Какой ЦОД указывать в уведомлении Роскомнадзора: разъяснения и практические выводы

Операторы персональных данных (ПДн) обязаны уведомлять Роскомнадзор о начале обработки ПДн, согласно 152-ФЗ. И вот тут возникает вопрос: какой ЦОД указывать, если вы используете облачные сервисы или SaaS-решения? Стоит ли вписывать в уведомление адреса серверов, на которых «крутятся» ваши Битрикс24, Яндекс.Метрика или 1С?

Был направлен официальный предметный запрос в Роскомнадзор, чтобы выяснить позицию ведомства по данному вопросу. Роскомнадзор чётко обозначил свою позицию: нет, указывать чужие серверы в качестве ЦОДа не требуется. Почему? Давайте разберёмся.

Ведомство справедливо считает, что вы используете подобные сервисы как инструменты для автоматизации обработки ПДн. Вы, как оператор, арендуете возможности и программное обеспечение, но не становитесь владельцем или арендатором серверов.

Другими словами, Контур, Яндекс.Метрика, Google-таблицы, 1С, хостинги, Битрикс24, AmoCRM и другие подобные платформы – это всего лишь средства автоматизации в ваших руках. Данные могут физически храниться на их серверах, но фактическую обработку, анализ и принятие решений осуществляете вы, как оператор. Вы скачиваете данные, формируете отчеты, делаете выводы – именно вы контролируете процесс обработки.

Местонахождение средств автоматизации – это не то же самое, что местонахождение ЦОДа, осуществляющего обработку ПДн.

Эта позиция подтверждается и логикой ответственности сторон. В частности, на практике, при запросе информации, компании прямо заявляют, что не несут ответственности за то, что вы будете указывать информацию об их ЦОДе. Более того, считают это предоставлением недостоверной информации государственному органу, поскольку их ЦОД не имеет отношения к вашей деятельности по обработке ПДн.

Дополнительные аргументы против указания ЦОДов провайдеров:

• Отсутствие подтверждения от РКН: подход с указанием всех провайдеров, используемых для обработки ПДн, не подтвержден Роскомнадзором.

• Размытость нормативной базы: толкованием 152-ФЗ занимается Минцифра, а не РКН. Полученные ответы РКН на запросы не являются источником права. В требованиях к уведомлению в ст. 22 152-ФЗ нет указания на адреса ЦОДов. В законодательстве отсутствует определение «ЦОД», а даже в методических рекомендациях РКН по уведомлению используются формулировки про базы данных, а не ЦОДы.

• Противоречие регулированию ЦОДов: ЦОДы контролируются ФСТЭК и ФСБ, а не РКН.

• Отсутствие обязанности уведомлять клиентов об изменении ЦОДа: Провайдеры не обязаны уведомлять своих клиентов об изменении ЦОДа. Если вы укажете чужой ЦОД и не своевременно уведомите РКН об изменении (в случае его смены провайдером), вы можете быть привлечены к ответственности по ст. 13.11 КоАП РФ (неуведомление).

Логичные выводы:

• Указывайте в уведомлении Роскомнадзора ваш фактический ЦОД: то место, где происходит основная обработка и анализ ПДн, где вы принимаете решения на основе этих данных. Обычно это ваш офис или другое помещение, где расположены ваши компьютеры и работают ваши сотрудники.

• Не вводите сторонние организации без их согласия: указывая в уведомлении адреса чужих серверов, вы, по сути, «привязываете» эти организации к вашей деятельности по обработке ПДн, что может повлечь для них непредвиденные обязательства и ответственность.

• Учитывайте позицию провайдеров: указание их ЦОДа может быть расценено как предоставление недостоверной информации и повлечь за собой риски.

Практический совет:

Помните, что ключевым фактором является контроль над процессом обработки ПДн. Если вы используете сторонний сервис, убедитесь, что у вас есть четкое понимание того, как обрабатываются ваши данные и кто несет за это ответственность. Это поможет вам правильно определить ЦОД для уведомления Роскомнадзора и соблюсти требования законодательства о защите персональных данных, избежав возможных претензий и штрафов.

Astrixsolutions — цифровые решения для профессиональной помощи вашему бизнесу!

Подписывайтесь на наш телеграм-канал https://t.me/astrixsolutions и не пропускайте наши публикации.