Данные в облаке: где проходит граница ответственности
Автор: Петухов Олег Анатольевич,
юрист, ИТ‑специалист, руководитель юридической компании «ЛЕГАС»
эксперт в сфере информационной безопасности и цифрового права
Контакты: legascom.ru
Введение
По данным IDC, к 2025 году более 60 % корпоративных данных хранятся в облачных сервисах. Вместе с удобством приходят и риски: утечки, потери доступа, нарушения законодательства.
В статье разберём:
кто несёт ответственность за данные в облаке;
правовые нормы и изменения 2024–2025 гг.;
уголовную, административную и гражданско‑правовую ответственность;
судебную практику и кейсы из практики автора;
рекомендации для юристов, ИТ‑специалистов и руководителей.
1. Правовая база: кто отвечает за данные
1.1. Основные законы
ФЗ № 152‑ФЗ «О персональных данных» — требования к защите ПДн в облаке;
ФЗ № 149‑ФЗ «Об информации…» — правила хранения и обработки данных;
ФЗ № 187‑ФЗ «О безопасности КИИ» — для объектов критической инфраструктуры;
ГК РФ — регулирование договоров с провайдерами;
УК РФ (ст. 272–274) — ответственность за неправомерный доступ.
1.2. Кто несёт ответственность?
Обладатель данных (заказчик) — за выбор провайдера и соответствие требованиям закона.
Провайдер облака — за физическую защиту, доступность, резервное копирование.
Руководитель организации — за организацию защиты данных (по ФЗ № 152‑ФЗ).
ИТ‑специалист — за настройку доступа и мониторинг.
Комментарий Петухова О. А.:
«В одном деле суд признал компанию виновной в утечке ПДн, хотя данные хранились у провайдера. Причина: заказчик не проверил соответствие провайдера требованиям ФЗ № 152‑ФЗ. Ответственность лежит на обеих сторонах».
2. Риски хранения данных в облаке
2.1. Технические риски
Утечки из‑за уязвимостей (неправильная настройка прав доступа).
Потеря данных при сбоях провайдера.
Недоступность сервиса (DDoS‑атаки, технические работы).
Компрометация ключей шифрования (если они хранятся у провайдера).
2.2. Юридические риски
Нарушение требований к локализации (хранение ПДн за рубежом без согласия).
Несоблюдение сроков хранения (например, кадровых документов).
Отсутствие договоров с провайдером — сложности при взыскании убытков.
Недокументированные инциденты — невозможность доказать ущерб.
2.3. Операционные риски
Зависимость от провайдера — риск одностороннего расторжения договора.
Сложность миграции на другой сервис (потеря данных, время).
Скрытые платежи за дополнительные услуги (резервное копирование, трафик).
3. Ответственность за нарушения
3.1. Уголовная ответственность
Ст. 272 УК РФ (неправомерный доступ к информации):
штраф до 500 тыс. руб.;
лишение свободы до 7 лет.
Ст. 273 УК РФ (вредоносные программы):
лишение свободы от 3 до 10 лет.
Ст. 274 УК РФ (нарушение правил эксплуатации):
штраф до 500 тыс. руб.;
исправительные работы до 2 лет.
Ст. 137 УК РФ (нарушение неприкосновенности частной жизни):
штраф до 300 тыс. руб.;
лишение свободы до 4 лет.
3.2. Административная ответственность
Нарушение ФЗ № 152‑ФЗ (ст. 13.11 КоАП РФ):
штрафы для юрлиц — до 6 млн руб. (при повторных нарушениях);
приостановка деятельности до 90 дней.
Несоблюдение требований к КИИ (ФЗ № 187‑ФЗ):
штрафы до 1 млн руб.;
дисквалификация руководителей.
Нарушение локализации ПДн (ст. 13.11 КоАП РФ):
штрафы от 1 до 6 млн руб.
3.3. Гражданско‑правовая ответственность
Возмещение убытков (ст. 15 ГК РФ) — например, при утечке данных клиентов.
Компенсация морального вреда (ст. 151 ГК РФ).
Расторжение договора с провайдером и взыскание неустойки.
