Amazon AWS и 152-ФЗ: что делать с персональными данными в иностранном облаке
Клиент рассматривает Amazon AWS для переноса инфраструктуры. Разбираем статус ПДн в американском облаке, требования 152-ФЗ и реальную практику согласования с Роскомнадзором.
В 2013 году в Государственную Думу внесены поправки в 152-ФЗ о требовании хранить персональные данные граждан РФ исключительно на серверах на территории России.
Один из клиентов - производственная компания, около двухсот человек - пришёл с конкретным вопросом: рассматривают Amazon Web Services для переноса части инфраструктуры, в первую очередь бэкапов и тестовых сред. Спросили прямо: «Есть ли проблемы по 152-ФЗ, если данные уйдут на сервера Amazon?» Вопрос правильный. И ответ на него чуть сложнее, чем «да» или «нет».
Мы взялись за аудит того, что реально хранится в их системах и куда конкретно потечёт в случае переноса.
Почему Amazon - это не просто «облако за рубежом»
Amazon Web Services работает из американских регионов, а также из нескольких европейских (Ирландия, Франкфурт). Выбор региона eu-west-1 или eu-central-1 технически означает, что данные физически хранятся в ЕС. Это важно, но не закрывает вопрос полностью: Amazon - американская компания, и на неё распространяется американское право, включая FISA и соответствующие запросы спецслужб. Это та же история, что с Microsoft и Google, которую мы разбирали в мае после новостей про PRISM.
С точки зрения российского права ключевое - не где физически стоят серверы, а является ли передача данных трансграничной и какой режим защиты обеспечивает принимающее государство.
Что говорит 152-ФЗ о трансграничной передаче
Действующая редакция 152-ФЗ не запрещает передачу персональных данных за рубеж. Она обязывает оператора убедиться в одном из следующих условий.
Первое - «адекватная защита». Перечень стран, обеспечивающих надлежащий уровень защиты прав субъектов ПДн, утверждён Роскомнадзором. Это примерно страны ЕС плюс несколько других. США в списке нет. Ирландия и Германия - есть. Если выбрать европейский регион AWS, это что-то меняет, но не всё: договор всё равно заключается с Amazon Inc. по американскому праву.
Второе - согласие субъекта. Если страна не в списке, трансграничная передача возможна при наличии отдельного письменного согласия субъекта, явно описывающего факт такой передачи и её цель. На практике это означает, что типовые согласия на обработку ПДн, которые у большинства компаний подписаны при трудоустройстве или в договоре с клиентом, скорее всего не содержат нужного пункта. Добавить его - задача организационная, но требует переподписания или дополнения к существующим согласиям.
Третье - договорные гарантии. Закон допускает трансграничную передачу на основании международного договора или договора с получателем данных, закрепляющего обязательства по защите. С Amazon это возможно через Data Processing Addendum - AWS такой документ предоставляет. Насколько он решает проблему с точки зрения российского регулятора - вопрос открытый; Роскомнадзор пока чёткой позиции не сформулировал.
Что мы нашли у клиента
Аудит показал стандартную картину: данные, которые планировалось перенести в AWS, не были однородными.
Бэкапы тестовых сред - базы данных с реальными записями клиентов, скопированными из продакшна для тестирования. Там ФИО, телефоны, адреса. Никто специально не думал об этом при настройке тестового контура - просто скопировали удобный дамп. Это самый распространённый случай: данные в тестовых средах есть почти всегда, про них почти никто не думает.
Файловые бэкапы - в числе прочего кадровые документы из бухгалтерской системы, которые попали в общую резервную копию файлового сервера. Паспортные данные, ИНН, данные о зарплатах.
Логи и метрики - тут всё чисто, персональных данных нет.
Как мы разбирали вопрос с Роскомнадзором
Параллельно с аудитом пообщались с юристами на тему: а что вообще надо делать, если хочешь легально хранить ПДн граждан РФ у Amazon? Официального разъяснения для AWS конкретно нет, но общий порядок такой.
Оператор вправе обратиться в Роскомнадзор с запросом об оценке конкретной ситуации. Это не обязательно - закон не требует предварительного согласования. Но при спорных случаях такой запрос создаёт задокументированную позицию, что оператор действовал добросовестно. На практике ответы приходят медленно и формулируются осторожно, но запрос лучше, чем его отсутствие.
Что реально снижает риск: чёткое разграничение данных по категориям, минимизация ПДн в тестовых средах (обезличивание - самый простой инструмент), отдельные согласия с правильными формулировками, DPA с провайдером.
Что в итоге
По итогам аудита дали клиенту конкретный список.
Тестовые базы - обязательно обезличить перед загрузкой в AWS. Это не сложно технически, просто требует процедуры. Реальные данные в тестовом контуре - отдельная проблема независимо от того, где этот контур находится.
Кадровые документы - не переносить в AWS в текущем виде. Либо остаются локально, либо нужна отдельная проработка согласий и договорных механизмов.
Логи, конфиги, метрики, артефакты сборки - никаких ограничений, можно переносить без оговорок.
Поправки о локализации, которые обсуждаются в Думе, добавляют неопределённости: если их примут в жёстком варианте, ситуация изменится кардинально - хранение ПДн граждан РФ за рубежом станет прямым нарушением вне зависимости от согласий. Пока это законопроект, но следить за ним стоит уже сейчас - архитектурные решения, принятые сегодня, менять потом дороже.