Ниже небольшая заметка об особенностях легализации обработки персональных данных провайдерами хостинга.
В простом сценарии работы с клиентами провайдер хостинга занимает роль оператора персональных данных по отношению к клиентам - физическим лицам (самозанятым, ИП) и представителям юридических лиц. Это стандартная ситуация в бизнес отношениях, которая не имеет сложностей в выполнении требований к обработке персональных данных внутри провайдера хостинга.
Наибольшую сложность вызывает обработка информации, размещенной клиентами и содержащей персональные данные. В этом случае провайдер хостинга будет являться лицом, осуществляющим обработку персональных данных по поручению оператора (далее - Обработчик).
Так как провайдер хостинга является Обработчиком персональных данных клиентов своих клиентов, он обязан заключать поручение обработки персональных данных (ч. 3 ст. 6 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"). В данном поручении помимо других условий, с 01.09.2022 необходимо прописывать перечень персональных данных.
Тот факт, что провайдер хостинга не будет иметь доступа к персональным данным не меняет ситуации. В законодательстве о персональных данных нет таких оговорок, а вот хранение - прямо поименованный способ обработки персональных данных (ст. 3 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" ).
Получается парадоксальная ситуация, когда провайдер хостинга не имеет доступа к данным и не может ничего знать о них должен получить этот перечень от клиента в специальном соглашении или договоре.
Такой перечень персональных данных у каждого клиента может быть уникальным и часто меняться. Только по этой причине администрирование перечней персональных данных влечет значимые трудозатраты.
Крупные игроки через Совет по этике работы с данными в 2021 году через Белую книгу пытались сформировать "добросовестную практику", при которой "облачные провайдеры" не признавались бы Обработчиками персональных данных.
Цитата:
"Если облачный провайдер не инициирует размещение персональных данных в Облачной системе, не определяет цели их обработки, а также не выполняет поручение Клиента обработать такие персональные данные, а лишь предоставляет Клиенту место для самостоятельного хранения информации, то: - такое размещение не считается передачей информации за периметр Клиента.
Провайдер облачной системы не осуществляет обработку персональных данных Клиента, в том числе способом «хранения»…"
До настоящего момента с данной позицией Роскомнадзор так и не согласился, однако, многие провайдеры все же хостинга выбирают позицию не считать себя Обработчиками из-за сложности (стоимости) легализации.
Сопутствующие услуги
Помимо предоставления вычислительной мощности следует не забывать о сопутствующих услугах: хранение бэкапов, восстановление поврежденного программного обеспечения (баз данных), администрирование и т.п.
Такие услуги в большей степени подподают под понятие Обработчика.
Договор на хостинг
Договор на хостинг с клиентом - ключ к легализации обработки персональных данных. В то же время при неумелом составлении договор может стать доказательством нарушений в области персональных данных.
Например, правильным договором можно убрать лишние согласия на обработку персональных данных.
В связи с тем, что ежегодно растет количество выявленных административных правонарушений и успешных дел, в результате которых субъекты персональных данных защитили свои персональные данные от незаконной обработки, провайдеру хостинга рекомендуется максимально разграничить ответственность и функции по договору с клиентом, надлежаще оформить предмет договора на хостинг.
Политика обработки персональных данных
Провайдер хостинга, предоставляющий услуги через сайт, обязан опубликовать политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите.
Особенностью этих документов является обязанность соблюдать требования к защите персональных данных, установленных для провайдера хостинга с 01.12.2023г.