Что за компании?
26 марта 2026 года мировой судья Таганского района Москвы вынес два постановления о привлечении к административной ответственности иностранных компаний, работающих с российскими пользователями.
Первая — Duolingo, Inc. — американская платформа для изучения иностранных языков. Сервис активно используется в России: миллионы россиян ежедневно проходят уроки, регистрируются, вводят персональные данные (ФИО, email, IP-адрес, данные о прогрессе обучения).
Вторая — eNom LLC — американский регистратор доменов, провайдер веб-хостинга, услуг электронной почты и SSL-сертификатов. Компания предоставляет инфраструктурные сервисы тысячам российских сайтов и бизнесов.
Обе компании выступают операторами персональных данных по отношению к гражданам РФ и подпадают под требования Федерального закона № 152-ФЗ «О персональных данных».
Что случилось
Суд оштрафовал каждую компанию на 2 миллиона рублей по части 8 статьи 13.11 КоАП РФ. Итого — 4 миллиона рублей за один день.
Нарушение сформулировано чётко:
«Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Важный момент: это не утечка. Нет ни одного упоминания о компрометации данных, хакерской атаке или продаже баз в даркнете. Речь исключительно о нарушении требований локализации персональных данных (так называемый «закон Яровой» в части хранения ПД).
Решение суда уже опубликовано в открытых источниках и стало очередным сигналом для всего рынка: контролирующие органы продолжают системно проверять иностранные сервисы, которые собирают данные россиян, но не обеспечивают их хранение на территории РФ.
Почему случилось
Причина типичная для многих международных платформ, работающих в России:
- Техническая архитектура без российской инфраструктуры
Большинство зарубежных SaaS-решений хранят все данные в облаках США или Европы (AWS, Google Cloud, Azure). Даже если пользователь из Москвы, его данные уходят за рубеж. - Отсутствие или формальное исполнение локализации
Компании либо не создавали отдельные базы данных на территории РФ, либо сделали это только «на бумаге», без реальной репликации и синхронизации. - Недооценка рисков в 2025–2026 годах
После нескольких громких дел (включая штрафы Meta, Google и других) Роскомнадзор и прокуратура усилили мониторинг. Автоматизированные системы выявляют сервисы, которые собирают ПД россиян, но не имеют российского дата-центра. - Сложность для глобальных продуктов
Duolingo и eNom — классические примеры: глобальная продуктовая команда не всегда быстро адаптируется под локальные регуляторные требования каждой страны.
Результат — предсказуемый: административный штраф, репутационные риски и необходимость в срочной доработке инфраструктуры.
Как избежать: практические рекомендации для CISO, CTO и владельцев бизнеса
AVB Fort уже несколько лет помогает российским компаниям и международным игрокам выстраивать полноценную защиту персональных данных в соответствии с 152-ФЗ. Вот рабочая схема, которая позволяет не попасть в статистику штрафов 2026 года:
1. Аудит и карта потоков ПД (1–2 недели)
Провести полный аудит: где именно собираются, передаются и хранятся данные граждан РФ.
Составить карту обработки ПД с указанием географии серверов.
2. Локализация «по-настоящему» (не «на бумаге»)
Развернуть российский сегмент инфраструктуры (собственный ЦОД или сертифицированное облако уровня УЦСБ или «ГосТех»).
Обеспечить первичную запись и хранение ПД россиян только на территории РФ.
Настроить синхронизацию с глобальной базой по принципу «российский мастер — зарубежный slave» (или наоборот, в зависимости от модели).
3. Организационно-правовые меры
Назначить ответственного за защиту ПД (или локального оператора).
Обновить Политику обработки ПД и пользовательское соглашение с явным указанием локализации.
Заключить договоры с российскими субподрядчиками по модели процессора (152-ФЗ + 187-ФЗ).
4. Технические и организационные меры защиты (ТОМ)
Внедрить DLP-системы, SIEM, контроль доступа по ролям.
Проводить ежегодные пентесты и аудиты на соответствие 152-ФЗ.
5. Мониторинг изменений законодательства
В 2026 году ожидаются новые разъяснения Роскомнадзора по локализации и ужесточение штрафов (до 18 млн руб. за повторные нарушения для юрлиц).
Некоторые решения от AVBFort
Мы не просто консультируем — мы берём на себя всю техническую и юридическую работу: от аудита до запуска российского сегмента инфраструктуры с гарантией прохождения проверок Роскомнадзора. Более 120 компаний (от стартапов до крупных холдингов) уже закрыли риски локализации с нашей помощью и продолжают работать без штрафов.
Хотите получить бесплатный экспресс-аудит ваших потоков персональных данных и расчёт стоимости локализации под вашу архитектуру? Напишите нам на hello@avb-fort.ru или оставьте заявку на сайте. Первый шаг — бесплатно для и владельцев Бизнеса.
Сохраните эту статью в закладки. Следующий штраф может коснуться именно вашего сервиса. Лучше быть на шаг впереди регулятора. Обратите внимание что утечки часто происходят по вине сотрудников компании, на этот счет у нас также есть интресное решение, помогающее поднять уровень осведомленности ИБ угрозам в компании — КиберФОРТ Бот.
AVB Fort — кибербезопасность, которая работает на ваш бизнес, а не против него.