Новые требования к локализации персональных данных: изменения с июля 2025 года

С первого июля 2025 года в действие вступит новая редакция п. 5 ст. 18 Федерального закона № 152 «О персональных данных» .

С 30 мая 2025 года вступают в силу ужесточения в сфере законодательства о персональных данных согласно закону №420-ФЗ от ноября 2024 года, увеличивающие штрафы за нарушения до 18 млн рублей.

1. Изменения коснутся локализации, то есть месторасположения баз данных, содержащих персональные данные субъектов.

Кого коснутся эти изменения (при наличии хотя бы одного из данных условий):

• компания использует  иностранные сервисы для бизнеса (например, облачные сервисы, Google Forms, Google Analytics);
• компания использует  иностранные IT-решения для обработки ПД россиян (например, где находится хостинг вашего сайта);
• компания собирает или передает персональные данные через границу при сделках с контрагентами (включены ли такие положения в договоры);

Под локализацией с учетом внесения изменений в законодательство подразумевается не просто наличие сервера в России, а полное физическое размещение всех элементов инфраструктуры, участвующих в сборе, хранении и обработке данных.

Роскомнадзор активно использует автоматизированные инструменты мониторинга, такие как система «Ревизор», для проверки локации серверов и анализа трафика.

Новая редакция Закона вводит прямой запрет на сбор персональных данных с использованием баз данных где-либо за пределами Российской Федерации.

Кроме того, поправки конкретизируют обязанности операторов ПД обрабатывать  данные граждан России исключительно на территории РФ, это теперь касается и обработчиков персональных данных по поручению оператора. Ранее законодательство разрешало операторам данных осуществлять их хранение и обработку в том числе за пределами России через обработчиков. Это не позволяло обеспечить надежную защиту персональных данных и создавало предпосылки к их утечке. 

2. При этом изменения в законе не затронут трансграничную передачу ,  операторы также смогут передавать персональные данные за пределы РФ (обязательно уведомив Роскомнадзор о факте трансграничной передачи).

Однако усложнится доступ иностранным компаниям к персональным данным граждан РФ, так как хранить такие данные станет необходимо исключительно в России.

3. Несмотря на то, что №152-ФЗ не содержит прямого указания на cookie, Роскомнадзор интерпретирует использование cookie как сбор персональных данных, требуя явного согласия пользователей.

В 2025 году теперь обязательны:

• Баннеры согласия, появляющиеся при первом посещении сайта.
• Возможность чётко отказаться от обработки данных.
• Разделение cookie по категориям (аналитические, рекламные, технические).
• Использование российских серверов для хранения cookie, если они содержат  идентифицирующие данные.

Во избежание привлечения компании к ответственности за нарушение законодательства в сфере персональных данных необходимо провести проверку не собираются ли и не хранятся ли ПД за пределами РФ.