Локализация персональных данных
Подборка наиболее важных документов по запросу Локализация персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц
(КонсультантПлюс, 2026)По общему правилу не допускаются запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если у вас не предусмотрены способы определения гражданства (например, нет поля "гражданство" в форме регистрации), то рекомендуем использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.
(КонсультантПлюс, 2026)По общему правилу не допускаются запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если у вас не предусмотрены способы определения гражданства (например, нет поля "гражданство" в форме регистрации), то рекомендуем использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.
Нормативные акты
Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 24.06.2025)
"О персональных данных"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
(ред. от 24.06.2025)
"О персональных данных"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
"Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ
(ред. от 23.03.2026)8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
(ред. от 23.03.2026)8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
Статья: Договор поручения на обработку персональных данных: как его использовать, несмотря на правовые пробелы и риски?
(Румянцев С.А.)
("Закон", 2025, N 9)В договоре поручения должны быть воспроизведены указанные нормы Закона о персональных данных. Юридический смысл в этом отсутствует, поскольку они и так обязательны для сторон договора поручения. С 1 июля 2025 года изменена редакция так называемого требования о локализации персональных данных, закрепленного в ч. 5 ст. 18. Необходимо обновить соответствующее условие в договорах поручения, заключенных ранее этой даты. Статья 18.1 обязывает принимать "меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных..." законодательством в области ПДн, а также публиковать или иным образом обеспечить неограниченный доступ к политике в отношении обработки персональных данных и сведениям о реализуемых требованиях к защите данных. Другими словами, оператор и обработчик должны выстраивать в своих компаниях комплаенс-систему в области персональных данных <28>.
(Румянцев С.А.)
("Закон", 2025, N 9)В договоре поручения должны быть воспроизведены указанные нормы Закона о персональных данных. Юридический смысл в этом отсутствует, поскольку они и так обязательны для сторон договора поручения. С 1 июля 2025 года изменена редакция так называемого требования о локализации персональных данных, закрепленного в ч. 5 ст. 18. Необходимо обновить соответствующее условие в договорах поручения, заключенных ранее этой даты. Статья 18.1 обязывает принимать "меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных..." законодательством в области ПДн, а также публиковать или иным образом обеспечить неограниченный доступ к политике в отношении обработки персональных данных и сведениям о реализуемых требованиях к защите данных. Другими словами, оператор и обработчик должны выстраивать в своих компаниях комплаенс-систему в области персональных данных <28>.
Статья: Топ-10 обязанностей операторов персональных данных
(Мартянова А.)
("Кадровая служба и управление персоналом предприятия", 2025, N 10)Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ при их сборе не допускаются с использованием баз данных, находящихся за пределами территории России <20>. Это так называемое требование к локализации персональных данных. В данном случае имеет значение физическое местонахождение сервера, в котором хранятся ваши базы данных. Такое местонахождение должно быть на территории Российской Федерации.
(Мартянова А.)
("Кадровая служба и управление персоналом предприятия", 2025, N 10)Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ при их сборе не допускаются с использованием баз данных, находящихся за пределами территории России <20>. Это так называемое требование к локализации персональных данных. В данном случае имеет значение физическое местонахождение сервера, в котором хранятся ваши базы данных. Такое местонахождение должно быть на территории Российской Федерации.
Статья: Чем запомнился 2023 год и что ждать работодателям от 2024 года?
(Свистунова Н., Стародубцев В., Цуркан Н., Шамбер О., Черемисова С., Рейзман Е.)
("Кадровая служба и управление персоналом предприятия", 2024, N 1)В 2023 году государственный контроль за обработкой персональных данных ужесточился. Внедрен более строгий порядок их трансграничной передачи, требующий уведомления Роскомнадзора. Большое внимание уделяется передаче персональных данных за границу: теперь требуется обязательная локализация баз данных в России, а некоторым организациям запрещено использовать иностранные мессенджеры в определенных областях своей деятельности.
(Свистунова Н., Стародубцев В., Цуркан Н., Шамбер О., Черемисова С., Рейзман Е.)
("Кадровая служба и управление персоналом предприятия", 2024, N 1)В 2023 году государственный контроль за обработкой персональных данных ужесточился. Внедрен более строгий порядок их трансграничной передачи, требующий уведомления Роскомнадзора. Большое внимание уделяется передаче персональных данных за границу: теперь требуется обязательная локализация баз данных в России, а некоторым организациям запрещено использовать иностранные мессенджеры в определенных областях своей деятельности.
