Локализация персональных данных
Подборка наиболее важных документов по запросу Локализация персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц
(КонсультантПлюс, 2025)По общему правилу не допускаются запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если у вас не предусмотрены способы определения гражданства (например, нет поля "гражданство" в форме регистрации), то рекомендуем использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.
(КонсультантПлюс, 2025)По общему правилу не допускаются запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если у вас не предусмотрены способы определения гражданства (например, нет поля "гражданство" в форме регистрации), то рекомендуем использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.
Статья: Персональные данные в кадрах: что и кому можно обрабатывать, а что грозит миллионными штрафами
(Лагутин М.)
("Делопроизводство", 2025, N 2)Однако ч. 5 ст. 18 152-ФЗ обязывает первично собирать персональные данные на серверах, которые территориально расположены в России. Поэтому рекомендуется переходить на отечественные "рельсы" и отказываться от иностранных корпоративных сервисов, либо изменить подход к работе с такими сервисами, обеспечив требования о локализации персональных данных.
(Лагутин М.)
("Делопроизводство", 2025, N 2)Однако ч. 5 ст. 18 152-ФЗ обязывает первично собирать персональные данные на серверах, которые территориально расположены в России. Поэтому рекомендуется переходить на отечественные "рельсы" и отказываться от иностранных корпоративных сервисов, либо изменить подход к работе с такими сервисами, обеспечив требования о локализации персональных данных.
Нормативные акты
Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 24.06.2025)
"О персональных данных"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
(ред. от 24.06.2025)
"О персональных данных"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
"Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ
(ред. от 04.11.2025)8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
(ред. от 04.11.2025)8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
Статья: Чем запомнился 2023 год и что ждать работодателям от 2024 года?
(Свистунова Н., Стародубцев В., Цуркан Н., Шамбер О., Черемисова С., Рейзман Е.)
("Кадровая служба и управление персоналом предприятия", 2024, N 1)В 2023 году государственный контроль за обработкой персональных данных ужесточился. Внедрен более строгий порядок их трансграничной передачи, требующий уведомления Роскомнадзора. Большое внимание уделяется передаче персональных данных за границу: теперь требуется обязательная локализация баз данных в России, а некоторым организациям запрещено использовать иностранные мессенджеры в определенных областях своей деятельности.
(Свистунова Н., Стародубцев В., Цуркан Н., Шамбер О., Черемисова С., Рейзман Е.)
("Кадровая служба и управление персоналом предприятия", 2024, N 1)В 2023 году государственный контроль за обработкой персональных данных ужесточился. Внедрен более строгий порядок их трансграничной передачи, требующий уведомления Роскомнадзора. Большое внимание уделяется передаче персональных данных за границу: теперь требуется обязательная локализация баз данных в России, а некоторым организациям запрещено использовать иностранные мессенджеры в определенных областях своей деятельности.
Статья: Обработка персональных данных в гостиничном бизнесе: правовые и организационные аспекты
(Петрякова А.В., Конобеева А.Б.)
("Туризм: право и экономика", 2022, N 3)Традиционно вопросы обработки персональных данных исследуются учеными в контексте трудового права (гл. 14 ТК РФ), распространения персональных данных в сети Интернет (в том числе незаконного), локализации персональных данных граждан России. Исследований, связанных со спецификой обработки персональных данных в индустрии гостеприимства, немного. Вместе с тем данная сфера научного поиска представляется интересной, комплексной (межотраслевой и междисциплинарной), включающей в себя положения информационного права, гражданского права, менеджмента. Судебная практика по делам о защите персональных данных в сфере услуг и, в частности, в индустрии гостеприимства, противоречива <2>, что дает основания полагать, что на теоретическом и практическом уровне не выработалось единых правил и стандартов, в связи с чем исследования в данной области не теряют своей актуальности.
(Петрякова А.В., Конобеева А.Б.)
("Туризм: право и экономика", 2022, N 3)Традиционно вопросы обработки персональных данных исследуются учеными в контексте трудового права (гл. 14 ТК РФ), распространения персональных данных в сети Интернет (в том числе незаконного), локализации персональных данных граждан России. Исследований, связанных со спецификой обработки персональных данных в индустрии гостеприимства, немного. Вместе с тем данная сфера научного поиска представляется интересной, комплексной (межотраслевой и междисциплинарной), включающей в себя положения информационного права, гражданского права, менеджмента. Судебная практика по делам о защите персональных данных в сфере услуг и, в частности, в индустрии гостеприимства, противоречива <2>, что дает основания полагать, что на теоретическом и практическом уровне не выработалось единых правил и стандартов, в связи с чем исследования в данной области не теряют своей актуальности.
Статья: Персональные данные и возможности их использования: из опыта стран БРИКС
(Карцхия А.А.)
("Наследственное право", 2022, N 1)В Индии действует федеральное законодательство о защите данных: Закон об информационных технологиях (Information Technology Act, 2000), Правила об информационных технологиях (Information Technology Rules, 2011), а также опубликован проект Закона о защите персональных данных (Personal Data Protection Bill, 2019) <10>, который регулирует обработку персональных данных (сбор, раскрытие, передача или обработка иным образом) на территории Индии. Законопроект подразделяет персональные данные на три группы: личные данные, конфиденциальные личные данные и критически важные личные данные. Персональные данные включают данные, относящиеся к характеристикам, чертам или атрибутам личности, которые могут использоваться для идентификации человека, собираемые онлайн или офлайн. Конфиденциальные персональные данные включают финансовые данные, биометрические данные, кастовые, религиозные или политические убеждения или любую другую категорию данных, указанную Правительством Индии. Критические персональные данные означают такие персональные данные, которые могут быть установлены центральным Правительством Индии как критически важные персональные данные. Законопроектом предусмотрено правило локализации персональных данных (хотя Закон об информационных технологиях имеет экстерриториальное действие), а также возможность анонимизации персональных данных, что означает необратимый процесс преобразования персональных данных в форму, в которой невозможно идентифицировать субъект данных в соответствии с установленными стандартами. При обработке персональных данных оператор (фидуциар данных) должен уведомить о сборе и обработке данных с указанием обязательной информации, включая: цели обработки данных; характер и категории собираемых персональных данных; право субъекта данных отозвать свое согласие и порядок такого отзыва; основание для такой обработки данных; информацию о любой трансграничной передаче персональных данных; период хранения персональных данных и др. Законопроект также устанавливает ответственность (штрафы) за нарушения в сфере защиты и обработки персональных данных.
(Карцхия А.А.)
("Наследственное право", 2022, N 1)В Индии действует федеральное законодательство о защите данных: Закон об информационных технологиях (Information Technology Act, 2000), Правила об информационных технологиях (Information Technology Rules, 2011), а также опубликован проект Закона о защите персональных данных (Personal Data Protection Bill, 2019) <10>, который регулирует обработку персональных данных (сбор, раскрытие, передача или обработка иным образом) на территории Индии. Законопроект подразделяет персональные данные на три группы: личные данные, конфиденциальные личные данные и критически важные личные данные. Персональные данные включают данные, относящиеся к характеристикам, чертам или атрибутам личности, которые могут использоваться для идентификации человека, собираемые онлайн или офлайн. Конфиденциальные персональные данные включают финансовые данные, биометрические данные, кастовые, религиозные или политические убеждения или любую другую категорию данных, указанную Правительством Индии. Критические персональные данные означают такие персональные данные, которые могут быть установлены центральным Правительством Индии как критически важные персональные данные. Законопроектом предусмотрено правило локализации персональных данных (хотя Закон об информационных технологиях имеет экстерриториальное действие), а также возможность анонимизации персональных данных, что означает необратимый процесс преобразования персональных данных в форму, в которой невозможно идентифицировать субъект данных в соответствии с установленными стандартами. При обработке персональных данных оператор (фидуциар данных) должен уведомить о сборе и обработке данных с указанием обязательной информации, включая: цели обработки данных; характер и категории собираемых персональных данных; право субъекта данных отозвать свое согласие и порядок такого отзыва; основание для такой обработки данных; информацию о любой трансграничной передаче персональных данных; период хранения персональных данных и др. Законопроект также устанавливает ответственность (штрафы) за нарушения в сфере защиты и обработки персональных данных.
