сайтскан.рф
Кабинет
Кейс152-ФЗ ч. 5 ст. 18

«Сервер за границей» — как штрафуют за нарушение локализации ПД

Серия штрафов Таганского суда Москвы 2022–2023 за хранение ПД россиян на иностранных серверах. Apple — 12 млн ₽ за повторное нарушение, Twitch и Pinterest — по 2 млн ₽, UPS — 1 млн ₽. С 30 мая 2025 за повторное нарушение действуют оборотные штрафы 1–3 % выручки.

Что случилось

Ч. 5 ст. 18 152-ФЗ требует, чтобы при сборе персональных данных граждан РФ оператор использовал базы данных, размещённые на территории Российской Федерации (норма введена 242-ФЗ в 2014 г., штрафы стали массовыми с 2022 года).

С 2022 года Роскомнадзор вместе с Таганским районным судом Москвы рассматривает дела о неисполнении требования о локализации в отношении иностранных компаний и российских проектов на зарубежной инфраструктуре.

Кого оштрафовали

Публично подтверждённые дела Таганского районного суда Москвы по ст. 13.11 КоАП (отказ от локализации):

Дата Компания Штраф Источник
Июнь 2022 Twitch 2 000 000 ₽ РБК
Июнь 2022 Pinterest 2 000 000 ₽ Хабр
Июнь 2022 UPS 1 000 000 ₽ Интерфакс
Июль 2022 Apple (первое нарушение) 2 000 000 ₽ Известия
Ноябрь 2023 Apple (повторное) 12 000 000 ₽ Forbes

Booking, Microsoft, Samsung, PayPal — наоборот, выполнили требование о локализации и держат БД на серверах в РФ. LinkedIn в 2016 г. заблокирован Роскомнадзором за отказ — штраф не выписывался, потому что компания не присутствует в правовом поле РФ.

С 30 мая 2025 г. вступила в силу новая редакция ст. 13.11 КоАП (введена 420-ФЗ от 30.11.2024) — штрафы существенно выросли:

  • по ч. 1 ст. 13.11 для юрлиц: 150 000 – 300 000 ₽ (было 30 000 – 150 000 ₽);
  • за утечку ПД 1–10 тыс субъектов: 3 000 000 – 5 000 000 ₽ (новый состав);
  • за повторное нарушение и обработку в непредусмотренных целях: 1–3 % выручки, не менее 25 000 000 ₽ и не более 500 000 000 ₽ (оборотные штрафы).

Под удар попадает не только Big Tech

Хостинг на зарубежных площадках типичен для малого и среднего бизнеса:

  • лендинги на Vercel или Netlify (серверы в США/ЕС);
  • интернет-магазины на Shopify (серверы в Канаде);
  • SaaS-проекты на AWS / Google Cloud / Heroku (Европа, Азия);
  • email-рассылки через Mailchimp / SendGrid / Postmark (США);
  • аналитика Google Analytics / Mixpanel / Amplitude — передача ПД в обход локализации.

Если вы собираете на сайте email или телефон — а потом эти данные уходят в Mailchimp или Stripe в США — это первичный сбор в иностранной БД. Это нарушение даже без жалоб от пользователей.

Как обнаруживают

Способов несколько, и они работают без жалобы:

  • мониторинг Роскомнадзора по IP-геолокации хостинга;
  • проверка по обращениям пользователей (1 жалоба = повод для проверки);
  • плановые проверки операторов из реестра РКН (тех, кто подал уведомление);
  • утечки и инциденты безопасности — вскрытые БД покажут страну размещения.

Что делать

1. Перенести первичную БД в РФ

Российские провайдеры с подходящим уровнем (152-ФЗ соответствие, аттестация ФСТЭК):

  • Yandex Cloud — самый популярный, есть managed PostgreSQL;
  • VK Cloud — Mail.ru / VK группа;
  • Selectel — петербургский провайдер, выделенные серверы и VPS;
  • Timeweb Cloud — для небольших проектов и MVP;
  • MTС Cloud, RUVDS — альтернативы.

Перенос обычно занимает 1–3 дня для типового проекта (бэкап → экспорт → импорт → DNS → проверка).

2. Выбрать российские email-сервисы

Для рассылок и транзакционной почты:

  • Unisender Go (РФ-юрлицо, серверы в РФ);
  • DaData / Mindbox — для CRM-рассылок;
  • SendPulse (БЕЛ, но есть RU-инфраструктура — уточняйте).

3. Аналитика — Яндекс.Метрика, не Google Analytics

Google Analytics с 2022 г. не соответствует требованиям 152-ФЗ (передаёт IP и cookies-идентификаторы за пределы РФ без согласия).

Замена:

  • Яндекс.Метрика — бесплатно, серверы в РФ;
  • Mango Office, Roistat, Mindbox — для сквозной аналитики.

4. Подать уведомление в РКН

Если ещё не сделано — подайте уведомление о начале обработки ПД на pd.rkn.gov.ru. Это бесплатно. Без уведомления штраф дополнительно до 75 000 ₽ (ст. 19.7 КоАП).

5. Зафиксировать в политике, что серверы в РФ

В Политике обработки ПД (см. Шаблон политики 152-ФЗ) явно укажите:

«Базы данных, содержащие персональные данные граждан РФ, размещаются на серверах в Российской Федерации».

Сколько это стоит

Ориентировочные ежемесячные расходы при переносе на РФ:

  • VPS Timeweb Cloud / RUVDS — от 500 ₽/мес;
  • Managed PostgreSQL Yandex Cloud — от 4 000 ₽/мес;
  • Email Unisender Go — от 0 ₽ при <500 писем в месяц.

Итого — типовой проект укладывается в 2–10 тыс ₽/мес против штрафа в 1–18 млн ₽.

Источники

  • ч. 5 ст. 18 ФЗ-152
  • ст. 13.11 КоАП РФ (редакция 420-ФЗ от 30.11.2024, действует с 30.05.2025)
  • 242-ФЗ от 21.07.2014 (введение требования о локализации)
  • 420-ФЗ от 30.11.2024 (повышение штрафов и оборотные санкции)

⚠️ Дисклеймер: обзор публичной практики на дату обновления. Конкретные суммы зависят от статуса оператора (юрлицо/ИП), повторности и оборотных показателей. Это не юридическая консультация.

Похожие материалы

Кейс152-ФЗ ст. 18.1

Cookies без согласия — практика штрафов 2024–2025

Кейс38-ФЗ ст. 18.1

Реклама без ERID — самая массовая статья 2024–2025

Материал носит информационно-справочный характер и не является юридическим заключением.