Подаём уведомление в РКН: что указать в качестве ЦОД, если ты мелкий ИП
Как правильно указать ЦОД при подаче уведомления в Роскомнадзор, если сайт размещен на хостинге?
В современных условиях многие малые и средние предприятия используют внешние сервисы для размещения своих сайтов. Это может быть ситуация, когда индивидуальный предприниматель (ИП) использует хостинг для интернет-магазина, а данные с сайта поступают на доменную электронную почту, откуда ИП их извлекает только для отправки заказов покупателю. При этом возникает вопрос: какой адрес указывать в качестве центра обработки данных (ЦОД) при подаче уведомления в Роскомнадзор о начале обработки персональных данных?
Если персональные данные собирают через формы обратной связи на сайте
Представим такую упрощённую схему: ИП для своего интернет-магазина использует хостинг, где:
- Данные с форм сайта поступают на доменную почту.
- Эта почта находится на серверах хостера.
- Хостер не принимал на себя обязательства по обработке или хранению персональных данных (ПД).
- Организация, предоставляющая физические сервера хостеру, также не имеет поручений на обработку ПД.
Возникает вопрос: является ли хостер, организация, на которой он размещается, или домашний компьютер ИП ЦОДом?
Точка зрения 1: ЦОД - сервера хостера
Некоторые участники дискуссии считают, что хостер должен быть указан как ЦОД, так как данные фактически находятся на его серверах. Доводы:
- Персональные данные проходят через серверы хостера, временно хранятся там, например, в базе данных или в письмах на доменной почте.
- По технической реализации сервер хостера выступает промежуточным звеном между клиентом и ИП
.- Согласно разъяснениям Роскомнадзора, если данные обрабатываются вне локальной сети оператора, это требует оформления поручения другому лицу (ст. 4 ФЗ-152).
Однако в данном случае между ИП и хостером нет договора о поручении обработки персональных данных, и хостер официально отрицает участие в такой деятельности. Это ставит оператора (ИП) в потенциально рисковую ситуацию.
Точка зрения 2: ЦОД — ИП (место обработки)
Другие специалисты полагают, что ЦОДом является сам ИП, поскольку:
- Обработка персональных данных происходит уже после извлечения информации из почты.
- Хостинг используется лишь как инфраструктурный сервис, аналогичный интернет-провайдеру.
- Хостер не является оператором ПД, так как не имеет целевого доступа к данным и не участвует в их обработке.
Юридический аргумент: по смыслу закона, ответственность за соблюдение требований к обработке персональных данных лежит на операторе (в данном случае — на ИП), независимо от того, через какие технические средства проходят данные.
Точка зрения 3: необходимо указать оба ЦОД
Есть мнение, что следует указать два ЦОД — хостера и место работы ИП. Аргументы:
- Это позволяет формально выполнить требования к регистрации мест обработки ПД.
- Наличие в реестре нескольких ЦОД не вызывает автоматических проверок РКН
- В случае инцидента можно сослаться на наличие нескольких точек взаимодействия с данными.
Однако если хостер не согласен нести ответственность за обработку ПД, то формальное указание его в качестве ЦОД может быть спорным и даже противоречащим действительности.
Юридическая тонкость: понятие "обработка" и "хранение". Согласно статье 3 ФЗ-152: Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, даже временное хранение данных на сервере хостера может расцениваться как обработка, если они попадают туда в процессе взаимодействия с сайтом.
Что говорит практика?
По словам одного из участников дискуссии, некоторые представители Роскомнадзора указывают, что если данные попадают на сервер хостера, то:
- Хостер должен быть оформлен как оператор по поручению.
- Либо оператор (ИП) должен четко обосновать, почему хостер не участвует в обработке ПД. В противном случае, возможно привлечение к административной ответственности по ч. 1 ст. 19.7 ФЗ-152 (непредставление сведений в Роскомнадзор) или постановка на учет в реестр с последующими штрафами.
Рекомендации по оформлению уведомления в РКН в данном случае
На основе анализа переписки и правовой базы, можно сделать следующие выводы:
✅ Если хостер не готов оформлять поручение на обработку ПД
1. Указывайте в качестве ЦОД только свой адрес (место, где ИП работает с персональными данными).
2. Подготовьте документы, подтверждающие, что:
- Хостинг используется исключительно как техническая площадка.
- Хранение данных на сервере хостера не является обработкой со стороны третьего лица.
- ИП самостоятельно извлекает данные из почты и обрабатывает их.
✅ Если есть возможность:
1. Заключите дополнительное соглашение с хостером, в котором будет прямо указано, что он не обрабатывает персональные данные.
2. Либо выберите хостинг, который предлагает услуги по работе с ПД и может быть оформлен как оператор по поручению.
В ситуации, когда хостер отказывается брать на себя обязательства по обработке персональных данных, наиболее безопасным юридическим решением будет указать в качестве ЦОД только адрес оператора (ИП). Хотя данные временно находятся на сервере хостера, это не образует отношения поручения, если:
- нет соответствующего договора,
- хостер официально отрицает участие в обработке ПД,
- ИП самостоятельно извлекает и использует данные.
Тем не менее, важно четко регламентировать обработку ПД внутренними документами, а также принять меры по обеспечению безопасности ПД (приказ ФСТЭК № 21, приказ Минкомсвязи № 20).
При любом раскладе быть готовым к объяснениям с Роскомнадзором, подкрепив свои действия ссылками на законодательство и техническую реализацию.
📌 Главное правило: ответственность за соблюдение требований закона всегда лежит на операторе, независимо от того, через какие технологии проходят данные.