- у компании есть несколько офисов или филиалов, где ведётся кадровый учёт;
- база данных хранится на собственном сервере и дублируется в дата-центре;
- используется резервная площадка (например, VDS или облачный сервис на территории РФ).
В уведомлении важно перечислить все фактические места хранения и обработки ПДн.
Обоснование по законодательству
- ФЗ-152, ст. 22: уведомление должно содержать сведения о месте хранения и обработки ПДн.
- ФЗ-152, ст. 19: оператор обязан обеспечить защиту ПДн во всех местах их обработки.
- Роскомнадзор в разъяснениях допускает указание нескольких адресов — если данные действительно обрабатываются по разным местам.
Дополнительные пояснения
— Указывайте только реальные адреса, где действительно происходит обработка (офисы, дата-центры, серверные).
— Если база данных расположена в облаке (например, у провайдера в РФ), нужно указывать адрес дата-центра, который предоставляет подрядчик.
— Если обработка ведётся на домашних компьютерах сотрудников (удалёнка), адреса квартир в уведомлении указывать не нужно — достаточно юридического адреса и адреса серверов.
Пример формулировки для уведомления
«Места обработки и хранения: офис компании по адресу …; серверная площадка (дата-центр) по адресу …; резервная площадка (VDS) по адресу …»
Пример из практики
Компания имела центральный офис в Москве и филиал в Казани, где велись личные дела сотрудников. В уведомлении указали оба адреса. При проверке Роскомнадзор отметил, что сведения поданы корректно.
Рекомендации и выводы
— В уведомлении можно и нужно указывать несколько адресов, если обработка реально распределена.
— Согласуйте с IT-службой или хостинг-провайдером точный адрес серверов.
— Не включайте «для галочки» лишние адреса — это будет считаться недостоверными сведениями.
— При изменении адресов (например, переезд офиса или смена дата-центра) уведомление нужно обновить в течение 10 рабочих дней.
