Перенос сайта на российский хостинг по 152-ФЗ: требования закона и пошаговый план переезда

Почему ваш сайт может нарушать 152-ФЗ прямо сейчас

Если на вашем сайте есть форма заявки, регистрация, корзина или просто Яндекс.Метрика — вы оператор персональных данных по закону. Это не страшное определение из юридической литературы, это просто факт. И у вас есть набор обязанностей, которые большинство владельцев сайтов даже не подозревают.

В 2025 году штрафы за нарушения 152-ФЗ выросли в десятки раз. Сегодня одна жалоба недовольного клиента может обернуться проверкой Роскомнадзора и штрафом, сопоставимым с годовой выручкой малого бизнеса. Я не пугаю — закон стал жёстче, и мы должны это учитывать.

Что такое локализация персональных данных и кому она обязательна

Локализация персональных данных — это требование хранить данные граждан РФ на серверах, физически расположенных в России. Введено 242-ФЗ ещё в 2014 году, с тех пор постоянно ужесточается. Касается всех, кто собирает имя, телефон, email, адрес или любые другие данные, по которым можно идентифицировать человека.

Под действие закона попадают: интернет-магазины, корпоративные сайты с формами обратной связи, лендинги, личные кабинеты, сервисы записи, образовательные платформы — практически любой сайт, кроме статичных визиток без аналитики и форм. И да, IP-адрес посетителя в логах Яндекс.Метрики — это тоже персональные данные.

Штрафы 2025–2026: до 18 миллионов за повторное нарушение

До 2025 года штрафы за 152-ФЗ были смешными — 30–50 тысяч для юрлиц. С декабря 2024 года КоАП серьёзно изменился. Сейчас за обработку ПДн без согласия для юридического лица — до 700 тысяч. За отказ локализовать базу данных в РФ — до 6 миллионов при первом нарушении и до 18 миллионов при повторном.

А с 2026 года введены оборотные штрафы — процент от годовой выручки компании за систематические нарушения. Для крупного бизнеса это может быть катастрофой. Для малого — тоже несладко: 1 миллион ₽ штрафа сложно «не заметить».

Самопроверка: 7 признаков, что вы нарушаете 152-ФЗ

Прежде чем начинать что-то делать, проверьте себя. Если хотя бы один пункт совпадает — у вас риски:

1. Сайт хостится за пределами РФ (Hetzner, DigitalOcean, AWS, Cloudflare как основной сервер)
2. На сайте установлен Google Analytics или Google Tag Manager
3. На страницах подгружаются Google Fonts с внешнего CDN
4. Используется Mailchimp, SendGrid или другой зарубежный email-сервис для рассылок
5. Установлена reCAPTCHA от Google вместо российской капчи
6. Нет cookie-баннера с возможностью отказа от аналитики
7. На сайте есть формы, но нет ссылки на политику обработки персональных данных

Что говорит закон — статья 18, часть 5, простыми словами

Главная норма локализации записана в одной фразе. Часть 5 статьи 18 Федерального закона № 152-ФЗ говорит: «Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Звучит сложно — давайте разберём по словам.

Кого касается требование о локализации

Закон касается всех операторов персональных данных, которые работают с данными граждан РФ. «Оператор» — это любая организация или ИП, которая собирает или обрабатывает данные. Не важно, где зарегистрирован бизнес — если ваш сайт ориентирован на российскую аудиторию (русский язык, цены в рублях, доставка по РФ), вы попадаете под закон.

Иностранная компания, продающая в Россию через сайт — тоже оператор. Это правило ввели в 2022 году поправками. Поэтому даже Tilda, заявляющая о российских серверах, или Битрикс24 с локальным размещением — должны соблюдать те же требования, что и местный хостинг.

Что считается «обработкой» персональных данных

Обработка — это любое действие с данными: получение через форму, запись в БД, хранение, изменение, передача, удаление. Даже если вы просто просматриваете заявки в админке — это обработка. Даже если IP-адрес посетителя пишется в лог сервера — это обработка.

То есть формально под закон попадает любой сервер, где есть доступ к данным. Кэш-сервер, который видит только зашифрованный трафик — нет. А вот веб-сервер, который рендерит формы — да.

«Первичная база» — главное правило

Самое важное в локализации — концепция «первичной базы данных». Это та БД, куда данные попадают первый раз: пользователь оставил заявку → она записалась в базу. Эта первичная запись обязана быть в РФ.

А вот вторичные хранилища (резервные копии, аналитические выгрузки, синхронизированные реплики) могут быть где угодно — но только если первичная запись изначально произошла на российском сервере. Это нюанс, который многие упускают.

Когда зарубежный сервер допустим (исключения)

Закон допускает несколько исключений. Можно обрабатывать ПДн за рубежом если:

• Это необходимо для исполнения международного договора РФ
• Защита жизни и здоровья субъекта (медицинские экстренные случаи)
• Деятельность журналиста или СМИ в общественных интересах
• Субъект сам опубликовал данные публично

На практике 99% коммерческих сайтов не попадают ни под одно из исключений. Для интернет-магазинов и услуг это простое правило: первичная база — в РФ.

Трансграничная передача персональных данных — что изменилось

Если локализация — это про то, где хранить данные, то трансграничная передача персональных данных (ТГПД) — про то, как и куда их отправлять. Это два разных, но связанных требования. Локализация была всегда, ТГПД-режим серьёзно ужесточили в 2023 году поправками 233-ФЗ.

Что такое трансграничная передача — определение из закона

Трансграничная передача персональных данных — это передача данных оператору, физически или юридически находящемуся за пределами территории РФ. То есть как только данные ушли на иностранный сервер или в иностранную компанию — это ТГПД, со всеми вытекающими обязанностями.

Конкретные примеры: вы используете Google Analytics — это ТГПД, потому что данные уходят в США. У вас стоит Mailchimp для рассылок — ТГПД. Cloudflare как CDN, который пропускает запросы пользователей через свои серверы за рубежом — тоже потенциально ТГПД.

Уведомление РКН перед началом ТГПД — форма, сроки

С марта 2023 года перед началом любой трансграничной передачи вы обязаны уведомить Роскомнадзор. Не после, не когда-нибудь, а заранее — минимум за 10 рабочих дней до начала передачи. Уведомление подаётся через личный кабинет на сайте РКН по форме КНД 1110305.

В уведомлении указывается: цель передачи, перечень передаваемых данных, страна получателя, сведения о принимающей стороне, правовое основание. РКН в течение 10 рабочих дней рассматривает уведомление и может запретить передачу, если страна-получатель не обеспечивает «адекватный уровень защиты».

«Адекватные» страны vs «неадекватные» — список и принцип

Роскомнадзор ведёт перечень стран, обеспечивающих «адекватный уровень защиты». Туда входят государства, ратифицировавшие Конвенцию Совета Европы 108 — около 40 стран. Для них процедура ТГПД упрощена: достаточно подачи уведомления.

А вот США, Канада, Израиль, Великобритания после Brexit — в списке «неадекватных». Для передачи в эти страны нужно дополнительно получать согласие субъекта на ТГПД, причём согласие должно быть конкретным — отдельным от общего согласия на обработку. Чек-бокс «согласен с политикой» не считается.

Согласие субъекта на ТГПД: когда нужно и как оформить

Согласие на ТГПД оформляется письменно или в электронном виде с электронной подписью либо в виде свободного волеизъявления через интерфейс сайта. На практике для веб-форм это отдельный чекбокс: «Согласен на передачу моих данных в страны, не обеспечивающие адекватный уровень защиты», с указанием стран и сервисов.

В согласии нельзя писать общие формулировки типа «всем нашим партнёрам по всему миру». Нужны конкретные страны и цели — например, «передача данных в США в сервисы Google Analytics для аналитики посещаемости сайта». Без такого согласия передача в США формально незаконна.

Как проверить, где сейчас хостится ваш сайт

Прежде чем что-то переносить, поймите текущую ситуацию. Многие владельцы сайтов уверены, что у них «российский хостинг», а на деле сервер в Нидерландах. Я разобрал четыре способа проверить — от самого простого до технически точного.

Способ 1 — whois через 2ip.ru

Самый быстрый способ. Откройте сайт 2ip.ru/whois/, введите свой домен, нажмите «Проверить». В результатах посмотрите две строки: «Страна» и «Организация». Россия и российская компания (Beget, Timeweb, Reg.ru) — всё в порядке. Германия, Нидерланды, США — у вас зарубежный хостинг.

