Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 18 ч. 5 — закрепляет требование локализации: базы данных, содержащие ПДн граждан РФ, должны находиться в РФ.
- ФЗ-242 от 21.07.2014 — ввёл принцип обязательной локализации персональных данных.
- КоАП РФ, ст. 13.11 — нарушение правил хранения и обработки ПДн влечёт административную ответственность.
Позиция Роскомнадзора
Роскомнадзор неоднократно указывал, что использование Google Drive, Dropbox, iCloud и других зарубежных облачных сервисов для хранения кадровых документов, анкет клиентов, сканов паспортов и другой информации — это нарушение законодательства о локализации. На практике инспекторы обращают внимание даже на единичные документы, хранящиеся в иностранных облаках.
Пример из практики: компания хранила договоры с клиентами на Google Drive, ссылаясь на удобство. При проверке Роскомнадзор признал это нарушением, обязал перенести базы данных в Россию и выдал предписание об устранении.
Что делать организациям
- использовать российские облачные сервисы («Яндекс 360», VK WorkSpace, «Облако Mail.ru», «МойОфис»), дата-центры которых находятся в РФ;
- хранить документы на локальных серверах компании;
- зафиксировать в политике по ПДн запрет на использование иностранных облаков.
Вывод и рекомендации
Google Drive нельзя использовать для хранения ПДн граждан РФ. Это будет нарушением требования локализации, закреплённого в ФЗ-152. Чтобы работать в рамках закона, компания должна перейти на российские облачные решения или локальные серверы.
Компания ICTech поможет вашей организации провести аудит хранения данных и подготовить комплект документов по ФЗ-152, исключающий риск нарушений и штрафов.
