Блог инфра

152-ФЗ и база данных в РФ — соответствие закону

Если у вашего сайта или приложения есть форма с email, телефоном или ФИО — вы по российскому закону оператор персональных данных, и обязаны соответствовать 152-ФЗ. Это касается любого интернет-проекта: SaaS, интернет-магазина, лендинга с формой подписки, мобильного приложения.

В этой статье — главные требования закона, как подать уведомление в Роскомнадзор за 30 минут и какие штрафы грозят за нарушения (с 2025 года — до 18 млн ₽ при повторном нарушении и оборотные штрафы до 3% выручки).

Важно: статья носит информационный характер, не является юридической консультацией. Для критичных решений (большие компании, обработка биометрии, медданных, госструктуры) — обратитесь к специализированному юристу.

Главное в 60 секунд

  1. Любой сбор email / телефона / ФИО = вы оператор ПДн
  2. Нужно подать уведомление в Роскомнадзор до начала сбора (макс. 10 дней с начала)
  3. Сервер с БД пользователей должен физически быть в РФ (закон №242-ФЗ)
  4. Нужны внутренние документы: Политика обработки ПДн, Положение, согласие
  5. Штрафы за нарушения с 2025 года — от 30 тыс до 18 млн ₽, плюс оборотные до 3% выручки

Главные законы

152-ФЗ «О персональных данных» (2006)

Основной закон. Определяет:

  • Что такое персональные данные (любая информация, по которой можно идентифицировать человека: ФИО, телефон, email, паспорт, IP, cookies)
  • Кто такой оператор ПДн (любое лицо, организующее обработку — даже одно ФИО в Excel = оператор)
  • Принципы обработки (законность, целевая, минимально необходимая)
  • Обязанность уведомлять Роскомнадзор до начала обработки

Полный текст — на pravo.gov.ru.

242-ФЗ «О локализации ПДн» (с 1 сентября 2015)

Поправка к 152-ФЗ — запрещает первичный сбор и хранение ПДн россиян на серверах за пределами РФ. Подробнее в статье РБК Компании про требования 2026.

Что это значит на практике:

  • Сервер с БД пользователей-россиян должен физически находиться в РФ
  • При первичной записи (regis-форма, заказ, чат) — запись идёт сразу на РФ-сервер
  • Можно дублировать копии на зарубежные серверы (для аналитики, бэкапа), но исходник — в РФ
  • Vercel / AWS / Supabase US — нарушение, если там лежат email/телефоны россиян

ПП-1119 «Уровни защищённости» (2012)

Технические требования к защите. Определяет 4 уровня (УЗ-1 — УЗ-4) в зависимости от типа данных, количества субъектов и актуальных угроз.

  • УЗ-4 (базовый) — обычные данные (email, телефон в маленьких объёмах) — публичное облако подойдёт
  • УЗ-3 (средний) — большие объёмы или особые категории — публичное облако подойдёт с оговорками
  • УЗ-2 (повышенный) — финансовые / медицинские данные большого объёма — нужен сертифицированный хостинг
  • УЗ-1 (максимальный) — биометрия больших объёмов, гостайна — особые условия

По Кибероснова обзор УЗ. Большинство стартапов попадают в УЗ-4 или УЗ-3 — стандартный хостинг типа Timeweb подходит.

Кто обязан подавать уведомление

Уведомление о намерении обрабатывать ПДн подаётся до начала обработки. По Точка обзор, это касается:

  • Любая компания (ООО, ИП, самозанятый), у которой есть сотрудники → обработка ПДн сотрудников
  • Любой сайт с формой обратной связи / регистрации / подписки
  • Интернет-магазин — заказы клиентов
  • SaaS-сервис — данные пользователей
  • Mobile-приложение с регистрацией
  • CRM с данными клиентов

Исключения: обработка только для личных/семейных нужд, обработка в составе государственных автоматизированных систем.

Срок: до начала обработки, максимум 10 дней после фактического начала.

Штраф за неуведомление (с 30 мая 2025): от 100 000 до 300 000 ₽ для юр.лиц. По data-sec.ru обзор штрафов.