Иногда whois показывает CDN-провайдера (Cloudflare), а не реальный сервер. В этом случае вам покажет «United States, Cloudflare Inc.», но реальный сервер может быть где угодно. Это уже сложнее — переходите ко второму способу.

Способ 2 — traceroute до домена

Traceroute показывает все промежуточные серверы, через которые проходит ваш запрос до сайта. На Windows откройте командную строку и введите:

tracert your-site.ru

На macOS и Linux:

traceroute your-site.ru

В выводе посмотрите последние 2–3 строки — это будет ваш реальный сервер. Если IP начинается с российских подсетей (87.236.*, 79.143.*, 217.118.*) — хостинг в РФ. Если 5.9.*, 88.99.*, 116.202.* — это Hetzner. 134.209.*, 167.99.*, 178.62.* — DigitalOcean.

Способ 3 — онлайн-сервис hosting-checker

Сервисы вроде hosting-checker.net или www.whoishostingthis.com делают то же самое в один клик. Вводите домен — получаете название хостинг-провайдера. Удобно для быстрой проверки, но иногда отображают устаревшие данные или не различают CDN и реальный хостинг.

Способ 4 — спросить у хостинг-провайдера

Самый надёжный путь, если есть доступ к панели управления. У большинства хостеров в личном кабинете указано: страна ЦОД, юрлицо, реквизиты. У Beget это раздел «О хостинге», у Timeweb — «Дата-центр». Если в реквизитах не российское юрлицо — это не российский хостинг, даже если серверы технически в РФ.

Зарубежные сервисы, которые передают данные с вашего сайта

Перенос на российский хостинг — это половина дела. Вторая половина — отключить все зарубежные скрипты и виджеты, которые тихо передают данные пользователей за границу. Список того, что нужно проверить и заменить, у меня вышел внушительный.

Google Analytics, Google Tag Manager

Самые популярные нарушители. Google Analytics с момента установки начинает отправлять каждый просмотр страницы вместе с IP, User-Agent, Referer, разрешением экрана и десятком других параметров на серверы Google в США. Это однозначная трансграничная передача без уведомления РКН.

Замена: Яндекс.Метрика. Серверы в России, бесплатно, по функциональности не уступает GA, во многом превосходит (вебвизор, тепловые карты). Установка — 10 минут, миграция данных не нужна — Метрика просто начнёт собирать новые данные.

Google Fonts, reCAPTCHA — скрытые утечки IP

Хитрость Google Fonts в том, что вы их не «устанавливали». Они подключаются автоматически большинством CSS-фреймворков и шаблонов. Достаточно одной строчки <link href="//fonts.googleapis.com/..."> в head — и при каждом посещении ваш сайт делает запрос на серверы Google, передавая туда IP пользователя.

Решение: скачать шрифты и положить их на свой сервер (self-hosted), отдавать локально. У меня этот способ описан — основная идея в подключении шрифтов через @font-face с локальными WOFF2-файлами. Аналогично с reCAPTCHA: заменить на Яндекс SmartCaptcha, которая полностью соответствует 152-ФЗ.

Facebook Pixel — запрещён

Meta (бывший Facebook) признан экстремистской организацией в РФ. Facebook Pixel формально запрещён к использованию. Если он у вас стоит — это не просто нарушение 152-ФЗ, это уже более серьёзная история. Удалить.

Mailchimp, SendGrid — email-сервисы

Mailchimp — американский сервис, серверы в США. Когда вы отправляете рассылку через Mailchimp, вы фактически передаёте им свою базу подписчиков — а это персональные данные. Без уведомления РКН и согласия на ТГПД — нарушение.

Российские альтернативы: UniSender, SendPulse, DashaMail, MailoPost. Они стоят сравнимо или дешевле, дают тот же функционал. Перенос базы подписчиков — обычно одна кнопка «Импорт CSV».

Cloudflare CDN — серая зона

Cloudflare часто используется для защиты от DDoS и ускорения сайта. Технически Cloudflare — это прокси, который проходит через себя весь трафик пользователей. С точки зрения 152-ФЗ это потенциальная ТГПД, особенно если Cloudflare обрабатывает формы (Worker, Stream, Stream Live).

Безопасный вариант: использовать Cloudflare только как DNS-провайдера (без proxying). Для CDN — российские альтернативы: Selectel CDN, VK Cloud CDN, Yandex CDN. Для защиты от DDoS — Beget DDoS Guard или Stormwall.

