Запрет использования иностранных сервисов для сбора персональных данных

С 1 июля 2025 года в России вступают в силу поправки в Федеральный закон № 152 «О персональных данных», которые ужесточают требования к локализации обработки данных граждан РФ. Эти изменения направлены на усиление контроля над цифровым суверенитетом и минимизацию рисков утечки личной информации соотечественников за рубеж. Данные изменения затронут многие компании, поэтому самое время задуматься, касаются ли они вашего бизнеса.

Задайте себе следующие вопросы: используете ли вы зарубежные облачные сервисы или другие инструменты для бизнеса, такие как Google Forms или Google Analytics? Где физически расположен хостинг вашего сайта и применяете ли вы иностранные IT-решения для обработки персональных данных россиян? Может быть, Вы используете мессенджеры как источник получения информации о своих клиентах? Если вы ответили утвердительно хотя бы на один из этих вопросов, эта статья окажется для Вас полезной. Для правильного понимания контекста начнём с небольшой исторической справки.

Предпосылки возникновения требований о локализации сбора данных в РФ

Требование о локализации персональных данных российских граждан появилось не на пустом месте. Еще в 2006 году был принят Федеральный закон №152-ФЗ "О персональных данных", который заложил основы защиты приватности. Однако настоящий перелом произошел в 2014-2015 годах, когда мир охватили серьезные потрясения в сфере информационной безопасности. Сенсационные разоблачения Эдварда Сноудена вскрыли масштабную деятельность зарубежных спецслужб по сбору личных данных пользователей в глобальных масштабах. Параллельно с этим резко возросло количество инцидентов с утечкой информации из различных международных сервисов – от почтовых платформ и социальных сетей до банковских систем. Эти события наглядно продемонстрировали необходимость усиления контроля над хранением и обработкой персональных данных российских граждан, что впоследствии привело к введению жестких требований по их локализации внутри страны.

В ответ на растущие угрозы информационной безопасности и необходимость защиты конфиденциальности российских граждан в 2015 году в Федеральный закон №152-ФЗ «О персональных данных» была введена часть 5 статьи 18. Эта норма стала ключевым элементом регулирования, обязывая операторов обеспечивать хранение и обработку персональных данных россиян исключительно на территории Российской Федерации. Но в текущей редакции данная норма претерпела существенные изменения.

Запрет распределенного хранения персональных данных

Ранее при действующей формулировке закона компании могли создавать реплики баз данных с персональными данными на серверах, расположенных за пределами РФ, формально не нарушая законодательство. Поскольку основная база данных находилась на территории России, репликация рассматривалась как допустимая практика.

Новая редакция закона исключает любую возможность двусмысленной трактовки, вводя прямой запрет на сбор и последующую обработку ПДн граждан РФ с использованием баз данных, находящихся за пределами российской юрисдикции. Использование популярных инструментов, таких как Google Analytics, без обеспечения локализации данных может повлечь за собой нарушение законодательства.

Компаниям, использующим подобные сервисы, необходимо срочно пересмотреть свои политики обработки данных и принять меры для обеспечения их соответствия новым требованиям. Это может включать в себя:

1. Прокси-серверы с локализацией данных

Данный метод предполагает маршрутизацию информационных потоков через российские сервера, что создает видимость соблюдения требований законодательства. Однако следует учитывать:

• необходимость документального подтверждения отсутствия экспорта данных за пределы РФ;
• потенциальные вопросы регуляторов к программному обеспечению, имеющему иностранное происхождение.

2. Осуществление сбора персональных данных на территории Российской Федерации и последующая (трансграничная) передача персональных данных иностранным контрагентам для последующей обработки. В определенных случаях при наличии явно выраженного согласия пользователя закон допускает передачу информации за рубеж для обработки. Однако это не отменяет требования о первоначальной фиксации и хранении данных на территории России и получения разрешения от госоргана.

3. Переход на российские аналоги

Наиболее надежным решением остается полный отказ от иностранных сервисов в пользу отечественных аналогов. Хотя это может потребовать времени на адаптацию, такой подход полностью исключает риски нарушения законодательства и поддерживает развитие российского IT-рынка.

Каждый из этих вариантов имеет свои особенности и требует тщательной проработки с учетом специфики бизнеса.

Вам необходима первичная консультация?

Несмотря на ужесточение требований к локализации, важно отметить, что новая редакция статьи 18 ФЗ-152 охватывает не все операции с персональными данными, а лишь запись, накопление, хранение, уточнение (обновление, изменение) и извлечение. Такие операции, как передача ПД, не подпадают под действие данной статьи.

