Google App Engine и ФЗ-152 "О персональных данных"?

Question

[Владимир Чернышев]

Кто нибудь из «операторов персональных данных» и/или разработчиков «ИСПД», а может из сотрудников Google, присутствующих здесь, анализировал возможность использования GAE для хранения/обработки ПД (ФИО, паспортные данные, включая регистрацию по месту жительства и пребывания, телефоны, мыло, IM) клиентов (физических лиц) юрлица/ИП (заказчика системы) в свете ФЗ-152?


Какие дополнительные трудности по сравнению с такой системой в локалке, разработанной собственными силами, могут возникнуть и для заказчика и для разработчика? А если разработчик будет предоставлять такую систему заказчику как SaaS? Или использование GAE вообще не реально, так как невозможно даже проверить, не говоря о том, чтобы сертифицировать, инфраструктуру GAE на соответствие ФЗ-152?


P.S. Обработка ПД не основная функция системы, основная — оперативный учёт, но другие законы и подзаконные акта требуют от заказчика обрабатывать ПД, да и просто клиента удобно идентифицировать по ФИО, а не по, например, номеру заказа или карты постоянного клиента.


P.P.S. Возникают разные мысли об обходе ФЗ, например, хранить ПД локально, а остальное в GAE, например, в localStorage html5, но, как я понимаю, нет простой возможности синхронизировать localStorage ни между разными рабочими местами одного пользователя, ни между разными пользователями — может ещё какой-то вариант обмена данными между пользователями для системы с веб-мордой без использования публично доступных серверов (а в идеале без серверов с данными). Может хранить ПД в хранилище GAE зашифрованными с ключами хранящимися локально?

Answer 1

[char]

Насколько я узнавал в недавнем топике на хабре, хранение ПД за рубежом не подпает под действие законов РФ.

Comments

[Владимир Чернышев]

Есть такая статья

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

То есть хранение и обработка если и не попадает, а вот передача (грубо говоря, после нажатия кнопки Submit в форме) попадает. Как я могу убедиться, а вернее как заказчик может убедить проверяющих, что в стране(ах?), где расположены дата-центры gae «обеспечивается адекватная защита», тем более что сам гугл ни сном ни духом, что я предоставил заказчику возможность хранить ПД клиентов в его (гугла) облаке?