Адрес ЦОД в уведомлении Роскомнадзора: руководство для оператора ПДн

Все статьи / Адрес ЦОД в уведомлении Роскомнадзора

Автор: Мария Смагина,
директор по развитию ITF
Дата: 16.03.26

С 1 сентября 2022 года требования к локализации персональных данных стали еще жестче, и теперь графа «Адрес центра обработки данных (ЦОД)» в уведомлении Роскомнадзора — это не простая формальность, а критически важный пункт. Ошибка здесь может стоить компании крупного штрафа (до 300 000 рублей по ст. 19.7 КоАП РФ).

В этой инструкции мы детально разберем, что писать в этой графе в трех самых распространенных ситуациях: от локального сервера в подсобке до сложных облачных интеграций.

Ключевые выводы:

Главное правило
Указывайте фактический почтовый адрес, где физически находятся серверы или компьютеры с базами персональных данных (ПДн).

Для своего офиса
Адрес офиса и отметка «Собственный ЦОД».

Для аренды сервера (Выделенный сервер/Размещение своего оборудования)
Адрес дата-центра, данные владельца ЦОДа, отметка «Не собственный ЦОД».

Для облачных сервисов (SaaS — Программное обеспечение как услуга)

Требуйте у провайдера физический адрес ЦОД. Если провайдер скрывает данные — фиксируйте это письменно и указывайте то, что известно (страна, город).

Содержание

Что такое ЦОД с точки зрения закона?

Сценарий 1: Данные внутри компании (локально)

Сценарий 2: Аренда сервера (Выделенный сервер/Размещение своего оборудования)

Сценарий 3: Облачные сервисы (1С:Фреш, Битрикс24 и т.п.)

Что делать, если адрес неизвестен?

Типовые ошибки

Часто задаваемые вопросы

Что такое ЦОД с точки зрения закона № 152-ФЗ?

Прежде чем заполнять поле, важно понять, что Роскомнадзор понимает под «ЦОДом». Это не обязательно огромное здание с стойками серверов и системой охлаждения. Юридически, Центр обработки данных (ЦОД) в контексте уведомления — это фактическое местонахождение базы данных, содержащей персональные данные граждан РФ. Это может быть как промышленный дата-центр, так и обычный системный блок под столом у бухгалтера.

Точная география нужна регулятору для контроля исполнения закона о локализации персональных данных (ст. 18 152-ФЗ)

Сценарий 1: Данные хранятся внутри компании (Локальный сервер или ПК)

Это самый простой и понятный случай. Вы не пользуетесь услугами облачных провайдеров, а ведете учет на собственном оборудовании.

Что писать в графе «Адрес ЦОД»: Укажите адрес места нахождения оборудования. Если сервер стоит в отдельной серверной комнате в офисе — пишите адрес этого офиса. Если база данных хранится на ноутбуке сотрудника, который всегда находится в офисе — также указывайте юридический или фактический адрес офиса.

Поле «Собственный ЦОД»: Выберите вариант «Да».

Важный нюанс об аренде офиса: Если вы арендуете помещение в бизнес-центре, это не делает владельца здания ответственным за ваши данные. Не нужно указывать реквизиты арендодателя. Вы заполняете адрес, где стоит ваша техника, и подтверждаете, что ЦОД является вашим собственным.

Сценарий 2: Аренда сервера (Выделенный сервер/Размещение своего оборудования)

Вы арендуете выделенный сервер у хостинг-провайдера или размещаете свое оборудование в коммерческом дата-центре. Оператором данных (ответственным за их обработку) по-прежнему являетесь вы.

Что писать в графе «Адрес ЦОД»
Внесите физический адрес здания дата-центра, где установлено ваше железо. Адрес нужно уточнить у провайдера, он обычно указан в договоре или приложении к нему.

Поле «Собственный ЦОД»
Выберите вариант «Нет».

Блок «Сведения об организации, ответственной за хранение»
Это ключевое отличие от первого сценария. Вам необходимо заполнить полные данные владельца ЦОДа (дата-центра):

  • Наименование юридического лица
  • ИНН, ОГРН
  • Юридический адрес компании-владельца

Сценарий 3: Облачные сервисы (1С:Фреш, Битрикс24, Контур и т.п.)

Это самый сложный и спорный сценарий. Вы работаете в «1С:Фреш», «СБИС», «Контур.Эльба» или арендуете «1С» в облаке. Ваши данные физически лежат на серверах разработчика, но обязанность подать уведомление лежит на вас.

Какую позицию занимает Роскомнадзор?
Регулятор непреклонен: уведомление должно содержать фактический адрес хранения данных. В своих разъяснениях РКН указывает, что если данные хранятся в облаке, оператор (то есть вы) обязан указать адрес серверов и данные компании-владельца этих серверов.

Пошаговый алгоритм действий.
Запросите данные у провайдера. Направьте официальный запрос в техподдержку используемого сервиса. Пример текста: «Просим предоставить сведения для заполнения уведомления Роскомнадзора: точный адрес ЦОД, где хранятся наши данные, и полные реквизиты организации, ответственной за хранение».

