Вопрос, который кажется простым… пока не происходит первый инцидент.
Многие компании приходят к нам перед миграцией в облако или уже после подключения сервиса.
И почти всегда звучит одно и то же:
«Если что-то случится в облаке, кто будет отвечать: мы или провайдер?»
Это тот самый момент, где ощущение безопасности в облаке может резко не совпасть с юридической реальностью. Именно поэтому бизнес все чаще приходит на аудит до подписания договора, чтобы не выяснять распределение ответственности уже после атаки.
КАК РАСПРЕДЕЛЯЕТСЯ ОТВЕТСТВЕННОСТЬ
👉 Оператором ПДн по ст. 3 152-ФЗ остается заказчик. Даже если данные физически находятся в облаке, перед субъектами и регулятором отвечает именно он.
👉 Провайдер — это лицо по поручению. Его обязанности формируются договором и требованиями закона: конфиденциальность, безопасность, соблюдение принципов обработки.
Но в реальности границы размываются, и именно здесь компании чаще всего ошибаются.
Типичные ошибки заказчиков:
Ответственность на провайдере.
Кажется логичным, но SLA здесь не спасает. Для регулятора оператор всегда первый адресат вопросов.
Нет договора поручения.
Если статус лица по поручению не закреплен текстом, то часть операций провайдер может выполнять как самостоятельный оператор. Риски удваиваются для всех участников.
Общие формулировки про безопасность.
«Провайдер обеспечивает защиту» — это, конечно, красиво, но бесполезно. При проверке смотрят на конкретику: СКЗИ, сегментацию, порядок уничтожения, резервное копирование.
Наши практические советы:
— Прямо указать, что провайдер действует по поручению (ст. 6 152-ФЗ).
— Закрепить конкретные меры безопасности: шифрование, РК, контроль доступа, уведомления об инцидентах.
— Прописать сроки реакции (например, уведомление в течение 24 часов).
— Установить порядок и форму уничтожения данных (акт с УКЭП).
— Проверить локализацию серверов и возможные трансграничные моменты.
💡ЧТО ВАЖНО ПОНИМАТЬ
Для Роскомнадзора и прокуратуры оператор всегда является заказчиком.
Провайдер отвечает в своей части, но контролирующие органы в первую очередь обращаются к тому, кто определяет цели обработки.
Облако — не избавление от рисков, а их перераспределение. И когда договор не фиксирует, кто за что отвечает, в момент атаки границы ответственности исчезают быстрее, чем данные успевают утечь.
Если вы уже используете облачные сервисы или собираетесь подписывать контракт, лучше заранее проверить, где у вас остаются риски. Оставьте заявку, и мы изучим договоры и поможем выстроить распределение обязанностей так, чтобы в критической ситуации ответственность не легла полностью на вас.
А еще напоминаем, что стартовало наше ежегодное исследование “Прайваси в российских компаниях - 2025”.
Ваши ответы помогут нарисовать реальную картину: бюджеты, риски, приоритеты процессов. Вместе мы получим инсайты, которые укрепят ПДн-комплаенс в России, помогут компаниям адаптироваться и минимизировать угрозы.
А для вас лично? После заполнения анкеты каждый участник получит в благодарность набор актуальных документов и шаблонов.
