Адрес ЦОД в уведомлении Роскомнадзора: руководство для оператора ПДн

Все статьи / Адрес ЦОД в уведомлении Роскомнадзора

Автор: Мария Смагина,
директор по развитию ITF
Дата: 16.03.26

С 1 сентября 2022 года требования к локализации персональных данных стали еще жестче, и теперь графа «Адрес центра обработки данных (ЦОД)» в уведомлении Роскомнадзора — это не простая формальность, а критически важный пункт.

В этой инструкции мы детально разберем, что писать в этой графе в трех самых распространенных ситуациях: от локального сервера в подсобке до сложных облачных интеграций.

Ключевые выводы:

Главное правило
Указывайте фактический почтовый адрес, где физически находятся серверы или компьютеры с базами персональных данных (ПДн).

Для своего офиса
Адрес офиса и отметка «Собственный ЦОД».

Для аренды сервера (Выделенный сервер/Размещение своего оборудования)
Адрес дата-центра, данные владельца ЦОДа, отметка «Не собственный ЦОД».

Для облачных сервисов (SaaS — Программное обеспечение как услуга)

Требуйте у провайдера физический адрес ЦОД. Если провайдер скрывает данные — фиксируйте это письменно и указывайте то, что известно (страна, город).

Содержание

Что такое ЦОД с точки зрения закона?

Сценарий 1: Данные внутри компании (локально)

Сценарий 2: Аренда сервера (Выделенный сервер/Размещение своего оборудования)

Сценарий 3: Облачные сервисы (1С:Фреш, Битрикс24 и т.п.)

Что делать, если провайдер отказывается дать адрес ЦОД?

Типовые ошибки

Количество ЦОДов в ИСПДн

Что такое ЦОД с точки зрения закона?

Что такое ЦОД с точки зрения закона?

Определение Центра Обработки Данных (ЦОДа) дано в законе "О связи" статья 6, пункт 1: "Под центром обработки данных понимается совокупность зданий, частей зданий или помещений, объединенных единым назначением, включающих комплекс систем инженерно-технического обеспечения, спроектированных и используемых для размещения оборудования, обеспечивающего обработку и (или) хранение данных".

Центр обработки данных (ЦОД) в контексте уведомления — это фактическое местонахождение базы данных, содержащей данные субъектов ПДн. Это может быть как промышленный дата-центр, так и обычный системный блок под столом у бухгалтера.

Сценарий 1: Данные хранятся внутри компании (Локальный сервер или ПК)

Это самый простой и понятный случай. Вы не пользуетесь услугами облачных провайдеров, а ведете учет на собственном оборудовании.

Что писать в графе «Адрес ЦОД»: Укажите адрес места нахождения оборудования. Если сервер стоит в отдельной серверной комнате в офисе — пишите адрес этого офиса. Если база данных хранится на ноутбуке сотрудника, который всегда находится в офисе — также указывайте юридический или фактический адрес офиса.

Поле «Собственный ЦОД»: Выберите вариант «Да».

Важный нюанс об аренде офиса: Если вы арендуете помещение в бизнес-центре, это не делает владельца здания ответственным за ваши данные. Не нужно указывать реквизиты арендодателя. Вы заполняете адрес, где стоит ваша техника, и подтверждаете, что ЦОД является вашим собственным.

Сценарий 2: Аренда сервера (Выделенный сервер/Размещение своего оборудования)

Вы арендуете выделенный сервер или размещаете свое оборудование в коммерческом дата-центре. Оператором данных (ответственным за их обработку) по-прежнему являетесь вы.

Что писать в графе «Адрес ЦОД»
Внесите физический адрес здания дата-центра, где установлено ваше железо. Адрес нужно уточнить у провайдера, он обычно указан в договоре или приложении к нему.

Поле «Собственный ЦОД»
Выберите вариант «Нет».

Блок «Сведения об организации, ответственной за хранение»
Это ключевое отличие от первого сценария. Вам необходимо заполнить полные данные владельца ЦОДа (дата-центра):

  • Наименование юридического лица
  • ИНН, ОГРН
  • Юридический адрес компании-владельца

Сценарий 3: Облачные сервисы (1С:Фреш, Битрикс24, Контур и т.п.)

Это самый сложный и спорный сценарий. Вы работаете в «1С:Фреш», «СБИС», «Контур.Эльба» или арендуете «1С» в облаке. Ваши данные физически лежат на серверах разработчика, но обязанность подать уведомление лежит на вас.

Какую позицию занимает Роскомнадзор?
Уведомление должно содержать фактический адрес хранения данных. В своих разъяснениях РКН указывает, что если данные хранятся в облаке, оператор (то есть вы) обязан указать адрес серверов и данные компании-владельца этих серверов.

Пошаговый алгоритм действий.
Запросите данные у провайдера. Направьте официальный запрос в техподдержку используемого сервиса. Пример текста: «Просим предоставить сведения для заполнения уведомления Роскомнадзора: точный адрес ЦОД, где хранятся наши данные, и полные реквизиты организации, ответственной за хранение».

