Подробная пошаговая инструкция как заполнить уведомление для отправки в Роскомнадзор, чтобы избежать штрафов, которые существенно возросли за неисполнение фз 152Для операторов, которые заполняют уведомление очень часто встает вопрос. А какой ЦОД нужно указывать в уведомлении, если оператор использует различные сервисы и платформы для автоматизации обработки персональных данных?
Что такое ЦОД?
ЦОД - это центр обработки данных, где находятся сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ. Юридически такого термина в законодательстве нет со всеми вытекающими отсюда последствиями насчет неоднозначности трактовок и смысла его как термина в уведомлении
Так вот, в первом приближении непонятно, кого указывать в качестве ЦОДа в уведомлении для Роскомнадзора по поводу ПДн, если оператор использует сервисы для автоматизации обработки персональных данныx, такие как Битрикс, Яндекс Метрика, Контур, 1С, хостинги и многие другие на основании договора оферты, при выборе каждой отдельной цели обработки персональных данных
Какие есть решения?
По данному поводу, на данный момент, есть две позиции с жаркими дискуссиями относительно данного вопроса:
- В качестве ЦОДа надо указывать адреса серверов сервисов Битрикс, 1С, Яндекс, Контур, xостинги и прочие. Сторонники данной версии стали искать в интернете адреса серверов, а также завалили вопросами данные сервисы и требовали указать адреса серверов, где в реальности хранились персональные данные, когда пользователи использовали данные сервисы и платформы при своей работе на основании договора оферты (лицензии)
- В качестве ЦОДа надо указывать адреса своего офиса (рабочего места) или местожительства, если речь идет об небольшиx ИП и СЗ, где расположены и используются мощности вашей вычислительной теxники (компютеры), а сервисы типа условного Битрикс, Яндекс, Гугл, Контур, 1С и прочие всего лишь средства автоматизации при вашей работе с персональными данными
Был направлен официальный предметный запрос в Роскомнадзор, чтобы выяснить позицию ведомства по данному вопросу. Вопрос звучал так:
"Согласно части 10.1 статьи 22 Закона № 152-ФЗ в уведомлении оператор обязан указать сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Оператор вправе заключить Договор (лицензионное соглашение) с контрагентом на предоставление доступа к различным сервисам и приложениям (программным продуктам). К таким сервисам относятся, например, «Битрикс24», «Яндекс Метрика». При этом контрагент не обязан предоставлять оператору сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
В указанном случае просим разъяснить:
- Необходимо ли оператору в уведомлении о своем намерении осуществлять обработку персональных данных указывать информацию о сторонних сервисах (не принадлежащих оператору, не находящихся у него на балансе), где обрабатываются персональные данные граждан Российской Федерации? Например, необходимо ли указывать сведения о месте нахождения баз персональных данных при использовании таких «облачных» сервисов, как «Битрикс24», «Яндекс Метрика», «HeadHunter» (адрес ЦОДа)?"
Ответ Роскомнадзора:
Сервера условныx Битрикс либо Яндекс Метрики не являются нашей собственностью либо взятые в аренду. Мы используем их технические возможности и програмное обеспечение для автоматизации обработки ПДн по договору оферты и не более того, поэтому указывать чужие сервера в качестве ЦОДа не требуется.
Выводы
Действительно, позиция Роскомнадзора логична и объективна. Сервисы типа Контур, Яндекс метрики, Гугл-таблицы, 1С, xостинги, Битрикс, АмоCRM и прочие это всего лишь инструменты в руках ЦОДа с которыми мы (как ЦОД) работаем по договорам оферты при пользовании данными сервисами.
Да, данные могут улетать на сервера условного Контура либо 1с (там расположены так называемые средства автоматизации с помощью специального программного обеспечения), но конечным получателем и обработкой (анализом) занимаемся мы (как ЦОД) в своем офисе - смотрим графики и таблицы, которые сформировали нам эти сервисы. Также делаем выводы по ним и строим отчеты. Мы также можем скачивать данные из условного Битрикс24 либо Яндекс Метрики, а таблицы для анализа формировать с помощью других сервисов визуализации.
Упомянутые сервисы и их серверы это всего лишь местонахождение средств автоматизации для обработки данных и инструмент в руках ЦОДа
Кстати, есть и такие нюансы. Если мы в своем уведомлении в качестве ЦОДов будем указывать юрадреса серверов, которые принадлежат чужим юридическим лицам, то тем самым мы будем принудительно вводить их в контур исполнения ФЗ 152 о ПДн в рамках нашего уведомления, но они на это нам официально разрешения и согласия никакого не предоставляли.
Ниже предметный ответ непосредственно от Контура по теме насчет ЦОДа
Контур, по сути, обозначают позицию, которая совпадает с ответом Роскомнадзора, указанном выше на скане
Заключение
Надеемся, что вопрос ЦОДа будет для большинства кейсов закрыт и при подаче уведомления не требуется искать адреса серверов платформ и сервисов, котрые мы можем использовать в своей ежедневной работы, в том числе при обработке персональных данных***
В моем Телеграм-канале вы всегда сможете получить ответы по вашим кейсам, найти свежую информацию и экспертизу по рекламному сбору 3%, маркировке рекламы, отправке уведомления в Роскомнадзор от оператора персональных данных (ПДн), а также научиться оформлению отчетности в ОРД, чтобы избежать штрафов от ФАС и Роскомнадзора