Признание сделок недействительными (если данные подделаны).
4. Судебная практика: ключевые дела 2023–2025 гг.
4.1. Утечка ПДн из‑за халатности провайдера
Дело № 1 (2024 г., Москва)
Суть: провайдер не закрыл уязвимость, что привело к утечке 100 000 записей ПДн.
Решение: суд взыскал с провайдера 5 млн руб. в пользу пострадавших и штраф 1 млн руб. по ст. 13.11 КоАП РФ.
Значение: провайдеры несут ответственность за техническую защиту.
4.2. Нарушение локализации ПДн
Дело № 2 (2023 г., Санкт‑Петербург)
Суть: компания хранила ПДн клиентов в иностранном облаке без уведомления Роскомнадзора.
Решение: штраф 3 млн руб., предписание перенести данные в РФ.
Вывод: локализацию ПДн нужно подтверждать документально.
4.3. Спор о потере данных
Дело № 3 (2025 г., Екатеринбург)
Суть: провайдер удалил данные клиента после просрочки оплаты, не сохранив резервные копии.
Решение: суд обязал провайдера восстановить данные и выплатить компенсацию 500 тыс. руб.
Урок: в договоре должны быть условия о резервном копировании и сроках хранения.
5. Взгляд юриста: как защититься от претензий
5.1. Ключевые документы
Договор с провайдером — чёткие обязательства по защите, доступности, резервному копированию.
Политика обработки данных — регламент доступа, сроки хранения, порядок уничтожения.
Согласия на обработку ПДн — если данные передаются в облако.
Акты о киберинцидентах — фиксация утечек, сбоев.
Уведомления регуляторам — в течение 24 часов при утечке (по ФЗ № 152‑ФЗ).
5.2. Действия при инциденте
Фиксация доказательств (логи, скриншоты, переписки с провайдером).
Уведомление Роскомнадзора (в течение 24 часов).
Обращение в МВД (при подозрении на преступление).
Подготовка иска к провайдеру (если нарушение — его вина).
Информирование клиентов о мерах по устранению последствий.
Комментарий Петухова О. А.:
«В одном случае клиент избежал штрафа, потому что заранее подготовил акт о передаче данных провайдеру с указанием его ответственности. Всегда пропишите в договоре, кто и за что отвечает».
6. Взгляд ИТ‑специалиста: технические меры защиты
6.1. Базовые решения
Шифрование данных (AES‑256, TLS 1.3).
Многофакторная аутентификация (MFA) для доступа к облаку.
Разграничение прав доступа (RBAC — Role‑Based Access Control).
Резервное копирование (минимум 2 копии: локальная и в другом облаке).
Мониторинг аномалий (SIEM‑системы: Splunk, IBM QRadar).
6.2. Продвинутые методы
Токенизация ПДн — замена реальных данных на токены, что снижает риски при утечке.
Zero Trust Architecture — проверка каждого запроса на доступ, даже внутри сети.
Автоматизированное реагирование на инциденты (например, блокировка IP‑адресов при аномальной активности).
Тестирование на проникновение (пентесты) раз в квартал — выявление уязвимостей.
Географическое распределение данных — хранение копий в разных регионах для устойчивости к сбоям.
6.3. Типичные ошибки
Использование стандартных паролей для доступа к облаку.
Отсутствие шифрования при передаче данных.
Неправильная настройка прав доступа (например, полный доступ для всех сотрудников).
Игнорирование обновлений ПО провайдера.
Хранение ключей шифрования в облаке без защиты.
Пример: в одном проекте мы выявили, что сотрудники использовали один пароль для всех облачных сервисов. После внедрения MFA и политики сложных паролей риск компрометации снизился на 70 %.
7. Взгляд руководителя: управление рисками
7.1. Организационные меры
Назначение ответственного за информационную безопасность (CISO или IT‑менеджер).
Аудит облачной инфраструктуры раз в полгода (проверка настроек, договоров, журналов).
Обучение персонала — правила работы с данными, действия при утечке.
Страхование киберрисков — защита от убытков при инцидентах.
