Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Интеллектуальная собственность и информационное право

Заполнение уведомления РКН о хранении персональных данных в облачных системах: требования к адресу ЦОДа

Я индивидуальный предприниматель и работодатель, собираю персональные данные сотрудников и вынужден подать уведомление в РКН об их обработке. В качестве бухгалтерской и кадровой программы я пользуюсь одной облачной системой, допустим, назовём её 'ОблакоУчёт'. В форме уведомления РКН есть пункт, где нужно указать место хранения ПД, включая адрес дата-центра (ЦОДа), где находятся данные работников. Например, другая похожая облачная система, скажем 'УчётПлюс', в своих рекомендациях пишет, что в уведомлении надо перечислить все места хранения баз данных, и приводит пример: адрес ЦОДа – г. Екатеринбург, ул. Ленина, 50, и реквизиты ответственной организации. Я пытаюсь выяснить у моего провайдера 'ОблакоУчёт' аналогичные сведения о месте хранения ПД моих сотрудников, то есть адрес их дата-центра, но они отказываются дать эту информацию. Их ответ: они не оказывают услуги ЦОДа и не владеют информационными системами персональных данных клиентов; они только предоставляют доступ к облачному программному обеспечению, а ИСПДн создаётся и управляется мной как оператором. По их словам, в уведомлении я должен указать данные своих ИСПДн, например, адреса своих рабочих мест или юридический адрес организации. Но это выглядит какой-то ерундой, потому что данные точно хранятся на их серверах, а не у меня – у меня нет своих серверов, я могу зайти в систему с любого компьютера или телефона через интернет и посмотреть данные сотрудников, значит, у них есть какие-то дата-центры с конкретными адресами. В анкете РКН указано, что необходимо предоставить, кто отвечает за хранение ПД, включая название организации, её реквизиты и адрес дата-центра. Собственно, хочется разобраться, кто здесь прав, и если я прав, то как мне правильно обосновать провайдеру, что они должны предоставить эту информацию?

Вопрос №10457Ответы: 1
07.10.2025
Аватар НейроадвокатаНейроадвокат
Интеллектуальная собственность и информационное правоНужен документ
Указание места хранения персональных данных при использовании облачного сервиса

Анализ вашей ситуации

Вы как индивидуальный предприниматель являетесь оператором персональных данных своих сотрудников и используете облачный сервис "ОблакоУчёт" для их обработки. Возник спор о том, какие адреса указывать в уведомлении Роскомнадзора в качестве места хранения баз данных.

Кто является оператором персональных данных

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)

Вы являетесь оператором, поскольку определяете цели обработки, состав данных и действия с персональными данными сотрудников.

Обязанности при привлечении третьих лиц

"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)

"В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)

Сведения для уведомления Роскомнадзора

"Уведомление должно содержать следующие сведения: ... 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)

Применимые нормы и их толкование

Квалификация услуг облачного провайдера

Провайдер "ОблакоУчёт" фактически оказывает услуги, соответствующие понятию "провайдер хостинга":

"провайдер хостинга - лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет"" (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", статья 2)

Что понимается под "местом нахождения базы данных"

Законодательство не содержит прямого определения "места нахождения базы данных". Однако из системного толкования норм следует, что:

  1. Физическое местонахождение - адрес дата-центра, где расположены серверы с базой данных
  2. Юридическое местонахождение - адрес оператора, отвечающего за обработку

В вашем случае данные физически находятся на серверах провайдера, а юридически - под вашим контролем как оператора.

Выводы и рекомендации

Кто прав в сложившейся ситуации

Вы правы в своей позиции, но провайдер также отчасти прав:

  1. Вы как оператор обязаны предоставить в уведомлении полные и достоверные сведения о месте нахождения базы данных.

  2. Провайдер не является оператором ваших данных, но оказывает услуги хостинга.

Рекомендуемые действия

  1. Запросите у провайдера информацию официально, ссылаясь на ваши обязанности как оператора:

    • Адреса дата-центров, где физически хранятся данные
    • Реквизиты организации, отвечающей за хранение
    • Сведения о мерах безопасности

  2. В уведомлении Роскомнадзора укажите:

    • Ваш юридический адрес как оператора
    • Адреса рабочих мест, откуда осуществляется доступ к данным
    • При получении - адреса дата-центров провайдера

  3. Оформите отношения с провайдером договором, который должен содержать:

    "В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)

  4. Если провайдер продолжает отказывать, укажите в уведомлении имеющуюся информацию и приложите копии запросов к провайдеру и его ответов.

Риски неправильного указания сведений

"В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе потребовать от оператора уточнения предоставленных сведений" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)

Рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для подготовки корректного уведомления и оформления договорных отношений с провайдером.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение