SEO-корпус
Локализация баз персональных данных граждан РФ · обязанность хранить данные в России
Российская компания запускает интернет-магазин, подключает удобную зарубежную CRM, складывает туда анкеты покупателей и спокойно работает год. Потом приходит запрос Роскомнадзора, и выясняется, что вся первичная база клиентов физически лежит на серверах за пределами страны. Для юридического лица это путь к штрафу, верхняя планка которого по ч. 8 ст. 13.11 КоАП доходит до шести миллионов рублей, а при повторе вырастает до восемнадцати миллионов. Цена удобства облака оказывается несопоставимой с экономией на нём.
Основа всей конструкции это часть 5 статьи 18 Федерального закона от 27.07.2006 N 152-ФЗ. Норма сформулирована жёстко. При сборе персональных данных, в том числе через сеть Интернет, запись, систематизация, накопление, хранение, уточнение, а также извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются. Закон называет конкретный набор операций, и именно их нужно держать на территории страны.
Что на самом деле требует закон
Ключевой момент, который путают чаще всего, состоит в том, что требование привязано не к гражданству оператора и не к месту его регистрации, а к гражданству субъекта данных. Если вы собираете данные граждан России, первичные операции с этими данными должны идти через базу на территории России. При этом норма перечисляет закрытый список действий. Это запись, систематизация, накопление, хранение, уточнение в смысле обновления и изменения, и извлечение. Сбор как таковой и первичное наполнение базы должны происходить именно в российском сегменте.
Закон не запрещает зарубежные серверы полностью. Часть 5 ст. 18 прямо допускает исключения, отсылая к пунктам 2, 3, 4 и 8 части 1 статьи 6 152-ФЗ. Это случаи, когда обработка нужна для достижения целей, предусмотренных международным договором или законом и для выполнения возложенных на оператора законом функций, для участия лица в судопроизводстве, для исполнения полномочий органов власти и для предоставления государственных и муниципальных услуг, а также для профессиональной деятельности журналиста, законной деятельности СМИ либо научной, литературной и иной творческой деятельности при условии ненарушения прав субъекта. За пределами этих случаев первичная база живёт в России.
Как это работает на практике
Типичная рабочая модель выглядит так. Компания держит первичную базу клиентов на сервере в российском дата-центре. Именно туда поступают анкеты, заявки и формы с сайта. Уже из этой базы при необходимости данные могут передаваться дальше, в том числе за рубеж, но это уже трансграничная передача со своими правилами, а не первичная запись. Российская база при такой схеме первична и полна, зарубежная вторична. Контролирующий орган проверяет именно последовательность. Сначала российская база, потом всё остальное.
Пример из жизни. Сетевой ритейлер использовал зарубежную маркетинговую платформу, в которую данные клиентов попадали напрямую с лендингов, минуя российские системы. Формально клиентская карточка создавалась за рубежом. Правильная перестройка процесса свелась к тому, что форма на сайте сначала писала запись в российскую CRM, и только затем фоновая интеграция отправляла обезличенный или согласованный набор полей в иностранный сервис. Технически переезд занял несколько недель, юридически он закрыл состав по ч. 8 ст. 13.11 КоАП.
На что смотрит Роскомнадзор при проверке
Первое это место физического размещения базы, где происходит первичный сбор. Запрашивают сведения о дата-центре, договоры с хостинг-провайдером, IP-адресацию, схему движения данных. Второе это уведомление об обработке, в котором оператор обязан указывать сведения о месте нахождения базы данных, обеспечивающей запись и хранение данных россиян на территории страны. Расхождение между уведомлением и фактом сразу даёт повод для претензий. Третье это архитектура форм сбора на сайте. Проверяющий смотрит, куда уходит запрос при отправке анкеты, не идёт ли он напрямую на иностранный ресурс. Четвёртое это договоры с подрядчиками, которым поручена обработка, и наличие в этих договорах требований по локализации.
Частые ошибки операторов
Первая ошибка это уверенность, что облако российского провайдера автоматически означает российскую локализацию. Если провайдер хранит данные на зарубежных мощностях, состав сохраняется. Запрашивайте у провайдера письменное подтверждение размещения именно в России. Вторая ошибка это смешение локализации и трансграничной передачи. Локализация по ч. 5 ст. 18 это про место первичной базы, трансграничная передача это отдельный институт, и соблюдение одного не отменяет требований другого. Третья ошибка это сбор через зарубежные сервисы аналитики и форм, когда поля с персональными данными утекают на иностранный сервер раньше, чем попадут в российскую систему. Четвёртая ошибка это игнорирование уточнения и извлечения. Многие переносят в Россию хранение, но забывают, что обновление и извлечение данных тоже названы в норме как операции, требующие российской базы.
Ответственность и её размер
Состав по ч. 8 ст. 13.11 КоАП описан как невыполнение оператором при сборе персональных данных, в том числе через Интернет, обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан России с использованием баз данных, находящихся на территории России. Санкция для граждан составляет от тридцати тысяч до пятидесяти тысяч рублей, для должностных лиц от ста тысяч до двухсот тысяч рублей, для юридических лиц от одного миллиона до шести миллионов рублей. Повторное нарушение по ч. 9 ст. 13.11 КоАП поднимает планку для юрлица до восемнадцати миллионов рублей, для должностных лиц до восьмисот тысяч, для граждан до ста тысяч. Это один из самых дорогих составов в главе о персональных данных, и он применяется к самой архитектуре информационной системы, а не к отдельному эпизоду.
Авторская позиция тут простая. Локализация это не разовое юридическое действие, а постоянное свойство ИТ-инфраструктуры. Бесполезно один раз переписать политику, если завтра разработчик подключит новый зарубежный сервис форм. Поэтому правильная защита строится на двух уровнях. На уровне документов это уведомление с верными сведениями о российской базе и договоры с подрядчиками. На уровне архитектуры это карта потоков данных, где видно, что любая первичная запись о гражданине России проходит через российскую систему. Аудит этой карты стоит проводить при каждом изменении стека.
Если вы не уверены, где физически живёт ваша первичная база и как устроены потоки данных с форм сбора, разумнее проверить это до проверки регулятора. Мы помогаем выстроить локализацию в услуге по персональным данным и готовы разобрать вашу конкретную схему через контакты.
Частые вопросы
Нужно ли держать в России вообще все копии базы. Нет. Закон требует, чтобы первичные операции, перечисленные в ч. 5 ст. 18 152-ФЗ, шли через российскую базу. Вторичные копии и последующая передача за рубеж регулируются другими нормами и при соблюдении их требований допустимы.
Касается ли локализация иностранной компании, работающей с россиянами. Требование привязано к гражданству субъекта данных. Если обрабатываются данные граждан России в связи с деятельностью, направленной на территорию страны, оператор обязан обеспечить российскую первичную базу независимо от своей регистрации.
Достаточно ли арендовать сервер у российского провайдера. Только если этот сервер физически находится в России и провайдер это подтверждает. Размещение на зарубежных мощностях под российской вывеской состав по ч. 8 ст. 13.11 КоАП не снимает.