Локализация персональных данных: где должны лежать данные ваших клиентов
С 01.07.2025 первичный сбор персональных данных граждан России должен проходить в базах, физически расположенных на территории РФ. Это требование ч.5 ст.18 152-ФЗ в редакции ФЗ-23 от 28.02.2025. Хранить данные за рубежом не запрещено, но только после того, как запись сделана в российскую базу. За нарушение: юрлицам от 1 до 18 млн рублей (ч.8 и ч.9 ст.13.11 КоАП).
Что именно изменилось с 01.07.2025
До ФЗ-23 норма о локализации была размытой: оператор обязан обеспечить хранение в РФ, но как именно - не уточнялось. После 28.02.2025 формулировка в ч.5 ст.18 стала жёстче: первичная запись ПДн гражданина РФ должна производиться в базу данных, физически расположенную в России. Это не запрет на зарубежные сервисы как таковой. Это запрет начинать сбор данных за рубежом.
Принцип простой: сначала данные осели в российской базе, потом хоть куда. Трансграничная передача по ст.12 152-ФЗ при этом не ограничена. Записали в российскую базу, потом синхронизировали с зарубежным сервисом - закон соблюдён. Но если форма на сайте сразу шлёт данные в Mailchimp на американские серверы, минуя какую-либо российскую запись, это нарушение.
Когда закон говорит «граждане РФ», имеются в виду субъекты, чьё гражданство известно. На практике никто не проверяет паспорт у каждого, кто заполнил форму. Безопаснее считать нарушением сбор данных любого пользователя с сайта, ориентированного на российскую аудиторию, если первичная запись идёт за рубеж.
Хостинг и база данных: где должен стоять сервер
Самый прямолинейный случай. Сайт с формами, которые собирают ПДн, должен хранить эти данные в базе на хостинге в России. Физическое расположение серверов хостинг-провайдера имеет значение.
Российские хостинг-провайдеры с серверами в РФ: Beget, Timeweb, Selectel, REG.RU, SpaceWeb, 2domains и другие. У большинства в оферте прямо прописано расположение дата-центров.
Что насторожит РКН:
- Хостинг у зарубежного провайдера без российских дата-центров (Hetzner, DigitalOcean, AWS без региона «Россия»)
- CMS в России, но база данных вынесена на зарубежный облачный сервис
- CDN кэширует страницы за рубежом - это не хранение ПДн, CDN допустим
Технически: если у вас VPS или выделенный сервер, достаточно подтвердить адрес дата-центра у провайдера. Если облако (Azure, Google Cloud, AWS), убедитесь, что выбран регион russia или ru-central. У части западных провайдеров российских регионов нет вообще - они не подходят для первичной записи ПДн.
CRM и сервисы клиентских данных
Вот где чаще всего возникают проблемы. Компания держит сайт на российском хостинге, но CRM с клиентами живёт в HubSpot, Salesforce или Bitrix24 на зарубежных серверах.
Чёткие случаи нарушения
Если форма на сайте напрямую через API записывает контакт в HubSpot (серверы США), это нарушение ч.5 ст.18. Первичная запись произошла за рубежом.
Как сделать правильно
Вариант А: перейти на российскую CRM. AmoCRM, 1С:CRM, RetailCRM, Битрикс24 с российским облаком, Мегаплан - данные физически в РФ.
Вариант Б: сохранить привычную CRM, но добавить промежуточный слой. Форма - российская база/почта/файл - дальше синхронизация в HubSpot. Технически выполнимо, но добавляет сложности и риск рассинхронизации данных.
Битрикс24 отдельно
Битрикс24 имеет и российское облако, и коробочную версию. Российское облако - данные в РФ, закон соблюдён. Зарубежное облако Битрикс24 - нарушение. Уточните у провайдера, где физически хранятся ваши данные.
| CRM | Серверы в РФ | Статус |
|---|---|---|
| AmoCRM | Да | Соответствует |
| RetailCRM | Да | Соответствует |
| Битрикс24 (рос. облако) | Да | Соответствует |
| Битрикс24 (зар. облако) | Нет | Нарушение |
| HubSpot | Нет | Нарушение (первичный сбор) |
| Salesforce | Нет | Нарушение (первичный сбор) |
Аналитика: Яндекс.Метрика против Google Analytics
Разница принципиальная, и многие её недооценивают.
Яндекс.Метрика хранит данные на серверах в России. IP-адреса, cookie-идентификаторы, данные о поведении пользователей - всё остаётся в российской инфраструктуре. РКН и практика 2025-2026 годов относят IP и идентификаторы к персональным данным, пусть и с оговорками. Метрика в этом плане безопасна.
Google Analytics (GA4) и связанные сервисы (Firebase, Hotjar, Mixpanel) отправляют идентификаторы пользователей на зарубежные серверы в момент загрузки страницы. Первичная запись происходит за рубежом. По ч.5 ст.18 - нарушение, если считать идентификаторы ПДн.