Интервью: Мы вступили в эпоху цифрового огораживания и национализации (персональных) данных
("Закон", 2022, N 3)- Да, в Китае есть система социального рейтинга, причем она имеет двойную природу. Одна система касается физических лиц, другая - юридических. И последняя вызывает даже большую обеспокоенность международных компаний, которые работают на китайском рынке. Но модель Китая в целом специфичная, связанная с культурным кодом, своими представлениями о демократии, правах человека, построении общества и государства. В то же время мы в целом находимся в эпохе цифрового огораживания, национализации данных, когда все крупные страны пытаются оградить персональные данные граждан от конкурентов. В России приняты Закон о локализации персональных данных <6>, "пакет Яровой" <7> и другие меры, которые приводят к повышению издержек бизнеса в связи с обработкой и хранением персональных данных. Но такие акты есть не только у нас. Гораздо раньше подобное регулирование появилось, например, в Германии. В 2020 г. Европейским судом было принято решение по делу Максимилиана Шремса (Max Schrems) <8>, которое как раз очень существенно ограничило право передачи персональных данных из Европы в США в связи с негативной оценкой американского законодательства в части возможности слежки за гражданами и получения данных о них. После этого решения европейский бизнес, который в основном использовал американские системы, приложения для обработки персональных данных и аналитики, получил неофициальные рекомендации пользоваться отечественными платформами, провайдерами и т.п. Прямой запрет не установили, но были созданы все условия, чтобы максимально ограничить использование европейским бизнесом зарубежных сервисов, в первую очередь сервисов США, так как этот рынок составляет около 1 трлн евро в год.
("Закон", 2022, N 3)- Да, в Китае есть система социального рейтинга, причем она имеет двойную природу. Одна система касается физических лиц, другая - юридических. И последняя вызывает даже большую обеспокоенность международных компаний, которые работают на китайском рынке. Но модель Китая в целом специфичная, связанная с культурным кодом, своими представлениями о демократии, правах человека, построении общества и государства. В то же время мы в целом находимся в эпохе цифрового огораживания, национализации данных, когда все крупные страны пытаются оградить персональные данные граждан от конкурентов. В России приняты Закон о локализации персональных данных <6>, "пакет Яровой" <7> и другие меры, которые приводят к повышению издержек бизнеса в связи с обработкой и хранением персональных данных. Но такие акты есть не только у нас. Гораздо раньше подобное регулирование появилось, например, в Германии. В 2020 г. Европейским судом было принято решение по делу Максимилиана Шремса (Max Schrems) <8>, которое как раз очень существенно ограничило право передачи персональных данных из Европы в США в связи с негативной оценкой американского законодательства в части возможности слежки за гражданами и получения данных о них. После этого решения европейский бизнес, который в основном использовал американские системы, приложения для обработки персональных данных и аналитики, получил неофициальные рекомендации пользоваться отечественными платформами, провайдерами и т.п. Прямой запрет не установили, но были созданы все условия, чтобы максимально ограничить использование европейским бизнесом зарубежных сервисов, в первую очередь сервисов США, так как этот рынок составляет около 1 трлн евро в год.
"Правовые аспекты разработки и коммерциализации программного обеспечения"
(Савельев А.И.)
("Статут", 2024)Таким образом, при использовании функционала компьютерной программы по модели SaaS провайдер будет обрабатывать персональные данные, которые содержатся в данных, предоставляемых пользователем. В ряде случаев это будет неизбежно в силу назначения таких систем, например, если они связаны с ведением кадрового учета или управлением взаимоотношениями с клиентами (CRM). Но в силу очень широкого понятия персональных данных практически любое использование компьютерной программы физическими лицами будет сопряжено с предоставлением провайдеру SaaS персональных данных: на этапе регистрации и авторизации в учетной записи, данных об устройствах, с которых был осуществлен доступ, и пр. Поэтому вопросы соблюдения законодательства о персональных данных при использовании SaaS будут стоять на повестке дня в большинстве случаев. Местонахождение серверов SaaS-провайдера напрямую влияет на исполнение требований о порядке осуществления трансграничной передачи данных (ст. 12 Закона о персональных данных), обеспечения локализации процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных). При этом если провайдер SaaS находится за пределами Российской Федерации, то к нему будут применяться нормы законодательства о персональных данных страны его местонахождения, которые могут вступать в коллизии с положениями российского законодательства о персональных данных.
(Савельев А.И.)