Как подать уведомление в Роскомнадзор — пошагово

Шаг 1. Подготовка данных

Соберите информацию о вашей организации и системе обработки:

  • Полное наименование, ОГРН/ОГРНИП, ИНН
  • Юридический и фактический адрес
  • Контактное лицо (ФИО, телефон, email)
  • Цели обработки (например «оказание услуг», «исполнение договоров», «продвижение услуг»)
  • Категории ПДн (ФИО, контактные данные, паспорт — то что собираете)
  • Категории субъектов (клиенты, сотрудники, посетители сайта)
  • Способы обработки (с использованием средств автоматизации = через сайт/CRM)
  • Срок хранения (например «срок действия договора + 5 лет»)
  • Меры защиты (антивирус, защищённый канал, контроль доступа)

Шаг 2. Заполнение электронной формы

  1. Зайти на pd.rkn.gov.ru/operators-registry/notification/ — это официальный портал Роскомнадзора
  2. Выбрать «Подать уведомление» → «Уведомление об обработке ПДн»
  3. Заполнить форму поэтапно (~30-60 минут)
  4. Подписать ЭЦП (если есть) или отправить по почте распечатанный вариант

Шаг 3. Подача

3 способа (klerk.ru гайд):

  • Онлайн с ЭЦП — самый быстрый, регистрация в реестре за 30 дней
  • Распечатать и отправить почтой в местное отделение РКН — медленнее
  • Через Госуслуги — для ИП и юр.лиц

Шаг 4. Подтверждение в реестре

Через до 30 дней после подачи вы попадёте в реестр операторов Роскомнадзора — публичный, можно проверить себя по ИНН.

Шаг 5. Внутренние документы

После подачи уведомления подготовить обязательный пакет документов:

  1. Политика в отношении обработки ПДн — публикуется на сайте (открытый доступ)
  2. Положение об обработке ПДн — внутренний документ
  3. Положение об организации защиты ПДн
  4. Перечень информационных систем ПДн
  5. Перечень лиц, имеющих доступ
  6. Согласие на обработку — форма, которую подписывает каждый субъект (или галочка на сайте)
  7. Согласие на обработку специальных категорий (если применимо)
  8. Журналы учёта обращений субъектов, обучения сотрудников

По Legal Box обзор документов 2026.

Локализация ПДн — где должна быть БД

По 242-ФЗ (Garant полный текст):

При первичной обработке ПДн россиян нужно использовать БД, физически расположенные в РФ.

«Первичная обработка» = запись, систематизация, накопление, хранение, уточнение, извлечение. То есть момент регистрации пользователя / сохранения заказа — должен идти на РФ-сервер.

Что подходит как хостинг

✅ Соответствует требованиям:

  • Timeweb Cloud — серверы в Москве/Санкт-Петербурге
  • Selectel — РФ-серверы
  • Yandex.Cloud, VK Cloud, Mail.ru Cloud Solutions
  • Свой VPS у российского провайдера (Reg.ru, Beget, FirstVDS)

❌ НЕ соответствует:

  • AWS / Google Cloud / Azure (без российских регионов)
  • Vercel, Netlify, Cloudflare (зарубежные ЦОДы)
  • Supabase / Neon (зарубежные, для production с россиянами — нарушение)

Что делать если используете зарубежные сервисы

Вариант 1: Полный переезд на РФ-хостинг — самый чистый путь.

Вариант 2: Гибридная схема — первичную БД с ПДн держать в РФ (Timeweb Managed Postgres), а зарубежные сервисы (Vercel для фронта, Supabase для не-ПДн части) использовать без хранения ПДн.

Вариант 3: Не собирать ПДн — если возможно (например статический сайт без форм). Email-форма через сторонний сервис (Tilda, Notion API) — формально перекладывает обязанность на них, но юридически серая зона.

Штрафы за нарушения (с 30 мая 2025)

Главное обновление 152-ФЗ — резкое повышение штрафов. По data-sec.ru и vc.ru разбор:

Штрафы за общие нарушения (ст. 13.11 КоАП)

НарушениеШтраф юр.лицу
Неуведомление РКН100 000 – 300 000 ₽
Нарушение порядка обработки30 000 – 150 000 ₽
Отказ удалить ПДн по требованию600 000 – 1 200 000 ₽

Штрафы за утечку данных (новые с 30 мая 2025)

Объём утечкиШтраф
1 000 – 10 000 субъектов3 – 5 млн ₽
10 000 – 100 000 субъектов5 – 10 млн ₽
>100 000 субъектов или биометрия15 – 20 млн ₽
Повторное нарушениеоборотный штраф 1-3% годовой выручки (мин 20 млн, макс 500 млн ₽)

Штрафы за нарушение локализации (242-ФЗ)

  • Юр.лицо: от 1 до 6 млн ₽
  • Повторно: до 18 млн ₽

Это про размещение БД с ПДн россиян на зарубежных серверах.

