Алексей Ветров
Эксперт по защите данных IC-TECH
В графе «регион обработки» указывается территория, где фактически осуществляется обработка персональных данных — то есть, где находятся серверы, базы данных и сотрудники, имеющие доступ к ПДн.
Для удалённой компании важно помнить:
- если база хранится на сервере в России (например, в дата-центре или у хостинг-провайдера), то в уведомлении указывается регион размещения этого дата-центра;
- если доступ к данным осуществляется сотрудниками из разных городов России — можно указать несколько регионов;
- если компания использует облачные сервисы (CRM, корпоративная почта), важно уточнить у провайдера, в каком регионе физически расположены серверы.
Для удалённой компании важно помнить:
- если база хранится на сервере в России (например, в дата-центре или у хостинг-провайдера), то в уведомлении указывается регион размещения этого дата-центра;
- если доступ к данным осуществляется сотрудниками из разных городов России — можно указать несколько регионов;
- если компания использует облачные сервисы (CRM, корпоративная почта), важно уточнить у провайдера, в каком регионе физически расположены серверы.
Обоснование по законодательству
- ФЗ-152, ст. 18.1: оператор обязан принимать меры по обеспечению безопасности ПДн.
- ФЗ-152, ст. 22: в уведомлении указываются сведения о месте (регионе) обработки ПДн.
- ФЗ-152, ст. 12: данные граждан РФ должны храниться на территории Российской Федерации (локализация).
Что писать удалённой компании на практике
- Если база хранится в Московском дата-центре → «г. Москва».
- Если компания использует несколько дата-центров (например, Москва и Санкт-Петербург) → указываются оба региона.
- Если сервер физически в одном регионе, но сотрудники имеют к нему доступ удалённо (из разных городов) → указывается регион, где расположен сервер.
Пример:
Компания-разработчик из Казани работает полностью удалённо. База клиентов хранится на серверах Selectel в Санкт-Петербурге. В графе «регион обработки» указывается Санкт-Петербург, так как именно там расположены серверы.
Частые ошибки
- Указывать «Российская Федерация» вместо конкретного региона — Роскомнадзор требует точной географии.
- Писать «удалённо» или «в интернете» — такие формулировки не принимаются.
- Не уточнять реальное местоположение серверов при использовании облаков (Яндекс.Облако, VK Cloud и др.).
Рекомендации и выводы
- Для удалённой компании регион обработки = регион, где физически расположен сервер или дата-центр.
- Если используете нескольких провайдеров — перечислите все регионы.
- Убедитесь, что все данные граждан РФ хранятся именно в России. Использование зарубежных дата-центров нарушает требования локализации и грозит штрафами.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
