01Что требует закон — техническим языком
152-ФЗ «О персональных данных» устанавливает: при сборе персональных данных граждан РФ их запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации. Важно: закон не запрещает трансграничную передачу данных в целом — но первичные операции должны выполняться в РФ, а для передачи за рубеж есть свои правила (уведомления, оценка стран-получателей).
02Как мы подходим к локализации
- Аудит потоков данных. Какие персональные данные и где собираются (сайты, CRM, HR, кассы, мобильные приложения), где хранятся, куда передаются, кто имеет доступ. Результат — карта потоков данных с владельцами.
- Классификация. Совместно с юристами: какие данные подлежат локализации, какие могут передаваться за рубеж, в каком виде (полные, обезличенные, агрегированные).
- Целевая архитектура. Российский контур для БД с ПДн: облако или ЦОД, резервирование, шифрование, контроль доступа, журналирование.
- Миграция. Перенос баз данных в РФ с проверкой целостности; перестройка интеграций: системы-источники пишут в локальную БД первично.
- Обезличивание. Для трансграничной аналитики — конвейеры обезличивания/псевдонимизации: в глобальный контур уходят данные, из которых нельзя восстановить субъекта.
- Защита. Шифрование при хранении и передаче, разграничение доступа по ролям, MFA для администраторов, мониторинг доступа к данным.
- Документация. Описание систем хранения, потоков, мер защиты — артефакты, которые запрашивают при проверках и аудитах.
03Типовые архитектурные решения
| Задача | Решение |
|---|---|
| HR-данные сотрудников | HR-система или её БД — в РФ; в глобальную HRIS передаются только необходимые атрибуты по правовому основанию |
| Клиентская CRM | Первичная БД клиентов РФ — локально; глобальная CRM получает обезличенные/агрегированные данные |
| Сайт и формы | Точки сбора пишут в российскую БД первично; web-аналитика — с учётом ограничений |
| BI и аналитика | Локальное хранилище + экспорт агрегатов; дашборды головного офиса без ПДн |
| Логи и мониторинг | ПДн в логах минимизируются; хранение логов с ПДн — локально |
04Частые ошибки
- «У нас нет персональных данных» — есть почти всегда: HR, клиенты, контрагенты-физлица, посетители сайта
- Локализация «на бумаге»: формально БД в РФ, фактически данные дублируются в десяток зарубежных систем
- Игнорирование резервных копий: бэкап БД с ПДн, уехавший в зарубежное хранилище, — тоже поток данных
- Отсутствие карты потоков: никто не может ответить, где конкретно лежат данные конкретного клиента
- Решение «перенесём всё в РФ» без анализа — дорого, долго и часто избыточно: локализовать нужно определённые операции с определёнными данными
05С чего начать
С аудита потоков данных: за 1–2 недели мы обследуем системы, интеграции, хранилища и выдаём карту потоков с рекомендациями. На её основе юристы формулируют требования, а мы — проект технической реализации со сроками и бюджетом. Если у вас уже есть заключение юристов — начинаем сразу с архитектуры.
06Частые вопросы
Обязательно ли переносить в Россию все данные компании?
Нет. Требования касаются операций с персональными данными граждан РФ: первичные запись, хранение, обновление — в базах на территории России. Коммерческая тайна, финансовые данные юрлиц, производственные данные — не подпадают под это требование (хотя для них могут быть отраслевые правила).
Можно ли передавать данные в головной офис?
Трансграничная передача возможна при соблюдении установленного порядка: правовые основания, уведомления, оценка стран-получателей. Технически мы реализуем согласованную схему: что передаётся, в каком виде, как защищено и журналируется. Юридическую часть определяют ваши юристы.
Где размещать базу с ПДн: облако или ЦОД?
Оба варианта допустимы. Ключевое — территория РФ и меры защиты. В облаке проверяем условия конкретного провайдера (регион размещения, аттестаты); в ЦОД контроль полнее, но эксплуатация на вас. Выбираем по вашим требованиям к уровню защиты.
Что грозит за нарушение?
Штрафы за нарушение требований по локализации для юрлиц значительны, а при повторных нарушениях возможны меры вплоть до ограничения доступа к ресурсу. Актуальные размеры санкций уточняйте у юристов — они менялись в последние годы в сторону ужесточения.