Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 18 ч. 5 — операции сбора, записи, систематизации, накопления, хранения, уточнения и извлечения ПДн граждан РФ должны осуществляться с использованием баз данных, расположенных в РФ.
- ФЗ-242 от 21.07.2014 — ввёл требование обязательной локализации персональных данных.
- КоАП РФ, ст. 13.11 — за нарушение требований по локализации предусмотрена административная ответственность.
Практика и позиция Роскомнадзора
Роскомнадзор прямо указывает, что размещение персональных данных сотрудников в иностранных облачных сервисах нарушает требование локализации. Проверяющие органы обращают внимание не только на крупные базы, но и на отдельные документы — например, трудовые договоры или сканы паспортов, загруженные в Google Drive.
В одном из кейсов организация хранила кадровые документы в зарубежном облаке, ссылаясь на удобство работы. Проверка Роскомнадзора признала это нарушением и вынесла предписание о переносе данных в российский дата-центр.
Что можно делать законно
- использовать отечественные облачные сервисы («Яндекс 360», «VK WorkSpace», «Облако Mail.ru», «МойОфис»), дата-центры которых находятся в РФ;
- хранить документы на локальных серверах компании;
- при использовании зарубежных сервисов — дублировать и локализовать основную базу в России, чтобы выполнить требование закона.
Вывод и рекомендации
Хранение персональных данных сотрудников в зарубежных облачных сервисах нарушает ФЗ-152 и может повлечь штрафы и блокировки. Чтобы избежать проблем, организациям нужно:
- выбрать российские облачные сервисы;
- закрепить порядок локализации ПДн во внутренних документах;
- исключить из оборота иностранные облака для кадровых файлов.
Компания ICTech поможет проверить, где фактически хранятся персональные данные сотрудников вашей компании, и подготовить документы для соответствия требованиям локализации.
