ADG Оставить заявку
Блог Регуляторика 4 мин чтения

Amazon AWS и 152-ФЗ: что делать с персональными данными в иностранном облаке

Клиент рассматривает Amazon AWS для переноса инфраструктуры. Разбираем статус ПДн в американском облаке, требования 152-ФЗ и реальную практику согласования с Роскомнадзором.

Контекст момента

В 2013 году в Государственную Думу внесены поправки в 152-ФЗ о требовании хранить персональные данные граждан РФ исключительно на серверах на территории России.

Один из клиентов - производственная компания, около двухсот человек - пришёл с конкретным вопросом: рассматривают Amazon Web Services для переноса части инфраструктуры, в первую очередь бэкапов и тестовых сред. Спросили прямо: «Есть ли проблемы по 152-ФЗ, если данные уйдут на сервера Amazon?» Вопрос правильный. И ответ на него чуть сложнее, чем «да» или «нет».

Мы взялись за аудит того, что реально хранится в их системах и куда конкретно потечёт в случае переноса.

Почему Amazon - это не просто «облако за рубежом»

Amazon Web Services работает из американских регионов, а также из нескольких европейских (Ирландия, Франкфурт). Выбор региона eu-west-1 или eu-central-1 технически означает, что данные физически хранятся в ЕС. Это важно, но не закрывает вопрос полностью: Amazon - американская компания, и на неё распространяется американское право, включая FISA и соответствующие запросы спецслужб. Это та же история, что с Microsoft и Google, которую мы разбирали в мае после новостей про PRISM.

С точки зрения российского права ключевое - не где физически стоят серверы, а является ли передача данных трансграничной и какой режим защиты обеспечивает принимающее государство.

Что говорит 152-ФЗ о трансграничной передаче

Действующая редакция 152-ФЗ не запрещает передачу персональных данных за рубеж. Она обязывает оператора убедиться в одном из следующих условий.

Первое - «адекватная защита». Перечень стран, обеспечивающих надлежащий уровень защиты прав субъектов ПДн, утверждён Роскомнадзором. Это примерно страны ЕС плюс несколько других. США в списке нет. Ирландия и Германия - есть. Если выбрать европейский регион AWS, это что-то меняет, но не всё: договор всё равно заключается с Amazon Inc. по американскому праву.

Второе - согласие субъекта. Если страна не в списке, трансграничная передача возможна при наличии отдельного письменного согласия субъекта, явно описывающего факт такой передачи и её цель. На практике это означает, что типовые согласия на обработку ПДн, которые у большинства компаний подписаны при трудоустройстве или в договоре с клиентом, скорее всего не содержат нужного пункта. Добавить его - задача организационная, но требует переподписания или дополнения к существующим согласиям.

Третье - договорные гарантии. Закон допускает трансграничную передачу на основании международного договора или договора с получателем данных, закрепляющего обязательства по защите. С Amazon это возможно через Data Processing Addendum - AWS такой документ предоставляет. Насколько он решает проблему с точки зрения российского регулятора - вопрос открытый; Роскомнадзор пока чёткой позиции не сформулировал.

Что мы нашли у клиента

Аудит показал стандартную картину: данные, которые планировалось перенести в AWS, не были однородными.

Бэкапы тестовых сред - базы данных с реальными записями клиентов, скопированными из продакшна для тестирования. Там ФИО, телефоны, адреса. Никто специально не думал об этом при настройке тестового контура - просто скопировали удобный дамп. Это самый распространённый случай: данные в тестовых средах есть почти всегда, про них почти никто не думает.

Файловые бэкапы - в числе прочего кадровые документы из бухгалтерской системы, которые попали в общую резервную копию файлового сервера. Паспортные данные, ИНН, данные о зарплатах.

Логи и метрики - тут всё чисто, персональных данных нет.

Как мы разбирали вопрос с Роскомнадзором

Параллельно с аудитом пообщались с юристами на тему: а что вообще надо делать, если хочешь легально хранить ПДн граждан РФ у Amazon? Официального разъяснения для AWS конкретно нет, но общий порядок такой.

Оператор вправе обратиться в Роскомнадзор с запросом об оценке конкретной ситуации. Это не обязательно - закон не требует предварительного согласования. Но при спорных случаях такой запрос создаёт задокументированную позицию, что оператор действовал добросовестно. На практике ответы приходят медленно и формулируются осторожно, но запрос лучше, чем его отсутствие.

Что реально снижает риск: чёткое разграничение данных по категориям, минимизация ПДн в тестовых средах (обезличивание - самый простой инструмент), отдельные согласия с правильными формулировками, DPA с провайдером.

Что в итоге

По итогам аудита дали клиенту конкретный список.

Тестовые базы - обязательно обезличить перед загрузкой в AWS. Это не сложно технически, просто требует процедуры. Реальные данные в тестовом контуре - отдельная проблема независимо от того, где этот контур находится.

Кадровые документы - не переносить в AWS в текущем виде. Либо остаются локально, либо нужна отдельная проработка согласий и договорных механизмов.

Логи, конфиги, метрики, артефакты сборки - никаких ограничений, можно переносить без оговорок.

Поправки о локализации, которые обсуждаются в Думе, добавляют неопределённости: если их примут в жёстком варианте, ситуация изменится кардинально - хранение ПДн граждан РФ за рубежом станет прямым нарушением вне зависимости от согласий. Пока это законопроект, но следить за ним стоит уже сейчас - архитектурные решения, принятые сегодня, менять потом дороже.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.