Сбор персональных данных и локализация: требования закона, мировые тренды и риски для бизнеса

Обновлено 30.03.2026 · Юридическая фирма Инмар

Любая российская компания, которая собирает данные клиентов через сайт, мобильное приложение, CRM-систему или мессенджер, работает в условиях жёсткого режима локализации персональных данных. Сбор персональных данных — в терминологии Федерального закона № 152-ФЗ «О персональных данных» это отправная точка, с которой начинается действие режима локализации: запись, систематизация, накопление, хранение и извлечение сведений о гражданах РФ должны производиться исключительно с использованием баз данных, физически расположенных на территории России.

Обеспечить это требование оператор обязан в момент получения первых данных от субъекта — то есть тогда, когда клиент заполняет форму на сайте, регистрируется в приложении или отправляет свои сведения по любому цифровому каналу. На этом этапе риски штрафных санкций максимальны, а регулятор последовательно переходит от предупреждений к реальным взысканиям.

Требование о локализации персональных данных закреплено в части 5 статьи 18 Закона № 152-ФЗ. Нарушение этой нормы квалифицируется по статье 13.11 КоАП РФ. Ответственность за нарушение 152-ФЗ в части локализации предусматривает для юридических лиц штраф от одного до шести миллионов рублей при первичном нарушении и от шести до восемнадцати миллионов рублей при повторном.

Опыт Инмар: локализация данных в архитектуре ИИ-платформы

К нам обратился российский разработчик, создававший платформу машинного обучения для анализа клиентских данных. Система предполагала передачу пользовательских записей — имён, контактов, поведенческих паттернов — во внешнюю языковую модель через API зарубежного провайдера. Клиент рассматривал эту архитектуру как «использование», а не как сбор персональных данных, полагая, что требования по локализации персональных данных распространяются только на этап первичного получения информации непосредственно от субъекта.

Мы провели анализ архитектуры сервиса и пришли к однозначному выводу: любая передача персональных данных в систему зарубежного провайдера, при которой эти данные записываются в иностранной базе — пусть временно и в целях обработки, — образует нарушение части 5 статьи 18 Закона № 152-ФЗ. Закон не разграничивает первичный сбор и последующую передачу в части запрета на использование иностранных баз данных: запрещена сама операция записи, накопления или извлечения данных граждан РФ за пределами российской юрисдикции, вне зависимости от того, на каком этапе жизненного цикла данных она происходит.

По итогам работы мы подготовили заключение с рекомендациями по перестройке архитектуры: весь цикл обработки персональных данных был перенесён на российскую инфраструктуру, а взаимодействие с внешними моделями организовано таким образом, чтобы за периметр российских серверов передавались лишь обезличенные токенизированные данные без возможности идентификации субъекта персональных данных. Клиент устранил нарушение до начала использования сервиса и избежал административной ответственности.

Сбор персональных данных и требования по локализации: что запрещает 152-ФЗ

Часть 5 статьи 18 Закона № 152-ФЗ прямо называет операции, которые при сборе персональных данных граждан РФ — в том числе через интернет — запрещено производить с использованием баз данных за пределами России: запись, систематизация, накопление, хранение, уточнение и извлечение. Перечень закрытый. Это означает, что использование любого зарубежного сервиса, который хотя бы временно фиксирует или обрабатывает сведения о гражданах РФ, нарушает закон.

Исключения из режима локализации немногочисленны. Они предусмотрены частью 1 статьи 6 Закона № 152-ФЗ и охватывают, в частности, обработку, необходимую для исполнения международных договоров РФ, для обеспечения транспортной безопасности, а также для исполнения ряда государственных функций. Для коммерческих операторов в сфере ритейла, финтеха, логистики, здравоохранения и образования эти исключения, как правило, неприменимы.

Режим локализации и режим трансграничной передачи персональных данных — это разные правовые конструкции, хотя и взаимосвязанные. Локализация регулирует момент сбора: данные должны изначально попасть в российские базы. Трансграничная передача — последующий режим, при котором данные, уже прошедшие локализацию в России, могут при соблюдении требований статьи 12 Закона № 152-ФЗ направляться в иностранные юрисдикции. Детально этот механизм рассмотрен в нашей публикации о трансграничной передаче персональных данных.

