Локализация персональных данных в России
Статья 18.1 ФЗ-152 требует, чтобы первичная запись и обновление персональных данных российских граждан производились на серверах, расположенных на территории РФ. Это требование с самыми высокими штрафами — до 18 млн рублей. Именно за его нарушение РКН заблокировал LinkedIn в 2016 году.
Как реализовать
-
Выберите российский хостинг или ЦОД
Используйте хостинг с серверами только в России: Beget, Timeweb, Reg.ru, Selectel, VK Cloud, Яндекс.Облако. В договоре должно быть явно указано, что ЦОД находится на территории РФ.
-
Проверьте CRM и сторонние сервисы
Если вы используете amoCRM, Bitrix24, Salesforce — убедитесь, что данные российских пользователей хранятся в российском облаке. Bitrix24.ru и amoCRM хранят данные в РФ — зарубежные версии нет.
-
Осторожно с CDN и облачными сервисами
Cloudflare, AWS CloudFront, Google CDN — могут кэшировать данные на зарубежных серверах. Если через CDN проходят данные форм — это нарушение. Используйте Яндекс CDN или настраивайте маршрутизацию только через российские узлы.
-
Зафиксируйте в политике конфиденциальности
Добавьте явную фразу: «Персональные данные хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ст. 18 ФЗ-152».
-
Задокументируйте расположение серверов
Сохраните договор с хостинг-провайдером с указанием адреса ЦОД. При проверке РКН потребует подтвердить локализацию документально.
Официальные источники
- consultant.ru — ФЗ-152, статья 18 «Обязанности оператора» — Требование о локализации персональных данных
- rkn.gov.ru — Практика применения требований локализации — Разъяснения РКН и прецеденты
- blocklist.rkn.gov.ru — Реестр нарушителей Роскомнадзора