъекта или заключённый с ним договор являются наиболее распространёнными основаниями. Само по себе наличие основания не освобождает от уведомления РКН по ст. 12 ФЗ-152.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП в редакции с 30.05.2025: от 30 тыс. до 18 млн ₽ в зависимости от состава. За нарушение локализации — ч. 8 ст. 13.11: штраф 1–6 млн ₽; повторно — ч. 9: 6–18 млн ₽. Уголовная ответственность — по ст. 272.1 УК РФ (введена с 11.12.2024 ФЗ-421): незаконное использование, передача, сбор или хранение компьютерной информации с ПДн — до 10 лет лишения свободы по ч. 5 при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомлять РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) не зависит от размера бизнеса. Исключения прямо перечислены в ч. 2 ст. 22 ФЗ-152 — это ограниченный перечень (обработка в рамках трудового договора, обработка членами общественных объединений и ряд других). Большинство коммерческих операторов, включая малый бизнес, под исключения не подпадают. Неуведомление — штраф по ч. 10 ст. 13.11 КоАП: 100–300 тыс. ₽ для юрлица.

5. С какого возраста нужно согласие на ПДн?

По общему правилу субъект ПДн сам даёт согласие с момента достижения дееспособности (14 лет по ГК РФ — для большинства сделок). Для лиц до 14 лет согласие дают родители или законные представители. Специального возрастного порога в ФЗ-152 нет, однако при обработке ПДн несовершеннолетних рекомендуется получать согласие законного представителя независимо от возраста субъекта, если обработка не обусловлена прямым волеизъявлением самого субъекта в рамках договора.

Итог

Локализация и трансграничная передача — самостоятельные требования с разными нормативными цепочками, разными условиями нарушения и разными штрафами. Соблюдение одного не освобождает от соблюдения другого. Юрист, выстраивающий комплаенс, обязан анализировать оба контура независимо: где хранятся данные и куда они движутся.

DATUM сопровождает операторов в разграничении этих требований: аудит инфраструктуры хранения, оценка трансграничных потоков, актуализация уведомлений РКН, формирование пакета ОРД с учётом ч. 5 ст. 18 и ст. 12 ФЗ-152.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.