Можно ли использовать Google Диск для хранения персональных данных?

Кажется, технически — можно. А вот юридически... всё гораздо жёстче.

Российский закон однозначно требует: если вы храните персональные данные граждан РФ, они должны находиться на серверах в России. Это прямо предусмотрено статьёй 18.1 Федерального закона № 152-ФЗ и продублировано в так называемом «законе о локализации» — № 242-ФЗ​

Google Диск — иностранный облачный сервис. И у него, увы, нет дата-центров на территории РФ. То есть обеспечить «первичную запись» (это когда ПДн сначала записываются и хранятся в России) физически невозможно. А значит, с точки зрения закона — такой способ хранения уже нарушает требования локализации.

А что если просто передавать ПДн в Google?

Это уже называется трансграничной передачей. И тут включается отдельный юридический механизм. Для того чтобы передать персональные данные за рубеж, нужно соблюсти три условия — одновременно:

    Получить от субъекта персональных данных отдельное письменное согласие на трансграничную передачу (не общее согласие, а именно отдельное, с указанием страны и цели).

    Убедиться, что страна, куда попадают ПДн (например, США или Ирландия — где как раз и расположены серверы Google), входит в перечень стран с «достаточным уровнем защиты ПДн». Такой перечень публикует Роскомнадзор.

    И вот тут — проблема. США и Ирландия туда не входят. Официально. Значит, нужно либо отказываться, либо идти по сложному пути уведомления Роскомнадзора и доказывать наличие иных законных оснований (контракт, жизненная необходимость, выполнение закона и пр.)​

Есть ли обходные пути?

Скажем так: технически — есть. Юридически — это серая зона. Некоторые компании применяют гибридные схемы: например, используют Google Диск только для хранения обезличенных данных, либо только архивов без ПДн. Но если хоть какая-то информация может напрямую или косвенно идентифицировать гражданина — это уже ПДн. А значит, работать с ней можно только в рамках закона.

Вывод один: хранить персональные данные на Google Диске без нарушения 152-ФЗ — невозможно. Даже если очень хочется. Даже если «все так делают».

Применяем комплексный подход — и не рискуем штрафами.

А теперь подумайте — вы точно уверены, где сейчас лежат резервные копии вашей базы 1С?