Избранное

Запрет на зарубежные базы: что это значит для бизнеса

    15 мая 2026 года

    Разбираем простым языком, что означает запрет на использование зарубежных баз при сборе персональных данных, кого он касается и что бизнесу стоит проверить без паники и лишних затрат.

     

    В этой статье:

     

    Тема зарубежных баз данных звучит так, будто она касается только крупных ИТ-компаний, маркетплейсов и банков. На практике вопрос шире: почти у любой компании есть сайт с формой заявки, CRM, рассылки, облачные документы, сервисы аналитики, телефония, подрядчики по рекламе или поддержке. В каждом из этих мест могут появляться персональные данные клиентов, сотрудников или соискателей.

    Поэтому правильный вопрос не “можно ли пользоваться иностранными сервисами вообще”, а “где именно мы собираем персональные данные граждан РФ, где они впервые записываются и какие операции с ними выполняются”. Именно здесь чаще всего и появляются риски.

    Что на самом деле означает запрет на зарубежные базы

    Под “запретом на зарубежные базы” обычно имеют в виду требование 152-ФЗ о локализации персональных данных. В действующей редакции с 1 июля 2025 года при сборе персональных данных, в том числе через интернет, не допускается выполнять запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, которые находятся за пределами России, за отдельными законными исключениями.

    Это не означает, что “всё иностранное запрещено”. Закон говорит не о стране происхождения программы и не о логотипе на сайте сервиса. Ключевой вопрос - где находится база данных и как устроен процесс сбора и обработки персональных данных.

    Например, если заявка с сайта сначала попадает на зарубежный сервер, а потом копируется в российскую CRM, это уже не выглядит как спокойная схема “мы же потом храним в России”. Нужно разбирать реальный маршрут данных: от формы на сайте до менеджера, рассылки, аналитики и архива.

    Локализация персональных данных простыми словами

    Локализация персональных данных - это не просто “поставить сервер в России”. Бизнесу важно обеспечить, чтобы базовые операции с персональными данными граждан РФ при их сборе выполнялись с использованием баз данных на территории России.

    Проще говоря: когда человек оставляет имя, телефон, email, резюме, адрес доставки или другие персональные данные, компания должна понимать, куда эти данные попали первыми, где они хранятся, кто к ним имеет доступ и какие сервисы участвуют в цепочке.

    Отдельно стоит не путать локализацию и трансграничную передачу персональных данных. Локализация отвечает на вопрос, где выполняются ключевые операции при сборе данных. Трансграничная передача - это передача данных за пределы России при наличии правового основания и соблюдении установленного порядка. Эти темы связаны, но это не одно и то же.

    Кого это касается

    Требования по персональным данным могут затронуть любую организацию или ИП, которые собирают и обрабатывают данные людей: клиентов, сотрудников, посетителей сайта, подписчиков, участников мероприятий, соискателей, представителей контрагентов.

    Малый и средний бизнес часто считает, что у него “нет персональных данных”, потому что нет большой базы клиентов. Но форма “оставьте телефон”, запись на консультацию, анкета кандидата, личный кабинет, доставка, онлайн-оплата, переписка в CRM - это уже обработка персональных данных.

    Чем больше компания использует облачных сервисов и подрядчиков, тем важнее видеть полную картину. Риск обычно возникает не в одном “большом сервере”, а в связке небольших инструментов, которые постепенно подключали разные отделы.

    Где бизнес чаще всего ошибается

    Первая типичная ошибка - смотреть только на основную CRM или базу 1С и забывать про сайт. На сайте могут быть формы обратной связи, заявки на расчет, подписка на новости, виджеты чата, коллтрекинг, сквозная аналитика, рекламные пиксели, плагины конструктора форм.

    Вторая ошибка - считать, что если сервис удобный и известный, значит с персональными данными всё в порядке. Иностранные SaaS, облачные таблицы, сервисы рассылок, онлайн-чаты, таск-трекеры и формы могут участвовать в сборе данных незаметно для руководителя.

    Третья ошибка - не проверять подрядчиков. Маркетинговое агентство, разработчик сайта, интегратор CRM, колл-центр или служба поддержки могут получать доступ к персональным данным. Если договоры, роли и каналы передачи не описаны, компания плохо контролирует собственный процесс.

    Четвертая ошибка - воспринимать вопрос как повод срочно “переехать вообще со всего”. Массовая миграция без инвентаризации часто приводит к лишним расходам, сбоям в продажах и новым неучтенным рискам.

    Что проверить в своей инфраструктуре

    Начинать лучше не с выбора нового сервера, а с карты потоков персональных данных. Нужно пройти путь пользователя: он оставил заявку на сайте - куда ушли данные, кто их получил, где они сохранились, какие интеграции сработали, попали ли данные в аналитику, рассылку, телефонию, CRM, мессенджер или облачную таблицу.

