Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 18 ч. 5 — персональные данные граждан РФ должны храниться и обрабатываться в базах данных, находящихся на территории России.
- ФЗ-242 от 21.07.2014 — ввёл требование локализации ПДн.
- КоАП РФ, ст. 13.11 — за хранение данных за пределами РФ предусмотрены административные штрафы.
Позиция Роскомнадзора
Роскомнадзор в своих разъяснениях указывает, что использование иностранных хостингов или зарубежных дата-центров для хранения ПДн граждан РФ не допускается. При проверках регулятор запрашивает договоры с провайдерами, сведения о размещении серверов и фактическую архитектуру ИТ-системы.
Если хостинг-провайдер не может подтвердить, что базы данных находятся в России, это рассматривается как нарушение требований о локализации. Поэтому выбор российского провайдера снижает риски и облегчает доказательство соответствия.
Практические аспекты для компаний
- Если компания использует международного провайдера (например, Microsoft или Amazon), но дата-центры физически находятся в РФ, это допустимо.
- При заключении договора важно, чтобы провайдер официально фиксировал размещение данных в России.
- Для внутренних регламентов нужно прописать используемый хостинг, а также приложить подтверждающие документы от провайдера.
Рекомендации и выводы
Использовать исключительно российских хостинг-провайдеров законом прямо не предписано, но базы с ПДн граждан РФ должны храниться в России. На практике это означает, что работа с отечественными провайдерами проще и безопаснее с точки зрения Роскомнадзора.
Компания ICTech поможет вашей организации выбрать надёжного хостинг-провайдера, проверить договоры и оформить пакет документов по ФЗ-152 так, чтобы при проверке не возникло вопросов о локализации данных.
