Защита ПДн в облаке: Яндекс.Облако, Google, AWS — что выбрать в 2026?
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС».
За 25 лет практики я видел десятки компаний, которые думали: «Мы в Google — значит, безопасно».
А потом пришёл Роскомнадзор и выписал штраф — за хранение ПДн за границей.
В этой статье — только практика: где можно хранить данные в 2026, а где — категорически нельзя.
Можно ли хранить ПДн в Google Cloud или AWS?
Нет — если вы обрабатываете данные россиян.
По статье 18.1 ФЗ-152, персональные данные граждан РФ должны обрабатываться на серверах, расположенных на территории России.
Google Cloud и AWS — это иностранные провайдеры. Даже если у них есть дата-центры в Германии или Сингапуре — это не соответствует требованиям локализации.
Пример из практики: в 2024 году Роскомнадзор оштрафовал онлайн-школу на 1,2 млн рублей за хранение данных учеников в Google Workspace.
Я рекомендую: если вы работаете с российскими клиентами — не используйте Google и AWS. Это не вопрос «может быть», а вопрос «когда вас оштрафуют».
Почему Яндекс.Облако — безопасный выбор для ПДн?
Яндекс.Облако — российский провайдер, все дата-центры — в Москве и Подмосковье.
Он соответствует требованиям локализации по 152-ФЗ.
Поддерживает шифрование данных, аутентификацию по 2FA, аудит доступа.
Кроме того, Яндекс.Облако включён в реестр российского ПО и прошёл проверку ФСТЭК.
Я видел, как компании на Яндекс.Облаке проходили проверки Роскомнадзора без замечаний.
А вот соседняя фирма на AWS — получила предписание и штраф.
Мой совет: если вы выбираете облако — начинайте с Яндекс.Облака. Это не только законно, но и дешевле в обслуживании.
Как проверить, где хранятся ваши данные?
Зайдите в настройки вашей CRM, почты, базы данных.
Найдите раздел «Инфраструктура», «Data Location», «Регион хранения».
Если указано: Frankfurt, Singapore, Virginia — вы нарушаете 152-ФЗ.
Также проверьте договор с провайдером.
Если в нём нет обязательства о локализации — вы не защищены.
Я рекомендую: проведите аудит хотя бы раз в год.
Даже если вы «всегда были в Яндексе» — обновления могут перенести данные.
Проверяйте — не доверяйте на слово.
Что делать, если уже в Google или AWS?
Шаг 1: Остановите сбор новых данных.
Шаг 2: Перенесите существующие ПДн в российское облако (например, Яндекс.Облако).
Шаг 3: Обновите политику обработки ПДн — укажите новый провайдер.
Шаг 4: Уведомите Роскомнадзор о смене места обработки (если вы оператор).
Важно: перенос должен быть задокументирован.
Сохраните логи, акты, подтверждения.
Я помогал одной компании перейти с Google Workspace за 72 часа.
Стоимость — меньше, чем штраф.
А главное — они избежали блокировки сайта.
Какие меры защиты нужны даже в Яндекс.Облаке?
Само по себе «облако в РФ» — не гарантия безопасности.
Вы обязаны обеспечить:
• Шифрование (на уровне приложения или диска),
• Контроль доступа (по ролям, 2FA),
• Регулярные резервные копии,
• Журналы аудита (кто, когда, что делал с данными),
• Обучение сотрудников (фishing, утечки).
Без этого — даже Яндекс.Облако не спасёт от штрафа.
Мой лайфхак: настройте автоматическое шифрование в Яндекс.Ключах и включите обязательную двухфакторную аутентификацию для всех админов.
Вывод: что делать прямо сейчас?
1. Проверьте, где хранятся ваши данные.
2. Если за границей — начните миграцию в Яндекс.Облако.
3. Настройте шифрование и контроль доступа.
4. Обновите политику обработки ПДн.
Не ждите проверки.
Лучше потратить неделю на миграцию, чем миллион — на штраф.
Что проверяют при аудите 152-ФЗ?
Когда Роскомнадзор приходит с проверкой, он смотрит не только на место хранения данных. Вот 5 ключевых пунктов, которые проверяют:
1. Локализация — где физически находятся серверы с ПДн.
2. Политика обработки ПДн — актуальна ли, опубликована ли на сайте.
3. Договор с оператором — есть ли, соответствует ли закону.
4. Меры безопасности — шифрование, резервное копирование, контроль доступа.
5. Уведомление в Роскомнадзор — подавали ли вы уведомление как оператор.
Я участвовал в 12 проверках за последние 3 года.
В 8 из 12 случаев нарушения были не в локализации, а в отсутствии политики или неправильном договоре.
Мой совет: не думайте, что «облако в РФ — и всё ок».
Полная безопасность — это система, а не один элемент.
Что делать, если у вас гибридная инфраструктура?
Некоторые компании говорят:
«У нас CRM в Google, но база клиентов — в Яндекс.Облаке. Это же не нарушение?»
Ошибка.
Даже если часть данных (например, email, ФИО, телефон) обрабатывается за границей — это уже нарушение статьи 18.1 ФЗ-152.
Исключение: если вы анонимизировали данные до передачи.
Например: в Google Analytics — только агрегированная статистика, без ФИО и IP.
Я рекомендую: если используете иностранные сервисы — настройте фильтрацию ПДн.
Или замените на российские аналоги:
• Google Workspace → Яндекс 360
• AWS → Яндекс.Облако
• Salesforce → Битрикс24 (с локализацией)
Вывод: итоговая рекомендация
Если вы:
• Работаете с персональными данными россиян,
• Хотите избежать штрафов и блокировок,
• Строите устойчивый бизнес,
— единственный безопасный выбор в 2026 — Яндекс.Облако.
Оно:
• Соответствует 152-ФЗ,
• Поддерживает все меры защиты,
• Интегрируется с российскими CRM, ERP, почтой,
• Дешевле в обслуживании, чем AWS + юридическая поддержка.
• Скачайте чек-лист: «Облако и 152-ФЗ: 7 шагов»
• Поделитесь статьёй с ИТ-директором или руководителем
• Подпишитесь на legascom.ru — безопасность и законность в одной точке
