Облачные сервисы и ПДн: какими сервисами нельзя пользоваться

Развитие информационных технологий привело к тому, что сейчас ни одна компания не может представить свою работу без использования облачных хранилищ и иных подобных сервисов. Однако применение такого ПО в работе может очень дорого обойтись компании — вплоть до многомиллионных штрафов. Почему так и как не столкнуться с самым негативным сценарием?

Хранение персональных данных в облаке: разрешено или полный запрет

В 2023 году Роскомнадзор запретил передачу персональных данных граждан России за рубеж без направления предварительного уведомления соответствующего содержания. Однако 2025 год ознаменовался более серьезными мерами. С 1 июля этого года запрещается не только передавать сведения на территорию иного государства, но и осуществлять первичный сбор информации на иностранных серверах — включая и хранение данных в облаке. Даже если впоследствии сведения перенаправляются в РФ, сам факт их первоначального сбора за границей является нарушением требований действующего законодательства. Исключение есть, но только для журналистов и работающих в других странах представителей дипломатических миссий.

Под полный запрет попадают многие популярные у современного бизнеса инструменты, например, Google Analytics. Также запрещено использование:

• Google Drive (США, Европа, Азия);
• Dropbox (США, ЕС);
• Microsoft OneDrive (глобальные серверы, включая США и ЕС);
• Apple iCloud (данные хранятся в США, ЕС, Сингапуре и др.);
• Box.com (США, ЕС).

То есть прежде чем осуществлять сбор и иные операции с персональными данными людей, бизнесу необходимо позаботиться о предварительном переводе всех процессов на российскую информационную инфраструктуру.

Ответственность оператора при использовании облачного хранилища

Провайдер облака не будет выступать в качестве оператора ПД — эта функция сохраняется за самой компанией или ИП, осуществляющими сбор и обработку сведений. Это значит лишь одно — в случае тех или иных нарушений ответственность будет применяться не к провайдеру облака, а к бизнесу.

Что оператору необходимо организовать:

1. Грамотное управление доступом к ПД внутри компании.
2. Настроить безопасное использование данных.
3. Проводить регулярные аудиты системы безопасности.
4. Проводить обучение сотрудников по правилам работы с ПД.
5. Использовать только надежные и безопасные облачные решения, подтвержденные сертификатами ФСТЭК/ФСБ (в случае работы с ПД, составляющими гостайну, или другими сведениями, которые не могут подлежать разглашению).

В конечном итоге ситуация такова, что ответственность за те или иные нарушения будет нести оператор ПД, а не провайдер облачного сервиса. Поэтому настоятельно рекомендуем проаудировать свою системы работы с персональными данными и внести необходимые коррективы.