Заполнение уведомления РКН о хранении персональных данных в облачных системах: требования к адресу ЦОДа

<h2 id="_1">Указание места хранения персональных данных при использовании облачного сервиса</h2> <h3 id="_2">Анализ вашей ситуации</h3> <p>Вы как индивидуальный предприниматель являетесь оператором персональных данных своих сотрудников и используете облачный сервис "ОблакоУчёт" для их обработки. Возник спор о том, какие адреса указывать в уведомлении Роскомнадзора в качестве места хранения баз данных.</p> <h4 id="_3">Кто является оператором персональных данных</h4> <blockquote> <p>"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)</p> </blockquote> <p>Вы являетесь оператором, поскольку определяете цели обработки, состав данных и действия с персональными данными сотрудников.</p> <h4 id="_4">Обязанности при привлечении третьих лиц</h4> <blockquote> <p>"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)</p> <p>"В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)</p> </blockquote> <h4 id="_5">Сведения для уведомления Роскомнадзора</h4> <blockquote> <p>"Уведомление должно содержать следующие сведения: ... 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)</p> </blockquote> <h3 id="_6">Применимые нормы и их толкование</h3> <h4 id="_7">Квалификация услуг облачного провайдера</h4> <p>Провайдер "ОблакоУчёт" фактически оказывает услуги, соответствующие понятию "провайдер хостинга":</p> <blockquote> <p>"провайдер хостинга - лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет"" (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", статья 2)</p> </blockquote> <h4 id="_8">Что понимается под "местом нахождения базы данных"</h4> <p>Законодательство не содержит прямого определения "места нахождения базы данных". Однако из системного толкования норм следует, что:</p> <ol> <li><strong>Физическое местонахождение</strong> - адрес дата-центра, где расположены серверы с базой данных</li> <li><strong>Юридическое местонахождение</strong> - адрес оператора, отвечающего за обработку</li> </ol> <p>В вашем случае данные физически находятся на серверах провайдера, а юридически - под вашим контролем как оператора.</p> <h3 id="_9">Выводы и рекомендации</h3> <h4 id="_10">Кто прав в сложившейся ситуации</h4> <p><strong>Вы правы в своей позиции</strong>, но провайдер также отчасти прав:</p> <ol> <li> <p><strong>Вы как оператор</strong> обязаны предоставить в уведомлении полные и достоверные сведения о месте нахождения базы данных.</p> </li> <li> <p><strong>Провайдер не является оператором</strong> ваших данных, но оказывает услуги хостинга.</p> </li> </ol> <h4 id="_11">Рекомендуемые действия</h4> <ol> <li> <p><strong>Запросите у провайдера информацию официально</strong>, ссылаясь на ваши обязанности как оператора:<br /> - Адреса дата-центров, где физически хранятся данные<br /> - Реквизиты организации, отвечающей за хранение<br /> - Сведения о мерах безопасности</p> </li> <li> <p><strong>В уведомлении Роскомнадзора укажите</strong>:<br /> - Ваш юридический адрес как оператора<br /> - Адреса рабочих мест, откуда осуществляется доступ к данным<br /> - При получении - адреса дата-центров провайдера</p> </li> <li> <p><strong>Оформите отношения с провайдером договором</strong>, который должен содержать:</p> <blockquote> <p>"В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)</p> </blockquote> </li> <li> <p><strong>Если провайдер продолжает отказывать</strong>, укажите в уведомлении имеющуюся информацию и приложите копии запросов к провайдеру и его ответов.</p> </li> </ol> <h4 id="_12">Риски неправильного указания сведений</h4> <blockquote> <p>"В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе потребовать от оператора уточнения предоставленных сведений" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)</p> </blockquote> <p><strong>Рекомендую обратиться к адвокату</strong>, специализирующемуся на защите персональных данных, для подготовки корректного уведомления и оформления договорных отношений с провайдером.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>