Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 18 ч. 5 — базы данных с персональными данными россиян должны находиться на территории РФ.
- ФЗ-242 от 21.07.2014 — закрепил обязанность локализации.
- КоАП РФ, ст. 13.11 — нарушение правил хранения ПДн влечёт административную ответственность.
Практика и позиция Роскомнадзора
Роскомнадзор в своих разъяснениях указывает: использование зарубежных облачных сервисов (Google Workspace, Microsoft 365, Dropbox и др.) для хранения ПДн считается нарушением локализации, если данные размещаются за пределами РФ. Даже если сервис предоставляет возможность выбрать регион, оператор обязан документально подтвердить, что база с данными граждан РФ находится в российских дата-центрах.
Например, одна компания использовала Microsoft 365, но не проверила, где именно расположены серверы. Проверка установила, что данные обрабатываются в европейских дата-центрах, что было признано нарушением.
Что делать организациям
- Если используется Microsoft 365, нужно проверить условия договора с Microsoft и регион хранения данных.
- Для соответствия ФЗ-152 оператор должен хранить ПДн граждан РФ в российских дата-центрах.
- Альтернативный вариант — использовать российские облачные решения («Яндекс 360», «Облако Mail.ru», VK WorkSpace и др.), где локализация гарантирована.
- Внутренними документами закрепить запрет на использование зарубежных серверов для хранения ПДн.
Вывод и рекомендации
Microsoft 365 можно использовать только при условии, что оператор документально подтверждает хранение ПДн граждан РФ в России. Если такой гарантии нет, сервис применять для обработки персональных данных нельзя.
Компания ICTech поможет вашей организации провести аудит используемых ИТ-сервисов, определить риски нарушения требований локализации и внедрить корректные решения для защиты бизнеса.
