Локализация баз данных в РФ: как перенести сайт с зарубежного хостинга

Правовое основание: что говорит ФЗ-152 о локализации данных

Требование локализации персональных данных закреплено в статье 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в редакции Федерального закона от 21.07.2014 N 242-ФЗ. Норма вступила в силу 1 сентября 2015 года и с тех пор является обязательной для всех операторов персональных данных, работающих с гражданами Российской Федерации через интернет-ресурсы.

Закон устанавливает чёткое правило: при сборе персональных данных граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение этих данных с использованием баз данных, расположенных на территории Российской Федерации. Нарушение этого требования влечёт включение оператора в реестр нарушителей, который ведёт Роскомнадзор, и ограничение доступа к сайту для российских пользователей.

Статья 18.1 ФЗ-152: при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Кто является оператором персональных данных

Оператором персональных данных является любое юридическое или физическое лицо, которое организует обработку персональных данных. Если ваш сайт собирает от посетителей хоть одно из следующих сведений — вы оператор персональных данных: имя или фамилия, адрес электронной почты, номер телефона, адрес доставки, данные о заказах, IP-адрес в связке с другими идентификаторами, cookie-идентификатор, привязанный к профилю пользователя. Статус оператора не зависит от размера бизнеса, формы собственности или количества пользователей. Индивидуальный предприниматель с сайтом-визиткой, собирающим заявки через форму обратной связи, является таким же оператором, как и крупная корпорация.

Что именно требует локализации

Закон распространяется на следующие операции с персональными данными граждан РФ:

  • Первичная запись — момент внесения данных в систему (заполнение формы, регистрация аккаунта)
  • Систематизация — упорядочивание данных по признакам (сортировка, классификация клиентской базы)
  • Накопление — пополнение базы данных новыми записями
  • Хранение — размещение данных в базе данных на сервере
  • Уточнение — обновление и изменение ранее записанных данных
  • Извлечение — получение данных из базы для использования

Под действие нормы подпадают: регистрационные формы, формы заказа, CRM-системы, базы подписчиков email-рассылок, данные аналитики, привязанные к конкретным пользователям, а также любые другие хранилища, содержащие имена, email-адреса, телефоны, IP-адреса и прочие идентификаторы граждан РФ.

Что разрешено хранить за рубежом после локализации

Закон не запрещает трансграничную передачу данных — он запрещает хранить там основную базу. Трансграничная передача персональных данных допустима при соблюдении условий статьи 12 ФЗ-152 после того, как данные были первично записаны на российские серверы. Вы можете продолжать использовать зарубежные сервисы для email-маркетинга или аналитики, но исходная база данных должна находиться в России. Важно понимать: требование направлено именно на первичную запись и основное хранение, а не на каждое отдельное обращение к данным.

Как определить, нарушаете ли вы требование прямо сейчас

Прежде чем планировать перенос, необходимо провести инвентаризацию всех точек обработки персональных данных. На практике нарушение встречается в следующих конфигурациях:

  • Сайт размещён на хостинге вне России (США, Германия, Нидерланды) и форма заявки пишет данные напрямую в БД на этом хостинге
  • Используется зарубежная CRM (Salesforce, HubSpot, Pipedrive) без российского хранилища
  • Email-маркетинговый сервис (Mailchimp, ActiveCampaign) является единственным хранилищем базы подписчиков
  • Резервные копии базы данных хранятся только в зарубежном облаке (AWS S3, Google Cloud)
  • Облачная CMS (Wix, Squarespace, Webflow) с серверами вне России

Если хотя бы один из этих сценариев присутствует на вашем сайте — требование локализации нарушено. Роскомнадзор проводит плановые и внеплановые проверки и может выявить нарушение как в результате жалобы пользователя, так и в рамках самостоятельного мониторинга.

