Обоснование по законодательству
- Ст. 22 ФЗ-152: уведомление должно содержать сведения о месте хранения и обработки ПДн.
- Ст. 12 ФЗ-152: при трансграничной передаче оператор обязан указать государство, на территорию которого передаются данные.
- Ст. 18.1 и 19 ФЗ-152: оператор отвечает за обеспечение безопасности ПДн, даже если техническая инфраструктура передана ЦОДу.
Пример заполнения уведомления
Цели обработки: «подготовка, заключение и исполнение гражданско-правового договора», «ведение бухгалтерского и налогового учёта», при необходимости — «продвижение товаров, работ, услуг на рынке».
Категории субъектов: клиенты, сотрудники, контрагенты.
Перечень данных: ФИО, дата рождения, контакты, адреса, реквизиты договоров, иные данные, необходимые для деятельности.
Место хранения: «сервер в дата-центре (ЦОД) на территории РФ». Если используется зарубежный ЦОД — «сервер в дата-центре (ЦОД) на территории [страна], осуществляется трансграничная передача персональных данных».
Если база ПДн размещена в ЦОД и вы сомневаетесь, как корректно указать место хранения (ЦОД) и, при необходимости, трансграничную передачу — поможем. Услуга по подаче уведомления в Роскомнадзор
Рекомендации и выводы
В уведомлении не обязательно указывать название ЦОДа или провайдера, достаточно обозначить территорию и факт использования дата-центра. Но в локальных документах (политика обработки ПДн, договор с ЦОДом) лучше закрепить, какие меры безопасности применяются. Роскомнадзор при проверке смотрит, есть ли договор с провайдером и прописаны ли обязанности по защите ПДн.
