Вы бы отделили два вопроса в разные ветки.
Модератору минус.

А что значит "хранить данные на какой-то территории"? Ведь на самом деле, данные - это не предметы, и не золотые слитки, которые физически находятся либо "здесь", либо "там". Можно держать одни и те же данные на двух, трёх, десяти, ста "зеркалах" в разных странах и регионах. Если задача стоит так, чтобы защититься от возможного отключения доступа к своим данным (как они любят проделывать это с физическим золотом), то эта проблема - решаемая. Другая возможная проблема - несанкционированный доступ к данным со стороны враждебных спецслужб. Да и своих - тоже. Свои, родные, - даже страшнее: вот, нафига я нужен АНБшникам и ЦРУшникам? А свои родные ФСБшники - могут иметь какие-то виды. Но и эта проблема - решаемая. Существуют абсолютно стойкие алгоритмы шифрования. Существуют надёжные (квантовые) устройства (генераторы случайных чисел), против которых все современные методы взлома - бессильны. Существуют независимые разработчики (да и просто учебники по криптографии: бери, изучай, сам программируй, или можешь нанять толкового парнишку, который вряд ли пока ещё взят в оборот спецслужбами). Пускай эти средства не сертифицированы государственными органами (читай, - спецслужбами, которые никогда не сертифицируют такие средства криптографии, к которым сами не имеют доступа). Можно даже скомбинировать - разные: сертифицированные, несертифицированные, стандартные, нестандартные, самодельные... Можно сами данные в зашифрованном виде и ключи к ним (в т.ч. одноразовые) хранить на разных серверах, опять же, на непересекающихся множествах "зеркал", физически расположенных в разных странах. Совсем не сложно наворотить такую защиту, что никто её не взломает и за всё время существования Вселенной. Технически это делается - очень просто, а потребные дополнительные ресурсы (объёмы памяти, сетевой трафик, пропускная способность каналов, вычислительные мощности и т.п.) увеличиваются - не очень сильно. Ну, - раза в два. Ну, - в три или даже четыре. Ну, или быстродействие во столько снижается. Стоит - копейки, а потребности удовлетворяет - на все 146%.

Мне, порой, кажется, что все эти "законы" типа как Яровой принимаются - исключительно для того чтобы простимулировать движуху прогресс, который начал уже потихонечку затухать. Вот, теперь надо хранить все данные. А значит, - закупать новые и новые сервера и носители, строить дата-центры, прокладывать тысячи километров дополнительного оптоволокна... Работа кипит, бабки пилятся, а парнишки со старших курсов ИТшных факультетов получают фрилансовые заказы от корпоративных клиентов... Все при деле, все довольны...

Рогов Андрей
А что значит "хранить данные на какой-то территории"?

У нас законы не секретны. Прочитать может каждый.
И это требование не к иностранным организациям, а ко всем операторам персональных данных.

А как проверить, выполняет ли закон тот или иной оператор? Ну, положим, - хранит он персональные данные, которые ему предоставил клиент (вопрос достоверности этих данных - опускаем: это на совести клиента). И даже готов в любую минуту предоставить их по требованию органов. А как узнать, где он их на самом деле хранит? У себя, у другого хостера на территории России, или на зарубежных серверах? Или и там, и там, и ещё где-то? Ладно, хорошо, а если эти данные - хранятся, но - в зашифрованном виде? И так хитро зашифрованным, что именно этот оператор - просто не имеет доступа к ключам расшифровки, а хранит "как есть" - только какие-то двоичные крокозябры, которые он, конечно же, - готов выдать по первому требованию, но что с ними дальше-то делать? А ключи или другая часть данных - на серверах зарубежных "партнёров"... Но они, как бы, формально, - просто не являются "персональными данными", подлежащими хранению. Ну, короче, на каждый случай можно сразу придумать такой сугубо технический выверт, который полностью нивелирует возможность применения этого закона против кого-либо.

Рогов Андрей
А как узнать, где он их на самом деле хранит?

Приходят и смотрят. Маски шоу и всё такое. Но обычно без них обходится.
Сейчас вообще говоря НОЛЬ ПРОБЛЕМ сохранять на территории РФ персональные данные.
Ломаются тут только всякие ушибленные на всю голову гуглы и тому подобные наши доморощенные, кому госдеп и анб милее, чем собственная кровавая гэбня.

Рогов Андрей
Свои, родные, - даже страшнее: вот, нафига я нужен АНБшникам и ЦРУшникам?

Чтобы знать пристрастия и знать, с кем как работать и кого как найти, на какую мозоль надавить и тому подобное. Кто самое слабое звено. Причём давить придут местные, а не Джон Ланкастер Пек.
Кроме того, такая информация позволяет осуществлять именно БЕССТРУКТУРНОЕ управление: как раз через пристрастия.

