Новые требования РКН в 2025: как пройти проверку и избежать штрафов за локализацию? Гайд по 152-ФЗ без юридического булшита

Разбираем, как облака Amazon, Google Analytics и привычные CRM-системы могут похоронить ваш бизнес. Реальные сценарии, пошаговый план миграции FAQ и чек-листы, которые спасут от штрафов Роскомнадзора.

TL;DR

С 1 июля 2025 года вступили в силу новые требования Роскомнадзора по локализации персональных данных. Теперь первичный сбор данных россиян на зарубежных серверах - прямое нарушение 152-ФЗ. Штрафы достигают 18 миллионов рублей, а проверки - реальность.

Эта статья - инструкция по выживанию для бизнеса в 2025 году. Как подготовиться к проверке РКН, переехать с Google Analytics, AWS и Salesforce, и не попасть на штраф. Только конкретные шаги и моделирование реальных действий по миграции ваших информационных систем и подготовке к проверкам регулятора, а в конце - удобный и читабельный FAQ.

«Cерые зоны», в которых все привыкли жить, стремительно исчезают, так как поправки и полный запрет на хранение персональных данных граждан РФ за рубежом (ч.5 ст.18 152 ФЗ) превратили вялые рекомендации РКН в жесткие, безальтернативные требования. Первичный сбор данных россиян на зарубежных серверах стал токсичным, а трансграничная передача превратилась в минное поле.

Хорошая новость: кажется что теперь проводить хоть какие-то операции с персональными данными пользователей за пределами РФ невозможно, но это не так.

Эта статья родилась из бессонных ночей и десятков консультаций. Это не пересказ закона, а практическое руководство по выживанию для тех, кто, понял: правила игры изменились и внедрение изменений в сервисах, ориентированных на сбор персональных данных граждан России неизбежно. Как адаптировать свои процессы под новые требования Роскомнадзора и подготовиться к проверке?

Меня зовут Давид Замирович. Я юрист и более 15 лет консультирую стартапы и разработчиков на стыке IT и права. Чтобы разбираться стало еще проще – я подготовил для вас несколько тематических карточек под условным названием «10 грехов при работе с персональными данными россиян». Несколько из них я размещу в этом материале – а остальные вы можете найти в моем телеграм канале «Юрист без багов». Заходите, снимайте тапки и чувствуйте себя как дома!

Часть I. Новые требования Роскомнадзора с 1 июля 2025: что на самом деле изменилось в 152-ФЗ

Чтобы победить дракона, нужно изучить его повадки. Закон о персональных данных, особенно в его последней редакции, и есть тот самый дракон. Он огромен, страшен, и дышит огнем многомиллионных штрафов. Давайте разберем его на части без паники и юридической демагогии.

Первичный сбор персональных данных теперь в РФ: закон закрыл все лазейки и главный принцип сейчас - «Сначала дом, потом гости»

Забудьте сложные формулировки. Главное требование, которое РКН вбивает в головы бизнеса, звучит просто. При сборе персональных данных гражданина РФ вы обязаны обеспечить их запись, систематизацию, накопление и хранение в базах данных, находящихся на территории России.

Что это значит на человеческом языке?

Представьте, что пользователь регистрируется на вашем сайте. Он вводит имя, почту, телефон. В этот самый момент, в момент нажатия кнопки «Зарегистрироваться», эти данные должны сперва попасть на сервер, который физически стоит в России. Это и есть «первичный сбор» и «запись».

Если эти данные летят напрямую в Google Analytics, в американскую CRM или на сервер в Ирландии, вы нарушаете закон. И с 1 июля 2025 никаких «но».

Раньше многие компании трактовали закон так: мы сначала соберем данные где удобно, а потом скопируем их в российскую базу. Теперь эта лазейка закрыта. Логика регулятора железна: первый «дом» для данных россиянина должен быть в России. А уже потом вы можете, соблюдая определенные правила, передавать их «в гости» за границу.

Трансграничная передача персональных данных в 2025 это новые правила и риски: нужна "виза" для ваших данных

Закон не запрещает передавать данные за рубеж полностью. Но он превратил этот процесс из простого технического действия в сложную юридическую процедуру.

• Уведомление РКН. Прежде чем отправить хоть байт персональной информации за пределы РФ, вы должны уведомить об этом Роскомнадзор. Это не формальность. В уведомлении нужно указать страны, куда передаются данные, цели передачи, категории данных и меры по их защите. По сути, вы раскрываете регулятору всю свою подноготную работы вашего продукта с данными россиян.
• Страны с «адекватной» защитой. РКН ведет список стран, которые, по его мнению, хорошо защищают персональные данные и издал свой Приказ на эту тему. В их число входят, например, Германия, Индия, Сербия, Казахстан, Беларусь. Если вы передаете данные в такую страну, процедура чуть проще.
  
• Страны «неадекватные». А вот США, Великобритания и большинство стран ЕС в этот список не входят. Для передачи данных туда нужны особые, железобетонные основания. Одного согласия пользователя может быть недостаточно. Потребуется специальное письменное согласие или наличие международного договора.
  
• Согласие на передачу. У вас должно быть отдельное, явное и недвусмысленное согласие пользователя именно на трансграничную передачу его данных. Формулировка «я согласен с политикой конфиденциальности», в которой где-то в глубине спрятан пункт о передаче, больше не работает.
  

Если страна, куда планируется трансграничная передача, не включена Приказом Роскомнадзора в перечень стран, обеспечивающих адекватную защиту - передавать данные нельзя до истечения срока рассмотрения Роскомнадзором уведомления (10 рабочих дней).

В этот срок Роскомнадзор может принять решение о запрете или ограничении трансграничной передачи и сообщить вам об этом лично. То есть вы должны направить запрос и ждать ответ, если ответа нет – передать данные можно.

По сути, любая интеграция с зарубежным сервисом, который хранит данные у себя, это трансграничная передача со всеми вытекающими последствиями.

Штрафы от Роскомнадзор в 2025: когда цифры говорят громче слов

Долгое время бизнес относился к 152-ФЗ со скепсисом именно из-за смешных штрафов. Но ситуация кардинально изменилась.

• Нарушение локализации: За невыполнение требования о хранении данных в РФ штраф для юридических лиц составляет от 1 до 6 миллионов рублей. За повторное нарушение в течение года, готовьтесь отдать от 6 до 18 миллионов рублей.
• Обработка без согласия: Штрафы за обработку данных без согласия пользователя или с нарушением требований к нему также выросли и могут достигать сотен тысяч рублей.
  
• Утечки данных: Введены оборотные штрафы за утечки. Это значит, что сумма может исчисляться процентами от годовой выручки компании. Для крупного бизнеса это могут быть десятки и сотни миллионов.
  

РКН получил мощный финансовый рычаг, и он активно им пользуется. Игнорировать эти риски стало просто глупо и равносильно самоубийству своего собственного проекта.

Часть II. Как новый 152-ФЗ бьет по бизнесу: GA, CRM, Облака в зоне поражения

Давайте спустимся с высот законодательства на землю, в окопы вашего стартапа. Где именно прячутся мины?

Google Analytics под Запретом?

Для многих маркетологов Google Analytics (GA) был и остается золотым стандартом. Но с точки зрения 152-ФЗ, использование GA в его стандартной конфигурации с 2025 года стало незаконным.

Проблема: Код отслеживания GA, установленный на вашем сайте, собирает данные о поведении пользователя (IP-адрес, cookie, данные о просмотрах) и отправляет их напрямую на серверы Google, расположенные за пределами РФ. Это прямое нарушение требования о первичной локализации.

Что делать?