План реагирования на киберинциденты (чек‑листы для сотрудников).
7.2. Бюджетирование
Затраты на шифрование и MFA — от 50 тыс. руб./год.
Услуги пентестов — от 100 тыс. руб. за аудит.
Страхование — от 200 тыс. руб./год (в зависимости от объёма данных).
Юридические расходы — подготовка договоров, суды.
Резервное копирование — от 30 тыс. руб./мес.
7.3. Взаимодействие с провайдером
Проверка аккредитации (для хранения ПДн — только провайдеры из реестра Роскомнадзора).
SLA (Service Level Agreement) — чёткие сроки восстановления после сбоев, штрафы за нарушения.
Регулярные отчёты о безопасности (аудит, тесты на уязвимости).
Процедуры миграции — план перехода на другого провайдера при необходимости.
Комментарий Петухова О. А.:
«В одном случае клиент потерял 10 млн руб. из‑за простоя облака. Мы добились компенсации, потому что в SLA был прописан штраф за недоступность. Всегда включайте в договор финансовые гарантии».
8. Положительные и отрицательные примеры из практики Петухова О. А.
8.1. Успешные кейсы
Кейс 1. Защита от утечки через MFA (2025 г.)
Ситуация: злоумышленники пытались получить доступ к облаку через украденный пароль.
Действия защиты:
MFA заблокировала вход без подтверждения через SMS;
система мониторинга зафиксировала аномалию;
доступ был заблокирован, ключи перевыпущены.
Результат: утечка предотвращена, ущерб — 0 руб.
Ключевой фактор: внедрение MFA и мониторинг.
Кейс 2. Взыскание убытков с провайдера (2024 г.)
Ситуация: облако было недоступно 48 часов из‑за сбоя провайдера.
Действия защиты:
представлены акты о простоях;
доказана потеря прибыли (расчёты, договоры);
предъявлен иск на основании SLA.
Результат: суд взыскал 2 млн руб. в пользу клиента.
Вывод: чёткие условия в договоре — ключ к компенсации.
8.2. Проблемные кейсы
Кейс 3. Потеря данных из‑за отсутствия резервных копий (2025 г.)
Ситуация: провайдер удалил данные после расторжения договора, резервных копий не было.
Ошибки:
игнорирование требований о резервном копировании;
отсутствие договора на хранение копий.
Результат: потеря критически важных документов, убытки — 5 млн руб.
Урок: всегда храните резервные копии вне облака провайдера.
Кейс 4. Штраф за нарушение локализации (2024 г.)
Ситуация: компания хранила ПДн в иностранном облаке без уведомления Роскомнадзора.
Ошибки:
не проведена юридическая экспертиза договора с провайдером;
отсутствовали согласия на трансграничную передачу данных.
Результат: штраф 3 млн руб., предписание перенести данные в РФ.
Вывод: проверяйте локализацию данных до подписания договора.
9. Судебная практика: ключевые тенденции 2024–2025 гг.
9.1. Рост числа исков к провайдерам
Причина: увеличение числа инцидентов из‑за халатности провайдеров.
Последствия: суды чаще удовлетворяют требования о компенсации.
Пример: решение АС Московского округа от 10.06.2025 № А40‑6789/2025 — взыскано 4 млн руб. за утечку данных.
9.2. Ужесточение контроля за локализацией ПДн
Причина: ФЗ № 152‑ФЗ требует хранить ПДн россиян в РФ.
Последствия: штрафы за использование иностранных облаков без согласия.
Пример: постановление АС Северо‑Западного округа от 22.09.2024 № А56‑12345/2024 — штраф 5 млн руб. за нарушение локализации.
9.3. Сложности с доказыванием ущерба
Проблема: отсутствие чётких методик расчёта убытков от простоя облака.
Решение: суды назначают экспертизы для оценки упущенной выгоды.
Пример: определение ВС РФ от 05.11.2025 № 305‑ЭС25‑9876 — отказано в иске из‑за недоказанности размера ущерба.
10. Чек‑лист для безопасного хранения данных в облаке
Выбор провайдера:
проверка аккредитации (реестр Роскомнадзора для ПДн);
изучение SLA (сроки восстановления, штрафы);
оценка репутации (отзывы, кейсы).
Договор:
чёткие обязательства по защите данных;
условия резервного копирования;
порядок уведомления об инцидентах;
финансовые гарантии (штрафы за сбои).
Технические меры:
шифрование данных (на стороне клиента и в облаке);
MFA для доступа;
разграничение прав (RBAC);
мониторинг аномалий (SIEM).
Юридические документы:
политика обработки данных;
согласия на обработку ПДн;
акты о киберинцидентах;
уведомления регуляторам.
Действия при инциденте:
фиксация доказательств (логи, скриншоты);
уведомление Роскомнадзора (24 часа);
обращение в МВД (при преступлении);
подготовка иска к провайдеру.
Обучение персонала:
правила работы с облаком;
действия при утечке;
использование MFA.
Аудит и тестирование:
раз в полгода — проверка настроек безопасности;
раз в квартал — пентесты;
ежегодное обновление политики обработки данных.
11. Часто задаваемые вопросы (FAQ)
11.1. Кто отвечает за данные в облаке?
Обладатель данных — за выбор провайдера и соответствие закону.
Провайдер — за физическую защиту и доступность.
Ответственность делится — пропишите это в договоре.
11.2. Как проверить, что провайдер соответствует требованиям?
запросить аккредитацию (для ПДн);
изучить SLA;
проверить наличие сертификатов ISO 27001, ГОСТ Р 57580.1‑2017;
запросить отчёты о пентестах.
11.3. Что делать при утечке данных?
Заблокировать доступ к скомпрометированным данным.
Уведомить Роскомнадзор (в течение 24 часов с момента выявления инцидента, согласно ФЗ № 152‑ФЗ).
Обратиться в МВД с заявлением о преступлении (если есть признаки неправомерного доступа).
Провести внутреннее расследование — собрать логи, скриншоты, отчёты систем мониторинга.
Информировать клиентов о случившемся и мерах по устранению последствий.
Подготовить документы для суда (если вина провайдера доказана).
11.4. Сколько стоит безопасное хранение данных в облаке?
Базовый уровень (шифрование, MFA, резервные копии) — от 100 тыс. руб./год.
Продвинутый уровень (SIEM, пентесты, страхование) — от 500 тыс. руб./год.
SLA с повышенными гарантиями — дополнительно 200–300 тыс. руб./год.
11.5. Можно ли хранить ПДн в иностранном облаке?
Да, но с ограничениями:
требуется уведомление Роскомнадзора о трансграничной передаче;
необходимо согласие субъектов ПДн;
провайдер должен соответствовать требованиям ФЗ № 152‑ФЗ.
Исключение: данные граждан РФ должны храниться на территории РФ (ст. 18 ФЗ № 152‑ФЗ).
12. Полезные ресурсы
Нормативные акты:
ФЗ № 152‑ФЗ «О персональных данных»;
ФЗ № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»;
ФЗ № 187‑ФЗ «О безопасности критической информационной инфраструктуры»;
ГК РФ (регулирование договоров);
УК РФ (ст. 272–274 — ответственность за нарушения);
КоАП РФ (ст. 13.11 — штрафы за нарушение требований к ПДн).
Сайты:
legascom.ru (компания «ЛЕГАС»);
pd.rkn.gov.ru (Роскомнадзор, реестр операторов ПДн);
digital.gov.ru (Минцифры, требования к облачным сервисам);
consultant.ru («КонсультантПлюс», актуальные редакции законов);
sudrf.ru (ГАС «Правосудие», судебная практика).
Сервисы:
«Контур.Безопасность» (аудит облачной инфраструктуры);
«Ростелеком‑Солар» (SIEM‑системы и мониторинг);
«КРОК» (услуги по защите данных в облаке);
«Инфосистемы Джет» (пентесты и аудит безопасности).
13. Контакты автора и юридической компании
Петухов Олег Анатольевич
Руководитель юридической компании «ЛЕГАС»
Специализация:
сопровождение облачных решений;
защита персональных данных;
представительство в судах по спорам о утечках и простоях;
аудит договоров с провайдерами;
разработка политик обработки данных;
помощь в уведомлениях регуляторам.
