Кейсы Полезные статьи Направления Тарифы О проекте
Войти Попробовать бесплатно

Локализация персональных данных: где должен стоять сервер и как это проверить

Олег Никитин 9 мин чтения

Если у вашей онлайн-школы есть форма регистрации, личный кабинет, система оплаты или даже просто форма обратной связи — вы обрабатываете персональные данные. По закону 152-ФЗ база данных клиентов должна храниться на сервере в России. Это не выбор, а обязанность. Нарушение грозит штрафом до 6 млн рублей (проверено: апрель 2026). Разбираем, что закон понимает под «сервер в России», как его проверить и какие сервисы использовать безопасно.

Вводный текст

Слово «локализация» звучит как что-то сложное. На практике это просто: где физически лежит информация о вашем клиенте? На сервере в Москве, в облаке AWS в Ирландии или в какой-то гибридной системе?

Многие владельцы онлайн-школ ошибаются, выбирая популярный американский хостинг или CRM, потому что «все пользуются» или «дешевле». Потом приходит проверка Роскомнадзора, и оказывается, что на штрафы уходит квартальная выручка.

Главное, что нужно знать: закон не смотрит, где базируется компания-владелец сервиса. Он смотрит, где лежат данные.

Содержание:

  1. Что закон понимает под «локализацией»
  2. База данных и сайт — это разные вещи
  3. Как это работает с Cloudflare
  4. Список безопасных российских хостеров
  5. Как проверить самостоятельно
  6. Штрафы и ответственность

Что закон понимает под «локализацией»

По закону 152-ФЗ все персональные данные граждан России должны храниться в базах данных на территории РФ. Это касается первичной базы данных (та, куда пишутся данные), а не копий и архивов. Если первичная база находится за границей — это нарушение, и роль не играет, есть ли у вас резервная копия в облаке Яндекса.

Закон появился ещё в 2014 году, но с 2025 года (после поправок в КоАП РФ) штрафы выросли в разы.

Ст. 18, ч. 5 закона 152-ФЗ (проверено: апрель 2026):
«Обезличение персональных данных осуществляется путём удаления, блокирования, обезличивания содержащихся в записях файлов персональных данных, прекращение поддержания актуальности, блокирования, обезличивания содержащихся в записях файлов персональных данных … персональные данные граждан Российской Федерации при их обработке … должны находиться на территории Российской Федерации»

Проще говоря: «должны находиться на территории РФ».

Штраф по ст. 13.11 КоАП (часть 8) (проверено: апрель 2026): от 1 000 000 до 6 000 000 рублей.

Это не опечатка — млн, не тыс. За первое нарушение уже можно получить штраф на уровне квартальной выручки небольшой школы.

База данных и сайт — это разные вещи

Здесь главная путаница: когда вы покупаете хостинг, это не одно и то же, что хранить данные. Сайт может быть в облаке AWS на американском сервере, а база данных — отдельно, в России. Или наоборот: сайт в России, база данных в Европе (это нарушение). По закону нужна вторая версия — база в России.

Представьте так: ваш сайт — это витрина в магазине, которая может стоять где угодно. База данных клиентов — это реестр покупателей, который по закону должен храниться в сейфе на русской земле.

Типичная архитектура:

  • WordPress на Hostinger (Европа) + база данных на отдельном сервере в Яндекс.Облаке (Россия) = нарушение. Данные в России, но их можно извлечь быстрей, чем вывести сайт из-под DDoS.
  • WordPress на Timeweb (Россия) + база на том же сервере (Россия) = безопасно.
  • WordPress на SiteGround (США) + база в той же облачной инфраструктуре (США) = грубое нарушение. Штраф от 1 млн рублей.

Многие CRM системы (особенно американские вроде HubSpot, Pipedrive) имеют серверы только в США или Европе. Если вы загружаете в них данные клиентов онлайн-школы — это уже уговор поручения обработки, и вам нужен специальный договор. Об этом подробнее в статье про передачу данных в CRM.