• Полный переход на российские аналоги. Яндекс.Метрика, VK Реклама и другие отечественные системы изначально хранят данные в России и полностью соответствуют закону. Для многих бизнесов это самый простой и безопасный путь.
• Настройка Server-Side Tagging. Суть в том, что вы сначала собираете все данные на свой сервер в России, а уже с него, обезличив или получив все согласия, отправляете их в Google Analytics. Это дорого, требует высокой квалификации, но позволяет сохранить привычные инструменты.
  
• Отказ от зарубежных пикселей. Пиксели ретаргетинга от зарубежных соцсетей работают по тому же принципу, что и GA. Их использование также попадает в зону риска.

Продажи и CRM: ваша база клиентов в заложниках

HubSpot, Salesforce, Zendesk, любая другая облачная CRM, хостящаяся за рубежом, это огромная красная тряпка для РКН. Вся ваша клиентская база, история взаимодействий, сделки, переписка, всё это персональные данные, которые хранятся не в России.

Проблема: Форма «Заказать звонок» на сайте, которая отправляет данные напрямую в зарубежную CRM, нарушает закон. Чат-бот, работающий на иностранной платформе, делает то же самое.

Что делать?

• Миграция на российские CRM. Битрикс24, amoCRM и другие предлагают функционал, сопоставимый с западными аналогами, и гарантируют хранение данных в РФ.
• Гибридная схема. Можно настроить прокси-сервер в России.

  Обратите внимание: ИП в 2021: новые налоговые изменения.

  Данные с сайта сначала попадают на него, сохраняются в локальной базе данных (выполняя требование о первичной локализации), и только потом передаются в вашу любимую зарубежную CRM.
  

Разработка и инфраструктура (AWS, Azure, GCP): облака сгущаются

Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) де-факто стандарт для многих технологических компаний. Но размещать на них базы данных с персональными данными россиян теперь нельзя.

Проблема: Если ваша основная база данных (PostgreSQL, MySQL, MongoDB и т.д.) находится на сервере AWS в Франкфурте, вы нарушаете закон.

Что делать?

• Миграция в российские облака. Yandex Cloud, VK Cloud (бывш. Mail.ru Cloud Solutions), Selectel предлагают полный спектр облачных услуг (IaaS, PaaS, Kubernetes) и являются полной альтернативой западным провайдерам.
• Разделение инфраструктуры. Можно оставить часть вычислительных мощностей за рубежом (например, для обработки обезличенных данных или для работы с нероссийскими пользователями), но база данных с ПД россиян должна быть перенесена в РФ. Это усложняет архитектуру и требует грамотной настройки потоков данных.

Часть III. Пошаговый план подготовки к проверке РКН и миграции данных. Операция «Чистые данные»

Хватит теории. Переходим к практике. Вот подробный чек-лист, который поможет вам провести аудит и привести процессы в соответствие с законом. Это не просто список, это дорожная карта вашего проекта по миграции.

Шаг 1. Инвентаризация Данных (Карта потоков)

Вы не можете защитить то, о чем не знаете. Ваша первая задача - превратиться в детектива и составить подробный реестр всех персональных данных, которые обрабатывает ваша компания.

• Что искать? Не ограничивайтесь очевидным (ФИО, email, телефон). Персональные данные это и IP-адреса, и файлы cookie, и геолокация, и данные о платежах, и даже технические идентификаторы пользователя.
• Где искать? Проанализируйте все точки входа данных: формы на сайте, мобильное приложение, API, импорты из других систем.
  
• Как отследить потоки? Буквально нарисуйте схему: вот данные зашли через форму регистрации, вот они попали в нашу базу на AWS, вот они улетели в CRM, а вот их копия отправилась в сервис email-рассылок.
  
• Инструменты: Используйте внутреннюю документацию, опросите руководителей всех отделов (маркетинг, продажи, разработка, HR). Для отслеживания сетевых запросов с сайта можно использовать инструменты разработчика в браузере.
  

Результат этого шага: подробный документ (Data Map или Реестр процессов обработки ПД), который описывает: какие данные, откуда, куда, зачем и на каком основании вы обрабатываете. Этот документ станет фундаментом для всех дальнейших действий.

