Облачные сервисы и персональные данные: где заканчивается удобство и начинаются риски

Работа с документами и формами через облако — давно привычная практика. Особенно популярны решения Google: формы для заявок, общие таблицы, хранение файлов в Google Drive. Удобно, быстро, не нужно ничего устанавливать. Но с недавних пор — еще и рискованно.

С 2023 года в России усилилось внимание к защите персональных данных, особенно в части трансграничной передачи. Это значит, что использование иностранных облачных сервисов теперь требует большего контроля со стороны бизнеса — даже если вы просто собираете email через Google Form.

Облачные сервисы позволяют бизнесу легко делиться документами, собирать данные и координировать работу команды. Однако за этим удобством скрывается важная особенность: данные пользователей часто хранятся на серверах за границей, чаще всего — в США или странах ЕС.

Когда вы создаете форму в Google Forms и запрашиваете у пользователя имя, телефон или email, вы автоматически передаете эти данные на зарубежный сервер. С юридической точки зрения — это трансграничная передача персональных данных, и она строго регулируется (подробнее об этом в материале Что такое трансграничная передача данных).

• Google Forms — при заполнении формы.
• Google Docs и Sheets — если туда заносятся персональные данные сотрудников, клиентов или пользователей.
• Google Drive — при загрузке файлов с персональной информацией (например, скан паспорта, договор, резюме).
• Gmail — при пересылке персональных данных внутри команды.

Если вы используете облачные сервисы, серверы которых находятся за пределами России, это считается трансграничной передачей персональных данных. Важно понимать, что страны делятся на обеспечивающие адекватную защиту прав субъектов и не обеспечивающие (так называемые «недружественные»).

При передаче данных в «дружественные» страны оператор обязан уведомить Роскомнадзор заранее — до начала передачи. При передаче в «недружественные» страны (а в случае с сервисами Google это, как правило, США) одного уведомления недостаточно. Роскомнадзор должен провести проверку и выдать разрешение на передачу. Передача возможна только после получения одобрения.

При этом нужно:

• получить отдельное согласие от субъекта данных, четко прописав, что и куда передается, с какой целью, где будет храниться;
• уведомить Роскомнадзор о передаче;
• дождаться, пока ведомство проведет проверку и выдаст разрешение на передачу;
• в ряде случаев — прекратить передачу, если она признана угрожающей правам субъекта.

На практике на май 2025 года механизм разрешения Роскомнадзором еще не налажен полностью, что делает передачу данных в такие страны юридически затруднительной.

Если вы используете Google Docs, Google Forms или другие облачные сервисы для сбора или хранения персональных данных, то с точки зрения закона являетесь оператором персональных данных. Это означает, что именно вы несете ответственность за соблюдение всех требований — от получения согласия до обеспечения безопасности данных и уведомления Роскомнадзора при трансграничной передаче.

С конца 2023 года Роскомнадзор усилил надзор в этой сфере, особенно в отношении бизнеса, который продолжает использовать зарубежные решения без согласий, уведомлений и прозрачной политики конфиденциальности. А с 30 мая 2025 года вступают в силу новые правила, которые значительно усиливают контроль за трансграничной передачей и увеличивают меру наказания.

Ответственность бизнеса возрастает: за нарушения, особенно связанные с обработкой данных в «недружественных» странах без одобрения Роскомнадзора, предусмотрены многократно увеличенные штрафы — до нескольких миллионов рублей, в зависимости от серьезности и повторности нарушений. Подробнее об этом читайте в нашем материале Что изменилось в законе о персональных данных.

Если вы хотите снизить риски, стоит рассмотреть переход на российские сервисы, где данные хранятся внутри страны:

• Яндекс 360 для бизнеса — альтернатива офисному пакету Google.
• МойОфис — офисные документы и совместная работа.
• VK Облако, TeraCloud, Рутокен Облако — защищенное облачное хранение.
• FormDesigner, Marquiz, Bitrix24 — вместо Google Forms.

В некоторых случаях использование Google-сервисов допустимо:

• если не происходит обработки персональных данных (например, вы используете таблицы только для внутренней отчетности);
• если получено информированное согласие от пользователей на трансграничную передачу;
• если вы подали уведомление в Роскомнадзор и выполнили все формальные требования.

Однако и в этих случаях есть риск: правила могут меняться, а Роскомнадзор вправе потребовать приостановить передачу.

Облачные сервисы — это удобно, но сегодня удобство больше не стоит выше ответственности. При использовании Google Forms, Docs, Drive и других иностранных платформ важно понимать: вы передаете данные за границу. А это уже не просто техническая деталь, а зона строгого правового контроля. Чтобы не попасть под штраф или блокировку, стоит пересмотреть внутренние процессы, уведомить Роскомнадзор и — по возможности — перейти на локальные решения.

Компания SUN agency — ваш надежный партнер в организации перехода на альтернативные сервисы, настройке безопасной аналитики и решении других задач в сфере digital маркетинга.