Это означает, что трансграничная передача данных в определенных случаях по-прежнему будет возможна. Однако операторы обязаны уведомлять Роскомнадзор о каждом факте трансграничной передачи, а доступ иностранных компаний к данным российских граждан, хранящимся за рубежом, в целом усложнится.

Оператор vs. Обработчик: Кому теперь отвечать?

Важным аспектом является исключение из новой редакции термина "оператор" персональных данных. В контексте действующего законодательства оператор – это компания, определяющая цели и методы обработки персональных данных. Зачастую операторы, стремясь оптимизировать расходы, передавали фактическую обработку ПД сторонним организациям – обработчикам. Такая схема позволяла операторам обходить требования о локализации, поскольку формально ответственность за хранение данных за рубежом несла организация-обработчик.

Новая редакция закона устраняет эту "лазейку", распространяя требования о локализации на всех, кто осуществляет обработку персональных данных граждан РФ независимо от их статуса (оператор или обработчик). Это означает, что даже если компания передает ПД стороннему сервису для обработки, ответственность за соответствие требованиям о локализации несут обе стороны. С более подробной информацией об особенностях института поручения обработки персональных данных вы можете ознакомиться в нашем материале по ссылке.

Таким образом, изменения направлены не только на ужесточение правил хранения данных, но и на устранение лазеек, связанных с передачей информации за рубеж через посредников. Компаниям, работающим с персональными данными россиян, придется пересмотреть не только свою IT-инфраструктуру, но и договоры с подрядчиками, чтобы исключить любые риски несоответствия новым требованиям.

Использование мессенджеров для сбора персональных данных запрещено?

Вопрос о законности применения зарубежных мессенджеров для работы с персональными данными остаётся дискуссионным. Российские регуляторы последовательно применяют санкции к международным компаниям, не выполняющим требования о локализации данных. За отказы локализовать ПДн штрафовали такие компании, как Apple, Google, Twitter (ныне X, соцсеть запрещена в России), Facebook и WhatsApp (принадлежат Meta, которая признана в России экстремистской и запрещена). Из-за отказа локализовать информацию о пользователях в России в 2016 году заблокировали соцсеть LinkedIn. С 1 июня 2025 года государственным компаниям, бюджетным учреждениям и организациям с госучастием запрещается использовать любые мессенджеры (включая иностранные) для оказания услуг гражданам и взаимодействия с контрагентами.

Недавнее решение о привлечении владельца сервиса обмена мгновенными сообщениями Telegram к ответственности за нарушения порядка обработки персональных данных российских граждан путем назначений административного штрафа в размере на 2 млн. рублей наглядно демонстрирует эту тенденцию: если сервис не может доказать, что данные россиян хранятся в РФ, его ждёт административное наказание.

Этот прецедент, хотя и создает определенные сложности для крупных игроков рынка, все же оставляет пространство для маневра частным предпринимателям. Скорее всего, первоначально контроль будет сосредоточен на крупных международных платформах, в то время как индивидуальных предпринимателей и небольшие компании ждет переходный период. Ключевым вопросом станет трактовка понятия "сбор данных" - если бизнес использует мессенджеры только для коммуникации без систематического хранения информации, есть шанс избежать повышенного внимания регуляторов, за исключением госсектора. В целом пока сложно сказать, как эти изменения повлияют на бизнес, однако всем участникам рынка уже сейчас стоит задуматься о постепенном переходе на альтернативные решения.

Стратегии адаптации: Минимизация рисков и обеспечение соответствия

Вступление в силу новой редакции п. 5 ст. 18 ФЗ-152 создает новые вызовы для бизнеса, но также открывает возможности для повышения уровня защиты персональных данных и укрепления доверия клиентов. Компаниям, стремящимся к успешной деятельности в условиях изменяющегося законодательства, необходимо незамедлительно принять меры для обеспечения соответствия новым требованиям.

Для снижения рисков и обеспечения соответствия новым требованиям рекомендуется:

1. Провести комплексный аудит IT-инфраструктуры и бизнес-процессов с целью выявления операций по сбору, хранению и обработке ПД, осуществляемых за пределами РФ.
2. Проверить договоры с иностранными подрядчиками и поставщиками услуг на предмет соответствия требованиям о локализации ПД.
3. Обновить документацию по обработке ПД, включая политики конфиденциальности и согласия на обработку данных.

Важно понимать, что предложенные решения не исключают риски полностью. Окончательные рекомендации могут быть даны только после формирования практики применения новых норм законодательства надзорными органами и судами.