Используйте открытые источники. Многие крупные игроки публикуют эти данные открыто (здесь информацию даём для примера, обязательно проверяйте актуальность в момент подачи уведомления):

  • 1С:Фреш, 1С:ГРМ, 1С-Онлайн: Данные хранятся в ЦОД NORD-4 (Адрес: г. Москва, Коровинское шоссе, д. 41). Ответственная организация: АО «ЦХД» (ИНН: 9722084937).
  • СБИС (Тензор): Основной ЦОД расположен по адресу: г. Ярославль, ул. Угличская, 36. Ответственная организация: ООО «Компания Тензор».
  • Яндекс.Облако, Яндекс 360: Данные распределены по нескольким ЦОДам в России (Калуга, Владимир, Рязанская область). Информацию о конкретном размещении ресурсов можно уточнить в документации или поддержке Яндекса.
Что делать, если провайдер отказывается дать адрес?
Некоторые компании (например, СКБ Контур в определенных сервисах) придерживаются позиции, что указывать нужно только адрес офиса клиента. Это рискованная позиция. Юристы рекомендуют:
  • Получить отказ в письменном виде.
  • Внести в уведомление хотя бы страну («Российская Федерация») и город.
  • Указать в уведомлении, что обработка поручена третьему лицу (провайдеру), и внести его реквизиты.

Что делать, если точный адрес ЦОД неизвестен или скрыт?

Ситуация: вы направили запрос, а провайдер отказывается давать координаты, ссылаясь на коммерческую тайну или политику безопасности. Эксперты рекомендуют действовать так, чтобы минимизировать риски:

  • Зафиксируйте отказ. Добейтесь письменного ответа от провайдера с официальной позицией по заполнению уведомления.
  • Укажите известные данные. Внесите в уведомление то, что есть: как минимум страну («Российская Федерация») и населенный пункт.
  • Подайте уточненные данные позже. Пункт 7 статьи 22 152-ФЗ обязывает вас сообщать об изменениях в течение 10 рабочих дней с момента, как вы о них узнали. Как только провайдер рассекретит адрес или вы смените сервис — сразу направьте информационное письмо в РКН для корректировки реестра.

Топ-3 типовых ошибок при заполнении графы «Адрес ЦОД»

Чтобы гарантированно избежать штрафа, проверьте свое уведомление на эти ошибки:

Подмена понятий: юридический адрес вместо физического. Самая частая ошибка при работе с облачными сервисами. Указание юр.адреса АО «ЦХД» (г. Москва, ул. Правды, д. 1) вместо фактического адреса ЦОД на Коровинском шоссе может быть расценено как предоставление недостоверных сведений.

Путаница с арендой офиса. Еще раз: если вы арендуете офис, владелец здания не имеет доступа к вашим серверам и не отвечает за них. Не вносите его данные в блок «ответственный за хранение».

Игнорирование изменений. Вы переехали в новый офис и перенесли серверную? Сменили дата-центр? Это считается изменением сведений об адресе ЦОД. Даже если юридический адрес компании остался прежним, вы обязаны обновить данные в уведомлении Роскомнадзора в течение 10 дней.

Часто задаваемые вопросы

Нужно ли указывать адрес ЦОД, если я использую только зарубежный облачный сервис (например, Google Workspace), но данные о российских гражданах там есть?

С точки зрения закона о локализации (ст. 18), хранение ПДн россиян на территории РФ обязательно. Использование зарубежного софта для их обработки возможно только если база данных находится в России. Если ваш зарубежный провайдер хранит данные на серверах за границей, это прямое нарушение закона. В уведомлении пришлось бы указывать зарубежный адрес ЦОД, что автоматически привлечет внимание РКН.

Мой провайдер находится в другом городе. Нужно ли ехать туда, чтобы узнать адрес?

Нет, достаточно запросить адрес в договоре или письмом. Физическое присутствие не требуется.

Я ИП и работаю из дома. Компьютер с базой клиентов стоит у меня в квартире. Что писать?

Вы являетесь оператором, а ваша квартира — местом хранения данных (ЦОД). В уведомлении нужно указать ваш домашний адрес и отметить пункт «Собственный ЦОД».

Заполнение графы «Адрес ЦОД» сводится к простому алгоритму: определите, где именно стоит «железо» с данными, и впишите его почтовый адрес.

Собственный сервер в офисе? Пишите адрес офиса.
Арендованный сервер в дата-центре? Пишите адрес дата-центра и данные его владельца.
Облачный сервис? Требуйте эти данные у провайдера.

Помните: ответственность за достоверность сведений в уведомлении несете вы.

Не гадайте и не копируйте данные из других уведомлений — потратьте 15 минут на запрос в поддержку вашего ИТ-партнера, чтобы обезопасить свой бизнес от штрафов.

Сколько стоит аудит?Подробнее о продукте Аудит сайта на соответствие законодательству

Хотите обсудить необходимость аудита вашего сайта на соответствие закону о персональных данных?

Обсудить
Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Нажимая на кнопку, я принимаю условия соглашения. Подробнее о нашей политике в отношении Cookie.
Принять все Отказаться от всех Настроить
Cookies

Обсудим ваш проект?

Готовы обсудить ваш проект и подсказать с какой услуги стоит начать работу.

Обратитесь к нам и станьте ближе к своей цели!

Связаться с нами

+74956629802
info@itfgo.com
+79211127796
г. Москва, ул. Александры Монаховой, 87к1
CRM-форма появится здесь
Заряжено Битрикс24 — Бесплатные Сайты и CRM. Создать сайт
Пожаловаться на контент cайта в Битрикс24