Облачные сервисы и персональные данные: какими сервисами нельзя пользоваться

С развитием цифровых технологий облачные сервисы стали неотъемлемой частью бизнес-процессов, в том числе при работе с персональными данными (ПДн). Однако с 01 июля 2025 года вступят в силу новые ограничения, касающиеся передачи ПДн на иностранные серверы. В этой статье разберем, какие изменения коснутся облачных сервисов и персональных данных, где нельзя будет хранить ПДн и кто несет ответственность за безопасность.

Можно ли хранить ПДн в облаке

Еще в 2023 году Роскомнадзор (РКН) запретил передавать ПДн на территории других государств без предварительного согласования — подачи уведомления о трансграничной передаче данных. Например, если вы собираете такие сведения на территории РФ, а затем хотите передать на сервер, находящийся в другой стране, это нужно согласовать с РКН.

Но более серьезные изменения еще только предстоят. С 1 июля 2025 года вступят в силу поправки, ужесточающие правила обработки данных. С этой даты будет запрещена не только их передача за границу, но и первичный сбор на иностранных серверах, в том числе и хранение в облаке. Это означает, что даже если данные впоследствии переносятся в Россию, сам факт их изначального сбора за рубежом будет считаться нарушением закона. Под исключение попадают только журналисты и дипломаты, работающие за границей.

Как это будет выглядеть на практике:

1. Предприниматели смогут собирать ПДн на своих сайтах, если данные сразу будут храниться на российских серверах. 
2. С 01.07.2025 года сбор ПДн на зарубежных серверах будет полностью запрещен. 

Под ограничения попадут такие инструменты, как Google Analytics, поскольку они обрабатывают данные на иностранных серверах, а также другие сервисы:

• Google Drive (США, Европа, Азия);
• Dropbox (США, ЕС);
• Microsoft OneDrive (глобальные серверы, включая США и ЕС);
• Apple iCloud (данные хранятся в США, ЕС, Сингапуре и др.);
• Box.com (США, ЕС).

Таким образом, компаниям необходимо заранее перевести все процессы сбора и хранения данных на российскую инфраструктуру, чтобы избежать нарушений.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Мессенджер:

Telegram WA Max Viber SMS

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Ответственность оператора при хранении данных в облаке

Облачный провайдер не является оператором персональных данных — эту роль сохраняет сам предприниматель или компания, которая собирает и обрабатывает ПДн. Это означает, что в случае утечки или нарушения законодательства ответственность перед Роскомнадзором понесет не провайдер, а ИП или организация как оператор ПДн.

Хотя провайдеры и обеспечивают базовую защиту данных, ключевая роль в безопасности лежит на компании. Важно:

1. Грамотно управлять доступом внутри организации (разграничивать права сотрудников).
2. Контролировать настройки безопасности (шифрование, двухфакторная аутентификация, журналирование действий).

Провайдер лишь предоставляет инфраструктуру, но не решает, кому и как открывать доступ к данным. Поэтому бизнес должен самостоятельно:

1. Выбирать надежные облачные решения с сертификатами ФСТЭК/ФСБ (если работаете с гостайной или другой важной информацией, которую нельзя разглашать).
2. Регулярно аудировать систему защиты.
3. Обучать сотрудников правилам работы с персональными данными.

Вывод: Даже при использовании облачных хранилищ безопасность ПДн зависит в первую очередь от действий компании, а не провайдера.

Заключение

При использовании облачных сервисов для работы с персональными данными учитывайте законодательные требования. Уже сейчас компании должны отказаться от иностранных платформ, таких как Google Drive, Dropbox и iCloud, в пользу российских аналогов, чтобы избежать штрафов и блокировок. При этом важно помнить: даже при хранении данных в облаке основная ответственность за их защиту лежит на операторе ПДн, а не на провайдере.

Чтобы минимизировать риски, внедрите надежные механизмы контроля доступа, проводите регулярные аудиты безопасности и обучите сотрудников правилам работы с конфиденциальной информацией. Только комплексный подход позволит бизнесу оставаться в правовом поле и защитить ПДн клиентов и персонала.