Шаг 2. Аудит подрядчиков: допросите своих партнеров

Каждый внешний сервис, к которому вы подключены, это потенциальный риск. Ваша задача - выяснить, как они обращаются с вашими данными.

• Составьте список. Перечислите абсолютно все внешние сервисы: аналитика, CRM, облачные провайдеры, сервисы рассылок, чат-боты, таск-менеджеры, даже если они кажутся безобидными.
• Изучите их документы. Внимательно прочитайте их Privacy Policy и Terms of Service. Ищите разделы о месте хранения данных (Data Residency).
  
• Отправьте официальный запрос. Не стесняйтесь написать в поддержку каждого сервиса письмо с прямыми вопросами: «Где физически расположены серверы, на которых будут храниться персональные данные наших российских пользователей?», «Можете ли вы гарантировать хранение данных на территории РФ?» и «Какие меры по защите данных вы предпринимаете?».
• Проверьте договоры. Внесите в договоры с подрядчиками, особенно с российскими, пункты об их ответственности за соблюдение 152-ФЗ и обязательствах по локализации.
  

Результат этого шага: четкое понимание, кто из ваших подрядчиков соответствует требованиям, а кто представляет угрозу.

Шаг 3. Юридическая гигиена: приведите в порядок документы (политики, согласия)

Ваши публичные документы это ваша первая линия обороны при проверке РКН. Они должны быть безупречны.

• Политика обработки персональных данных. Это главный документ. Он должен быть написан понятным языком и содержать:

- Четкие цели сбора данных (например, «для исполнения договора», «для отправки маркетинговых материалов»).

- Полный перечень собираемых данных.

- Описание всех действий с данными (сбор, хранение, передача и т.д.).

- Сроки хранения данных.

- Информацию о трансграничной передаче (если она есть).

- Контакты ответственного за обработку данных.

• Пользовательское согласие. Забудьте про одну галочку «Я согласен со всем». С 1 сентября 2025 года согласие должно быть предметным и однозначным. Это значит, что на разные цели вам могут понадобиться разные согласия. Например, отдельное согласие на обработку ПД для регистрации, отдельное на получение рассылки и отдельное на трансграничную передачу.
• Политика Cookies. Уведомление о сборе cookie должно быть явным. Пользователь должен иметь возможность легко отказаться от сбора необязательных cookie.
  

Результат этого шага: пакет актуальных, юридически грамотных и понятных пользователю документов, которые отражают ваши реальные процессы обработки данных.

Шаг 4. Легализация в РКН: подайте уведомления

Быть оператором персональных данных и не состоять на учете в РКН - плохая идея в 2025. Раньше эта история могла сработать в связи с тем, что штраф был минимальный, но сейчас добро пожаловать в реестр.

• Уведомление об обработке ПД. Если вы еще не подавали, сделайте это через официальный портал РКН. Это обязательно для большинства компаний.
• Уведомление о трансграничной передаче. Если после аудита вы понимаете, что без передачи данных за рубеж не обойтись (и вы можете ее легализовать), подайте отдельное уведомление.
  

Результат этого шага: вы официально задекларировали свою деятельность перед регулятором, что снижает риски внезапных проверок и штрафов.

Шаг 5. Миграция данных пользователей в РФ (выбор провайдера, план). Великое переселение.

Это самый сложный и ответственный этап. Он требует технических ресурсов и тщательного планирования.

• Выберите российских провайдеров. Сравните предложения Yandex Cloud, VK Cloud, Selectel и других по ценам, набору сервисов, технической поддержке и удобству.
• Разработайте план миграции. План должен включать:
  

- Какие сервисы и данные переезжают.

- В какие сроки.

- Кто ответственный за каждый этап.

- Как будет проходить тестирование.

- План минимизации простоя (downtime).

- План отката на случай неудачи.