"Правовые аспекты разработки и коммерциализации программного обеспечения"
(Савельев А.И.)
("Статут", 2024)Таким образом, при использовании функционала компьютерной программы по модели SaaS провайдер будет обрабатывать персональные данные, которые содержатся в данных, предоставляемых пользователем. В ряде случаев это будет неизбежно в силу назначения таких систем, например, если они связаны с ведением кадрового учета или управлением взаимоотношениями с клиентами (CRM). Но в силу очень широкого понятия персональных данных практически любое использование компьютерной программы физическими лицами будет сопряжено с предоставлением провайдеру SaaS персональных данных: на этапе регистрации и авторизации в учетной записи, данных об устройствах, с которых был осуществлен доступ, и пр. Поэтому вопросы соблюдения законодательства о персональных данных при использовании SaaS будут стоять на повестке дня в большинстве случаев. Местонахождение серверов SaaS-провайдера напрямую влияет на исполнение требований о порядке осуществления трансграничной передачи данных (ст. 12 Закона о персональных данных), обеспечения локализации процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных). При этом если провайдер SaaS находится за пределами Российской Федерации, то к нему будут применяться нормы законодательства о персональных данных страны его местонахождения, которые могут вступать в коллизии с положениями российского законодательства о персональных данных.
(Савельев А.И.)
("Статут", 2024)Таким образом, при использовании функционала компьютерной программы по модели SaaS провайдер будет обрабатывать персональные данные, которые содержатся в данных, предоставляемых пользователем. В ряде случаев это будет неизбежно в силу назначения таких систем, например, если они связаны с ведением кадрового учета или управлением взаимоотношениями с клиентами (CRM). Но в силу очень широкого понятия персональных данных практически любое использование компьютерной программы физическими лицами будет сопряжено с предоставлением провайдеру SaaS персональных данных: на этапе регистрации и авторизации в учетной записи, данных об устройствах, с которых был осуществлен доступ, и пр. Поэтому вопросы соблюдения законодательства о персональных данных при использовании SaaS будут стоять на повестке дня в большинстве случаев. Местонахождение серверов SaaS-провайдера напрямую влияет на исполнение требований о порядке осуществления трансграничной передачи данных (ст. 12 Закона о персональных данных), обеспечения локализации процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных). При этом если провайдер SaaS находится за пределами Российской Федерации, то к нему будут применяться нормы законодательства о персональных данных страны его местонахождения, которые могут вступать в коллизии с положениями российского законодательства о персональных данных.
"LegalTech в сфере предпринимательской деятельности: монография"
(отв. ред. И.В. Ершова, О.В. Сушкова)
("Проспект", 2023)- особые требования к безопасности со стороны крупных корпоративных заказчиков и требование к локализации персональных данных. С одной стороны, решения должны учитывать специфику каждого заказчика, с другой - все данные должны храниться внутри страны;
(отв. ред. И.В. Ершова, О.В. Сушкова)
("Проспект", 2023)- особые требования к безопасности со стороны крупных корпоративных заказчиков и требование к локализации персональных данных. С одной стороны, решения должны учитывать специфику каждого заказчика, с другой - все данные должны храниться внутри страны;
Статья: Обработка персональных данных в России: судебная практика и правовое регулирование
(Бердасов А.А.)
("Юстиция", 2024, N 2)Ключевые слова: персональные данные; утечка данных; защита персональных данных; локализация данных; судебная практика.
(Бердасов А.А.)
("Юстиция", 2024, N 2)Ключевые слова: персональные данные; утечка данных; защита персональных данных; локализация данных; судебная практика.