Таблица «Что заменить и на что»

Для интернет-магазинов с интеграцией 1С с сайтом важно проверить, что и обмен данных идёт между российскими серверами. Если 1С хостится в облаке зарубежного провайдера — это тоже нарушение.

На какой российский хостинг перенести сайт в 2026

Выбор российского хостинга в 2026 году большой — десятки провайдеров, от бюджетных shared до серьёзных облачных платформ. Я работаю с большинством из них и составил список тех, кому реально можно доверять.

Чек-лист выбора хостинга для 152-ФЗ

Прежде чем смотреть на цены и тарифы, проверьте по этим критериям:

• ЦОД (дата-центр) физически в РФ. Не просто «серверы для русскоязычной аудитории», а конкретное местоположение в Москве, Питере, Новосибирске
• Российское юридическое лицо. ООО или ИП с российскими реквизитами, ИНН, ОГРН
• Договор по российскому праву. Юрисдикция РФ, споры рассматриваются в российских судах
• Лицензия Роскомнадзора. Многие крупные хостеры имеют лицензию связи или операторскую
• Бэкапы хранятся в РФ. Отдельный пункт — даже резервные копии должны лежать на российских серверах
• Поддержка PHP 8+, MySQL 8+, OPcache. Это уже не про закон, а про скорость и стабильность сайта

Топ-7 российских хостингов — мини-обзор каждого

Beget. Один из самых популярных хостингов в РФ. Удобная панель, отличная поддержка в чате, хорошие тарифы. ЦОД в России, российское юрлицо. Подходит для большинства сайтов: лендинги, корпоративные, средние интернет-магазины.

Timeweb. Сильный конкурент Beget. Гибкие тарифы, много типов хостинга (shared, VPS, облачный, выделенные серверы). Удобный личный кабинет. Изредка были жалобы на стабильность, но за последний год — стабильно.

Reg.ru. Большая компания, можно купить и домен, и хостинг в одном месте. Поддержка средняя, но цены конкурентные. Хороший выбор для тех, кто хочет «всё в одном».

Selectel. Премиум-сегмент. Серьёзные VPS, выделенные серверы, облачные сервисы (S3, CDN, BareMetal). Не подходит для дешёвых проектов, но для бизнеса с реальной нагрузкой — отличный выбор.

FirstVDS. Специализируется на VPS и VDS. Хорошее соотношение цена/ресурсы, гибкие тарифы. Подходит для технически грамотных пользователей или с привлечением админа.

RuVDS. Тоже про VPS. Особенность — есть тарифы в иностранных дата-центрах для тех, кому нужны зарубежные IP (но это уже не для 152-ФЗ).

Yandex Cloud. Облачная платформа от Яндекса. Серьёзный игрок для крупных проектов: автоскейлинг, Managed Kubernetes, S3, CDN. Цены выше, но и возможности на порядок шире.

Сравнительная таблица: цена, ЦОД, поддержка, бэкапы

* RuVDS имеет ЦОД и в Цюрихе, но для 152-ФЗ выбирайте только московский тариф.

Что выбрать: блог / магазин / SaaS / B2B-портал

Блог или визитка. Beget или Timeweb на shared-тарифе. 200–500 ₽/мес, всё работает «из коробки», больше ничего не нужно.

Интернет-магазин до 5 000 SKU. Beget «расширенный» или Timeweb VPS. От 800 ₽/мес. Нужна стабильность и быстрая БД — shared-тарифа уже мало.

Крупный магазин или SaaS. Selectel VPS или Yandex Cloud. От 2 000 ₽/мес. Нужны масштабируемость, нормальный мониторинг, профессиональная поддержка.

B2B-портал с интеграциями. Selectel VPS или выделенный сервер. От 3 500 ₽/мес. Нужны изолированные ресурсы, контроль над сетевой инфраструктурой.

Если планируете высокую нагрузку — заранее проверьте, как у хостинга обстоят дела со скоростью сайта. Дешёвый shared может физически не вытянуть ваш проект, и оптимизацией это не лечится.

Пошаговый план переезда на российский хостинг

План одинаковый для любого переезда, но я акцентирую те моменты, которые особенно важны для 152-ФЗ. Если хотите подробный технический разбор каждого шага — читайте мою подробную инструкцию по переносу сайта. Здесь — концентрат для контекста российского переезда.

