Можно ли как то хранить данные на иностранных серверах, не нарушая закона о персональных данных (фз-152)?

Question

[Анна]

Сайт написан с использованием firebase, поэтому бд с данными пользователя хранятся на google cloud. Как я поняла, сервера google cloud расположены не на территории РФ, поэтому возникает логичный вопрос, как не нарушить этот закон, но не отказываться от firebase.
Будет ли решением хранить данные в зашифрованном виде ?

Answer 1

[Сергей Горностаев]

Закон не запрещает хранение ПД на иностранных серверах, он требует хранить их в РФ. В случае реляционных СУБД это решалось установкой в РФ дешёвого сервера и настройки на него репликации. Что-то такое можно и для firebase придумать.

Answer 2

[Drno]

Арендовать сервер в РФ
Развернуть там Firebase
Пользоваться)

Либо готовый сервис с firebase в РФ арендовать

Comments

[Анна]

Получается можно сменить как то в firebase google cloud на другое облачное хранилище ?

Answer 3

[CityCat4]

Закон не требует хранить только в РФ. Вы можете хранить в РФ актуальную, точную и полуню копию базы, а оригинал держать где угодно. Правда, в нынешнее время я бы поопасался держать данные у гугла - забанят и не скажут нифига.

Answer 4

[rPman]

Буква закона говорит о конфедициальности и трансграничной передачи данных, использование google cloud 'в лоб' без шифрования данных на российской стороне будет противоречить духу и букве закона.

Так же создавая такие законы, российское государство стремится обрести хоть какую то независимость от других (например данные могут стать/обязательно станут заложниками) и иметь полный доступ к этим данным (например удаление или изменение данных по требованию властей, сами понимаете зачем), сам по себе этот закон об этом не говорит но...

p.s. к сожалению исполнить весь комплекс законов невозможно, 'не продав душу', так что думайте сами

Comments

[Анна]

А если хранить в бд только зашифрованные данные, это не будет соответствовать требованиям ?

[freeExec]

Анна, откуда вам знать, как там гугл у себя что хранит, чтобы утверждать, что "зашифровано".

[rPman]

Анна, по уму да, но неформальное требование по независимости удовлетворяться не будет, т.е. если твоему бизнесу внезапно не станет доступен google cloud то он прекратит работу и в этом случае

p.s. надеюсь ты понимаешь что расшифровка и хранение ключей в этом случае должна проводиться не на google сервере?
плюс, работа с зашифрованными данными очень ограничена, не построишь индекс, исключение - гомоморфное шифрование, но сомневаюсь что оно там реализовано

[Анна]

rPman, а, ну тогда получается можно 1) хранить копию на российском сервере, 2) отправлять на бд в google cloud зашифрованные данные ?

да понимаю, с этим проблем нет.