Судебная практика по локализации персональных данных

Процессуальная реформа и её последствия для бизнеса

До понимания судебной практики необходимо учитывать изменения в юрисдикции. С 30 мая 2025 года дела по статье 13.11 КоАП РФ были переданы в арбитражные суды, что давало бизнесу процессуальные преимущества — специализированное экономическое рассмотрение и доступ к апелляционной цепочке вплоть до Судебной коллегии по экономическим спорам Верховного Суда РФ.

Федеральный закон от 28.12.2025 № 508-ФЗ вернул эти дела в юрисдикцию мировых судей. Решения мировых судей обжалуются в районных судах общей юрисдикции — это существенно сокращает инстанционные возможности для компаний и ускоряет вступление постановлений в законную силу.

Штраф за нарушение локализации персональных данных — от одного до восемнадцати миллионов рублей в зависимости от того, первичное нарушение или повторное. Практика по таким делам только начинает формироваться в рамках нового процессуального режима, однако уже сложившаяся тенденция однозначна: суды назначают санкции, ощутимые для любого бизнеса, а иностранные компании не получают никакого процессуального иммунитета.

Важный инструмент доказывания: политика конфиденциальности как улика

Во всех рассмотренных делах Роскомнадзор использовал единый метод доказывания: анализ политики конфиденциальности сервиса в сочетании с данными из общедоступных whois-сервисов. Регулятор не проводит технической инспекции серверной инфраструктуры — достаточно того, что оператор сам раскрыл в своём публичном документе.

По делу Coursera Inc. (дело № 05-0031/422/2025) мировой судья судебного участка № 422 Таганского района г. Москвы 05 февраля 2025 года установил: анализ политики конфиденциальности компании показал, что для регистрации на образовательной платформе субъект персональных данных предоставляет имя, электронную почту и иные сведения, а данные whois подтвердили расположение баз данных на территории США. Штраф — 2 000 000 рублей по части 8 статьи 13.11 КоАП РФ.

По делу Realtimeboard, Inc. dba Miro (дело № 05-0153/2026) тот же судья 25 февраля 2026 года установил: для создания учётной записи в сервисе Miro пользователь предоставляет номер телефона и адрес электронной почты; в процессе использования сервис дополнительно получает платёжную информацию, IP-адрес и файлы cookie. Политика конфиденциальности и данные whois подтвердили использование баз данных на территории США. Штраф — 2 000 000 рублей.

Практический вывод для операторов — и российских, и иностранных — очевиден: политика конфиденциальности, размещённая на сайте, становится важным источником доказательств при производстве по делу о нарушении требований по локализации персональных данных. Разработка этого документа — не формальность ради «галочки», а юридически значимый акт. Если в политике конфиденциальности указано, что данные хранятся на зарубежных серверах или передаются иностранным партнёрам, это фактически является самообвинением. Документ должен точно отражать реальную IT-архитектуру — и эта архитектура должна соответствовать требованиям закона.

Арбитражные дела: иностранные платформы под прицелом Роскомнадзора

В феврале 2026 года Арбитражный суд города Москвы рассмотрел два дела о нарушении требований по локализации персональных данных. Дела были возбуждены в 2025 году, когда статья 13.11 КоАП РФ относилась к юрисдикции арбитражных судов, и завершены уже после процессуальной реформы — в соответствии с принципом, что дело рассматривается тем судом, которым было принято к производству.

По делу № А40-348409/25 суд привлёк к ответственности компанию Bad Kitty’s Dad LDA (Португалия), владеющую стриминговым сервисом Ome.TV, по части 9 статьи 13.11 КоАП РФ — повторное нарушение. Роскомнадзор установил: политика конфиденциальности сервиса раскрывала, что при сборе персональных данных — адреса электронной почты, имени, возраста, фотографии и данных из профилей в социальных сетях, а также файлов cookie — использовались базы данных на территории ЕС. Анализ политики в сочетании с данными whois подтвердил нарушение. Компания ранее уже привлекалась к ответственности по части 8 статьи 13.11 КоАП РФ постановлением мирового судьи от 30.10.2024. Штраф за повторное нарушение — 6 000 000 рублей (нижняя граница санкции по части 9).

По делу № А40-353424/25 суд привлёк Domains By Proxy, LLC (США), связанную со стриминговым сервисом ruletka.chat, к ответственности по части 8 статьи 13.11 КоАП РФ — первичное нарушение. Сервис имел русскоязычную версию — суд расценил это как признак направленности на российскую аудиторию. Политика конфиденциальности зафиксировала сбор и хранение персональных данных пользователей — IP-адреса, данных из социальных сетей, адреса электронной почты и фотографии профиля — на серверах в США. Штраф — 1 000 000 рублей.

Оба дела воспроизводят стандартный алгоритм привлечения к ответственности: мониторинг сервиса регулятором — запрос оператору с требованием подтвердить выполнение части 5 статьи 18 Закона № 152-ФЗ в установленный срок — отсутствие ответа — протокол об административном правонарушении — суд. Ни в одном из дел компании не явились на заседание и не представили доказательств устранения нарушения.

Март 2026: 7 миллионов рублей штрафов за один день

24 марта 2026 года мировой судья судебного участка № 422 Таганского района г. Москвы вынес два постановления, которые привлекли внимание СМИ.

Change.org PBC (дело № 05-0326/422/2026) — платформа для онлайн-петиций, работающая с российской аудиторией, — признана виновной по части 8 статьи 13.11 КоАП РФ. Штраф — 1 000 000 рублей.

PADI Americas Inc. (дело № 05-0031/422/2025) — ассоциация дайвинг-инструкторов с мобильным приложением для российских пользователей — признана виновной по части 9 статьи 13.11 КоАП РФ (повторное нарушение; предыдущее дело датировано 2023 годом). Штраф — 6 000 000 рублей.

Совокупный объём санкций за один день — 7 000 000 рублей. Постановления подтверждены пресс-службой судов общей юрисдикции г. Москвы и освещены ведущими федеральными изданиями.

Нельзя не обратить внимание на закономерность: все перечисленные дела касаются иностранных платформ, работающих с российской аудиторией без соблюдения требований по локализации персональных данных. Российские операторы, использующие зарубежные сервисы в своей инфраструктуре, находятся в аналогичном правовом положении — разница лишь в том, что до них очередь регулятора ещё не дошла. Практика, которую формируют эти дела, в равной мере применима к любому оператору.

Как устроена локализация данных в ЕС, США и Китае

Европейский союз: локализации нет, контроль трансграничных потоков есть

GDPR не содержит требования хранить персональные данные граждан ЕС исключительно на серверах внутри Евросоюза. Европейский подход строится на иной логике: данные можно обрабатывать где угодно, но их передача за пределы ЕС допустима лишь в страны с адекватным уровнем защиты по оценке Европейской комиссии либо при наличии стандартных договорных положений (Standard Contractual Clauses) или обязательных корпоративных правил (Binding Corporate Rules).

Американские провайдеры облачных сервисов и языковых моделей работают с европейскими данными на основании механизма EU – US Data Privacy Framework, заключённого в 2023 году: для делового использования провайдеры заключают с европейскими операторами соглашения об обработке данных (DPA), подтверждающие соответствие GDPR.

Россия в перечень стран с адекватным уровнем защиты по GDPR не включена. Европейская компания, намеренная передать персональные данные своих граждан в Россию, обязана применять иные правовые механизмы — стандартные договорные положения или прямое согласие субъекта.

США: нет единого закона, но есть секторальные ограничения

США не располагают единым федеральным законом о защите персональных данных. Регулирование строится по секторальному принципу: медицинские данные — HIPAA, финансовые — GLBA, данные детей — COPPA, данные пользователей ряда штатов — CCPA/CPRA. Требований о территориальной локализации данных американское законодательство традиционно не содержало.

В апреле 2025 года Министерство юстиции США ввело правила, реализующие президентский указ о защите данных национальной безопасности (Data Security Program): они ограничивают передачу чувствительных персональных данных в юрисдикции, признанные вызывающими озабоченность. Эти правила не создают режима локализации в классическом понимании, но вводят адресные запреты на отдельные категории трансграничных транзакций.

Китай: жёсткая локализация для операторов критической инфраструктуры

Китайский Закон о защите персональной информации (PIPL), вступивший в силу в 2021 году, наиболее близок к российской модели по степени государственного контроля. Операторы критической информационной инфраструктуры и компании, обрабатывающие большие объёмы персональных данных, обязаны хранить данные внутри КНР, а их передача за рубеж требует предварительного одобрения регулятора.

Для остальных операторов предусмотрены контрактные и сертификационные механизмы. Прецедент с Didi Global, оштрафованной на сумму, эквивалентную 1,2 млрд долларов, за нарушения при передаче данных за рубеж, показывает, что китайская модель — не декларативная.

Что считается нарушением при сборе и хранении персональных данных

Граница понятия «сбор»: спорная позиция и наша оценка

В профессиональном сообществе существует позиция, которую мы считаем ошибочной и сопряжённой с высоким регуляторным риском. Ряд специалистов по защите персональных данных полагает, что требования о локализации распространяются исключительно на активные действия оператора по непосредственному получению информации от субъекта персональных данных.

По их мнению, если российский оператор, уже осуществив сбор персональных данных на российской стороне, передал их далее для обработки в иностранную информационную систему, — нарушения не возникает, поскольку речь идёт уже не о «сборе», а о «получении данных». В подтверждение этой позиции приводятся Письмо Минцифры России от 12.05.2025 № П25-44929 «О применении отдельных положений Федерального закона от 28.02.2025 № 23-ФЗ» и Письмо Роскомнадзора от 24.03.2025 № 08-134789 «О рассмотрении запроса по локализации баз данных».

На наш взгляд, эта позиция некорректна. Законодатель вводил требования о локализации для защиты информационного суверенитета — и трудно объяснить, какой смысл имеет этот суверенитет, если данные граждан РФ в конечном счёте оказываются в иностранной инфраструктуре, пусть и под предлогом «последующей передачи». Разъяснительные письма ведомств не являются нормативными актами и не связывают суд; правоприменительная практика, которая сейчас последовательно складывается в пользу широкого толкования запрета, со временем закроет эту дискуссию.

Операторы, выстроившие архитектуру обработки данных на основании этих писем, рискуют оказаться перед фактом нарушения без возможности сослаться на официальные разъяснения: позиция профильных ведомств, по нашей оценке, будет скорректирована в рамках правоприменительной практики.

Об избыточности нынешнего регулирования и необходимости дифференцированного подхода

Признавая обоснованность самой идеи локализации персональных данных как инструмента информационного суверенитета, мы считаем нынешнюю российскую модель избыточной по охвату. Закон № 152-ФЗ применяет единый жёсткий стандарт ко всем операторам и ко всем объёмам данных — вне зависимости от того, идёт ли речь о крупной платформе с миллионами пользователей или о небольшой компании, хранящей сведения единственного клиента. С точки зрения соразмерности регуляторного вмешательства это вызывает вопросы.

Китайская модель PIPL в этом отношении устроена разумнее: обязательная локализация данных внутри страны распространяется на операторов критической информационной инфраструктуры и компании, обрабатывающие данные в промышленных масштабах. Для остальных операторов предусмотрены контрактные и сертификационные механизмы, позволяющие трансгранично передавать данные без жёсткой территориальной привязки.

Индия в рамках Закона о защите цифровых персональных данных (Digital Personal Data Protection Act) идёт по аналогичному пути: правительство наделено полномочием определять категории данных, подлежащих обязательной локализации, вместо того чтобы закрепить универсальное требование в отношении всего объёма сбора персональных данных без различия.

Дифференцированный подход позволяет сосредоточить регуляторное давление там, где реальный риск наиболее высок, — на операторах, обрабатывающих чувствительные категории данных в промышленных масштабах, — не создавая несоразмерной административной нагрузки на малый и средний бизнес. Вопросы информационной безопасности и суверенитета при этом остаются в полной мере закрытыми, поскольку именно крупные системы несут наибольший риск для интересов государства.

Транспортно-экспедиционная деятельность: первый шаг к отраслевой дифференциации

Показательно, что российский законодатель, судя по всему, сам осознаёт ограниченность универсального подхода. Именно этой логикой, на наш взгляд, объясняется появление специальной отраслевой нормы о локализации в Федеральном законе от 30.06.2003 № 87-ФЗ «О транспортно-экспедиционной деятельности» с изменениями, внесёнными Федеральным законом от 07.06.2025 № 140-ФЗ.

Закон обязывает экспедитора обеспечивать приём, передачу и сохранность информации об экспедиционных услугах с использованием баз данных и технических средств, находящихся на территории Российской Федерации, а также прямо запрещает передачу за рубеж информации, содержащей персональные данные клиентов.

При этом закон содержит осмысленное исключение: передача данных допускается при организации международных перевозок, когда она разрешена международными договорами РФ и Законом № 152-ФЗ. Это отраслевая норма с предметным регулированием, учитывающая специфику деятельности и содержащая обоснованное исключение там, где сбор и хранение персональных данных за рубежом объективно необходимы по характеру сделки.

Транспортно-экспедиционные компании, использующие зарубежные TMS-системы, ERP-платформы или облачные CRM с данными клиентов-граждан РФ, нарушают одновременно общую норму (ч. 5 ст. 18 Закона № 152-ФЗ) и специальную (Закон № 87-ФЗ в новой редакции). Такая конкуренция норм утяжеляет регуляторную позицию оператора при проверке.

Компаниям из транспортной отрасли и смежных секторов рекомендуется проверять актуальную редакцию профильных законов с учётом последних поправок: аналогичные требования о локализации могут содержаться в законодательстве об иных видах перевозочной деятельности и реестрах перевозчиков.

Мы надеемся, что в дальнейшем законодатель пойдёт по пути именно такого, отраслевого и дифференцированного, регулирования, при котором требования к сбору и хранению персональных данных соразмерны реальному уровню риска, а не применяются единообразно вне зависимости от контекста и масштаба обработки.

Локализация персональных данных и искусственный интеллект: новый класс рисков

Российский оператор с иностранной языковой моделью: нарушение без исключений

Использование зарубежных языковых моделей в бизнес-процессах, где фигурируют персональные данные граждан РФ, создаёт прямое нарушение части 5 статьи 18 Закона № 152-ФЗ. Речь идёт о любом сценарии, при котором запрос к API иностранного провайдера содержит сведения, позволяющие идентифицировать физическое лицо: имя, контактные данные, идентификатор договора, медицинский диагноз, паспортные реквизиты.

При передаче такого запроса происходит то самое, что закон квалифицирует как нарушение при сборе персональных данных: данные записываются, обрабатываются и извлекаются в иностранной базе — все операции, прямо поименованные в части 5 статьи 18 как запрещённые.

Типичный случай: компания разрабатывает сервис автоматического анализа договоров с физическими лицами и использует для этого API зарубежной LLM. Каждый раз, когда договор с персональными данными клиента-гражданина РФ передаётся в такой API, происходит нарушение. Отсутствие умысла и добросовестное заблуждение относительно правовой квалификации не освобождают от административной ответственности.

Решение — не отказ от ИИ-инструментов, а перестройка архитектуры. Данные обезличиваются до передачи в LLM: токенизируются, заменяются суррогатными идентификаторами, не позволяющими установить личность субъекта. Обратная замена токенов на реальные данные производится уже в российском контуре после получения ответа от модели. Либо используются российские языковые модели, которые по определению обрабатывают данные на территории РФ.

Как выглядит ситуация за рубежом: правовые коллизии без универсального решения

Проблема оборота персональных данных при использовании искусственного интеллекта не является российской спецификой — она существует и в отношениях между другими юрисдикциями. Европейские пользователи, взаимодействующие с американскими языковыми моделями, сталкиваются с коллизией между GDPR и американским законодательством о разведывательном наблюдении.

Не менее острые вопросы возникают при использовании китайских ИИ-систем европейскими или американскими пользователями: PIPL предъявляет жёсткие требования к трансграничной передаче данных в КНР, однако вопрос о том, какие данные иностранных пользователей аккумулируют китайские модели и в какой мере на них распространяется китайское законодательство, остаётся открытым. Таким образом, правовые коллизии при сборе персональных данных в контексте трансграничного использования ИИ-сервисов — глобальная проблема, а не особенность российского регулирования.

Рассмотрим конкретное взаимодействие: пользователь из Бельгии задаёт вопрос американскому ИИ-ассистенту. В рамках этой единственной транзакции запрос перемещается из Бельгии на серверы в США вместе с IP-адресом пользователя, идентификатором его устройства и данными учётной записи, модель обрабатывает запрос, взаимодействие журналируется, потенциально используется для дообучения модели или передаётся партнёрам провайдера, поведенческие данные — что пользователь спрашивал, как формулировал, в какое время — остаются в американской инфраструктуре.

Пользователь формально защищён GDPR. Но его данные теперь находятся на американских серверах, на которые распространяется действие CLOUD Act, раздела 702 Акта о негласном наблюдении в целях внешней разведки (FISA) и Исполнительного приказа № 12333 — правовых инструментов, позволяющих американским спецслужбам получать доступ к данным, хранящимся у американских компаний, вне зависимости от того, где физически находится субъект данных. Иными словами, GDPR контролирует передачу данных, но не контролирует то, что с ними происходит после попадания в американский правовой периметр.

Этот разрыв между декларируемой защитой данных и реальной юрисдикционной картиной фиксируется европейскими регуляторами и исследователями уже несколько лет. Итальянский регулятор временно запрещал доступ к ChatGPT, надзорные органы Германии, Франции и ряда других стран ЕС ведут расследования в отношении американских ИИ-провайдеров. EU – US Data Privacy Framework, призванный урегулировать трансграничную передачу персональных данных между ЕС и США, оспаривается в европейских судах — по образцу Privacy Shield, аннулированного решением Суда ЕС в 2020 году. Насколько действующий механизм окажется устойчивее предшественника, покажет судебная практика ближайших лет.

Российская модель в этом сравнении выглядит формально более последовательной: жёсткое требование территориальной привязки при сборе персональных данных снимает ту самую правовую неопределённость, которую европейские компании пытаются разрешить через договорные конструкции с переменным успехом.

Хранение персональных данных на территории РФ: практические шаги

Зоны наибольшего риска и конкретные действия при нарушении требований локализации

Хранение персональных данных на территории РФ — обязанность, которая распространяется на всех операторов без исключения, включая иностранные компании, ориентированные на российскую аудиторию. Зона максимального риска — использование зарубежных SaaS-сервисов, которые ведут обработку данных российских пользователей на иностранных серверах: CRM (Salesforce, HubSpot), инструменты веб-аналитики (Google Analytics), сервисы email-рассылок (Mailchimp), иностранные мессенджеры как каналы сбора данных клиентов. Регулятор выявляет нарушения через публично доступные политики конфиденциальности и данные whois-сервисов — инспекционный доступ к инфраструктуре оператора для этого не нужен.

Первое действие — провести аудит персональных данных: зафиксировать все точки сбора данных, идентифицировать зарубежные сервисы в цепочке обработки, определить, какие операции производятся на иностранном оборудовании. Без этой карты невозможно оценить реальный масштаб риска.

Второе — разработать план технической миграции или перестройки архитектуры. Для ИИ-инструментов это означает либо переход на российские языковые модели, либо обезличивание данных до передачи в зарубежный API. Для CRM и аналитических сервисов — переход на российские аналоги или пересмотр архитектуры обмена данными. Хранение персональных данных на территории РФ должно быть обеспечено на всех этапах, а не только при первичном сборе.

Третье — привести внутреннюю документацию в соответствие с реальной IT-архитектурой. Политика конфиденциальности должна точно отражать, где хранятся данные и кому передаются. Несоответствие документа и инфраструктуры создаёт двойной риск: либо документ уличает оператора в нарушении, либо оказывается недостоверным — что само по себе образует самостоятельные нарушения в части прозрачности обработки. При наличии трансграничной передачи необходимо направить уведомление Роскомнадзора согласно статье 12 Закона № 152-ФЗ — отдельно от уведомления об обработке персональных данных.

Режим локализации как часть информационного суверенитета

Требования по локализации персональных данных отражают стратегическую позицию государства в отношении цифровых данных как элемента национального суверенитета. Это не переходный режим — это устойчивая архитектура, вектор развития которой направлен в сторону ужесточения. Мировой тренд подтверждает: Китай последовательно расширяет требования к хранению данных на национальной территории, Европа ужесточает контроль за трансграничными потоками, США вводят адресные ограничения на чувствительные данные. Российская модель в этом ряду — одна из наиболее жёстких по форме, но предсказуемых по содержанию.