Рогов Андрей
а если эти данные - хранятся, но - в зашифрованном виде?

Какая разница в каком виде? Или думаете, что за рубежом в зашифрованном виде - можно?
Так шифры тоже разные есть, замена маленьких букв на большие и наоборот - тоже с математической точки зрения шифр ))))

Рогов Андрей
И так хитро зашифрованным, что именно этот оператор - просто не имеет доступа к ключам расшифровки, а хранит "как есть"

Да пофиг.
Всё, что зашифровано, может быть расшифровано. Иначе в шифровании нет смысла.
Стало быть, это вопрос паяльника в умелых руках, а не технический.
Поэтому важно, чей это паяльник, и где он применяется: для нашей страны важно, чтобы монополия на применение паяльника была у нас, а не в каком-то гуляй-поле или каком-то разносчике демократии.

Рогов Андрей
Но они, как бы, формально, - просто не являются "персональными данными", подлежащими хранению

Есть закрытый перечень, что является персональными данными.

Рогов Андрей
Ну, короче, на каждый случай можно сразу придумать такой сугубо технический выверт, который полностью нивелирует возможность применения этого закона против кого-либо

До первого паяльника.
А потом просто лично каждый вынужден будет решить, что лично ему важнее, и на какие жертвы лично он готов пойти за благо упасть ниц и облобызать следы вокруг сияющего толчка на холме.

Замечу, что в Китае законы ещё строже. И те же кнауфы, например, хранят свои китайские данные в китае. Причём полностью. В отличие от российских. И не жужжат.

Всё-таки, наверное, мы говорим - о чём-то разном. Если речь о каких-то соцсетях или блогах, где я под маской "онанимуса" выкладываю во всеуслышанье и во всеувиденье какие-то свои воззвания, фотки, видосы, и дело только за тем, чтобы узнать, кто этот "я", - то, пожалуй, Вы - правы. Но если я о другом обмене? Вот, я говорю со своим другом, двумя друзьями, тремя, десятью... Ну, вот, - группа у нас, формальная или неформальная. Может быть, в формате "беседа". О чём-то мы там промеж собой - договариваемся. А о чём... Может быть, пикник замутить, в баньку вместе сходить... А может, - теракт осуществить. Или (о, ужас!) на митинг собраться. Но всё это - между нами. Шифровать-расшифровывать мы будем на оконечных устройствах. Клиенты у нас достаточно "толстые", которые используют соцсети как транспортную среду. Или не соцсети, а какой-то свой специальный сервис, который, как обычно, обращается к серверу баз данных (Мускулу, Ораклу, да хоть MS SQL Server, если у себя в подвале на коленке запилить). Но там - сплошные блобы или мемо-поля с текстом в формате Bs64, а там после декодирования- какая-то двоичная хрень. И ключей для расшифровки - никаких нет, хоть с паяльником, хоть без паяльника. Вот вам даже исходные тексты всего ПО (исключительно фриварное). Из персональных данных - только ничего не значащие ники (или даже только хеши от этих ников, а не они сами) и адреса почтовых ящиков (скорее всего, - одноразовых, созданных на каких-то левых ресурсах только ради этой регистрации). Айпи адреса - перевраны зарубежными проксями, випиэнами, тором и i2pём. Трафик весь - шифрованный, ключи - только на клиентах. Алгоритм шифрования - асимметричный, по сети передаются только открытые ключи, позволяющие зашифровать, но не расшифровать данные. Ну, это я - так, чисто навскидку, как стал бы, наверное, делать какой-нибудь школьник, играющий в партизана.

Рогов Андрей
Может быть, пикник замутить, в баньку вместе сходить... А может, - теракт осуществить. Или (о, ужас!) на митинг собраться. Но всё это - между нами.

Это всё к персональным данным отношение имеет весьма далёкое.

Рогов Андрей
Ну, это я - так, чисто навскидку, как стал бы, наверное, делать какой-нибудь школьник, играющий в партизана.

Ну так в чём вопрос-то?
Как получить доступ к исходным данным? Я уже ответил: человеческий фактор позволит это получить быстрее, чем расшифровка брутфорсом и любыми другими более интеллектуальными методами.
То есть некто приходит с паяльником и делает предложение, от которого кто-то один из вашей компании начинающих террористов не сможет отказаться.

Персональные данные - это совсем другое. Это ФИО, кто где живёт и тому подобное. См. ФЗ о персональных данных. Переписка как таковая о погоде, терактах и порнухе - это не персональные данные.