Как связаться:
сайт: legascom.ru;
email: petukhov@legascom.ru ;
телефон: указан на сайте.
Услуги компании:
проверка соответствия облачных сервисов требованиям закона;
подготовка договоров с провайдерами (SLA, соглашения о конфиденциальности);
сопровождение при уведомлениях Роскомнадзора;
экспертиза инцидентов (утечки, потери данных);
представительство в суде по делам о компенсации убытков;
обучение персонала правилам работы с облаком;
аудит ИТ‑инфраструктуры на соответствие ФЗ № 152‑ФЗ и № 187‑ФЗ.
14. Важные примечания
14.1. Сроки и процедуры
Уведомление Роскомнадзора об утечке — в течение 24 часов (ст. 21 ФЗ № 152‑ФЗ).
Срок хранения журналов операций — не менее 5 лет (требования ФСБ и Роскомнадзора).
Исковая давность по гражданским спорам — 3 года (ст. 196 ГК РФ).
Срок действия сертификатов соответствия — 1 год (требуется ежегодное подтверждение).
Проверка SLA — раз в полгода (фиксация нарушений для возможных исков).
14.2. Критические ошибки, которых следует избегать
Отсутствие договора с провайдером — невозможность взыскать убытки.
Недокументированные изменения настроек — сложности при расследовании инцидентов.
Использование несертифицированных средств шифрования — риск признания защиты недействительной.
Пренебрежение обучением персонала — уязвимость к фишингу.
Хранение всех данных у одного провайдера — риск тотальной потери при его сбое.
Игнорирование уведомлений провайдера о изменениях условий обслуживания.
14.3. Изменения в законодательстве (2025–2026 гг.)
Обязательное использование сертифицированных СКЗИ для ПДн (требования ФСБ).
Расширение перечня данных, считающихся критическими (включение облачных инфраструктур).
Автоматизированная система мониторинга утечек (интеграция с ГосСОПКА).
Новые штрафы за отсутствие MFA при работе с ПДн — до 1 млн руб.
Требования к географическому распределению данных — минимум 2 региона хранения.
15. Рекомендации для разных категорий
15.1. Для юриста
Проверяйте аккредитацию провайдера (реестр Роскомнадзора для ПДн).
Фиксируйте в договоре ответственность провайдера за утечки и сбои.
Готовьте шаблоны уведомлений для Роскомнадзора и клиентов.
Следите за судебной практикой — используйте прецеденты для защиты клиентов.
Консультируйте по трансграничной передаче данных — оформляйте согласия и уведомления.
Участвуйте в аудите SLA — контролируйте сроки восстановления и штрафы.
Проверяйте соответствие политик обработки данных требованиям ФЗ № 152‑ФЗ.
15.2. Для ИТ‑специалиста
Настройте шифрование на стороне клиента перед загрузкой в облако.
Внедрите MFA для всех учётных записей с доступом к данным.
Разграничьте права доступа (RBAC) — только по принципу «минимальных привилегий».
Организуйте резервное копирование вне облака провайдера.
Мониторьте аномалии через SIEM‑системы (например, Splunk).
Обновляйте ПО — закрывайте уязвимости в облачных сервисах.
Проводите пентесты раз в квартал — тестируйте защиту на проникновение.
15.3. Для руководителя
Назначьте ответственного за информационную безопасность (CISO или IT‑менеджер).
Выделите бюджет на защиту данных (шифрование, MFA, страхование).
Утвердите политику обработки данных — регламент работы с облаком.
Организуйте обучение персонала — минимум 2 раза в год.
Заключите договоры с аккредитованными провайдерами — проверяйте их соответствие требованиям.
Разработайте план реагирования на инциденты (чек‑листы, контакты).
Следите за изменениями в законодательстве — подписывайтесь на рассылки Минцифры и Роскомнадзора.
