Алексей Ветров
Эксперт по защите данных IC-TECH
Если персональные данные хранятся на сервере хостинг-провайдера, его нужно указать в уведомлении в разделе «лица, осуществляющие обработку персональных данных по поручению оператора». Формально оператором остаётся сама организация или ИП, так как именно они определяют цели и содержание обработки. Хостинг-провайдер выполняет техническую функцию хранения и администрирования, поэтому считается лицом, которому делегирована часть обработки.
Обоснование по законодательству
- Ст. 3 ФЗ-152: оператор — лицо, определяющее цели и способы обработки.
- Ст. 6 ФЗ-152: оператор вправе поручить обработку другому лицу на основании договора.
- Ст. 22 ФЗ-152: уведомление должно содержать сведения о лицах, которые обрабатывают данные по поручению.
Как правильно указать в уведомлении
В разделе о лицах по договору можно написать, например:
«ООО «Хостинг-Про», ИНН ХХХХХХХХХ, оказывающее услуги по размещению и обслуживанию серверов, на которых хранится база данных оператора».
Если у хостинг-провайдера серверы находятся за пределами РФ, это также будет считаться трансграничной передачей, и её нужно указать отдельно.
Рекомендации и выводы
Хостинг-провайдер обязательно должен быть отражён в уведомлении как лицо, обрабатывающее данные по договору. Для снижения рисков в договор с ним нужно включить раздел о конфиденциальности и мерах защиты ПДн. Если провайдер российский и серверы находятся в РФ, трансграничная передача не осуществляется. Если используется зарубежный сервис — обязательно указывать трансграничную передачу.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
