Персональные данные на сервисах Google
С 1 марта 2023 года вступили в силу изменения в федеральный закон о персональных данных, связанные с трансграничной передачей персональных данных. Однако, вопрос трансграничной передачи данных применительно к Google диску не является единственным, а ответ на него очевиден.
Более насущный вопрос: можно ли использовать Google диск для хранения персональных данных? И ответ на данный вопрос уже не столь очевиден.
Сразу оговорюсь, что рассматриваю вопрос с точки зрения российского законодательства и персональных данных граждан России.
База данных на территории РФ
Российские предприниматели привыкли пользоваться различными сервисами Google, например, подключая их формы и службу статистики к интернет-сайтам или используя их электронную почту и диск. Это удобно, поскольку Google обеспечивает сквозную связь всех своих сервисов для одного аккаунта.
Однако, еще с 1 сентября 2015 года вступила в силу следующая обязанность оператора персональных данных (ПДн): при сборе ПДн, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории Российской Федерации, за исключением ряда случаев.
Суть данной обязанности в том, чтобы первичная база данных собранных ПДн располагалась на территории России.
Соответственно, ответ на вопрос о возможности использования Google диска для хранения персональных данных зависит от того, является Google диск первичной базой данных для собираемых персональных данных.
Следовательно, если любое из действий при сборе персональных данных, то есть их запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, осуществляется с использованием сервисов Google, то это является нарушением действующего законодательства РФ в части использования баз данных, находящихся на территории России.
Ответственность
Штраф за данное нарушение составляет для граждан от 30 до 50 тыс. руб., а для ИП и ЮЛ — от 1 до 6 млн. руб.
А за повторное подобное нарушение штраф существенно возрастает и составляет для граждан от 50 до 100 тыс. руб., а для ИП и ЮЛ — от 6 до 18 млн. руб.
Однако, если на Google диск помещены персональные данные, первичная база данных которых сформирована и находится на территории России, то это не является нарушением действующего законодательства РФ.
Трансграничная передача персональных данных
Размещение персональных данных на Google диске однозначно является трансграничной передачей персональных данных, которая должна соответствовать определенным требованиям.
Так, до размещения персональных данных на Google диск Вы обязаны уведомить об этом Роскомнадзор. Указанное уведомление направляется в виде документа на бумажном носителе или в форме электронного документа отдельно от уведомления о намерении осуществлять обработку персональных данных.
А до подачи уведомления о трансграничной передаче персональных данных Вы обязаны получить от Google LLC, следующие сведения:
о мерах по защите передаваемых персональных данных и условиях прекращения их обработки;
информацию о правовом регулировании США в области персональных данных;
сведения о Google LLC: номера контактных телефонов, почтовые адреса и адреса электронной почты.
Данную информацию Роскомнадзор может запросить у Вас после получения уведомления о трансграничной передаче персональных данных.
До истечения 10 рабочих дней после направления уведомления о трансграничной передаче персональных данных Вы не вправе размещать персональные данные на Google диск.
В течение этого срока Роскомнадзор может принять решение о запрете или ограничении трансграничной передачи персональных данных.
Так что, в свете всего вышесказанного, а стоит ли оно все того?
Автор: Юлия Тулинова, Юрист для онлайн-бизнеса, блогеров, фрилансеров
Телеграм-канал о юридической защите онлайн-проектов
Комментарии
12меленькое уточнение.
не зависит.
Персональные данные, есть персональные данные. создание и размещение не понятно где "копий" ПД может увеличить количество проблем.
С Вашим "маленьким уточнением" не могу согласиться, поскольку:
- количество проблем может увеличить любое необдуманное действие с ПДн,
- запрета на хранение ПДн за границей при наличии первичной базы данных на территории РФ в законе нет.
Так что ответ на поставленный вопрос зависит от наличия первичной базы данных на территории РФ.
Ну ок, как в таком случае должен выглядеть трактат с примерным названием «перечень мер .... » с описанием всех «а если». При выборе либо кидать дубли где попало либо не заниматься обслуживанием сборника сочинений В. И. Ленина - обычно побеждает последнее...
К тому же, гугл уже не банкротиться и управление отменено?
Ну это в контексте ужесточения по утечке и весьма туманного будущего около «трансграничных»
Так и я о том же: "Так что, в свете всего вышесказанного, а стоит ли оно все того?" - буквально последнее предложение в статье.
А как рядовому колхознику узнать, где именно находится некая база данных?
Об этом, как правило, написано в пользовательском соглашении, галочку об ознакомлении с которым все мы ставим, его не читая, при заведении аккаунта или подключении сервиса :)
Когда-то давно подключал Яндекс-диск. Никаких географических данных не было. Я и сейчас понятия не имею, где физически их серверы.
И ещё вопрос ближе к статье: а где находится этот ужасный Google Drive? Разве не в Сызрани?
https://support.google.com/drive/answer/10375054?hl=ru
Как обеспечивается конфиденциальность ваших данных на Google Диске и какие функции для управления данными вам доступны
«Когда вы загружаете файлы на Google Диск, они размещаются в наших центрах обработки данных…»
«Мы анализируем контент, который вы сохраняете в сервисах Google, чтобы обеспечивать работу таких функций, как фильтрация спама, обнаружение вирусов, защита от вредоносного ПО и поиск файлов в собственном аккаунте.»
https://www.google.com/drive/terms-of-service/
Дополнительные условия использования Google Диска
«Мы можем проверять контент и удалять или не показывать его, если он нарушает законы или наши Правила программы.»
https://policies.google.com/terms
Google LLC
зарегистрирована в соответствии с законами штата Делавэр (США) и осуществляет деятельность согласно праву США
1600 Amphitheatre Parkway
Mountain View, California, 94043
США
В Делавэре зарегистрирована куча LLC. Это совсем не означает, что там же находятся дата-центры.
А почему Вы задумываетесь о расположении дата-центров? Ведь не дата-центры оказывают Вам услуги, а корпорация Google. Дата-центр - это техническое обеспечение деятельности юрлица Google LLC. Дата-центр может функционировать на базе "дочки" или вообще сторонней организации, но такая организация всего лишь предоставляет свои услуги (мощности дата-центра) для обрабатываемых юрлицом Google LLC. данных.
Так
Если дата-центр юрлица Google LLC расположен в Сызрани, никакой трансграничной передачи не происходит.
1. Ай-яй-яй, нехорошо цитировать неполностью. "трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.". Про территорию в определении заметили, а про иностранное юридическое лицо нет?;
2. В документах Google, с которыми Вы соглашаетесь при подключении их сервисов, разве есть информация, что ПДн вашего сегмента google-диска располагаются в дата-центре в Сызрани? Дайте ссылку, пожалуйста. Если нет этой информации в этих документах, чем хранение в Сызрани докажете?
3. А как выглядит путь данных до Сызрани (если предположить, что все-таки Сызрань), знаете? Чем докажете, что нет трансграничной передачи на пути в Сызрань?