Все это — онлайн, с заботой о вас и по отличным ценам.
В форме уведомления РКН есть пункт о месте хранения ПД, в том числе адрес ЦОДа (дата-центра), где хранятся данные о сотрудниках
Я подаю уведомление в РКН (Роскомнадзор) о хранении ПД (персональных данных). Так как я являюсь ИП и работодателем, я собираю ПД работников и вынужден подать уведомление. В качестве бухгалтерской программы и программы кадрового учета я использую систему Контур Эльба.
В форме уведомления РКН есть пункт о месте хранения ПД, в том числе адрес ЦОДа (дата-центра), где хранятся данные о сотрудниках. И, например аналогичная Эльбе облачная система 1С у себя пишет: В уведомлении необходимо указать места хранения всех баз данных, в которых вы осуществляете обработку персональных данных, например дополнительно указать место хранения персональных данных работников при использовании программного обеспечения «1С». 1C дает четкие инструкции по заполнению анкеты, и указывает адрес:
Для 1С:ГРМ указать следующие данные:
Адрес ЦОД: г. Москва, проспект Мира, 105, стр. 6.
Организация ответственная за хранение: ООО «ВК», ИНН 7 743 001 840, ОГРН 1 027 739 850 962.
место нахождения: Российская Федерация,125 167, г. Москва, Ленинградский проспект, дом № 39, строение 79
Оригинал: https://v8.1c.ru/news/do-30-maya-2025-podayte-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnykh-dannykh.htm
Я пытаюсь добиться от Контура аналогичной информации о месте хранения ПД моих сотрудников (адресе их дата центра), но они мне отказываются её предоставить. Их ответ:
СКБ Контур не предоставляет ЦОД как услугу и не является владельцем ИСПДн (информационных систем персональных данных) клиентов. Контур предоставляет доступ к облачному ПО, которое может быть частью ИСПДн клиента. При этом сама ИСПДн формируется и контролируется клиентом, как оператором ПДн. В уведомлении необходимо указать данные ваших ИСПДн (адреса своих рабочих мест, серверов или юридический адрес своей организации — то есть места, откуда сотрудники осуществляют обработку данных в ваших ИСПДн).
Но это честно говоря какая-то чепуха, так как данные совершенно точно хранятся на их серверах, а не на серверах моей организации, у меня нет серверов. Я имею доступ к их облаку из любой точки мира через веб браузер с любого компьютера, или смартфона, и могу увидеть данные по сотрудникам, а значит данные у них хранятся на их серверах. И у этих серверов есть какой-то дата-центр с конкретным адресом. Это и требует Роскомнадзор. Он требует указать кто ответственен за хранение ПД сотрудников, какая организация, её реквизиты и адрес, а также адрес дата-центра. (вот скрин из анкеты Роскомнадзора)
Собственно хочется понять кто прав, и если прав я, то как мне Контуру правильно аргументировать, что эту информацию мне предоставить должны?
- 2025-05-29_14-48-28.png
Здравствуйте, Сергей.
Предложу следующее: у Вас может идти речь о поручении на обработку ПД Контуром.
Согласно п. 3 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта...
Поэтому, начните с изучения условий договора.
Если там указано о том, что Вы поручаете обрабатывать ПД Контуру — ссылайтесь на условия договора, повторно требуйте предоставить интересующие Вас сведения.
Затем, если будет отказ — можно пробовать требовать понуждения исполнения обязательств по договору в части передачи интересующих Вас сведений, в порядке ст. 309,310 ГК РФ.
Добрый день!
Сергей, смотрите, в первую очередь вам надо понимать, что вы изначально собираете данные сотрудников и потом их уже передаете Контуру. Поэтому, ответственность за уведомление РКН лежит на вас, как на операторе персональных данных (работодателе). Контур, предоставляя облачное ПО, является обработчиком персональных данных по вашему поручению (статья 6 Федерального закона № 152-ФЗ «О персональных данных»).
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
Контур отчасти прав в том, что он не предоставляет вам информацию об адресе своего ЦОД для указания в вашем уведомлении. РКН требует указания мест хранения ваших ИСПДн, то есть тех систем, которые вы используете для обработки ПД. Поскольку вы используете облачное ПО, местом обработки (и, соответственно, хранения с вашей точки зрения) является место, где вы осуществляете доступ к этой системе – ваш офис, домашний компьютер и т.д. Это подтверждается их ответом: «адреса своих рабочих мест, серверов или юридический адрес своей организации». То есть по факту достаточно будет указать юр адрес вашей организации, где трудоустроены сотрудники.
Здесь единственное есть момент, что у вас с Контуром должен быть договор, где Контур обязуется сохранять конфиденциальность данных ваших сотрудников.
Добрый вечер!
В соответствии с действующим законодательством о персональных данных Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) «О персональных данных», оператор имеет право делегировать обработку персональных данных третьей стороне при наличии согласия субъекта данных и на основании заключенного договора. При этом важно учитывать, что оператор обязан обеспечить конфиденциальность персональных данных и контроль за их обработкой даже при передаче третьим лицам.
Первоочередным действием должно стать внимательное изучение договорных условий между сторонами. При наличии в договоре положений о передаче данных компании Контур, следует направить повторное требование о предоставлении запрашиваемой информации со ссылкой на соответствующие пункты договора.
Но проблема в том, что РКН просит указать именно адрес ЦОДа. Не могу же я адресом ЦОДа указать свой адрес ИП, у меня нет ЦОДа. В разделе «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ» необходимо указать, где территориально хранятся персональные данные. Вот если бы я хранил ПД у себя на компьютере в таблице Эксель, было бы другое дело. Но я обрабатываю ПД с использованием платформы Контур. Вот посмотрите пример, это сервис InSales — платформа для управления онлайн-продажами на маркетплейсах. Это с точки зрения пользователя точно такой же сервис, как Контур, и они предоставляют своим пользователям пример, как правильно заполнить анкету РКН.
Все правильно, они предоставляют вам платформу для обработки данных, но не контролируют сами данные как таковые. Этим видимо и обосновывают свой ответ.
Хорошо, тогда по этой части можно запросить разъяснения у контура.
Вот на это можете и ссылаться как на пример. Укажите, что для корректного заполнения уведомления РКН и во избежание претензий со стороны регулятора, вам необходима информация об адресе ЦОД, где хранятся данные.
Напишите еще что вы как ИП и работодатель, несете ответственность за соблюдение закона о персональных данных. Отсутствие информации о местонахождении серверов делает невозможным выполнение этой обязанности в полном объеме.
И сам запрос лучше более детально сформулировать для получения корректного ответа
то есть попросите предоставить информацию, необходимую для заполнения пункта
при использовании платформы Контур Эльба.
Далее если Контур откажет повторно, то запросите у них официальное письменное разъяснение о том, как, по их мнению, следует заполнять уведомление РКН в части места хранения данных при использовании их сервиса. С этим разъяснением вы сможете обратиться за консультацией непосредственно в Роскомнадзор. Так как у вас уже будет официальный ответ от системы Конура.