Хранение персональных данных на серверах в РФ — что это значит технически

152-ФЗ требует, чтобы первичная база с персональными данными граждан РФ находилась на серверах в России. Звучит просто, на практике — десятки нюансов. Куда уходит email из формы? Где живут бэкапы? А Яндекс Метрика — это передача персданных? Разбираем технически, без юридического тумана.

Что считается персональными данными

По 152-ФЗ персональные данные — любая информация, относящаяся к идентифицированному или определяемому физлицу. На практике это ФИО, телефон, email, IP-адрес, cookie с уникальным идентификатором, фото, геолокация. Email и имя из формы заявки — уже ПДн. Анонимный IP без других данных — пограничный случай: на стороне осторожности считать персданными.

Главное требование — статья 18, часть 5

Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны производиться с использованием баз данных, находящихся на территории РФ. Ключевое слово — первичная база. Копии для аналитики или трансграничной передачи допускаются с оговорками, но исходник — на серверах в РФ.

Что это значит на практике

• Основной хостинг. Yandex Cloud, VK Cloud, Selectel, Timeweb, Cloud.ru — все ЦОДы в РФ. AWS, GCP, Azure для первичного хранения ПДн нельзя.
• СУБД с CRM, заявками, пользователями. Managed PostgreSQL/MySQL/ClickHouse от Yandex Cloud, VK Cloud, Selectel — типовое решение.
• 1С с базой клиентов. На сервере в РФ или в 1С:Фреш (облако в РФ).
• Файловое хранилище с документами клиентов. S3-совместимое в РФ: Yandex Object Storage, VK Cloud Storage, Selectel Cloud Storage.

Бэкапы — отдельный пункт

Резервные копии ПДн тоже подпадают под требование. Делать снэпшоты в зарубежное облако «для надёжности» — нарушение. Стратегия 3-2-1 реализуется внутри РФ: основной ЦОД + локальная копия + офсайт в другом ЦОДе РФ. Yandex Cloud и VK Cloud дают мультизонные конфигурации.

Трансграничная передача — особый режим

С 1 марта 2023 года трансграничная передача ПДн требует уведомления РКН до начала передачи. РКН может приостановить или запретить передачу в страны без адекватной защиты прав субъектов. Что считается передачей:

• Загрузка ПДн в SaaS с серверами за рубежом: Notion, Airtable, HubSpot, Intercom.
• Email-рассылки через Mailchimp или SendGrid.
• Подключение скриптов Google Analytics или Google Tag Manager — данные уходят на серверы Google.
• Использование Google Fonts через CDN — IP пользователя передаётся хостеру шрифта.
• Хранение бэкапов в AWS S3 или Backblaze.

Аналитика и метрики

Яндекс Метрика — данные в РФ, проблем нет. Google Analytics 4 — трансграничная передача, нужно уведомление РКН и отдельное согласие пользователя в баннере cookies. Госсектору запрещено. Сторонние тулзы (Hotjar, Mixpanel, Amplitude) — аналогично GA. Self-hosted альтернативы на сервере в РФ: Plausible, Matomo, PostHog.

CDN, шрифты, статика

CDN для статики (CSS, JS, картинки без ПДн) — технически нейтрально, но если CDN отдаёт страницы авторизованной зоны (личный кабинет), IP пользователя и cookie уже ПДн. Использовать CDN с PoP в РФ: Yandex CDN, Selectel CDN, CDNvideo, G-Core. Google Fonts хостить локально — это закрывает и трансграничную передачу, и улучшает LCP за счёт отсутствия отдельного TCP-handshake.

Email-рассылки и сервисы поддержки

База подписчиков — в ESP с серверами в РФ: Unisender, Sendsay, DashaMail, MailoPost. Helpdesk: Юздеск, Okdesk вместо Zendesk и Intercom. Если используется зарубежный сервис — отправлять только через копию (не первичную базу) и подавать уведомление в РКН.

Уведомление РКН — оператор персданных

Сайт, который собирает заявки или регистрации, является оператором ПДн. По 152-ФЗ нужно подать уведомление в РКН до начала обработки — через Госуслуги или личный кабинет на portal.rkn.gov.ru. Бесплатно, занимает 10 минут, компания попадает в реестр операторов. Штраф за необработку — до 300 тыс. руб., но реальная боль — претензии от пользователей и плановые проверки.

Согласие на обработку — обязательное звено

В форме на сайте — чекбокс «согласен с обработкой ПДн» со ссылкой на политику конфиденциальности. Без проставленного чекбокса форма не отправляется. Политика должна перечислять: какие данные собираются, цели обработки, срок хранения, кому передаются (включая трансграничную передачу — отдельным пунктом). Шаблонные тексты «согласно 152-ФЗ» — не работают, нужны конкретные сведения.

Чеклист на час

1. Перечислить все точки сбора ПДн: формы, чаты, телефон с коллтрекинга, CRM, личный кабинет.
2. Проверить, что первичные базы (CRM, БД сайта, 1С) находятся в ЦОДе РФ.
3. Проверить расположение бэкапов и снэпшотов.
4. Перевести Google Fonts на локальный хостинг.
5. Для GA, Mailchimp, Notion и подобных — подать уведомление РКН о трансграничной передаче или перейти на российскую альтернативу.
6. Подать уведомление оператора ПДн в РКН, если ещё не подано.
7. Обновить политику конфиденциальности: куда уходят данные, кому передаются, на каком основании.

Итог: 152-ФЗ — не про «всё своё», а про юрисдикцию хранения и прозрачность передачи. Первичная база в РФ, любые «утечки» наружу (аналитика, рассылки, CDN) — осознанно и по правилам. Это вопрос на полдня работы, и закрывает он риски, которые иначе всплывут через жалобу или проверку.