Локализация персональных данных в России: требования 2026 года

Обновлено: март 2026 · 14 мин чтения

С 1 июля 2025 года требования к локализации персональных данных в России ужесточились. Теперь первичный сбор ПДн граждан РФ должен происходить исключительно на серверах, расположенных на территории страны. Штрафы выросли до 18 миллионов рублей. Разбираем, что именно изменилось, кого это касается и как привести сайт в соответствие.

Содержание

  1. 1. Что такое локализация персональных данных
  2. 2. Что изменилось с 1 июля 2025
  3. 3. Кого это касается
  4. 4. Как Роскомнадзор проверяет локализацию
  5. 5. Что считается нарушением
  6. 6. Штрафы за нарушение локализации
  7. 7. Как привести сайт в соответствие
  8. 8. Часто задаваемые вопросы

1. Что такое локализация персональных данных

Локализация персональных данных — это требование хранить персональные данные граждан Российской Федерации на серверах, физически расположенных на территории России. Это требование закреплено в статье 18 части 5 Федерального закона № 152-ФЗ «О персональных данных».

Суть проста: если ваш сайт собирает имя, email, телефон или любые другие данные, позволяющие идентифицировать человека, — база данных, в которую эти сведения записываются при первичном сборе, должна находиться в России.

Важно понимать: локализация — это не запрет на трансграничную передачу данных. Вы можете передавать данные за рубеж (при соблюдении определённых условий), но первичная запись и основное хранение должны быть в РФ.

Закон действует с 1 сентября 2015 года, однако до 2025 года формулировки были размытыми, и многие компании игнорировали требование. Сейчас ситуация кардинально изменилась.

2. Что изменилось с 1 июля 2025

До 1 июля 2025 года формулировки закона допускали неоднозначное толкование. Некоторые компании утверждали, что достаточно «продублировать» данные в Россию после сбора на зарубежном сервере. Теперь это не работает.

Ключевое изменение: введён прямой запрет на использование иностранных баз данных для первичного сбора персональных данных граждан РФ. Даже если вы потом переносите данные в Россию — сам момент первичной записи должен происходить на российском сервере.

Что конкретно изменилось:

  • Было: неоднозначная формулировка «обеспечить запись, систематизацию, накопление, хранение» — можно было трактовать как разрешение на первичный сбор за рубежом с последующей синхронизацией
  • Стало: явный запрет на использование иностранных баз данных для первичного сбора. Формулировка не допускает двойного толкования
  • Штрафы: увеличены кратно — до 6 млн рублей за первое нарушение, до 18 млн за повторное
  • Контроль: Роскомнадзор усилил автоматический мониторинг через систему «Ревизор»
Совет: если ваш сайт использует формы, отправляющие данные на зарубежные серверы (например, через Typeform, Google Forms, HubSpot), — это прямое нарушение новых требований.

3. Кого это касается

Требование о локализации распространяется на любую организацию или лицо, которые собирают персональные данные граждан Российской Федерации. Не имеет значения, где зарегистрирована компания — в России, Европе или США.

Вы обязаны локализовать данные, если ваш сайт:

Содержит формы регистрации или авторизации
Принимает заказы (интернет-магазин)
Собирает email для рассылки
Имеет форму обратной связи с полями ФИО/телефон
Использует личный кабинет пользователя
Принимает резюме или заявки на работу
Проводит онлайн-запись (клиника, салон, сервис)
Собирает данные через чат-бот

Для иностранных компаний: если вы направляете свою деятельность на российскую аудиторию (русскоязычный сайт, цены в рублях, доставка по России), — вы обязаны соблюдать требования локализации. Примеры: LinkedIn (заблокирован в 2016) и Booking.com (штраф в 2023).

4. Как Роскомнадзор проверяет локализацию

Роскомнадзор использует комплекс автоматизированных инструментов для проверки соблюдения требований о локализации. Главный из них — система «Ревизор».

Система «Ревизор»

Автоматическая система мониторинга, которая анализирует трафик и определяет, куда уходят данные с форм на сайтах. Система отслеживает DNS-записи, IP-адреса серверов, заголовки ответов и маршруты передачи данных. «Ревизор» работает в непрерывном режиме и мониторит тысячи сайтов одновременно.

DNS-анализ и геолокация серверов

Роскомнадзор проверяет, на какие IP-адреса указывают домены, куда отправляются данные из форм. Если IP принадлежит зарубежному дата-центру (AWS us-east, Hetzner, DigitalOcean без российского региона) — это основание для проверки.

Анализ трафика

При отправке формы данные проходят через сетевую инфраструктуру. Если запросы маршрутизируются за пределы РФ (даже через CDN), это фиксируется. Особое внимание — к API-вызовам на сторонние сервисы (CRM, аналитика, рассылки).

Совет: проверьте, куда уходят данные из ваших форм, с помощью DevTools (вкладка Network). Если видите запросы к зарубежным доменам — это потенциальное нарушение.

Проверьте свой сайт на соответствие 152-ФЗ

Бесплатный экспресс-аудит за 60 секунд. Проверим политику, формы, cookie, трекеры и SSL. Полный отчёт с анализом локализации — от 1 990 ₽.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

5. Что считается нарушением

Нарушением локализации считается любая ситуация, когда персональные данные граждан РФ при первичном сборе записываются в базу данных, расположенную за пределами России. Вот конкретные примеры:

Формы, отправляющие данные на зарубежные серверы

Google Forms, Typeform, JotForm, Wufoo — все эти сервисы хранят данные за рубежом. Если вы используете их для сбора ПДн россиян — это нарушение.