Шаг 1 — выбор и оплата нового хостинга

Выберите по чек-листу выше, оплатите тариф, дождитесь активации. Не начинайте переезд до того, как новый хостинг полностью готов — все доступы выданы, MySQL-пользователь создаётся, тестовая страница открывается.

Шаг 2 — полный бэкап (файлы + БД)

Перед любыми действиями — резервная копия всего. Файлы через FTP или SSH (быстрее через tar -czf backup.tar.gz .), база данных через mysqldump:

mysqldump -u DB_USER -p DB_NAME > db.sql
gzip db.sql

Сохраните копии на внешний диск или в облако (российское — Selectel Object Storage, Yandex Object Storage).

Шаг 3 — перенос файлов через FTP/SSH/rsync

Маленькие сайты — через FileZilla. Большие — через SSH+rsync для прямого переноса между серверами:

rsync -avz --progress user@old-server.ru:/home/user/public_html/ /home/user/public_html/

Шаг 4 — перенос базы данных MySQL

Создайте новую базу на новом хостинге, импортируйте дамп. Через phpMyAdmin для маленьких баз, через SSH для больших:

mysql -u DB_USER -p DB_NAME < db.sql

Шаг 5 — настройка конфигов и .htaccess

Обновите доступы к БД в wp-config.php или config.php вашей CMS. Проверьте .htaccess — иногда правила, работавшие на старом сервере, нуждаются в правке. Особое внимание — на принудительный HTTPS-редирект.

Шаг 6 — тестирование на временном домене

Пропишите в hosts-файле своего компьютера новый IP для домена и проверьте, что сайт работает. Прокликайте основные сценарии: главная, формы, корзина (если есть), админка. Не переключайте DNS до полной проверки.

Шаг 7 — смена DNS

В личном кабинете регистратора домена смените NS-серверы или A-запись на новый хостинг. За сутки до этого уменьшите TTL до 300 — переключение пройдёт за минуты, а не часы.

Шаг 8 — SSL Let’s Encrypt

На новом хостинге активируйте бесплатный SSL-сертификат Let’s Encrypt — у Beget, Timeweb и большинства нормальных хостеров это в один клик. Проверьте, что весь сайт работает по HTTPS без ошибок «mixed content».

Шаг 9 — уведомление Яндекс.Вебмастера

Если меняете только хостинг (домен тот же) — уведомлять не надо, поисковики сами разберутся. Если меняется домен — обязательно через Яндекс.Вебмастер: Настройки → Переезд сайта. Без этого можно потерять SEO-позиции на месяцы.

Шаг 10 — отключение старого хостинга через 14 дней

Не выключайте старый сервер сразу. DNS пропагируют 24–48 часов, провайдеры кэшируют ответы, часть пользователей будет ходить ещё неделю. Минимум 14 дней — параллельная работа обоих серверов. После этого можно отказываться от старого тарифа.

Что ещё нужно сделать для полного соответствия 152-ФЗ

Перенос на российский хостинг — необходимое, но не достаточное условие. Полное соответствие 152-ФЗ — это набор технических и организационных мер. Я разберу пять основных направлений, без которых формального соответствия не будет.

Подача уведомления оператора ПДн в РКН

Любая компания или ИП, обрабатывающая персональные данные, обязана уведомить Роскомнадзор о начале обработки. Уведомление подаётся через личный кабинет на pd.rkn.gov.ru по форме КНД 1110305. Срок — до начала обработки, ответственность за неподачу — штраф до 100 000 ₽.

В уведомлении указываются: данные оператора, цели обработки, перечень обрабатываемых данных, способы обработки, перечень субъектов. После подачи компания попадает в публичный реестр операторов ПДн — это нормально, на него ориентируются клиенты.

Политика конфиденциальности на сайте

Документ обязательный, отсутствие — отдельный штраф. Должен быть опубликован на сайте по доступному URL (обычно /privacy/), на каждой странице с формой — ссылка на политику. В документе указываются: кто оператор, какие данные собираются, цели, права субъекта, срок хранения, контакты для запросов.

Шаблоны политики есть в открытых источниках, но я рекомендую адаптировать под свой сайт — указать конкретные формы, конкретные сервисы аналитики, конкретные сроки. Шаблонная политика «для всех» не выдерживает проверки.