Как это работает с Cloudflare

Cloudflare — это CDN (Content Delivery Network), которая ускоряет загрузку сайта, но НЕ хранит вашу базу данных. Однако Cloudflare может видеть все данные, которые проходят через её серверы: IP клиентов, cookies, параметры в URL. Это «промежуточная» обработка, и она лицензируется отдельно.

Чаще всего Cloudflare работает так: запрос пользователя приходит на сервер Cloudflare, он кеширует статический контент (картинки, CSS, JS), а динамичные запросы (к базе данных) пробрасываются на ваш origin-сервер.

Если ваш origin-сервер находится в России:

  • Cloudflare видит трафик (это обработка персональных данных по 152-ФЗ)
  • Но база данных остаётся в России
  • Нужна ещё одна бумага — соглашение с Cloudflare об обработке данных, или полный отказ от Cloudflare в пользу русского CDN

Если ваш origin-сервер находится за границей:

  • Даже если Cloudflare в России, origin за границей — это уже нарушение
  • Нужно переезжать на русский хостинг

Проверить, где лежит ваш origin:

  1. Откройте терминал или консоль (на Mac: cmd+space → «Terminal»)
  2. Введите: nslookup ваш-домен.ru
  3. Посмотрите IP адрес
  4. Введите: traceroute ваш-домен.ru (на Windows: tracert ваш-домен.ru)
  5. Вы увидите, в какой стране физически находится сервер

Альтернатива проще — используйте бесплатный сервис MaxMind GeoIP, введите IP и узнаете страну.

Список безопасных российских хостеров

Это хостеры, которые гарантированно хранят данные на серверах в России и имеют свидетельство соответствия требованиям 152-ФЗ. Все они поддерживают WordPress, базы данных MySQL, работают с CRM и не блокируют ничего «из-за за санкций».

Хостер Тип услуги Цена (начало) Чем хорош Минус
Timeweb VPS, хостинг, облако от 150 руб/мес Культура поддержки, инструменты для WP, локальный дата-центр Интерфейс немного устарел
Yandex.Cloud Облако (IaaS) от 200 руб/мес Масштабируемость, S3 совместимое хранилище, надёжность Нужно настраивать самому, нет 1-click WP
Selectel Облако, VPS от 300 руб/мес Профессиональный уровень, используют крупные компании На начинающих смотрит свысока
REG.ru Хостинг, VPS от 100 руб/мес Очень дёшево, интегрирован с доменом и почтой Может быть перегружен, баги иногда
ISPmanager (самостоятельный) Управление (панель) лицензия от 1000 руб/год Универсальное решение, работает на любом сервере Нужно арендовать сервер отдельно

Что проверить при выборе:

  • [ ] Хостер в лицензии Роскомнадзора? (можно проверить на pd.rkn.gov.ru в списке лицензированных)
  • [ ] Есть ли договор об обработке персональных данных?
  • [ ] Поддерживают ли backups в России?
  • [ ] Нарушают ли они 152-ФЗ сами? (например, используют Google Analytics)

Как проверить самостоятельно

Проверка требует полчаса времени и знания нескольких команд терминала. Главное — убедиться, что ваша база данных и файлы сайта физически находятся в России, а не копируются в облако другой страны.

Способ 1: Через терминал (для продвинутых)

# Проверить, где сайт (A-запись)
nslookup ваш-домен.ru

# Результат: IP-адрес
# Проверить страну по IP
# Идите на MaxMind.com, введите IP, если в России — хорошо

Способ 2: Спросить у хостера (проще)

Напишите в поддержку:

Где физически хранится база данных (MySQL/PostgreSQL) моего сайта? В какой стране расположены серверы?

Хостер обязан ответить честно. Если он говорит «в облаке, мы не знаем точно» — это красный флаг. Попросите SLA (соглашение об уровне обслуживания) с указанием geo-локации.

