Sitelaw

242-ФЗ · Локализация ПДн

242-ФЗ: что должно храниться в России

Если у вас на сайте есть форма, регистрация или подписка — ПДн ваших пользователей обязаны храниться на серверах в России. Иностранный хостинг, AWS-бэкапы, Cloudflare-прокси, Mailchimp-рассылки — каждое из этого может стоить 6 миллионов рублей за инцидент.
  • Хостинг и БД на серверах РФ
  • Российские альтернативы трекерам
  • Cloudflare и CDN — нюансы
  • Список 46 иностранных сервисов

Введите URL — отчёт обычно за ~30 секунд:

Без регистрации, бесплатно. Полный список нарушений с пунктами КоАП и штрафом.

Контекст закона

Зачем 242-ФЗ нужен и кого затрагивает

Поправки к 152-ФЗ от 21 июля 2014 года (Федеральный закон № 242-ФЗ) ввели в часть 5 статьи 18 жёсткое правило: при сборе персональных данных, в том числе через интернет, запись, систематизация, накопление, хранение, уточнение и извлечение данных российских граждан должны производиться с использованием баз, находящихся на территории Российской Федерации.

На практике это означает, что любая система — CRM, рассылки, опросники, формы обратной связи, регистрация — должна работать на серверах в РФ.

Закон обсуждался ещё в 2014 году, но активная правоприменительная практика сформировалась только с 2022 года. С тех пор Роскомнадзор ежегодно проводит сотни проверок по локализации, штрафы выписаны крупным компаниям (LinkedIn заблокирован за нарушение, Twitter штрафовали неоднократно).

С 30 мая 2025 года ст. 13.11 ч.8 КоАП РФ ужесточена: первое нарушение для юрлица — от 1 до 6 миллионов рублей, повторное — до 18 миллионов. Самое высокое наказание — за утечку при отсутствии локализации (до 3% годовой выручки).

Чек-лист соответствия

Что должно быть на стороне инфраструктуры

  • БД с ПДн россиян размещена на серверах в РФ

    Включая бэкапы, реплики, резервные дата-центры

  • CRM, рассылки, чаты — на российских серверах

    Bitrix24, amoCRM, RetailCRM, Unisender, Дашли — соответствуют

  • Хостинг сайта в РФ или с российским регистратором

    REG.ru, Beget, Selectel, TimeWeb, Mail.Ru Cloud — ОК

  • Не использовать AWS, Google Cloud, DigitalOcean, Heroku для ПДн

    Серверы за рубежом — прямое нарушение, штраф высокий

  • Не использовать Stripe, PayPal как процессинг ПДн

    Платёжные системы вне РФ хранят персональные данные плательщиков

  • Не использовать Mailchimp, SendGrid, Intercom

    Email-маркетинг и поддержка — данные подписчиков уезжают за границу

  • Отказ от Cloudflare как прокси (или использование российского аналога)

    Cloudflare видит весь трафик, включая формы — это передача ПДн

  • Если используете иностранный сервис — отдельное согласие пользователя

    С указанием страны, цели и срока трансграничной передачи

Чёрный список

Иностранные сервисы, которые часто стоят на сайтах

Ниже — выдержка из базы Sitelaw (46 сервисов всего). Все они хранят ПДн вне РФ и без отдельного согласия пользователя на трансграничную передачу — являются нарушением 242-ФЗ.

Google Analytics

Аналитика → серверы Google, США

Google Tag Manager

Управление тегами → США

Meta Pixel (Facebook)

Реклама и аналитика → США

Hotjar / Microsoft Clarity

Запись поведения → США/ЕС

Mailchimp

Email-рассылки → США

SendGrid / Postmark

Email-инфраструктура → США

Intercom / Drift

Чаты поддержки → США

Calendly / Cal.com

Запись на встречи → США

Stripe

Платежи → США

PayPal

Платежи → США

Cloudflare (proxy)

CDN/WAF, видит весь трафик → США

AWS / Heroku / Vercel

Хостинг бэкенда → США/ЕС

Typeform / Tally

Опросные формы → ЕС

Notion / Airtable

Базы данных → США

Slack / Discord виджеты

Коммуникация → США

Полный список из 46 сервисов с указанием альтернатив и юрисдикций — в отчёте после проверки. Sitelaw подсвечивает только те, что реально обнаружены на вашем сайте.