Пошаговая инструкция переноса сайта с зарубежного хостинга

Шаг 1: аудит всех хранилищ персональных данных

Составьте полный реестр хранилищ. Для каждого определите физическое местоположение серверов. Что включить в реестр:

  • Основная база данных сайта (MySQL, PostgreSQL, MongoDB)
  • Файлы сессий и cookies (если хранятся на сервере)
  • CRM-система (если интегрирована с сайтом)
  • Системы аналитики с привязкой к пользователям
  • Формы обратной связи и их хранилища (включая сторонние сервисы типа Typeform, JotForm)
  • Email-маркетинговые сервисы (базы подписчиков)
  • Резервные копии
  • Логи сервера, содержащие IP-адреса

Шаг 2: выбор российского хостинг-провайдера

Убедитесь, что провайдер предоставляет документальное подтверждение размещения серверов на территории РФ. Требуйте у провайдера: договор с указанием адреса дата-центра на территории России, или сертификат Tier с адресом российского объекта. Эти документы могут потребоваться при проверке Роскомнадзора в качестве доказательства локализации. Устного уверения провайдера недостаточно — нужен документ.

Шаг 3: миграция базы данных

Последовательность действий при переносе базы данных MySQL/PostgreSQL:

  1. Создайте полный дамп базы данных на текущем хостинге (mysqldump или pg_dump)
  2. Перенесите дамп на российский сервер по зашифрованному каналу (SFTP или SCP)
  3. Восстановите базу данных (mysql или pg_restore)
  4. Обновите строки подключения в конфигурационных файлах приложения (.env, config.php и т.д.)
  5. Проверьте целостность данных после переноса — сравните количество записей в таблицах
  6. Запустите приложение в режиме тестирования, не переключая DNS
  7. После успешного тестирования переключите DNS на новый сервер
  8. Оставьте старый сервер работать ещё 48-72 часа до полного распространения DNS

Шаг 4: перенос дополнительных сервисов

После переноса основной базы данных разберитесь с дополнительными сервисами. Для CRM: если используется зарубежная CRM без российского хранилища, либо заключите договор поручения обработки персональных данных с провайдером CRM (для тех стран, с которыми допустима трансграничная передача) и обеспечьте первичную запись на российские серверы, либо переходите на российскую CRM (amoCRM, Bitrix24 с серверами в России). Для email-маркетинга: база подписчиков должна храниться на российских серверах. Либо ведите мастер-список в российской системе и передавайте данные в зарубежный сервис как обработчику, либо используйте российские альтернативы (Unisender, Sendsay, Dashamail).

Шаг 5: обновление юридической документации

После переноса обновите политику конфиденциальности: укажите новое местоположение серверов (Россия), обновите реквизиты оператора, добавьте информацию о том, что первичная обработка данных осуществляется на территории РФ, перечислите все сервисы-обработчики и укажите правовые основания для передачи данных каждому из них.

Шаг 6: обновление уведомления в Роскомнадзоре

Если ранее подавалось уведомление об обработке персональных данных, необходимо обновить сведения о местонахождении базы данных. Уведомление об изменении сведений подаётся через портал РКН или в письменной форме в территориальное управление Роскомнадзора в течение 10 рабочих дней с момента изменения.

Российские хостинг-провайдеры и облачные платформы

Провайдер Тип услуги Ценовой сегмент Особенности для ФЗ-152
REG.RU VPS, виртуальный хостинг, выделенные серверы Бюджетный — средний Собственные дата-центры в России, договор подтверждает размещение в РФ
Beget Виртуальный хостинг, VPS Бюджетный — средний Высокая надёжность, все серверы в России, удобная панель управления
Selectel Облачные серверы, выделенные серверы, объектное хранилище Средний — выше среднего Дата-центры в Москве и Санкт-Петербурге, SLA 99.9%, подходит для хранения бэкапов
Yandex Cloud Облачные вычисления, управляемые БД, объектное хранилище Средний — высокий Полностью российская инфраструктура, Yandex Object Storage как альтернатива AWS S3
VK Cloud Облачные серверы, базы данных, хранилище Средний — высокий Серверы в России, управляемые базы данных PostgreSQL, MySQL
TimeWeb Cloud Виртуальный хостинг, VPS, облако Бюджетный — средний Доступные цены, собственные дата-центры в России
МТС Cloud Облачные вычисления, хранилище Средний — высокий Инфраструктура МТС, дата-центры на территории РФ

