Персональные данные и зарубежные серверы: что изменилось в 2025 году и как теперь работать бизнесу

Персональные данные и зарубежные серверы: что изменилось в 2025 году и как теперь работать бизнесу

В 2025 году в Закон № 152-ФЗ «О персональных данных» были внесены существенные изменения.

В обновлённой редакции п. 5 ст. 18 прямо указано:

обработка персональных данных граждан РФ с использованием баз данных, находящихся за пределами Российской Федерации, не допускается.

Это изменение принципиально повлияло на использование зарубежных сервисов - от Google и Apple до социальных сетей и мессенджеров.

🔹 Как это связано с Google, Apple, Microsoft, Meta* и др.

Большинство популярных сервисов:

• Google (Gmail, YouTube, Google Forms, Drive)

• Apple (iCloud, iMessage)

• Microsoft (Outlook, Teams, OneDrive)

• Instagram, WhatsApp

используют иностранные серверы либо распределённую инфраструктуру, где хранение и обработка данных происходит за пределами РФ.

Если через такие сервисы:

• собираются данные клиентов,

• ведётся клиентская переписка,

• хранятся анкеты, заявки, базы,

это может рассматриваться как нарушение требований локализации и запрета на обработку ПД за рубежом.

🔹 Почему физическим лицам можно, а бизнесу — нельзя

Здесь ключевое различие - кто является оператором персональных данных.

Физическое лицо:

• распоряжается своими персональными данными;

• вправе самостоятельно передавать их куда угодно (включая иностранные сервисы);

• может использовать VPN, зарубежные почтовые сервисы, соцсети - это не обработка ПД в смысле 152-ФЗ.

Юридические лица и ИП:

• являются операторами персональных данных;

• обрабатывают чужие данные (клиентов, пользователей, работников);

• обязаны соблюдать требования локализации, безопасности и территориальности обработки.

👉 Именно поэтому бизнес не может обрабатывать данные клиентов через зарубежные серверы «по своему усмотрению», даже если сервис удобен и привычен.

🔹 Можно ли бизнесу пользоваться Instagram и WhatsApp?

Короткий ответ: да, но с ограничениями.

Допустимо:

• вести информационный аккаунт;

• публиковать контент;

• получать обезличенные реакции (лайки, просмотры).

Риски возникают, если:

• через Direct или WhatsApp принимаются заказы;

• запрашиваются ФИО, телефоны, e-mail;

• ведётся полноценная клиентская переписка;

• данные затем сохраняются или систематизируются.

Как минимизировать риски:

• переводить клиентов на российские формы и сайты;

• использовать Instagram/WhatsApp только как «витрину» и канал первичного контакта;

• не хранить и не систематизировать ПД в этих сервисах;

• фиксировать законную схему обработки в документах (политика, модели обработки).

🔹 Gmail, YouTube, Google и другие сервисы: когда можно

Использование возможно, если:

• сервис не используется для обработки персональных данных клиентов;

• данные предварительно локализованы в РФ;

• зарубежный сервис выполняет вспомогательную, а не основную функцию;

• отсутствует сбор и хранение ПД через иностранные базы.

Например:

• YouTube как видеохостинг - допустим;

• Gmail как корпоративная почта для работы с клиентскими ПД - высокий риск.

🔹 Главный вывод

📌 Физическое лицо свободно распоряжается своими персональными данными.

📌 Бизнес несёт ответственность за обработку чужих данных и обязан соблюдать требования 152-ФЗ.

📌 Использование зарубежных сервисов возможно только при корректно выстроенной и документально подтверждённой модели обработки ПД.

Если вы используете иностранные платформы в работе, важно не «запрещать себе всё», а юридически правильно выстроить процессы.

*Meta признана экстремистской организацией на территории РФ.