Штрафы

Сколько стоит нарушение локализации

  • Граждане
    ст. 13.11 ч.8 КоАП
    30 000 – 100 000 ₽
    Нарушение требований о локализации
  • Должностные лица
    ст. 13.11 ч.8 КоАП
    200 000 – 400 000 ₽
    Нарушение требований о локализации
  • ИП и юрлица (первое нарушение)
    ст. 13.11 ч.8 КоАП
    1 000 000 – 6 000 000 ₽
    Хранение ПДн россиян за пределами РФ
  • ИП и юрлица (повторно)
    ст. 13.11 ч.9 КоАП
    6 000 000 – 18 000 000 ₽
    Повторное нарушение в течение года
  • Юрлица
    ст. 13.11 ч.15 КоАП
    1% – 3% выручки, но не менее 20 млн (до 500 млн)
    Повторная утечка ПДн в течение года (оборотный штраф)

Штраф за нарушение локализации (часть 8) выше базового штрафа за обработку без согласия (часть 1) — Роскомнадзор отдельно выделяет локализацию как приоритет проверок с 2022 года.

Частые вопросы

Что чаще всего спрашивают про 242-ФЗ

  • А что вообще такое 242-ФЗ — это отдельный закон?
    242-ФЗ — это поправки 2014 года к 152-ФЗ, которые ввели обязательную локализацию персональных данных российских граждан на серверах в РФ (часть 5 ст. 18 152-ФЗ). На практике закон чаще называют по номеру поправок — «242-ФЗ» или «закон о локализации ПДн». Вступил в силу 1 сентября 2015 года.
  • Если у меня лендинг на Tilda — это нарушение?
    Tilda размещена на российских серверах и формально соответствует 242-ФЗ. Но если на Tilda подключены иностранные интеграции (Google Forms, Mailchimp, Stripe, Calendly), данные пользователей всё равно уходят за границу. Проверьте каждую интеграцию отдельно. Sitelaw показывает все обнаруженные сторонние сервисы и помечает иностранные.
  • У меня форма на Notion / Airtable / Typeform — что делать?
    Все три сервиса имеют серверы за пределами РФ и хранят ответы пользователей за границей. Это нарушение 242-ФЗ для российских персональных данных. Альтернативы: SimpleForm.ru, Yandex Forms, форма на Tilda со встроенным хранилищем, или собственная форма с сохранением в БД на российском хостинге.
  • Cloudflare — нельзя? У меня вся защита на нём
    Cloudflare работает как прокси: весь трафик к вашему сайту проходит через серверы Cloudflare за пределами РФ, включая POST-запросы с формами. Формально это означает, что у Cloudflare есть доступ к ПДн ваших пользователей, что нарушает 242-ФЗ. Альтернативы: DDoS-Guard (RU), Selectel, Beget, Yandex Cloud — у всех есть российские CDN/WAF.
  • Я.Метрика и Google Analytics — обе в порядке?
    Я.Метрика — да, серверы Яндекса в РФ. Google Analytics — нет, серверы Google за рубежом, т.е. передача ПДн (cookie-идентификаторов, IP) за границу. Использование GA без отдельного согласия пользователя на трансграничную передачу — нарушение. Большинство российских сайтов после 2022 года перешли на Я.Метрику.
  • Что Sitelaw находит автоматически?
    Сканер ловит сетевые запросы, которые делает страница в реальном браузере: к какому домену, какой сервис стоит за этим доменом, в какой стране находятся серверы. Из 46 известных иностранных сервисов помечает каждое использование с указанием конкретного нарушения и российской альтернативы.

Смежные темы

Связанные требования к сайту

Проверка по 152-ФЗПолный чек-лист по персональным данным и обязанностям оператора.ЧитатьCookie-баннер: что должно бытьКак правильно собирать согласие на cookies и аналитику.ЧитатьАудит интернет-магазинаЧек-лист e-commerce: ПДн + хранение + оферта + возврат.Читать

Покажем, какие иностранные сервисы стоят у вас

Сканер откроет ваш сайт в реальном браузере, поймает все исходящие сетевые запросы и пометит сервисы с серверами вне РФ.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.