Услуга · compliance

Локализация персональных данных по 152-ФЗ: техническая реализация

Помогаем технически реализовать требования 152-ФЗ: аудит потоков персональных данных, локализация баз данных в РФ, обезличивание для трансграничной передачи, защита, документирование. Работаем в связке с вашими юристами.

Аудит потоков данныхС юристами клиентаТехническая документация

01Что требует закон — техническим языком

152-ФЗ «О персональных данных» устанавливает: при сборе персональных данных граждан РФ их запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации. Важно: закон не запрещает трансграничную передачу данных в целом — но первичные операции должны выполняться в РФ, а для передачи за рубеж есть свои правила (уведомления, оценка стран-получателей).

Оговорка: мы — инженеры, а не юристы, и эта страница не является юридической консультацией. Наша роль — построить техническую реализацию требований, которые сформулируют ваши юристы, и подготовить техническую документацию для compliance и проверок.

02Как мы подходим к локализации

  1. Аудит потоков данных. Какие персональные данные и где собираются (сайты, CRM, HR, кассы, мобильные приложения), где хранятся, куда передаются, кто имеет доступ. Результат — карта потоков данных с владельцами.
  2. Классификация. Совместно с юристами: какие данные подлежат локализации, какие могут передаваться за рубеж, в каком виде (полные, обезличенные, агрегированные).
  3. Целевая архитектура. Российский контур для БД с ПДн: облако или ЦОД, резервирование, шифрование, контроль доступа, журналирование.
  4. Миграция. Перенос баз данных в РФ с проверкой целостности; перестройка интеграций: системы-источники пишут в локальную БД первично.
  5. Обезличивание. Для трансграничной аналитики — конвейеры обезличивания/псевдонимизации: в глобальный контур уходят данные, из которых нельзя восстановить субъекта.
  6. Защита. Шифрование при хранении и передаче, разграничение доступа по ролям, MFA для администраторов, мониторинг доступа к данным.
  7. Документация. Описание систем хранения, потоков, мер защиты — артефакты, которые запрашивают при проверках и аудитах.

03Типовые архитектурные решения

ЗадачаРешение
HR-данные сотрудниковHR-система или её БД — в РФ; в глобальную HRIS передаются только необходимые атрибуты по правовому основанию
Клиентская CRMПервичная БД клиентов РФ — локально; глобальная CRM получает обезличенные/агрегированные данные
Сайт и формыТочки сбора пишут в российскую БД первично; web-аналитика — с учётом ограничений
BI и аналитикаЛокальное хранилище + экспорт агрегатов; дашборды головного офиса без ПДн
Логи и мониторингПДн в логах минимизируются; хранение логов с ПДн — локально

04Частые ошибки

  • «У нас нет персональных данных» — есть почти всегда: HR, клиенты, контрагенты-физлица, посетители сайта
  • Локализация «на бумаге»: формально БД в РФ, фактически данные дублируются в десяток зарубежных систем
  • Игнорирование резервных копий: бэкап БД с ПДн, уехавший в зарубежное хранилище, — тоже поток данных
  • Отсутствие карты потоков: никто не может ответить, где конкретно лежат данные конкретного клиента
  • Решение «перенесём всё в РФ» без анализа — дорого, долго и часто избыточно: локализовать нужно определённые операции с определёнными данными

05С чего начать

С аудита потоков данных: за 1–2 недели мы обследуем системы, интеграции, хранилища и выдаём карту потоков с рекомендациями. На её основе юристы формулируют требования, а мы — проект технической реализации со сроками и бюджетом. Если у вас уже есть заключение юристов — начинаем сразу с архитектуры.

06Частые вопросы

Обязательно ли переносить в Россию все данные компании?

Нет. Требования касаются операций с персональными данными граждан РФ: первичные запись, хранение, обновление — в базах на территории России. Коммерческая тайна, финансовые данные юрлиц, производственные данные — не подпадают под это требование (хотя для них могут быть отраслевые правила).

Можно ли передавать данные в головной офис?

Трансграничная передача возможна при соблюдении установленного порядка: правовые основания, уведомления, оценка стран-получателей. Технически мы реализуем согласованную схему: что передаётся, в каком виде, как защищено и журналируется. Юридическую часть определяют ваши юристы.

Где размещать базу с ПДн: облако или ЦОД?

Оба варианта допустимы. Ключевое — территория РФ и меры защиты. В облаке проверяем условия конкретного провайдера (регион размещения, аттестаты); в ЦОД контроль полнее, но эксплуатация на вас. Выбираем по вашим требованиям к уровню защиты.

Что грозит за нарушение?

Штрафы за нарушение требований по локализации для юрлиц значительны, а при повторных нарушениях возможны меры вплоть до ограничения доступа к ресурсу. Актуальные размеры санкций уточняйте у юристов — они менялись в последние годы в сторону ужесточения.

Локализация персональных данных по 152-ФЗ — обсудим вашу задачу

Опишите ситуацию: масштаб, сроки, что уже есть. Ответим в течение нескольких часов с планом и ориентиром по бюджету. Первая консультация бесплатна.

Обсудить проект

Связанные услуги и материалы

Обсудим ваш проект

Опишите задачу — ответим в течение нескольких часов. Первая консультация бесплатна.