152‑ФЗ · Руководство

Локализация персональных данных на серверах в РФ

По ст. 18.1 152‑ФЗ первичная запись и хранение персональных данных граждан РФ должны обеспечиваться на территории России. Регулятор смотрит не только на хостинг сайта, а на то, куда попадает заявка из формы.

Правило мастер-базы

Сбор и первичная запись данных должны происходить в РФ. Копирование за рубеж возможно только при соблюдении требований закона о трансграничной передаче — но не вместо локальной мастер-базы.

Критичный вопрос для DevOps: где выполняется первый INSERT с именем, телефоном или email — в российском облаке или на зарубежном VPS, в Supabase, Firebase, amoCRM?

  • Опасно: заявки сразу в AWS, Hetzner, DigitalOcean
  • CRM и BaaS: регион облака по умолчанию часто не РФ
  • Бэкапы и реплики с ПДн — тоже хранение, не «техническая копия»

Форма на .ru — база за границей

Типичный сценарий: лендинг на российском домене, POST уходит в API, а запись о клиенте создаётся в PostgreSQL в Европе или в облачной CRM за рубежом. Для пользователя это незаметно, для 152‑ФЗ — локализация.

  • Проверьте Network: домены приёмников заявок
  • Google Forms, Airtable, HubSpot — частые маркеры риска
  • Tilda и конструкторы: куда уходит webhook с полями формы

Хостинг, CDN и штрафы

Зарубежный VPS для сайта и CDN (Cloudflare и аналоги) — отдельный пласт рисков, если через них проходит трафик с персональными данными. В публичных разборах нарушения локализации и трансграничной передачи связывают с санкциями КоАП ст. 13.11 — для юрлиц в отдельных составах фигурируют ориентиры до 18 млн ₽ (не юридическая консультация).

  • Предпочтительны российские облака с нужным уровнем защищённости
  • В политике — страны хранения и перечень подрядчиков
  • При копии за рубеж — оформление трансграничной передачи

Как проверить цепочку данных

Отправьте тестовую заявку и проследите путь данных: форма → API → CRM → бэкап. SiteComply в превью-отчёте показывает формы, интеграции и типичные маркеры зарубежных сервисов на сайте.

Что входит в автоматическую проверку

  • Мастер-база с ПДн расположена в РФ
  • Формы не отправляют данные напрямую в зарубежные SaaS
  • Регион CRM и BaaS подтверждён договором или настройками
  • Бэкапы и реплики с ПДн не нарушают заявленную локализацию
  • В политике описана трансграничная передача, если она есть

Частые вопросы

Можно ли использовать Cloudflare?+

Нужно оценивать, проходит ли трафик с ПДн через зарубежные узлы. Для форм и БД — отдельная архитектура с локализацией в РФ.

Достаточно ли хранить сайт в России?+

Нет. Важно, где создаётся запись о клиенте: CRM, БД заявок, Google Forms и виджеты могут писать данные за рубеж, даже если HTML отдаётся с .ru.

Что делать с бэкапами?+

Резервные копии с телефонами и email — хранение ПДн. Их регион и срок хранения должны быть согласованы с политикой и ст. 18.1.

Читайте также