Добавить в корзинуПозвонить
Найти в Дзене
Дмитрий Карташов | Право в IT и бизнесе
10 подписчиков

Можно ли хранить базу клиентов в облаке: юридический гид для бизнеса в 2026 году

16
3 мин
Предприниматели часто делятся на два лагеря. Первые переносят всё в облака, радуясь экономии на системных администраторах. Вторые судорожно скупают железные сервера, потому что «так надежнее и Роскомнадзор не придет». Истина, как всегда, посередине. Закон не запрещает использовать облачные технологии, но он крайне суров в вопросах ответственности и локализации. Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем, когда облако — это легальный инструмент, а когда — путь к миллионным штрафам. Когда вы храните данные на своем сервере в офисе, вы понимаете: если сервер сгорит или его украдут — виноваты вы. В облаке возникает иллюзия: «Раз я плачу провайдеру, то он за всё и отвечает». Это юридическая ошибка. Согласно 152-ФЗ, вы — Оператор персональных данных. Провайдер облака — это лишь «лицо, осуществляющее обработку по поручению». Если данные утекли из облака по вине провайдера, штраф от регулятора прилетит вам, а уже потом вы будете долго и мучительно судиться с провайдером, пытаясь пер
Оглавление

Предприниматели часто делятся на два лагеря. Первые переносят всё в облака, радуясь экономии на системных администраторах. Вторые судорожно скупают железные сервера, потому что «так надежнее и Роскомнадзор не придет».

Истина, как всегда, посередине. Закон не запрещает использовать облачные технологии, но он крайне суров в вопросах ответственности и локализации.

Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем, когда облако — это легальный инструмент, а когда — путь к миллионным штрафам.

Главный миф: «Облако — это чья-то чужая ответственность»

Когда вы храните данные на своем сервере в офисе, вы понимаете: если сервер сгорит или его украдут — виноваты вы. В облаке возникает иллюзия: «Раз я плачу провайдеру, то он за всё и отвечает».

Это юридическая ошибка. Согласно 152-ФЗ, вы — Оператор персональных данных. Провайдер облака — это лишь «лицо, осуществляющее обработку по поручению». Если данные утекли из облака по вине провайдера, штраф от регулятора прилетит вам, а уже потом вы будете долго и мучительно судиться с провайдером, пытаясь переложить на него убытки.

Когда облако — это законно? (Чек-лист для бизнеса)

Вы можете легально хранить базу клиентов в облаке, если соблюдены три железных условия:

1. Локализация (Правило «Сервера в РФ»)

По закону (ст. 18 ФЗ-152) база данных с персональными данными граждан РФ должна первично собираться, храниться и обрабатываться на серверах, физически расположенных в России.

  • Ошибка: Использовать облако, где дата-центры разбросаны по всему миру (Amazon AWS, Google Cloud, зарубежные версии Azure). Даже если у них есть «регион в России», юридически часто возникают сложности.
  • Решение: Выбирайте облачных провайдеров, которые прямо заявляют о соответствии 152-ФЗ и имеют ЦОДы (дата-центры) на территории РФ.

2. Договор с провайдером (Поручение на обработку)

Ваш договор с облачным провайдером — это не просто счет-оферта. В нем обязательно должен быть пункт о том, что провайдер обрабатывает данные по вашему поручению.

Что должно быть в договоре: Обязанность провайдера соблюдать конфиденциальность, принимать технические меры защиты и — самое главное — обязанность провайдера помогать вам в выполнении требований закона (например, по первому требованию РКН или при проверках).

3. Техническая защита (Аттестация)

Вы, как Оператор, обязаны определить уровень защищенности (УЗ) ваших информационных систем (ИСПДн). Облако должно технически обеспечивать этот уровень (шифрование, защита от DDoS, контроль доступа).

Совет: Ищите в прайсах провайдеров пометку «Облако 152-ФЗ». Это означает, что они уже потратились на сертификацию своих средств защиты (ФСТЭК, ФСБ) и предоставляют вам готовую инфраструктуру, которую проще «аттестовать» под ваши нужды.

Когда облако — это гарантированный штраф?

Вы нарушаете закон, если:

  1. Используете иностранные сервисы для хранения баз. Даже если это удобно и дешево. Для регулятора это нарушение правил локализации.
  2. Нет Политики конфиденциальности. Если вы храните данные в облаке, ваша Политика должна содержать информацию о том, что данные передаются провайдеру (третьему лицу) для обработки.
  3. Облако «серое». Вы пользуетесь публичным облаком, которое не дает никаких гарантий по безопасности и не подписывает с вами соглашение о неразглашении (NDA) или поручение на обработку.

Что делать прямо сейчас?

Если вы уже используете облако, проведите «юридическую чистку»:

  • Аудит серверов: Где именно стоят физические сервера провайдера? Если в другой стране — срочно мигрируйте на российские аналоги.
  • Аудит договора: Откройте договор с провайдером. Если там нет слов про «обработку по поручению» и «152-ФЗ» — просите их внести изменения в договор.
  • Уведомление: Если при миграции в облако вы начали передавать данные «за границу» (даже для резервного копирования в зарубежный ЦОД) — вы обязаны подать уведомление в РКН о трансграничной передаче.

Заключение

Облако — это не «зона свободы» от закона. Это такой же склад для ваших данных, как и железный сервер в подсобке. Только в случае с облаком вы несете ответственность не только за свои действия, но и за правильный выбор «арендодателя».

P.S. Не уверены, соответствует ли ваш облачный провайдер требованиям 152-ФЗ и не нарушаете ли вы правила локализации? Присылайте ссылку на вашего провайдера и описание того, какие именно данные вы там храните, на kartashovdmitriyi@yandex.ru — проведу юридический аудит вашей облачной архитектуры.

Гаджеты и электроника
5,73 млн интересуются