"Государство, общество и личность: пути преодоления вызовов и угроз в информационной сфере: монография"
(отв. ред. Л.К. Терещенко)
("Инфотропик Медиа", 2024)Поскольку неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционированию критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом, потребовалось введение ответственности операторов за неисполнение указанной обязанности. Федеральным законом от 2 декабря 2019 г. N 405-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" <560> введены ч. 8 и 9 ст. 13.11 КоАП РФ, соответственно предусматривающие ответственность за правонарушения, связанные с неисполнением указанной обязанности, и повторное их совершение.
(отв. ред. Л.К. Терещенко)
("Инфотропик Медиа", 2024)Поскольку неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционированию критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом, потребовалось введение ответственности операторов за неисполнение указанной обязанности. Федеральным законом от 2 декабря 2019 г. N 405-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" <560> введены ч. 8 и 9 ст. 13.11 КоАП РФ, соответственно предусматривающие ответственность за правонарушения, связанные с неисполнением указанной обязанности, и повторное их совершение.
Интервью: Мы вступили в эпоху цифрового огораживания и национализации (персональных) данных
("Закон", 2022, N 3)- Да, в Китае есть система социального рейтинга, причем она имеет двойную природу. Одна система касается физических лиц, другая - юридических. И последняя вызывает даже большую обеспокоенность международных компаний, которые работают на китайском рынке. Но модель Китая в целом специфичная, связанная с культурным кодом, своими представлениями о демократии, правах человека, построении общества и государства. В то же время мы в целом находимся в эпохе цифрового огораживания, национализации данных, когда все крупные страны пытаются оградить персональные данные граждан от конкурентов. В России приняты Закон о локализации персональных данных <6>, "пакет Яровой" <7> и другие меры, которые приводят к повышению издержек бизнеса в связи с обработкой и хранением персональных данных. Но такие акты есть не только у нас. Гораздо раньше подобное регулирование появилось, например, в Германии. В 2020 г. Европейским судом было принято решение по делу Максимилиана Шремса (Max Schrems) <8>, которое как раз очень существенно ограничило право передачи персональных данных из Европы в США в связи с негативной оценкой американского законодательства в части возможности слежки за гражданами и получения данных о них. После этого решения европейский бизнес, который в основном использовал американские системы, приложения для обработки персональных данных и аналитики, получил неофициальные рекомендации пользоваться отечественными платформами, провайдерами и т.п. Прямой запрет не установили, но были созданы все условия, чтобы максимально ограничить использование европейским бизнесом зарубежных сервисов, в первую очередь сервисов США, так как этот рынок составляет около 1 трлн евро в год.
("Закон", 2022, N 3)- Да, в Китае есть система социального рейтинга, причем она имеет двойную природу. Одна система касается физических лиц, другая - юридических. И последняя вызывает даже большую обеспокоенность международных компаний, которые работают на китайском рынке. Но модель Китая в целом специфичная, связанная с культурным кодом, своими представлениями о демократии, правах человека, построении общества и государства. В то же время мы в целом находимся в эпохе цифрового огораживания, национализации данных, когда все крупные страны пытаются оградить персональные данные граждан от конкурентов. В России приняты Закон о локализации персональных данных <6>, "пакет Яровой" <7> и другие меры, которые приводят к повышению издержек бизнеса в связи с обработкой и хранением персональных данных. Но такие акты есть не только у нас. Гораздо раньше подобное регулирование появилось, например, в Германии. В 2020 г. Европейским судом было принято решение по делу Максимилиана Шремса (Max Schrems) <8>, которое как раз очень существенно ограничило право передачи персональных данных из Европы в США в связи с негативной оценкой американского законодательства в части возможности слежки за гражданами и получения данных о них. После этого решения европейский бизнес, который в основном использовал американские системы, приложения для обработки персональных данных и аналитики, получил неофициальные рекомендации пользоваться отечественными платформами, провайдерами и т.п. Прямой запрет не установили, но были созданы все условия, чтобы максимально ограничить использование европейским бизнесом зарубежных сервисов, в первую очередь сервисов США, так как этот рынок составляет около 1 трлн евро в год.