CRM на зарубежном облаке

Salesforce, HubSpot, Zoho CRM, Pipedrive — если CRM-система не имеет серверов в России, хранение клиентских данных в ней является нарушением. Альтернативы: Bitrix24, amoCRM, Мегаплан.

Зарубежная аналитика с обработкой ПДн

Google Analytics собирает IP-адреса, данные устройства и поведение пользователя — это персональные данные. Серверы GA находятся за рубежом. Альтернатива: Яндекс.Метрика (серверы в России).

Зарубежные email-сервисы

Mailchimp, SendGrid, ConvertKit — базы подписчиков хранятся на серверах в США. Если вы собираете email россиян через эти платформы — данные изначально записываются за рубежом. Альтернативы: Unisender, DashaMail, Sendsay.

Зарубежные платёжные системы без российского юрлица

Stripe, PayPal (как основной процессинг) — если платёжный провайдер не имеет серверов в России и обрабатывает данные карт и ФИО покупателя за рубежом, это нарушение. Используйте российские эквайринги: ЮKassa, Тинькофф, Сбер.

6. Штрафы за нарушение локализации

С 2025 года штрафы за нарушение требований о локализации персональных данных существенно ужесточены:

НарушениеЮрлицаПовторно
Первичный сбор ПДн на зарубежном сервередо 6 000 000 ₽до 18 000 000 ₽
Хранение ПДн за рубежом без локальной копиидо 6 000 000 ₽до 18 000 000 ₽
Отказ от локализации после предписания РКНдо 18 000 000 ₽блокировка сайта

Прецедент LinkedIn: в 2016 году LinkedIn стал первой крупной компанией, заблокированной в России за отказ локализовать данные российских пользователей. Сайт был заблокирован Роскомнадзором и оставался недоступен до 2022 года. Это показало, что закон применяется даже к глобальным IT-гигантам.

Помимо штрафов, Роскомнадзор имеет право:

  • Заблокировать доступ к сайту на территории РФ
  • Внести сайт в реестр нарушителей прав субъектов ПДн
  • Направить предписание об устранении нарушений с коротким сроком
  • Инициировать судебное разбирательство

7. Как привести сайт в соответствие

Пошаговый план действий для приведения вашего сайта в соответствие с требованиями локализации:

1

Перенесите базы данных на российский хостинг

Выберите российского хостинг-провайдера: Selectel, Timeweb, VK Cloud, Yandex Cloud, reg.ru. Убедитесь, что серверы физически расположены в России (дата-центры в Москве, Санкт-Петербурге и других городах).

2

Замените Google Analytics на Яндекс.Метрику

Яндекс.Метрика — полноценная альтернатива с серверами в России. Есть вебвизор, карта кликов, аналитика форм. Для e-commerce — электронная коммерция с полной воронкой.

3

Самостоятельно хостите шрифты

Google Fonts загружается с серверов Google и передаёт IP-адрес пользователя. Скачайте шрифты и разместите их на своём сервере. Используйте @font-face вместо подключения через Google CDN.

4

Перейдите на российскую CRM

Замените Salesforce, HubSpot или Pipedrive на российские аналоги: Битрикс24, amoCRM, Мегаплан, RetailCRM. Все они хранят данные на серверах в России и полностью соответствуют 152-ФЗ.

5

Проверьте все form actions

Откройте DevTools в браузере, заполните каждую форму на сайте и посмотрите, куда уходит запрос (вкладка Network). Все POST-запросы с персональными данными должны идти на сервер в России.

6

Замените зарубежные email-сервисы

Вместо Mailchimp и SendGrid используйте российские платформы: Unisender, DashaMail, Sendsay, Notisend. Если нужен SMTP — Яндекс 360 для бизнеса.

Совет: начните с аудита — составьте список всех сервисов, которые получают данные с вашего сайта. Для каждого определите, где физически находятся серверы. Наш бесплатный пре-скан поможет выявить основные проблемы за 60 секунд.

Часто задаваемые вопросы

Можно ли использовать AWS/Azure с серверами в Москве?

Формально — да, если данные физически хранятся и обрабатываются на серверах, расположенных в России. Однако на практике ни AWS, ни Azure не имеют собственных дата-центров на территории РФ. Yandex Cloud и VK Cloud предлагают сервисы, совместимые по API с AWS, но с серверами в России.

Что если мой хостинг в Германии?

Если ваш хостинг расположен за пределами России (Германия, Нидерланды, США) и вы собираете ПДн граждан РФ — это прямое нарушение. Необходимо перенести базу данных на российский хостинг. Сам сайт (статика, код) может оставаться за рубежом, но база с ПДн должна быть в России.

Распространяется ли на мобильные приложения?

Да. Требование о локализации не зависит от платформы. Если мобильное приложение собирает персональные данные граждан РФ (регистрация, профиль, заказы), серверная часть (backend, база данных) должна находиться в России. Это касается и iOS, и Android приложений.

Как проверить, где хранятся данные?

Несколько способов: (1) уточните у хостинг-провайдера расположение серверов; (2) проверьте IP-адрес сервера через whois-сервисы; (3) в DevTools браузера посмотрите, куда отправляются данные из форм; (4) запросите у поставщиков CRM, аналитики и email-сервисов информацию о расположении серверов. Или воспользуйтесь нашим сервисом — мы автоматически проверим ключевые параметры.

Проверьте свой сайт бесплатно

Автоматический аудит на соответствие 152-ФЗ. Результат за 60 секунд. Полный отчёт с рекомендациями — от 1 990 ₽.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

152-ФЗ простым языком →Штрафы 152-ФЗ: полная таблица →Чек-лист соответствия →

Данная статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных.