Что такое локализация ПДн
Часть 5 статьи 18 152-ФЗ обязывает оператора обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.
Простым языком: первая запись в БД с ПДн россиянина должна быть сделана на сервере в России. Дальше эти данные могут передаваться куда угодно, но «оригинал» хранится в РФ.
Норма действует с 1 сентября 2015 года (242-ФЗ от 21.07.2014). За 10+ лет действия — десятки заблокированных сайтов и масштабные штрафы.
Что считается «нахождением БД на территории РФ»
РКН в письмах и пояснениях даёт следующие критерии:
- серверы физически расположены в дата-центре на территории РФ;
- дата-центр имеет российскую юрисдикцию (юр. лицо, оплата по российским банковским реквизитам);
- хостинг-провайдер несёт ответственность по российскому праву;
- IP-адреса серверов — российские (можно проверить через whois).
Не подходит:
- AWS / Google Cloud / Azure — даже если выбран регион «Москва», юрисдикция компании — иностранная
- Cloudflare — даже как CDN, он терминирует TLS и фактически видит данные
- Любой европейский / американский / азиатский хостинг
Кто проверяет
Роскомнадзор — плановые и внеплановые проверки. Поводом для внеплановой могут быть жалоба, публикация в СМИ или указание в реестре оператора иностранного хостинга.
Также РКН ведёт реестр нарушителей, в который попадают сайты, не выполнившие требование о локализации. После включения в реестр у оператора есть 30 суток на устранение нарушения, иначе — блокировка сайта в России.
Известные кейсы блокировки
- LinkedIn заблокирован в РФ с 2016 года — отказался переносить БД пользователей в Россию
- Twitch, Pinterest получали предупреждения с угрозой блокировки за хранение данных за рубежом
- AmoCRM, Bitrix24 — российские, изначально соответствуют
Штрафы
По части 8 статьи 13.11 КоАП РФ:
- юридические лица — от 1 000 000 до 6 000 000 ₽
- повторное нарушение — от 6 000 000 до 18 000 000 ₽
Плюс — фактическая блокировка сайта на территории РФ через реестр запрещённой информации.
Что делать бизнесу
- Узнайте, где хранятся ПДн ваших пользователей — спросите у разработчиков, проверьте whois IP-адресов хостинга и БД
- Если хостинг иностранный — переезжайте на российский до того, как РКН прислал предписание. Известные надёжные варианты: Timeweb, Selectel, Ru-Center, Yandex Cloud, VK Cloud
- Обновите Политику обработки ПДн — укажите фактическое место хранения и страну (Россия). Сгенерировать политику →
- В уведомлении в РКН в поле «адрес места нахождения базы данных» укажите российский адрес дата-центра. Шпаргалка для подачи →
- Облачные сервисы аналитики (Google Analytics, Mixpanel) — либо отказ, либо использование российских аналогов (Яндекс.Метрика хранит данные в РФ)
Частый вопрос
«У нас сайт работает на WordPress, БД — в локальном MySQL на хостинге. Это считается локализацией?»
Да, если хостинг физически в России. Большинство российских хостингов (Timeweb, Beget, Reg.ru) автоматически выполняют это требование. Проблема возникает только если в админке выбран иностранный регион или вы используете S3-совместимое хранилище в зарубежном дата-центре.
Проверьте
Бесплатный сканер по 152-ФЗ покажет, в том числе, фактическое место хостинга вашего сайта. Проверить мой сайт →
Если планируете проходить проверку РКН — рекомендуем сразу подготовить пакет документов: Политика, Уведомление, Внутренние документы. Всё бесплатно, ~15 минут на пакет.