• Проведите тестовую миграцию. Сначала перенесите данные в тестовой среде. Проверьте, что все работает корректно, приложения запускаются, данные не теряются.
• Осуществите переезд. Выберите время с наименьшей нагрузкой (например, ночь выходного дня). Заранее уведомите пользователей о возможных перебоях в работе.
  

Результат этого шага: ваша инфраструктура и данные находятся в российской юрисдикции, основное требование закона выполнено.

🛡 Соответствие 152-ФЗ - ваше конкурентное преимущество в 2025. Новая реальность.

В 2025 году бизнесу, обрабатывающему персональные данные россиян придется отказаться от некоторых привычных инструментов и перестроить часть процессов. Но когда вы получите подтверждение, что все данные их российских клиентов теперь надежно хранятся в корректном – вы сможете спать спокойно.

Пройдя через процесс внутреннего аудита, ваша команда научится управлять данными осознанно. Вы будете точно знать, какая информация, зачем и где лежит. Вы выстроите прозрачные и понятные отношения со своими пользователями. А соответствие закону станет вашим конкурентным преимуществом на переговорах с крупными российскими клиентами, для которых безопасность данных сейчас тоже не пустой звук.

История с 152-ФЗ это не про запреты и штрафы. Это про цифровую гигиену и взросление IT-рынка. Эпоха дикого запада, когда можно было собирать любые данные и хранить их где угодно, закончилась. Наступила эра осознанного и ответственного подхода. И чем раньше ваш бизнес это примет, тем больше у него шансов на успех в новой реальности.

Эта статья - карта минного поля. Но чтобы по нему пройти, нужен сапёрный набор.

Теория и стратегия - это хорошо, но в реальной работе нужны быстрые шпаргалки и инструменты для самопроверки. Я понимаю, что переварить такой объем информации сложно, а действовать нужно уже вчера.

Поэтому в своем телеграм-канале «Юрист без багов» я собрал практический «набор выживания» по 152-ФЗ:

Карусель «Экспресс-аудит за 5 минут». Это серия наглядных картинок-схем, которые помогут вам быстро проверить свои сервисы (аналитику, CRM, облака) на самые частые нарушения. Пролистайте и сразу поймете, где у вас «горит».

Это бесплатный и полезный инструмент, который дополнит лонгрид и поможет не упустить ничего важного.

Краткий FAQ по изменениям 152-ФЗ в 2025 году:

1) Нужно ли уведомлять РКН о трансграничной передаче?

Да. До передачи данных за рубеж вы обязаны подать уведомление в Роскомнадзор. Исключение — страны с адекватной защитой (Германия, Казахстан и др.).

2) Можно ли использовать Google Analytics в 2025 году для данных россиян?

Только с server-side tagging и хранением данных на сервере в РФ. Прямое подключение - нарушение.

3) Какие штрафы за нарушение требований о локализации персональных данных россиян в 2025?

От 1 до 6 млн рублей за первое нарушение. От 6 до 18 млн - за повторное в течение года.

4) Нужно ли менять CRM при обработке персональных данных россиян в 2025?

Если она собирает данные россиян и сразу передает их за границу - да. HubSpot, Salesforce, Zendesk требуют миграции или гибридной схемы. Если вы собираете данные в РФ и для каких-то целей передаете их в дальнейшем (обработка, систематизация, обезличенная автоматизированная обработка) - нужно получить отдельное согласие как от пользователя, так и от Роскомнадзора (или молчание в ответ на ваш запрос об этом).

5) Когда нужно подавать уведомление в РКН?

Если вы - оператор персональных данных. А это почти все компании, собирающие email, телефон, IP и в которых больше одного сотрудника-директора.

#152ФЗ#персональныеданные#локализация#Роскомнадзор#ITправо#закон#безопасностьданных#стартапы#штрафыРКН#миграцияданных#ITюрист#какнепопастьнаштраф#облака#CRM#аналитика#лонгрид#инструкция#гайд#бизнес#технологии#разбор#кейсы#кибербезопасность#трансграничнаяпередача#googleanalytics#vc