Могут ли российские предприниматели хранить данные клиентов где захотят

Это уже нарушение. И оно стоит от миллиона рублей.

Откуда вообще взялся этот закон

152-ФЗ «О персональных данных» приняли ещё в 2006 году. Тогда про него мало кто думал всерьёз — штрафы были смешные, проверок почти не было, и большинство компаний отделывалось страничкой «Политика конфиденциальности» где-то в подвале сайта.

С тех пор всё поменялось. В 2024 году из России ушли AWS, Microsoft Azure и Google Cloud — просто перестали работать для российских юрлиц. А в феврале 2025 года Государственная Дума приняла закон № 23-ФЗ, который с 1 июля 2025 года ввёл прямой запрет на хранение данных россиян за рубежом. Не «рекомендацию» и не «требование обеспечить», а именно запрет.

Глава Роскомнадзора Андрей Липов ещё в 2023 году говорил прямо: «Данные российских граждан должны обрабатываться на территории России — это вопрос не только закона, но и суверенитета». Теперь это не просто слова.

Что конкретно нельзя делать

Закон запрещает первично собирать, хранить и систематизировать данные граждан РФ за пределами страны. То есть не «переносить потом», а именно первая точка записи должна быть в России.

На практике это ломает привычные схемы работы:

1. Форма заявки на сайте, которая пишет данные в Airtable или Notion — нарушение
2. CRM типа Salesforce или HubSpot без российского зеркала данных — нарушение
3. Google Analytics и Meta Pixel, собирающие поведение пользователей напрямую — нарушение
4. Рассылки через Mailchimp или ActiveCampaign, если база хранится на их серверах — нарушение
5. Корпоративный Google Workspace с данными сотрудников — серая зона, скорее всего нарушение

Передавать данные за рубеж при этом можно. Например, если у вас контрагент в другой стране. Но сначала данные должны осесть в российской базе, и только потом можно их куда-то передавать дальше — с уведомлением Роскомнадзора через Госуслуги.

Сколько это стоит, если нарушить

Раньше штрафы были такими, что проще было заплатить, чем что-то переделывать. Сегодня арифметика другая.

За первое нарушение требований локализации — от 1 до 6 миллионов рублей. За повторное в течение года — от 6 до 18 миллионов. Если произошла крупная утечка и компания уже была в реестре нарушителей — оборотный штраф до 500 миллионов или до 3% от годовой выручки. Причём Роскомнадзор использует автоматизированную систему «Ревизор», которая сама мониторит куда идёт трафик с российских сайтов и где физически находятся серверы.

Под проверки попадают не только Яндекс и Сбер. Интернет-магазины с аудиторией от пяти тысяч человек, онлайн-школы, медицинские сервисы, мобильные приложения — всё это уже в поле зрения.

Как это решается

Самый прямолинейный путь — перенести инфраструктуру в российское облако, которое аттестовано по 152-ФЗ. Тогда вопрос локализации закрывается автоматически: физически данные в России, юридически всё чисто.

Один из самых зрелых вариантов на рынке сегодня — VK Cloud. Это платформа от VK Tech, которая работает на базе российских дата-центров уровня Tier III. У неё есть аттестация ФСТЭК, соответствие ГОСТ Р 57580 и сертификация PCI DSS. Проще говоря, если вы храните данные там — регулятору не к чему придраться.

«Мы видим, что бизнес сегодня ищет не просто сервер в России, а полноценную альтернативу тому, к чему привыкли за годы работы с западными облаками», — говорил технологический евангелист VK Cloud на конференции по ЦОД в 2025 году. По словам команды, часть клиентов мигрировала с зарубежных платформ за три месяца — без остановки бизнес-процессов.

Из того, что реально используется:

1. Виртуальные серверы под сайт, бэкенд, API
2. Управляемые базы данных — PostgreSQL, MySQL, MongoDB без ручного администрирования
3. Объектное хранилище для файлов, медиа и резервных копий
4. Kubernetes для тех, кто строит на микросервисах
5. GPU-серверы для ML и аналитики

Есть программа поддержки стартапов — грант до 2 миллионов рублей на ресурсы. Для НКО — 10 тысяч рублей в месяц.

Что сделать прямо сейчас

Не нужно немедленно всё переписывать. Начните с аудита.

Составьте список всех точек, куда попадают данные ваших пользователей — форма на сайте, CRM, почтовый сервис, аналитика, колл-трекинг. Для каждого пункта проверьте, где физически находится сервер. Всё, что оказалось за пределами России — это потенциальный риск.

Дальше — либо замена на российские аналоги, либо настройка промежуточного буфера: данные сначала пишутся в российскую базу, и только потом синхронизируются куда нужно. Второй вариант технически сложнее, но иногда дешевле по деньгам.

И ещё один момент, про который часто забывают: зарегистрируйтесь в реестре операторов персональных данных на сайте Роскомнадзора. Это обязательно для большинства компаний, и это отдельный штраф, если не сделано.

Закон в этой части сформулирован жёстко, но логика у него простая. Данные россиян — в России. Те, кто выстроил под это инфраструктуру, сегодня работают спокойно. Остальные пока ещё успевают.