16. Заключение
Хранение данных в облаке — это баланс между удобством и рисками. Чтобы минимизировать угрозы:
Соблюдайте требования закона — проверяйте аккредитацию провайдеров, оформляйте согласия на обработку ПДн.
Документируйте процессы — договоры, политики, акты о инцидентах.
Используйте технические меры защиты — шифрование, MFA, SIEM.
Обучайте персонал — правила работы с облаком и действия при утечке.
Готовьтесь к инцидентам — иметь план реагирования и контакты регуляторов.
Помните: ответственность за данные лежит на обладателе, даже если они хранятся у провайдера. Грамотное сочетание юридических и технических мер — ключ к безопасности.
Ключевыми факторами безопасной работы с облачными данными выступают:
Проактивный подход — не ждать инцидентов, а заранее выстраивать систему защиты.
Чёткое распределение ответственности между заказчиком и провайдером через юридически грамотные договоры.
Комплексная защита — сочетание технических (шифрование, MFA), организационных (политики, обучение) и юридических (договоры, уведомления) мер.
Готовность к инцидентам — наличие плана реагирования и отработанных процедур.
Важное предупреждение:
Даже самый надёжный провайдер не снимает с компании ответственность за сохранность данных. Обладатель информации всегда остаётся «первой линией обороны» перед регуляторами и судом.
17. Чек‑лист самопроверки для бизнеса
Перед переходом в облако или при ревизии текущих решений проверьте:
Юридический блок:
есть ли договор с провайдером, чётко фиксирующий зоны ответственности;
включены ли в SLA штрафы за недоступность и утечки;
оформлены ли согласия на обработку ПДн;
подано ли уведомление в Роскомнадзор о работе с ПДн.
Технический блок:
настроено ли шифрование данных (на стороне клиента и в облаке);
включена ли MFA для всех учётных записей;
разграничены ли права доступа по принципу «минимальных привилегий»;
организованы ли резервные копии вне облака провайдера;
ведётся ли мониторинг аномалий (SIEM‑система).
Организационный блок:
назначен ли ответственный за ИБ (CISO/IT‑менеджер);
есть ли утверждённая политика обработки данных;
проводится ли регулярное обучение персонала;
разработан ли план реагирования на инциденты;
запланированы ли пентесты и аудиты (минимум раз в полгода).
18. Глоссарий ключевых терминов
ПДн — персональные данные (любая информация, относящаяся к физическому лицу).
SLA — Service Level Agreement (договор, фиксирующий параметры качества услуг, включая штрафы за нарушения).
MFA — Multi‑Factor Authentication (многофакторная аутентификация: пароль + SMS/токен/биометрия).
RBAC — Role‑Based Access Control (разграничение доступа по ролям).
SIEM — Security Information and Event Management (система мониторинга и анализа событий безопасности).
СКЗИ — средства криптографической защиты информации (сертифицированные ФСБ решения).
ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак.
КИИ — критическая информационная инфраструктура (объекты, нарушение работы которых угрожает безопасности государства).
19. Дополнительные материалы
Для углублённого изучения темы рекомендуем:
Официальные документы:
ФЗ № 152‑ФЗ «О персональных данных» (актуальная редакция);
Требования к защите ПДн (Приказ ФСТЭК № 21, Приказ ФСБ № 378);
ГОСТ Р 57580.1‑2017 «Безопасность финансовых (банковских) операций».
Практические гайды:
«Облачная безопасность: руководство для бизнеса» (АНО «Цифровая экономика»);
«Как защитить персональные данные в облаке» (методички Роскомнадзора).
Инструменты:
калькулятор рисков для облачных сервисов (на сайте Минцифры);
шаблон договора с провайдером (доступен на legascom.ru).
20. Контакты для консультаций
Если вам требуется:
аудит текущего облачного решения;
подготовка документов для Роскомнадзора;
защита в суде при утечке данных;
обучение персонала по ИБ,
— обращайтесь в юридическую компанию «ЛЕГАС»:
сайт: legascom.ru ;
email: petukhov@legascom.ru ;
телефон: уточняйте на сайте.
Консультация первого часа — бесплатно.
Статья актуальна на январь 2026 года.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, IT-специалист, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
