Алексей Ветров
Эксперт по защите данных IC-TECH
Выбор облачного сервиса для хранения персональных данных граждан РФ требует особого внимания, так как по закону все базы и их копии должны находиться в России. Проверка локализации — обязательный шаг перед заключением договора с провайдером.
Обоснование по законодательству
- ФЗ-152, ст. 18 ч. 5 — устанавливает требование хранить ПДн граждан РФ в базах данных, расположенных на территории РФ.
- ФЗ-242 от 21.07.2014 — закрепил обязанность операторов локализовать базы данных.
- Роскомнадзор в разъяснениях уточняет: обязанность распространяется на всех операторов, использующих облачные сервисы, а ответственность за выбор провайдера несёт именно компания.
Способы проверки локализации
- Договор и SLA (соглашение об уровне сервиса).
В контракте с облачным провайдером должно быть прямо указано, что дата-центры находятся на территории РФ. - Официальные заявления провайдера.
Российские облачные платформы (Яндекс 360, VK Workspace, Ростелеком-облако и др.) публикуют подтверждения о размещении серверов в РФ. - Запрос у технической поддержки.
Вы можете запросить у поставщика официальное письмо или сертификат с указанием адресов дата-центров. - Анализ IP-адресов.
Иногда место расположения серверов можно проверить через геолокацию используемых IP-адресов. Но этот метод не является юридически значимым — важнее документальные подтверждения. - Практика проверок Роскомнадзора.
При проверках инспекторы требуют договор с провайдером, техническое описание услуги и акты оказанных услуг. Если в них не прописана локализация, ответственность несёт оператор ПДн.
На что обратить внимание компаниям
Не достаточно устного подтверждения провайдера. Нужны документы: договор, спецификация, официальное письмо. Если облачный сервис использует гибридную инфраструктуру (часть серверов в РФ, часть за рубежом), нужно добиваться гарантии, что именно ваши данные хранятся только в российских дата-центрах.
Для критически важных систем стоит предусмотреть в договоре возможность аудита или инспекции площадок.
Рекомендации и выводы
Проверка локализации облачного сервиса должна быть формализованной и документально подтверждённой. Компании стоит:
- Запросить у провайдера договор и подтверждающие документы о размещении серверов в РФ.
- Включить в SLA или отдельное приложение пункт о локализации данных.
- Сохранить все письма и официальные ответы поставщика для предъявления при проверке.
Компания ICTech поможет проверить локализацию выбранного облачного сервиса, подготовить договор с необходимыми формулировками и обеспечить соответствие требованиям ФЗ-152.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
