Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 18 ч. 5 — обработка персональных данных граждан РФ должна обеспечиваться с использованием баз данных, находящихся на территории России.
- ФЗ-242 от 21.07.2014 — ввёл обязательное требование локализации.
- КоАП РФ, ст. 13.11 — нарушение правил обработки и хранения персональных данных влечёт административную ответственность.
Практика проверок Роскомнадзора
Роскомнадзор прямо указывает, что Dropbox, Google Drive, iCloud и аналогичные зарубежные облачные сервисы не могут использоваться для хранения кадровых документов, резюме, сканов паспортов, договоров с клиентами и других данных. При проверках это считается нарушением локализации, даже если база формально дублируется в России.
Пример: в одной компании сотрудники пересылали клиентские данные через Dropbox «для удобства». Проверка выявила факт использования зарубежного облака, было вынесено предписание об устранении нарушения и начато административное производство.
Что делать компаниям
- отказаться от Dropbox и других иностранных сервисов для хранения ПДн;
- использовать только российские облачные решения («Яндекс 360», «Облако Mail.ru», VK WorkSpace, «МойОфис»), которые гарантируют хранение данных в дата-центрах РФ;
- закрепить в политике по ПДн запрет на использование зарубежных облаков для работы с персональными данными.
Вывод и рекомендации
Dropbox нельзя использовать для хранения персональных данных граждан РФ, так как он не соответствует требованию локализации. Для законной работы организациям следует перейти на российские облачные сервисы или собственные серверы.
Компания ICTech поможет вашей организации провести аудит хранения данных и внедрить корректные процессы по ФЗ-152, чтобы исключить претензии Роскомнадзора.