Практика противоречива: РКН пока не выписывал массово штрафы именно за Google Analytics. Но Роскомнадзор в 2026 году усилил автоматизированный мониторинг и сканирование сайтов. При выявлении нарушения оператор обычно сначала получает требование об устранении, штраф - следующий шаг. Ждать, пока придут лично к вам, - рискованная стратегия.
Что делать: заменить GA4 на Яндекс.Метрику или российские альтернативы (Roistat с российскими серверами, собственный Matomo на российском хостинге). Если GA нужен по бизнес-причинам, добавляйте его только после явного согласия пользователя через cookie-баннер с реальным отказом - это хотя бы закрывает вопрос согласия, но не снимает вопрос локализации.
Рассылки: какие сервисы подходят, а какие нет
Email-маркетинг - второй по частоте источник нарушений после CRM. Компании годами пользуются Mailchimp или SendGrid, и переезд выглядит как лишние хлопоты. С 01.07.2025 это уже не вопрос предпочтений.
Что нарушает закон
Mailchimp, SendGrid, Campaign Monitor, Brevo (ex-Sendinblue) - серверы в США или ЕС. Адрес электронной почты - персональные данные однозначно (ст.3 152-ФЗ). Добавление контакта в базу зарубежного сервиса = первичная запись за рубежом = нарушение ч.5 ст.18.
Российские альтернативы
UniSender - серверы в России, умеет то же, что Mailchimp: автоматизации, сегменты, A/B-тесты.
SendPulse - гибридная история. Компания зарегистрирована в Украине, но декларирует серверы в РФ для российских клиентов. Лучше уточнить у поддержки и зафиксировать письменно.
Mailopost - полностью российский сервис, серверы в РФ, SMTP и API. Проще, чем UniSender, но базовые задачи закрывает.
Собственный SMTP на российском VPS - максимальный контроль, минимальные вопросы к регулятору. Postfix или аналог на сервере в России.
| Сервис | Серверы в РФ | Подходит |
|---|---|---|
| UniSender | Да | Да |
| Mailopost | Да | Да |
| SendPulse | Уточнять | Условно |
| Mailchimp | Нет | Нет |
| SendGrid | Нет | Нет |
| Brevo | Нет | Нет |
Отдельно: SMS-рассылки через российские агрегаторы (СМС Центр, МТС Exolve, Devino Telecom) - серверы в РФ, проблем нет.
Формы на сайте: куда летят данные после нажатия кнопки
Сама форма - это HTML-разметка, она данные не хранит. Важно то, куда форма отправляет данные после клика «Отправить».
Google Forms и Typeform
Данные из Google Forms хранятся на серверах Google в США. Typeform - Испания, ЕС. Ни тот, ни другой не подходят для первичного сбора ПДн российских пользователей.
Формы Tilda
Тильда хранит ответы на российских серверах, если ваш сайт использует российский дата-центр Tilda. Это нужно проверять в настройках аккаунта или через запрос в поддержку. Если Tilda сохраняет ответы в зарубежном ЦОД - нарушение остаётся.
Ещё момент: если форма Tilda через Webhook передаёт данные в зарубежную CRM, первичная запись по-прежнему должна быть в РФ.
Формы WordPress
Contact Form 7, WPForms, Gravity Forms сохраняют данные в базу WordPress на вашем хостинге. Если хостинг в России - с точки зрения локализации всё нормально. Но часто к формам подключают интеграции: Zapier (США), Make (Чехия). Через них данные уходят за рубеж до российской записи. Такие интеграции нужно перенастраивать через российские аналоги или промежуточную запись в локальную базу.
Яндекс.Формы
Яндекс.Формы - серверы в России, ответы хранятся в российской инфраструктуре. Подходят как прямая замена Google Forms для сбора ПДн.
Штрафы за нарушение локализации
Санкции за хранение ПДн граждан РФ за рубежом установлены ч.8 и ч.9 ст.13.11 КоАП в редакции ФЗ-420 от 30.11.2024, действующего с 30.05.2025.
| Кто | Первичное (ч.8) | Повторное (ч.9) |
|---|---|---|
| Граждане | 30-50 тыс. ₽ | 50-100 тыс. ₽ |
| Должностные лица | 100-200 тыс. ₽ | 500-800 тыс. ₽ |
| ИП | как юрлицо | как юрлицо |
| Юридические лица | 1-6 млн ₽ | 6-18 млн ₽ |
Для ИП по ч.8 и ч.9 применяется размер штрафа юридического лица - это прямая норма примечания 1 к ст.13.11.
РКН в 2026 году усилил автоматизированный мониторинг: сайты сканируются на предмет использования зарубежных трекеров и сервисов. При выявлении нарушения типичный сценарий таков: сначала оператор получает требование об устранении, штраф - следующий шаг. Суды при первом нарушении нередко применяют предупреждение вместо штрафа (ст.4.1.1 КоАП), но это не гарантия и не повод испытывать судьбу.
Важно: нет никакой нормы о том, что с какой-либо даты 2026 года РКН начнёт штрафовать автоматически за любое несоответствие. Встречаете такой тезис в интернете - это маркетинговый миф, не закон.
Пошаговый порядок действий
- Проверьте хостинг Уточните у провайдера адрес дата-центра. Если серверы вне РФ - переезжайте на Beget, Timeweb, Selectel или другого российского провайдера.
- Аудит CRM Выясните, где физически хранятся данные клиентов в вашей CRM. Зарубежные HubSpot/Salesforce - нарушение. Переходите на AmoCRM, RetailCRM или российское облако Битрикс24.
- Замените сервис рассылок Если используете Mailchimp, SendGrid или Brevo - переезжайте на UniSender или Mailopost. Перед переносом базы экспортируйте контакты и перенесите сегменты.
- Переключите аналитику Замените Google Analytics на Яндекс.Метрику. Если GA нужен по бизнес-причинам - подключайте только после явного согласия пользователя через cookie-баннер с реальной возможностью отказа.
- Проверьте формы на сайте Убедитесь, что данные из форм попадают в российскую базу (WordPress на российском хостинге, Яндекс.Формы, Tilda с российским ЦОД). Google Forms и Typeform не подходят.
- Проверьте интеграции Zapier, Make и аналогичные автоматизаторы часто передают данные на зарубежные серверы до того, как они попадают в российскую базу. Перенастройте интеграции или добавьте промежуточную запись в локальную базу.
- Обновите уведомление в РКН Если вы уже стоите в реестре операторов и изменили хостинг или состав обработчиков - подайте форму 2 (изменение сведений) не позднее 15-го числа следующего месяца через pd.rkn.gov.ru.
Коротко о главном
- С 01.07.2025 первичная запись ПДн россиян должна происходить в базах на территории РФ (ч.5 ст.18 152-ФЗ, ФЗ-23 от 28.02.2025). Зарубежное хранение после российской записи не запрещено.
- Под удар попадают четыре категории сервисов: хостинг за рубежом, зарубежные CRM (HubSpot, Salesforce), зарубежные сервисы рассылок (Mailchimp, SendGrid), Google Analytics и аналогичные трекеры.
- Яндекс.Метрика, UniSender, Mailopost, AmoCRM, российское облако Битрикс24 соответствуют требованиям локализации.
- Штраф за нарушение: юрлицам и ИП от 1 до 6 млн ₽ при первом нарушении, от 6 до 18 млн ₽ при повторном (ч.8, ч.9 ст.13.11 КоАП).
- Трансграничная передача по ст.12 152-ФЗ законна при условии, что первичная запись уже сделана в российской базе.
- Автоматических штрафов «с такой-то даты» законом не предусмотрено: при выявлении нарушения РКН сначала выдаёт требование об устранении, штраф - следующий шаг.
Частые вопросы
Можно ли вообще использовать зарубежные сервисы для хранения данных клиентов из России?
Да, но только как вторичное хранилище. Сначала данные должны попасть в базу на серверах в РФ, и только после этого их можно передавать за рубеж. Синхронизация с HubSpot или Mailchimp после российской записи не нарушает закон.
Google Analytics запрещён в России?
Прямого запрета нет, но использование GA4 без предварительного согласия пользователя и без российской первичной записи нарушает ч.5 ст.18 152-ФЗ. Безопаснее заменить на Яндекс.Метрику или подключать GA только после явного согласия через cookie-баннер.
Что считается первичным сбором персональных данных?
Момент, когда данные впервые фиксируются в информационной системе: клик по кнопке «Отправить» в форме, запись контакта в CRM, передача email в сервис рассылок. Именно тут должна быть российская база как первая точка записи.
IP-адрес посетителя сайта - это персональные данные?
Статический IP - однозначно персональные данные. Динамический IP и cookie-идентификаторы РКН и судебная практика 2025-2026 годов тоже склонны считать ПДн, особенно когда они связаны с профилем пользователя. Безопаснее исходить из того, что любые идентификаторы аналитики - это ПДн.
Нужно ли уведомлять РКН отдельно о факте локализации данных?
Нет, отдельного уведомления о локализации не предусмотрено. Но в уведомлении об обработке ПДн (ст.22 152-ФЗ) нужно корректно указать страну хранения данных и адрес базы данных. Если у вас уже есть уведомление в РКН и с тех пор изменился хостинг или состав обработчиков, подайте форму 2 (изменение сведений) не позднее 15-го числа месяца, следующего за месяцем изменений.
С какой даты РКН начнёт штрафовать за нарушение локализации автоматически?
Такой даты не существует. Это распространённый миф. Закон не предусматривает автоматических штрафов за любое несоответствие. При выявлении нарушения РКН обычно сначала выдаёт требование об устранении, штраф - следующий шаг. При первом нарушении суд нередко заменяет штраф предупреждением (ст.4.1.1 КоАП).
Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию по вашему конкретному случаю.