Согласие на обработку ПДн (формы, чекбоксы)

Каждая форма на сайте, которая собирает персональные данные, должна включать чекбокс «Согласен на обработку персональных данных» со ссылкой на политику. Чекбокс не должен быть проставлен по умолчанию — это «согласие по умолчанию», что не соответствует требованиям закона. Только активное действие пользователя.

Текст согласия должен быть конкретным: какие данные, для каких целей, на какой срок. Общие формулировки «согласен с условиями» не считаются согласием на обработку ПДн.

Уведомление о ТГПД в РКН (если есть трансграничная передача)

Если на сайте остаются зарубежные сервисы (даже Cloudflare для CDN, даже YouTube-видео в iframe) — это потенциально ТГПД. Уведомление подаётся отдельно от уведомления оператора, по форме той же страницы РКН. Сроки — за 10 рабочих дней до начала передачи.

Самое чистое решение — отказаться от ТГПД совсем, заменив все зарубежные сервисы на российские. Тогда уведомление не нужно, ответственность снижается, риски минимизируются.

Cookie-баннер с блокировкой аналитики до согласия

Cookie-баннер должен соответствовать концепции «opt-in»: счётчики и cookies аналитики (Яндекс.Метрика и т.п.) включаются только после явного согласия пользователя. До согласия — никаких запросов к серверам аналитики, никаких куки. Технически это означает, что код Метрики подгружается JavaScript-ом по событию клика «Принимаю».

Также в баннере нужны опции — отдельно «технические cookies» (без них сайт не работает, согласие не нужно) и «аналитические» (требуют согласия). Кнопка «Принять всё» допустима, но рядом должна быть «Только необходимые». Иначе это снова «согласие по умолчанию».

После переноса сайт желательно держать на сопровождении — закон периодически меняется, и без регулярного аудита можно начать нарушать через год-два.

Как Роскомнадзор проверяет соответствие 152-ФЗ

Понимать, как идут проверки, важно — это позволяет правильно расставить приоритеты при подготовке. РКН проверяет операторов в двух режимах: плановые и внеплановые. Принципиально это разные сценарии.

Плановые проверки (раз в 3 года)

Каждый год РКН публикует план проверок на следующий год — он доступен на сайте РКН и на сайте Генпрокуратуры. Если ваша компания в плане, проверка предсказуема: формальный документ за 3 рабочих дня, период проверки, перечень документов.

Малый и микробизнес попадают в плановые проверки реже — на них действует мораторий по постановлению Правительства. Но если вы крупный оператор (десятки тысяч записей в БД, серьёзные обороты) — рассчитывайте на проверку каждые 3 года.

Внеплановые проверки (по жалобе, по информации СМИ)

Самый распространённый сценарий проверки сейчас. Триггеры: жалоба пользователя в РКН, утечка данных в публичном поле, СМИ-публикация о проблеме. Внеплановая проверка не требует включения в годовой план и может прийти в любой момент.

Особенно опасны жалобы клиентов — недовольный покупатель может пожаловаться на ваш cookie-баннер, отсутствие политики, неработающую кнопку отписки. РКН обязан рассмотреть, и одна жалоба может спровоцировать полную проверку всей вашей обработки ПДн.

Что РКН смотрит в первую очередь — топ-10 пунктов

1. Подано ли уведомление оператора, актуальны ли данные в реестре
2. Где физически находится первичная база данных (тут включают traceroute и whois вашего сайта)
3. Опубликована ли политика конфиденциальности и доступна ли с каждой страницы с формой
4. Корректно ли оформлено согласие на обработку ПДн в формах
5. Какие зарубежные сервисы используются (GA, GTM, Mailchimp, Cloudflare)
6. Подано ли уведомление о ТГПД, если есть зарубежные передачи
7. Обеспечена ли безопасность хранения (SSL, ограничение доступа, бэкапы)
8. Соблюдается ли срок хранения (не дольше необходимого для целей)
9. Обеспечена ли возможность отзыва согласия и удаления данных
10. Cookie-баннер: отделены ли технические и аналитические cookies, можно ли отказаться

Размеры штрафов по статье 13.11 КоАП

Полная карта штрафов после поправок 2024 года:

Цифры округлены до верхней границы — на практике суды ограничиваются 30–60% от максимума. Но даже половина — это серьёзно.

Частые вопросы о переезде по 152-ФЗ

Можно ли оставить сайт на Hetzner и не получить штраф?