Прочие новые штрафы

  • Неуведомление об утечке в Роскомнадзор — 1-3 млн ₽
  • Неуведомление субъектов об утечке — отдельные санкции

Чек-лист соответствия 152-ФЗ

Минимум для интернет-проекта:

  • Подано уведомление в Роскомнадзор через pd.rkn.gov.ru
  • Сайт есть в реестре операторов РКН (проверить по ИНН)
  • Сервер с БД — в РФ (Timeweb / Selectel / Yandex.Cloud)
  • Политика обработки ПДн опубликована на сайте — обязательно открытая ссылка в подвале
  • Согласие на обработку — чекбокс при регистрации / отправке формы
  • Положение об обработке ПДн — внутренний документ
  • Положение о защите ПДн — внутренний документ
  • Перечень ИСПДн с указанием уровня защищённости
  • Перечень лиц с доступом — приказ или служебка
  • Реализованы технические меры защиты по уровню (антивирус, контроль доступа, HTTPS, бэкапы)
  • При получении запроса субъекта (например «удалите мои данные») — ответ в 30 дней
  • При утечке — уведомление РКН в 24 часа

Шаблоны документов

Готовые шаблоны (Политика, Согласие, Положение) можно найти:

  • На pd.rkn.gov.ru — официальные методические рекомендации
  • В сервисах вроде B-152, Контур.Норматив (платные, но с актуализацией под изменения законов)
  • На Legal Box — бесплатные образцы 2026 года

Для критичных случаев (биометрия, медицина, госуслуги) — заказать у юриста под вашу специфику.

Особенности для AI-проектов

Если ваш AI-проект работает с ПДн пользователей:

  • Промты с ФИО / email / телефоном — это обработка ПДн. AI-сервис (OpenAI / Anthropic / Google) — субподрядчик, на которого вы обязаны иметь согласие пользователя
  • Запросы к зарубежным AI — формально это трансграничная передача ПДн. По 152-ФЗ требуется уведомление РКН отдельно про эту передачу
  • Альтернативы для compliance: российские AI-сервисы (GigaChat, YandexGPT) — данные не покидают РФ
  • Self-hosted модели через Hermes Agent + Ollama — полная локализация

Если делаете SaaS с AI-фичами для российской аудитории — сильно проще использовать GigaChat API или Yandex AI Studio: оплата картой РФ, серверы в РФ, договор с российским юр.лицом.

FAQ

Я ИП, у меня просто лендинг с формой обратной связи. Реально надо уведомлять РКН? Да. По букве закона — любой сбор ПДн (даже одна форма) делает вас оператором. Штраф за неуведомление — 100-300 тыс ₽. Подача занимает 30 минут, в реестр зачисляются за 30 дней.

Что если данные обрабатываются Tilda / Bitrix / Битрикс-24? Вы всё равно оператор. Тилда — техническая платформа, не оператор. Уведомление вам подавать самим. Технические меры защиты — на платформе.

Можно ли хранить данные в AWS US, если они зашифрованы? Нет. 242-ФЗ требует физического расположения первичной БД в РФ, шифрование не освобождает от локализации.

Что считается «первичной» обработкой? Запись (регистрация), систематизация (структурирование), накопление (сбор), хранение (БД), уточнение (изменение), извлечение (запросы). По сути — всё что происходит с момента получения данных до момента когда вы их используете.

Как доказать что я локализовал данные? Контракт с РФ-хостингом + технические данные о расположении ЦОД (можно запросить у Timeweb / Selectel и т.д.). Российский хостинг даёт подтверждение по запросу для аудита.

Штрафы реально применяются? Да. С 2025 года РКН активизировал проверки, особенно у компаний с заметной аудиторией. По riverstart обзор, число штрафов растёт значительно.

Что делать если я уже работаю несколько лет без уведомления? Подать уведомление сейчас. Штраф будет, но единичный (100-300 тыс ₽). Дальше работаете легально. Откладывание — увеличивает риск.

Нужно ли отдельное уведомление при добавлении новой формы / новой системы? Если категории ПДн или цели обработки не изменились — не нужно. Если новая категория (например начали собирать паспорта) или новая цель — нужно подать уведомление об изменении сведений.

Можно ли использовать Google Analytics / Яндекс.Метрику? Метрика — да (российский сервис, данные в РФ). Google Analytics — формально нарушение 242-ФЗ (передача в США), но РКН пока не прессует за это малый бизнес. Юридически — заменить на Метрика.

Должно ли быть согласие на cookies? Cookies сами по себе — спорная зона (Yandex считает их ПДн, многие нет). Безопаснее — иметь cookie-banner с согласием. Большинство сайтов имеют.

Что делать если данные утекли?

  1. В 24 часа уведомить РКН (через pd.rkn.gov.ru)
  2. В разумный срок — уведомить субъектов
  3. Принять меры (сменить пароли, закрыть утечку)
  4. Документировать всё письменно

Связанные статьи