С 01.07.2025 г. вступает в силу закон, ужесточающий требования о локализации персональных данных граждан РФ

С 01.07.2025 г. вступает в силу Федеральный закон от 28 февраля 2025 г. № 23-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской Федерации" (далее - Федеральный закон), содержащий новую редакцию ч. 5 ст. 18 152 ФЗ:

Редакция ч.5 ст.18 152-ФЗ

(действует до 01.07.2025 г.)

Редакция ч.5 ст.18 152-ФЗ

(вступит в силу с 01.07.2025 г.)

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2,3,4,8 части 1 статьи 6 152-ФЗ».

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются, за исключением случае, указанных в пунктах 2,3,4,8 части 1 статьи 6 152-ФЗ».

Кратко о разнице в требованиях к локализации персональных данных (ПДн)

Акцент на обязанности Оператора при сборе обеспечить указанные действия по обработке ПДн с использованием российских баз данных.

Акцент на прямом запрете при сборе осуществлять указанные действия по обработке с использованием баз данных, находящихся за пределами РФ. Оператор удален в качестве субъекта ранее позитивной обязанности.

Указанные действия по обработке ПДн допускаются за пределами РФ после первичного сбора ПДн с использованием базы данных на территории РФ (например, посредством трансграничной передачи ПДн при условии уведомления РКН).

Перечень указанных действий по обработке ПДн и условие «при сборе, в т.ч. посредством сети Интернет» - остались прежними в сравнении с текущей редакцией, однако в новой редакции запрещено их осуществление с использованием иностранных баз данных.

Важно: требования распространяются не только на Операторов, но и на лиц, обрабатывающих ПДн по поручению Оператора («Обработчиков») в силу требований ч. 3 ст. 6 ФЗ 152-ФЗ. При этом специальный состав административной ответственности за нарушение данного требования Обработчиками отсутствует - ч. 8 ст. 13.11 КоАП не подверглась ряду последних изменений КоАП РФ в части ответственности за правонарушения, связанные с обработкой ПДн. Максимальный размер штрафа за нарушение требований о локализации для Оператора - до 6 млн. рублей за первичное нарушение и до 18 млн. рублей за повторное нарушение.

Как новый запрет повлияет на возможность трансграничной передачи ПДн?

Требование о запрете указанного перечня действий по обработке ПДн граждан РФ с использованием иностранных баз данных в первую очередь касается случаев первичного сбора ПДн в базы данных, расположенные вне территории РФ, новое требования напрямую не содержит запрет трансграничной передачи ПДн, поскольку передача (предоставление, распространение, доступ) является отдельной операцией по обработке ПДн, не поименованной в списке ч.5 ст. 18 152-ФЗ, что формально не исключает возможности передачи ПДн на территорию иных стран после завершения целенаправленного процесса сбора ПДн на территории РФ, с учетом перечисленных запретов. Однако, в СМИ ранее были высказаны иные позиции представителей Госдумы, подразумевающие толкование изменений в виде полного запрета трансграничной передачи ПДн граждан РФ. Дополнительные разъяснения управомоченных органов новой редакции нормы, а также уточнение толкования операций по обработке ПДн (н.р. сбора персональных данных) помогут в формировании единообразной практики применения требований нового Федерального закона. В связи с этим мы будем внимательно следить за развитием правоприменительной практики и позицией регулятора.

Чтобы подготовиться к новым изменениям, мы рекомендуем:

  • Выявить процессы обработки ПДн, которые сопровождаются трансграничной передачей ПДн, привлечением 3 лиц к обработке ПДн по модели поручения, а также первичным сбором ПДн в базы данных, расположенных на территориях иностранных государств;

  • Определить способы локализации, а также обновления, пополнения, изменения баз данных, находящихся на территории РФ, а также способы передачи указанных баз данных на территорию РФ/доступа иностранных лиц к данным базам данных;

  • Проверить уведомление о трансграничной передаче ПДн, наличие соответствующих правовых оснований и целей обработки;

  • Проверить договоры с 3 лицами, привлекаемыми к обработке ПДн по модели поручения на соответствие требованиям законодательства;

  • Определить и оценить риски принятых в компании решений и позиций по обработке ПДн, а также возможности по их изменению в целях соответствия новому Федеральному закону.


Мы готовы помочь Вам провести анализ соответствующих бизнес-процессов и используемых IT-решений, проверить необходимые локально-нормативные акты по порядку обработки ПДн, а также Уведомления РКН. Эксперты Lidings готовы предоставить оценку рисков, а также способы их минимизации в целях соответствия процессов обработки ПДн новым требованиям о локализации персональных данных граждан РФ.