("Статут", 2024)Таким образом, при использовании функционала компьютерной программы по модели SaaS провайдер будет обрабатывать персональные данные, которые содержатся в данных, предоставляемых пользователем. В ряде случаев это будет неизбежно в силу назначения таких систем, например, если они связаны с ведением кадрового учета или управлением взаимоотношениями с клиентами (CRM). Но в силу очень широкого понятия персональных данных практически любое использование компьютерной программы физическими лицами будет сопряжено с предоставлением провайдеру SaaS персональных данных: на этапе регистрации и авторизации в учетной записи, данных об устройствах, с которых был осуществлен доступ, и пр. Поэтому вопросы соблюдения законодательства о персональных данных при использовании SaaS будут стоять на повестке дня в большинстве случаев. Местонахождение серверов SaaS-провайдера напрямую влияет на исполнение требований о порядке осуществления трансграничной передачи данных (ст. 12 Закона о персональных данных), обеспечения локализации процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных). При этом если провайдер SaaS находится за пределами Российской Федерации, то к нему будут применяться нормы законодательства о персональных данных страны его местонахождения, которые могут вступать в коллизии с положениями российского законодательства о персональных данных.
"Государство, общество и личность: пути преодоления вызовов и угроз в информационной сфере: монография"
(отв. ред. Л.К. Терещенко)
("Инфотропик Медиа", 2024)Поскольку неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционированию критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом, потребовалось введение ответственности операторов за неисполнение указанной обязанности. Федеральным законом от 2 декабря 2019 г. N 405-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" <560> введены ч. 8 и 9 ст. 13.11 КоАП РФ, соответственно предусматривающие ответственность за правонарушения, связанные с неисполнением указанной обязанности, и повторное их совершение.
(отв. ред. Л.К. Терещенко)
("Инфотропик Медиа", 2024)Поскольку неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционированию критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом, потребовалось введение ответственности операторов за неисполнение указанной обязанности. Федеральным законом от 2 декабря 2019 г. N 405-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" <560> введены ч. 8 и 9 ст. 13.11 КоАП РФ, соответственно предусматривающие ответственность за правонарушения, связанные с неисполнением указанной обязанности, и повторное их совершение.
Статья: Персональные данные в кадрах: что и кому можно обрабатывать, а что грозит миллионными штрафами
(Лагутин М.)
("Делопроизводство", 2025, N 2)Однако ч. 5 ст. 18 152-ФЗ обязывает первично собирать персональные данные на серверах, которые территориально расположены в России. Поэтому рекомендуется переходить на отечественные "рельсы" и отказываться от иностранных корпоративных сервисов, либо изменить подход к работе с такими сервисами, обеспечив требования о локализации персональных данных.
(Лагутин М.)
("Делопроизводство", 2025, N 2)Однако ч. 5 ст. 18 152-ФЗ обязывает первично собирать персональные данные на серверах, которые территориально расположены в России. Поэтому рекомендуется переходить на отечественные "рельсы" и отказываться от иностранных корпоративных сервисов, либо изменить подход к работе с такими сервисами, обеспечив требования о локализации персональных данных.
Статья: Обработка персональных данных в гостиничном бизнесе: правовые и организационные аспекты
(Петрякова А.В., Конобеева А.Б.)
("Туризм: право и экономика", 2022, N 3)Традиционно вопросы обработки персональных данных исследуются учеными в контексте трудового права (гл. 14 ТК РФ), распространения персональных данных в сети Интернет (в том числе незаконного), локализации персональных данных граждан России. Исследований, связанных со спецификой обработки персональных данных в индустрии гостеприимства, немного. Вместе с тем данная сфера научного поиска представляется интересной, комплексной (межотраслевой и междисциплинарной), включающей в себя положения информационного права, гражданского права, менеджмента. Судебная практика по делам о защите персональных данных в сфере услуг и, в частности, в индустрии гостеприимства, противоречива <2>, что дает основания полагать, что на теоретическом и практическом уровне не выработалось единых правил и стандартов, в связи с чем исследования в данной области не теряют своей актуальности.
(Петрякова А.В., Конобеева А.Б.)
("Туризм: право и экономика", 2022, N 3)Традиционно вопросы обработки персональных данных исследуются учеными в контексте трудового права (гл. 14 ТК РФ), распространения персональных данных в сети Интернет (в том числе незаконного), локализации персональных данных граждан России. Исследований, связанных со спецификой обработки персональных данных в индустрии гостеприимства, немного. Вместе с тем данная сфера научного поиска представляется интересной, комплексной (межотраслевой и междисциплинарной), включающей в себя положения информационного права, гражданского права, менеджмента. Судебная практика по делам о защите персональных данных в сфере услуг и, в частности, в индустрии гостеприимства, противоречива <2>, что дает основания полагать, что на теоретическом и практическом уровне не выработалось единых правил и стандартов, в связи с чем исследования в данной области не теряют своей актуальности.