Последствия нарушения требования локализации

Роскомнадзор ведёт реестр нарушителей в области персональных данных на основании статьи 15.5 Федерального закона N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Попадание в реестр влечёт:

  • Обязанность операторов связи ограничить доступ пользователей к сайту на территории России
  • Фактическую блокировку сайта для всей российской аудитории
  • Репутационный ущерб и потерю доверия клиентов
  • Дополнительные проверки со стороны регулятора
  • Административную ответственность: штраф по статье 13.11 КоАП РФ для должностных лиц до 20 000 рублей, для юридических лиц — до 75 000 рублей

Роскомнадзор уже включал в реестр нарушителей крупные зарубежные платформы — LinkedIn (с 2016 года), ряд иностранных сервисов. Это подтверждает, что применение меры носит реальный, а не декларативный характер. Для бизнеса, ориентированного на российскую аудиторию, блокировка означает фактическое прекращение интернет-присутствия.

Технические вопросы: CDN, API и облачные сервисы

Можно ли использовать CDN с зарубежными серверами

CDN-сети могут кэшировать статичный контент (изображения, CSS, JavaScript) на зарубежных серверах — это допустимо, поскольку статичный контент не является персональными данными. Недопустимо: кэширование страниц, которые содержат персональные данные пользователя (личный кабинет, страница заказа); передача персональных данных через CDN-серверы; использование CDN как хранилища пользовательских данных.

Резервные копии

Резервные копии, содержащие персональные данные граждан РФ, также должны храниться на серверах в России. Хранение бэкапов на зарубежных облачных сервисах (AWS S3, Google Cloud Storage без российского региона) нарушает требование локализации. Используйте Yandex Object Storage, Selectel Object Storage или VK Cloud Storage.

Внешние API и сторонние сервисы

Передача персональных данных во внешние сервисы допустима при соблюдении условий трансграничной передачи (статья 12 ФЗ-152) или если такая передача необходима для исполнения договора с субъектом данных. Важно: первичная запись всё равно должна происходить на российских серверах. Платёжные системы, как правило, являются самостоятельными операторами и несут ответственность за хранение данных о платежах самостоятельно.

Данные иностранных граждан

Требование локализации распространяется на персональные данные граждан Российской Федерации. Данные иностранных граждан формально не подпадают под действие ст.18.1 ФЗ-152, однако на практике технически крайне сложно разделить хранилища по гражданству пользователей. Оптимальное решение — хранить все данные на российских серверах вне зависимости от гражданства пользователя.

Чек-лист: проверка соответствия требованию локализации

  1. Определено физическое местоположение каждого хранилища персональных данных
  2. Основная база данных размещена на серверах в России
  3. Получено документальное подтверждение от хостинг-провайдера о размещении серверов в РФ
  4. Резервные копии хранятся на российских серверах или в российском облаке
  5. Используемые CRM и email-сервисы: либо российские, либо заключён договор поручения обработки с соблюдением условий трансграничной передачи
  6. Политика конфиденциальности обновлена — указано местоположение серверов в России
  7. Уведомление в Роскомнадзоре обновлено (если ранее подавалось)
  8. Новые данные от пользователей записываются только на российские серверы
  9. CDN и сторонние скрипты не передают персональные данные на зарубежные серверы
  10. Логи доступа сервера, содержащие IP-адреса, хранятся на российских серверах

Итоговые рекомендации

Перенос сайта с зарубежного хостинга на российский является обязательным требованием закона. Откладывать его опасно: с каждым годом Роскомнадзор усиливает контроль и расширяет практику применения санкций. Процесс миграции требует тщательного планирования: сначала полный аудит всех хранилищ, затем выбор провайдера с документальным подтверждением, корректная миграция данных с проверкой целостности, обновление конфигурационных файлов и юридической документации. Параллельно необходимо решить вопрос с дополнительными сервисами — CRM, email-маркетингом, системами аналитики. После завершения переноса убедитесь, что все новые данные записываются только на российские серверы, а резервные копии также хранятся в России. Если масштаб изменений значителен, рекомендуется привлечь специалиста по информационной безопасности для проведения аудита и сопровождения миграции.