    • формы на сайте, включая всплывающие окна, квизы и заявки на обратный звонок
    • CRM, ERP, сервисы поддержки и таск-трекеры, где видны данные клиентов
    • облачные документы и таблицы, которые используют продажи, HR или бухгалтерия
    • сервисы рассылок, аналитики, коллтрекинга, онлайн-чата и сквозной аналитики
    • интеграции между сайтом, CRM, телефонией, рекламными кабинетами и почтой
    • доступы подрядчиков и условия договоров поручения обработки персональных данных
    • резервные копии, выгрузки, архивы и тестовые базы, о которых часто забывают

    После такой проверки становится понятно, где есть реальный риск, где достаточно настроек и договоров, а где действительно нужно менять схему хранения или обработки.

    Как действовать без паники

    Задача бизнеса - не доказать, что у него “идеальная” инфраструктура, а управляемо привести процессы в порядок. Для начала стоит назначить ответственных, описать основные системы, проверить формы сайта и сервисы, через которые проходят персональные данные.

    Затем нужно разделить проблемы по уровню риска. Одно дело - старая форма на лендинге, которая отправляет заявку на личную почту менеджера. Другое - вся клиентская база в зарубежной CRM, откуда идут рассылки, сегментация и отчеты. Эти ситуации требуют разных решений.

    Иногда достаточно перенастроить интеграции, убрать лишние поля из форм, заменить один сервис, перевести первичный сбор в российскую инфраструктуру и пересмотреть договоры с подрядчиками. Иногда нужен более глубокий проект: перенос CRM, изменение архитектуры сайта, настройка журналирования, разграничение доступов, обновление документов по ПДн.

    Когда нужен аудит потоков ПДн

    Аудит потоков персональных данных нужен, если компания не может быстро ответить на простые вопросы: какие персональные данные мы собираем, где они впервые записываются, кто имеет доступ, кому передаются, где хранятся копии и какие иностранные сервисы участвуют в процессе.

    Особенно важно провести аудит, если у компании несколько сайтов, активный маркетинг, распределенные отделы продаж, внешние подрядчики, облачная CRM, иностранные SaaS или регулярные выгрузки клиентских данных.

    Хороший результат аудита - не толстая папка “для проверки”, а понятная схема: какие данные есть, через какие системы они проходят, где риски, что можно исправить быстро, а что требует проекта. Такой подход помогает не тратить деньги на бессмысленную замену всего подряд и одновременно снижает юридические и технические риски.

    Если смотреть на тему спокойно, запрет на зарубежные базы - это не повод паниковать. Это повод наконец увидеть, как на самом деле движутся персональные данные внутри компании, и привести сайт, CRM, облака, подрядчиков и документы к одной понятной схеме.

    FAQ (46 вопросов и ответов)

    Это значит, что нельзя использовать любые иностранные сервисы?

    Нет: формулировка закона про конкретные операции при сборе ПДн граждан РФ и про использование баз данных за пределами РФ. Чтобы понять, “нельзя ли вам конкретный сервис”, нужно смотреть на реальную схему: где происходит запись/хранение/накопление при сборе. 

    Мы собираем только телефоны в форме заявки это тоже персональные данные?

    Персональные данные — любая информация, относящаяся к определяемому человеку. Номер телефона в контексте заявки обычно позволяет связать данные с человеком, поэтому к нему применяются правила обработки. 

    Можно ли “сначала записать в РФ, а потом отправить за рубеж”?

    Это уже вопрос конкретной схемы и оснований. Кроме локализации есть правила трансграничной передачи (и её уведомления), поэтому лучше разбирать с картой потоков данных. 

    А если данные обрабатывает подрядчик ответственность на нём?

    Нет, в базовой логике закона ответственность перед субъектом несёт оператор, а поручение должно быть оформлено с указанием целей, действий, обязанностей и мер. 

    Есть ли штрафы за нарушение локализации?

    В КоАП предусмотрен отдельный состав за невыполнение обязанности по локализации при сборе (часть 8 статьи 13.11). 

    Чем мы можем помочь

    • Если хотите разобраться без “массовой миграции всего подряд”, можем сделать аудит потоков ПДн: где собираете, где храните, какие интеграции и подрядчики участвуют — и дать план точечных правок.
    • Нужна проверка сайта/форм/CRM на соответствие требованиям локализации? Проведём техническую диагностику “точек входа” и поможем перестроить схему аккуратно.
    • Если вы не уверены, что у вас считается трансграничной передачей и что попадает под запрет на зарубежные базы — можно обсудить текущую архитектуру и выбрать самый безопасный вариант без лишних затрат.