Используйте открытые источники. Многие крупные игроки публикуют эти данные открыто (здесь информацию даём для примера, обязательно проверяйте актуальность в момент подачи уведомления):

  • 1С:Фреш, 1С:ГРМ, 1С-Онлайн: Данные хранятся в ЦОД NORD-4 (Адрес: г. Москва, Коровинское шоссе, д. 41). Ответственная организация: АО «ЦХД» (ИНН: 9722084937).
  • СБИС (Тензор): Основной ЦОД расположен по адресу: г. Ярославль, ул. Угличская, 36. Ответственная организация: ООО «Компания Тензор».
  • Яндекс.Облако, Яндекс 360: Данные распределены по нескольким ЦОДам в России (Калуга, Владимир, Рязанская область). Информацию о конкретном размещении ресурсов можно уточнить в документации или поддержке Яндекса.

Что делать, если провайдер отказывается дать адрес ЦОД?

  • Получить отказ в письменном виде.
  • Внести в уведомление хотя бы страну («Российская Федерация») и город.
  • Указать в уведомлении, что обработка поручена третьему лицу (провайдеру), и внести его реквизиты.
  • Подайте уточненные данные позже. Пункт 7 статьи 22 152-ФЗ обязывает вас сообщать об изменениях в течение 10 рабочих дней с момента, как вы о них узнали. Как только провайдер сообщит адрес или вы смените сервис, сразу направьте информацию в РКН для корректировки реестра.

Топ-3 типовых ошибок при заполнении графы «Адрес ЦОД»

Чтобы гарантированно избежать штрафа, проверьте свое уведомление на эти ошибки:

Подмена понятий: юридический адрес вместо физического. Самая частая ошибка при работе с облачными сервисами. Указание юр.адреса АО «ЦХД» (г. Москва, ул. Правды, д. 1) вместо фактического адреса ЦОД на Коровинском шоссе может быть расценено как предоставление недостоверных сведений.

Путаница с арендой офиса. Еще раз: если вы арендуете офис, владелец здания не имеет доступа к вашим серверам и не отвечает за них. Не вносите его данные в блок «ответственный за хранение».

Игнорирование изменений. Вы переехали в новый офис и перенесли серверную? Сменили дата-центр? Это считается изменением сведений об адресе ЦОД. Даже если юридический адрес компании остался прежним, вы обязаны обновить данные в уведомлении Роскомнадзора в течение 10 дней.

Количество ЦОДов в ИСПДн

Как правило, в информационной системе персональных данных используется несколько ЦОДов. В таком случае в уведомлении необходимо указать каждый ЦОД, участвующий в ИСПДн.

Например, для Яндекс.Метрики вы указываете адрес ЦОДа Яндекса г.Мытищи, ул. Силикатная, д.19; для Битрикс24 пишете ЦОД ООО "Цифровое облако" г.Москва, Коровинское шоссе, 41. А для ведения бухгалтерского учета вы используете 1С на офисном сервере. Выбираете Собственный ЦОД "Да", указываете адрес офиса, где стоит сервер, на котором установлена программа.


Часто задаваемые вопросы

Нужно ли указывать адрес ЦОД, если я использую только зарубежный облачный сервис (например, Google Workspace), но данные о российских гражданах там есть?

С точки зрения закона о локализации (ст. 18), хранение ПДн россиян на территории РФ обязательно. Использование зарубежного софта для их обработки возможно, только если база данных находится в России. Если ваш зарубежный провайдер хранит данные на серверах за границей, это прямое нарушение закона. В уведомлении пришлось бы указывать зарубежный адрес ЦОД, что автоматически привлечет внимание РКН.

Я ИП и работаю из дома. Компьютер с базой клиентов стоит у меня в квартире. Что писать?

Вы являетесь оператором, а ваша квартира — местом хранения данных (ЦОД). В уведомлении нужно указать ваш домашний адрес и отметить пункт «Собственный ЦОД». Тем не менее убедитесь в том, что данные хранятся у вас, а не в облачном сервисе. Если вы работаете с данными через браузер, то скорее всего данные в облаке.

Заполнение графы «Адрес ЦОД» сводится к простому алгоритму: определите, где именно стоит «железо» с данными, и впишите его почтовый адрес.

Собственный сервер в офисе? Пишите адрес офиса.
Арендованный сервер в дата-центре? Пишите адрес дата-центра и данные его владельца.
Облачный сервис? Требуйте эти данные у провайдера.

Помните: ответственность за достоверность сведений в уведомлении несете вы.

Не гадайте и не копируйте данные из других уведомлений — потратьте 15 минут на запрос в поддержку вашего ИТ-партнера, чтобы обезопасить свой бизнес от штрафов.

Сколько стоит аудит?Подробнее о продукте Аудит сайта на соответствие законодательству

Хотите обсудить необходимость аудита вашего сайта на соответствие закону о персональных данных?

Обсудить
Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Нажимая на кнопку, я принимаю условия соглашения. Подробнее о нашей политике в отношении Cookie.
Принять все Отказаться от всех Настроить
Cookies

Обсудим ваш проект?

Готовы обсудить ваш проект и подсказать с какой услуги стоит начать работу.

Обратитесь к нам и станьте ближе к своей цели!

Связаться с нами

+74956629802
info@itfgo.com
+79211127796
г. Москва, ул. Александры Монаховой, 87к1
CRM-форма появится здесь
Заряжено Битрикс24 — Бесплатные Сайты и CRM. Создать сайт
Пожаловаться на контент cайта в Битрикс24