Что произойдёт при проверке Роскомнадзора

Роскомнадзор проводит проверки операторов персональных данных в плановом и внеплановом порядке. Плановые проверки проводятся по утверждённому графику, который публикуется на сайте ведомства. Внеплановые — по жалобам граждан, по требованию прокуратуры или по собственной инициативе регулятора при выявлении признаков нарушения.

В ходе проверки инспекторы запрашивают документы, подтверждающие соблюдение требований локализации: договор с хостинг-провайдером с указанием адреса дата-центра в России, технические сведения о местоположении серверов, политику конфиденциальности, уведомление об обработке персональных данных, журналы операций с данными. Отсутствие любого из этих документов — основание для привлечения к административной ответственности.

Административная ответственность за нарушение локализации

Статья 13.11 Кодекса об административных правонарушениях РФ предусматривает ответственность за нарушение законодательства о персональных данных. За нарушение требования локализации (ч. 8 ст. 13.11 КоАП РФ): для должностных лиц — штраф от 6 000 до 18 000 рублей, для индивидуальных предпринимателей — от 20 000 до 75 000 рублей, для юридических лиц — от 60 000 до 100 000 рублей. При повторном нарушении размеры штрафов существенно увеличиваются.

Особенности для различных типов сайтов

Интернет-магазин

Интернет-магазин является одним из наиболее рискованных типов сайтов с точки зрения требований локализации. Данные о заказах, адреса доставки, история покупок, платёжная информация — всё это персональные данные клиентов. Если магазин работает на платформе Shopify (серверы в США, Канаде и ЕС) без российской базы данных — требование локализации нарушено. Для WordPress/WooCommerce: если сайт размещён на российском хостинге, база данных MySQL автоматически находится в России. Для платформ MODX, 1С-Битрикс с российским хостингом ситуация аналогична.

Корпоративный сайт с формой заявки

Если корпоративный сайт компании размещён на зарубежном хостинге и имеет форму обратной связи или форму заявки — требование локализации распространяется полностью. Вариант решения для компаний, которые по техническим причинам не могут перенести весь сайт: разместить форму обратной связи как отдельный компонент на российском сервере (например, через iframe или отдельный поддомен с российским хостингом), а данные из формы записывать в российскую базу данных или CRM с российскими серверами.

Сайты на зарубежных CMS-платформах

Платформы Wix, Squarespace, Webflow имеют серверы вне России и не предоставляют возможности разместить базу данных в российском дата-центре. Технически это означает невозможность соблюдения требования локализации в рамках этих платформ без дополнительных технических решений. Оптимальное решение для таких случаев: перенос на CMS с возможностью self-hosted размещения (WordPress, MODX, 1С-Битрикс) на российском хостинге.

Документарное подтверждение локализации

Для уверенности в том, что у вас есть доказательства соблюдения требования при возможной проверке, подготовьте и сохраните следующий пакет документов:

  • Договор с хостинг-провайдером с указанием адреса дата-центра на территории РФ
  • Техническая справка или сертификат провайдера о российском расположении серверов
  • Актуальная политика конфиденциальности с указанием местоположения серверов в России
  • Уведомление в Роскомнадзор с обновлёнными сведениями о местонахождении базы данных
  • Внутренний акт (приказ или распоряжение) об определении местонахождения ИСПДн
  • Реестр хранилищ персональных данных с указанием местоположения каждого

Случаи, когда зарубежный хостинг допустим

Требование локализации не является абсолютным запретом на любое взаимодействие с зарубежными системами. Статья 6 ФЗ-152 допускает ряд исключений, при которых обработка может осуществляться без российского хранилища:

  • Обработка персональных данных в соответствии с международным договором РФ
  • Обработка для исполнения договора, стороной которого является субъект персональных данных (например, международная доставка товара иностранным гражданином)
  • Обработка в целях осуществления правосудия или исполнения судебного акта

Однако для обычного коммерческого сайта, работающего с российскими гражданами, эти исключения, как правило, неприменимы. Основное правило: если вы собираете данные граждан РФ через сайт для коммерческих целей — данные должны быть в России.