Для бизнеса это означает: решения об ИТ-архитектуре, выборе CRM, инструментов аналитики и ИИ-сервисов принимаются не только из соображений функциональности и стоимости, но и с обязательным учётом требований по локализации персональных данных. Правовая экспертиза ИТ-решений до их внедрения — не процессуальная формальность, а элемент управления операционными рисками.

В нашей практике эти вопросы возникают регулярно: разработчики ИИ-сервисов, логистические операторы, медицинские платформы — каждый из них решает задачу балансирования между технологической эффективностью и требованиями закона. Опыт сопровождения таких проектов позволяет нам понимать не только юридический, но и технологический контекст этих решений, что нередко определяет разницу между работающим решением и формальным комплаенсом, не выдерживающим первой же проверки. Юристы фирмы Инмар специализируются именно на таких задачах — от аудита существующей архитектуры до выработки конкретных технических и правовых решений.

Часто задаваемые вопросы

Можно ли использовать WhatsApp и Telegram для записи клиентов?

Использовать иностранные мессенджеры для передачи персональных данных клиентов нельзя, если они не выполняют требования по локализации данных на российской территории. WhatsApp, Telegram и любые другие иностранные мессенджеры, не обеспечившие сбор персональных данных граждан РФ с использованием российских баз данных, нарушают часть 5 статьи 18 Закона № 152-ФЗ — вне зависимости от того, где физически расположены их зарубежные серверы и как распределена их инфраструктура.

Что произойдёт, если мы уже используем зарубежную CRM?

Использование зарубежной CRM для хранения персональных данных на территории РФ — точнее, его отсутствие — образует длящееся административное правонарушение по части 8 статьи 13.11 КоАП РФ. При выявлении Роскомнадзором направляется запрос с требованием подтвердить выполнение части 5 статьи 18 Закона № 152-ФЗ. Штраф за нарушение локализации персональных данных для юридического лица — от 1 до 6 миллионов рублей при первичном нарушении, от 6 до 18 миллионов — при повторном.

Обязана ли иностранная компания, работающая с российскими пользователями, соблюдать требования о локализации?

Да. Закон № 152-ФЗ применяется к любому оператору, российскому или иностранному, который осуществляет сбор персональных данных граждан РФ. Наличие русскоязычной версии сайта, приём платежей в рублях, продажа товаров или услуг российской аудитории — любой из этих признаков указывает на направленность деятельности на российский рынок. Ответственность за нарушение 152-ФЗ в части локализации наступает вне зависимости от того, где зарегистрирована компания и где физически находятся её серверы.

Почему политика конфиденциальности так важна с точки зрения рисков локализации?

Из всех рассмотренных дел следует, что в большинстве случаев политика конфиденциальности служит основным источником доказательств для Роскомнадзора: в ней указывается, какие данные собираются, как используются и где хранятся. Если в документе раскрыто, что сбор и хранение персональных данных осуществляются на иностранных серверах или данные передаются зарубежным партнёрам, это фактически подтверждает нарушение. Политика конфиденциальности должна точно соответствовать реальной инфраструктуре оператора, а инфраструктура — требованиям закона.

Можно ли использовать зарубежные языковые модели в работе с персональными данными?

Нет, без предварительного обезличивания — нельзя. Передача запроса с персональными данными граждан РФ в API зарубежного LLM-провайдера означает, что сбор персональных данных граждан РФ фактически происходит с использованием иностранной базы данных. Обезличивание до передачи — замена реальных идентификаторов суррогатными, не позволяющими установить личность субъекта, — устраняет нарушение: обезличенные данные выходят из-под режима Закона № 152-ФЗ. Альтернатива — использование российских языковых моделей, обрабатывающих данные в российском контуре.

Чем отличается локализация от согласия на трансграничную передачу?

Это принципиально разные правовые инструменты. Согласие субъекта персональных данных на их трансграничную передачу, предусмотренное статьёй 12 Закона № 152-ФЗ, не отменяет требование о локализации при сборе. Даже если клиент дал согласие на то, чтобы его данные были переданы за рубеж, оператор всё равно обязан изначально собрать эти данные в базе на территории РФ. Согласие регулирует последующую передачу уже локализованных данных — но не освобождает от обязанности локализации на этапе сбора персональных данных.