Допустимо ли хранение документов по ПДн в облаке?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, хранение документов по персональным данным в облачных сервисах допустимо, но только при соблюдении требований ФЗ-152 и постановлений Правительства РФ о безопасности информации. Закон не запрещает использовать облачные решения, однако накладывает строгие ограничения на условия их применения.

Основные условия использования облака

- Облачный провайдер должен находиться на территории Российской Федерации и соответствовать требованиям к защите информации (ФЗ-152, ст. 18, 19).
- Должен быть заключён договор с провайдером, где прописано, что он обрабатывает ПДн по поручению оператора (ст. 6 ФЗ-152).
- Сервис должен обеспечивать технические и организационные меры защиты: ограничение доступа, шифрование каналов передачи, резервное копирование.
- Документы должны храниться так, чтобы была обеспечена их целостность и доступность при проверке.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан принимать меры для защиты ПДн, в том числе при их хранении.
• Ст. 19 ФЗ-152 — меры защиты включают применение сертифицированных средств защиты информации.
• ПП РФ № 1119 от 01.11.2012 — устанавливает требования к обеспечению безопасности ПДн в ИСПДн.
• ФЗ-242 — персональные данные граждан РФ должны храниться на территории России.

Опыт проверок Роскомнадзора
В 2024 году при проверке одной компании выявили, что документы с ПДн сотрудников хранились в иностранном облачном сервисе без договора обработки данных. Организация получила предписание перенести данные на российские серверы и заключить договор с провайдером.
В другом случае использование отечественного облака, сертифицированного ФСТЭК, было признано соответствующим требованиям — замечаний не последовало.

Что важно учитывать
Хранение документов по ПДн в облаке — это та же самая обработка данных. Поэтому:

• всегда заключайте договор с облачным провайдером;
• проверяйте, чтобы дата-центр находился в России;
• убедитесь, что провайдер имеет сертификаты ФСТЭК/ФСБ;
• настройте разграничение доступа для сотрудников и контроль входов в систему.

Рекомендации и выводы
Да, хранить документы по ПДн в облаке можно, если облако российское, защищённое и с ним заключён договор как с обработчиком данных. В противном случае это будет нарушением требований ФЗ-152 и может привести к претензиям Роскомнадзора.

Компания ICTech помогает организациям выбрать безопасные облачные решения, подготовить договоры с провайдерами и включить порядок облачного хранения в пакет документов по ПДн.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге