Обработка ПДн (в том числе специальных категорий) в сервисах Google

Будет ли нарушением сбор/хранение в Google-системах (Google-Диск, Gmail, сбор данных с помощью Google-Формы) персональных данных (в том числе фото+сведения о здоровье, мед.диагнозы, заключения врачей)? Если да, то какие именно нарушения, какая ответственность? Беспокоит вопрос с локализацией, т.к. нигде не нашли, где Google хранит данные граждан РФ. Если мы все перенесем в Яндекс, решит ли это нашу проблему? Мы являемся благотворительным фондом, собирающим фин.помощь для лечения тяжелобольных, корреспонденцию ведем через эл.почту.

При сборе ПДн с применением сторонних сервисов типа Google Диска характерны три проблемные особенности:

  1. Обеспечение локализации ПДн. Определяется ч.5 ст.18 ФЗ-152. Штраф за невыполнение установлен ч.8 ст.13.11 КоАП РФ – 1-6 млн.руб.
  2. Поручение обработки ПДн. Определяется ч.3 ст.6 ФЗ-152. Если какой-либо из уровней ИСПДн оператора принадлежит третьему лицу (например, IaaS, PaaS, SaaS), то оно выполняет обработку ПДн (как минимум, хранение) в целях и способами, определёнными оператором. Это требует оформления поручения обработки ПДн. Прямой штраф за невыполнение законом не предусмотрен, штраф возможен, если Роскомнадзор выявит это нарушение, выпишет предписание по его устранению, и оно будет проигнорировано. Это ч.1 ст.19.5 КоАП РФ – 10-20 тыс.руб.
  3. Обеспечение правовых оснований передачи ПДн третьему лицу (как правило, согласий субъектов). Определяется также ч.3 ст.6 ФЗ-152. Штраф за невыполнение устанавливает ч.1 ст.13.11 КоАП РФ – 60-100 тыс.руб.

Первые две особенности следует учитывать при выборе стороннего сервиса.

Например, оферта Яндекс.Облака включает требуемые законом положения, связанные с поручением обработки ПДн, а его сервера располагаются в российских дата-центрах.

Для сервисов Яндекс.Диск и Google Диск такой оферты нет, и заявлений о месте нахождения хостинга тоже нет (т.е. есть риск нарушения из п.1, а также нарушение из п.2).

Независимо от выбора стороннего сервиса, выполнение последнего пункта (обеспечение наличия согласий субъектов на передачу их ПДн) – это ответственность оператора. Однако, с учётом того, что в вопросе речь идёт о благотворительном фонде, можно предположить, что это не проблема, т.к. эти ПДн предназначены для публикации, и оператор в любом случае собирает согласия на их распространение.


Ответ подготовила Светлана Рудакова (22.03.2021)