Способ 3: Проверить файлы через FTP

  1. Подключитесь по SFTP к хостингу (логин и пароль должны быть в письме при покупке)
  2. Посмотрите, какие папки и файлы есть
  3. Если это стандартная папка /home/username/public_html — скорее всего, это Россия, если это /var/www или /srv/www — может быть что угодно
  4. Попросите у хостера координаты дата-центра (город)

Штрафы и ответственность

Если Роскомнадзор обнаружит, что ваша база данных хранится за границей, вас ждёт штраф от 1 000 000 до 6 000 000 рублей. Повторное нарушение в течение года — штраф уже 6 млн рублей обязательно, плюс возможна конфискация.

6 000 000 руб.
штраф за хранение персональных данных на иностранном сервере (проверено: апрель 2026)

Как Роскомнадзор проверяет:

  1. Автоматические сканы — RKN использует технологии, которые проверяют, где физически находятся серверы. Если вы используете Cloudflare и AWS, это видно сразу.
  2. Жалобы — если клиент подаст жалобу на утечку данных, РКН проверит архитектуру вашего сайта.
  3. Перепроверки лицензантов — если вы заявили, что у вас есть лицензия (в реестре на pd.rkn.gov.ru), то РКН периодически проверяет.

Что делать, если вы сейчас на иностранном хостинге:

  1. Немедленно выберите русского хостера (у Timeweb можно перейти за день)
  2. Скачайте резервную копию (backup) с текущего хостера
  3. Загрузите на новый хостер
  4. Измените DNS (обновите адреса в регистраторе домена)
  5. Напишите письмо в Роскомнадзор (опционально), что вы исправили ошибку — иногда это снимает претензии

Чек-лист: локализация данных

Чек-лист для вашей онлайн-школы

  • ✓ Я знаю, где физически лежит моя база данных (дата-центр, город)
  • ✓ Это Россия (проверил через команды терминала или спросил у хостера)
  • ✓ Я не использую американские CRM для хранения данных (или у нас есть договор об обработке)
  • ✓ Если я использую Cloudflare, у нас есть договор с Cloudflare об обработке данных
  • ✓ Мой хостер включён в список лицензированных на pd.rkn.gov.ru
  • ✓ У меня есть договор об обработке персональных данных с хостером
  • ✓ Я знаю, где хранятся backups (резервные копии) — тоже в России

FAQ

Cloudflare нарушает закон?

Сам по себе Cloudflare — нет, это просто ускоритель. Но Cloudflare видит ваши данные (это обработка), поэтому вам нужен договор с Cloudflare об обработке данных или отказ от него в пользу русского CDN (у Yandex.Cloud есть собственный, у Timeweb тоже). Главное: origin-сервер должен быть в России, Cloudflare — дополнительный слой.

Я в облаке AWS на русском регионе (ru-moscow). Это безопасно?

Нет. AWS — американская компания, серверы физически в России, но центр управления в США, это создаёт риски. Лучше выбрать чистого русского хостера (Timeweb, Yandex.Cloud, Selectel). Пусть AWS дешевле, но штраф больше.

Нужен ли резервный сервер за границей?

По закону — нет. Резервная копия может быть где угодно (для отказоустойчивости), но первичная база данных должна быть в России. Обычно резервные копии хранят на том же хостере в той же стране, просто в другом дата-центре.

Я экспортирую данные в Google Sheets для аналитики. Это нарушение?

Технически да — это передача данных за границу. Нужно либо получить согласие клиента на эту передачу, либо использовать Google Workspace с договором об обработке (но в России это сложно), либо перейти на аналоги типа Яндекс.Метрика или собственный дашборд.

Что будет, если я сейчас исправлюсь?

Штраф за прошлые нарушения остаётся, но вы прекращаете текущее нарушение. Это важно: не ждите проверки, переходите на русский хостер сейчас. Если РКН предъявит претензию, наличие ваших действий по устранению может смягчить наказание (это не гарантия, но помогает).

Не хотите разбираться сами?

ЭдПрав проверит локализацию ваших данных и архитектуру сайта. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.

Попробовать бесплатно ->

Статья подготовлена на основе актуального законодательства РФ на апрель 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.

Не хотите разбираться сами?

ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.

Попробовать бесплатно →