Миллионные риски при использовании Google Таблиц для обработки персональных данных – миф или реальность?

КоАП РФ – Кодекс Российской Федерации об административных правонарушениях;

152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Роскомнадзор, РКН – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;

ПДн – персональные данные;

ТГ передача – трансграничная передача персональных данных.

Google Таблицы — один из самых популярных облачных сервисов для хранения, обработки и обмена данными. Однако при работе с персональными данными использование иностранных облачных решений связано с серьезными юридическими рисками, которые могут привести к штрафам, судебным разбирательствам и потере репутации. Кроме того, риски использования Google Таблиц при обработке персональных данных важно оценить до начала работы.

Google Таблицы — облачный сервис, принадлежащий международной компании Google, серверы которой расположены преимущественно за рубежом. Поэтому, при использовании Google Таблиц для хранения или обработки ПДн граждан РФ, нарушаются требования закона о локализации (ч. 5 ст. 18 152-ФЗ).

Эта позиция подтверждается письмом Роскомнадзора «О принятии мер», которое мы ранее опубликовали в своем Telegram-канале (https://t.me/pdn152doc/2881).

Согласно ч. 5 ст. 18 152-ФЗ все базы данных с персональными данными граждан РФ должны находиться на российских серверах.

Это требование ужесточилось с июля 2025 года. В случае с Google Таблицами, серверы которых находятся за пределами страны, возникает нарушение этого положения, в связи с чем владелец сервиса неоднократно привлекался к административной ответственности за несоблюдение требований о локализации данных (чч. 8 и 9 ст. 13.11 КоАП РФ).

В письме Роскомнадзор делает вывод о том, что использование компанией-оператором сервиса Google Таблицы, является нарушением, ответственность за которое предусмотрена ч. 8 ст. 13.11 КоАП РФ, и требует от оператора принять меры по недопущению использования при обработке персональных данных граждан Российской Федерации сервисов, нарушающих требования ч.5 ст. 18 152-ФЗ.

Таким образом, данная позиция и меры могут быть применены не только к Google Таблицам, но и к другим иностранным ресурсам и платформам, не имеющим серверов в России, в том числе к сайтам с иностранным хостингом. Проверить расположение сайта можно с помощью бесплатных доступных ресурсов, например, «152DOC» раздел «Сервисы».

Описанная ситуация подчеркивает необходимость соблюдения правил хранения и обработки персональных данных, а также демонстрирует риски использования иностранных облачных решений без соответствующей локализации.

Для снижения возможных рисков приведем ряд рекомендаций, которые помогут вам защитить бизнес.

1. Проверьте своих контрагентов и партнеров:

• Ищите в открытом доступе информацию о нарушениях со стороны контрагента требований 152-ФЗ, судебные решения о привлечении к ответственности за нелокализацию.
• Запрашивайте подтверждающие документы — официальные сертификаты или договоры, подтверждающие, что базы данных и серверы находятся в РФ.

2. Будьте внимательны при подаче уведомления о ТГ передаче в РКН:

• Наличие в нем информации об использовании нарушающих требования 152-ФЗ сервисов РКН может расценить как прямое доказательство нарушения и направить требование в ваш адрес.

3. Проведите аудит текущих процессов обработки данных, пересмотрите свои IT-инфраструктуры и обеспечьте их соответствие требованиям законодательства:

• Составьте список всех сервисов, где хранятся или обрабатываются ПДн.
• Оцените их соответствие 152‑ФЗ. Запросите подтверждающие документы и сведения у владельцев сервисов, закрепите в договоре гарантии соответствия 152-ФЗ.
• При выявлении нарушений — прекратите использование ресурса.
• Разработайте план перехода на разрешённые инструменты. Например, включите модель угроз безопасности в аудит.
• Проведите инструктаж сотрудников о правилах работы. Иногда желание сотрудников упростить себе работу и использовать то, что удобно, приводит к непредвиденным нарушениям. Сотрудники должны понимать, какие инструменты можно использовать для обработки ПДн, а какие нет. И помните, что за действия сотрудников также отвечает оператор.

4. Переходите на отечественные решения:

• Используйте российские платформы и облачные сервисы, сертифицированные по требованиям законодательства. Например, отечественные облачные хранилища, системы электронного документооборота и базы данных, расположенные на российских серверах.

Многие организации считают Google Таблицы более удобными и функциональными, чем отечественные решения.

Однако, игнорирование требований закона о локализации может иметь тяжелые последствия:

• Штрафы и санкции — до 18 миллионов рублей за повторные нарушения.

Напомним, что ч. 8 ст. 13.11 КоАП РФ предусматривает штрафы на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей.

Повторное нарушение (ч. 9 ст. 13.11 КоАП РФ) влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц — от шести миллионов до восемнадцати миллионов рублей.

• Риск блокировки сервиса или сайта.
• Потеря репутации — снижение доверия клиентов и партнеров.

Использование иностранных облачных сервисов для обработки ПДн граждан РФ — рискованный шаг, который требует внимательного подхода и строгого соблюдения законодательства. Законодательство РФ предусматривает жесткие требования к локализации данных, и их игнорирование чревато серьезными последствиями.

Лучший способ — переход на отечественные решения, проведение регулярных аудитов и обучение сотрудников. Только так можно обеспечить безопасность, законность и доверие клиентов.