Когда продуктовая команда вынесла CRM-базу с заявками российских пользователей в зарубежное облако, это казалось временной мерой «на рост». Проверка выяснила, что первичный сбор и запись велись на иностранных серверах. Суд признал нарушение требования локализации и назначил штраф по ч. 8 ст. 13.11 КоАП РФ: для юрлиц — от 1 до 6 млн руб., а при повторности — по ч. 9 той же статьи — до 18 млн руб. Для отрасли это стало напоминанием: «облако по умолчанию» больше не работает без продуманной юридической конфигурации.
Юридская оптика проста: норма о локализации закреплена в п. 5 ст. 18 Закона № 152-ФЗ, а административная ответственность — в ч. 8–9 ст. 13.11 КоАП РФ. В похожем деле суд квалифицировал хранение в иностранном облаке как несоблюдение требований к месту первичного сбора; организация подтвердить локализацию не смогла — и получила постановление мирового судьи. Для юриста по персональным данным это пример, как инфраструктурные решения автоматически становятся предметом правовой оценки.
Разработчики усматривают в таких кейсах «техническую формальность», но суды отталкиваются от буквального состава: где происходит запись, систематизация и хранение на этапе сбора — там и оценивают соблюдение п. 5 ст. 18 № 152-ФЗ. Доводы о «временной репликации», «кешах провайдера» или «коммерческой необходимости» не спасают, если схема первичного сбора уводит данные за пределы РФ. Задача, которую закрывает юрист по персональным данным, — заранее превратить архитектурную диаграмму в правовую карту рисков.
Отдельный слой — трансграничная передача. Даже при корректной локализации первичного сбора оператору требуется уведомление о трансграничной передаче (ст. 12 № 152-ФЗ). Роскомнадзор вправе ограничить или запретить передачу после оценки рисков, поэтому отсутствие или формальность уведомления становится самостоятельным триггером ответственности (сейчас за это отвечает отдельная часть ст. 13.11 КоАП РФ). В рассматриваемых делах именно небрежность к уведомлению и маршрутизации потоков доводила позицию компании до предсказуемого проигрыша.
Что важно бизнесу «после тревоги»? Во-первых, юридически закрепить локализационный контур: записывать и хранить первичные записи в РФ (п. 5 ст. 18 № 152-ФЗ), а зеркала/аналитику устраивать уже «после порога» с учетом режимов передачи. Во-вторых, привести в порядок обязательные документы: политика и раскрытие мер — ст. 18.1 и ст. 19 № 152-ФЗ — неизменно фигурируют в судебной аргументации. Наконец, выстроить процедуру уведомлений (ст. 22 № 152-ФЗ) и их актуализации при любых инфраструктурных изменениях — от смены хостинга до внедрения нового CDP. Это тот базис, который юрист по персональным данным обязан держать «живым» и проверяемым.
Формальная новость для рынка — ужесточение ответственности за инциденты и отдельные нарушения: теперь суды учитывают масштаб пострадавших, а по повторности возможен фактически оборотный штраф в рамках обновлённой ст. 13.11 КоАП РФ. Это подталкивает компании фиксировать «юридическое доказательство» защиты: журналы изменений, модели угроз, аттестации, SLA с подрядчиками, где локализация и маршруты данных описаны так же детально, как uptime.
Нормы права в материале: п. 5 ст. 18, ст. 12, ст. 18.1, ст. 19, ст. 22 Закона № 152-ФЗ; ч. 8, ч. 9 ст. 13.11 КоАП РФ.