Формально — нет, если сайт собирает ПДн граждан РФ. Hetzner — немецкая компания, серверы в Германии и Финляндии. Первичная база данных с ПДн обязана быть в России. На практике РКН пока не штрафует массово за один только Hetzner, но риск растёт каждый квартал, особенно при наличии жалобы пользователя.

Считается ли Cloudflare нарушением локализации?

Cloudflare как CDN/прокси — серая зона. Если первичная база данных на российском сервере, а Cloudflare только кэширует статику — формально допустимо. Но если Cloudflare обрабатывает формы или передаёт данные через свои серверы (Workers, Stream) — это уже трансграничная передача со всеми требованиями.

Нужно ли переезжать, если сайт не собирает формы?

Если на сайте есть Яндекс.Метрика, cookie-баннер или любая аналитика — вы уже обрабатываете персональные данные (IP-адрес посетителя по разъяснению РКН относится к ПДн). Вопрос не «собираете ли вы формы», а «обрабатываете ли вы данные граждан РФ хоть в каком-то виде».

Что делать с сайтом на Tilda, Webflow или Wix?

Webflow и Wix — зарубежные SaaS, серверы за пределами РФ. Для соответствия 152-ФЗ нужно экспортировать сайт и перенести на российский хостинг. Tilda заявляет о серверах в РФ — проверяйте актуальную информацию на их сайте, она периодически обновляется.

Как быть с резервными копиями за рубежом?

Первичная база должна быть в России. Резервная копия, хранящаяся за рубежом, формально является трансграничной передачей — нужно уведомление РКН и согласие субъекта. Проще хранить бэкапы тоже в РФ: Yandex Object Storage, Selectel S3, отдельный сервер у российского хостера.

Считается ли email-рассылка через Mailchimp нарушением?

Да. Mailchimp — американская компания, данные подписчиков хранятся в США. Это трансграничная передача персональных данных без уведомления РКН и без согласия субъекта на ТГПД в неадекватную страну. Российские альтернативы: UniSender, SendPulse, DashaMail, MailoPost.

Сколько стоит весь комплекс работ по 152-ФЗ?

Перенос на российский хостинг — от 3 000 ₽. Аудит сайта на 152-ФЗ — от 5 000 ₽. Аудит + исправления (cookie-баннер, чекбоксы согласий, политика, удаление Google Fonts и Google Analytics, замена капчи) — от 15 000 ₽. При заказе переноса и аудита вместе у меня действует пакетная скидка.

Можно ли совместить переезд + аудит + документы в одном проекте?

Да, и это оптимальный вариант. Переношу сайт на российский хостинг, параллельно провожу аудит 152-ФЗ, исправляю найденные нарушения, готовлю шаблон политики и согласий, помогаю с подачей уведомления оператора в РКН. Один проект на 1–2 недели вместо трёх отдельных задач.

Заключение — дорожная карта за 14 дней

Если решили привести сайт в соответствие с 152-ФЗ — вот как это выглядит по дням. Реальный план на одну рабочую неделю с буфером, не «маркетинговый план на 3 часа». Реалистичные сроки, без воды.

• День 1. Аудит текущего состояния: где хостинг, какие зарубежные скрипты, есть ли политика, чекбоксы согласий
• День 2. Выбор и оплата российского хостинга, активация тарифа
• День 3. Полный бэкап файлов и БД, перенос на новый сервер
• День 4. Тестирование на временном домене, проверка всех сценариев
• День 5. Замена Google Analytics на Яндекс.Метрику, удаление Google Fonts и reCAPTCHA
• День 6. Замена email-сервиса (если был Mailchimp), переход на российский
• День 7. Подготовка cookie-баннера с правильным opt-in, обновление политики
• День 8. Смена DNS на новый хостинг (за сутки до этого — уменьшение TTL)
• День 9. Подключение SSL Let’s Encrypt, проверка mixed content
• День 10. Подача уведомления оператора в РКН (если ещё не было)
• День 11–13. Мониторинг работы нового хостинга, отслеживание DNS-пропагации
• День 14. Отключение старого хостинга, финальная проверка чек-листа соответствия

За 14 дней реалистично закрыть полный комплекс. Если делать самостоятельно — заложите 2–3 недели на изучение материала и неожиданные сложности. Если доверить специалисту — сделаем за 5–7 дней под ключ.