Перейти к содержанию
инструкция 24 ноября 2026 По состоянию на 24 ноября 2026

Базы в нескольких ЦОД: как описать в уведомлении

Оператор, распределивший базы ПДн по нескольким ЦОД, обязан корректно отразить все места хранения в уведомлении Роскомнадзора по ст. 22 ФЗ-152 и поддерживать сведения в актуальном состоянии.
Ошибка в описании ЦОД или отсутствие обновления уведомления при смене инфраструктуры — самостоятельное нарушение, влекущее штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025).
→ Если вы юрист и оцениваете корректность уведомления при мультиЦОД-архитектуре — эта инструкция даёт пошаговый порядок действий.

Распределённое хранение ПДн — стандарт для операторов с требованиями к отказоустойчивости. Два и более ЦОД, основное и резервное хранилище, облачный подрядчик плюс собственная площадка — каждая из этих конфигураций создаёт юридическую проблему: уведомление в реестре РКН должно точно отражать, где именно обрабатываются данные. Инструкция описывает, как юрист компании шаг за шагом формирует корректное описание, не нарушая требования ст. 22 ФЗ-152 и Приказа РКН № 180 от 28.10.2022.

Шаг 1. Определите роль каждого ЦОД в обработке

Прежде чем заполнять уведомление, юрист совместно с CTO составляет реестр ЦОД. Для каждой площадки фиксируются: наименование оператора ЦОД или подрядчика, адрес, перечень действий с ПДн (хранение, резервное копирование, репликация, извлечение), категории данных и количество субъектов, чьи данные размещены.

Ключевое разграничение: хранение данных с возможностью извлечения — это обработка в смысле ст. 3 ФЗ-152. Резервная копия, к которой никто не обращается оперативно, формально тоже подпадает под понятие хранения. Исключение — обезличенные данные по методам, утверждённым приказом РКН, но и здесь требуется аккуратность.

«Ст. 3 ФЗ-152 относит к обработке ПДн любое действие или совокупность действий с данными, включая их хранение, независимо от того, автоматизировано ли оно.»

Если подрядчик (оператор ЦОД) обрабатывает данные по поручению вашей компании, применяется п. 3 ст. 6 ФЗ-152: поручение оформляется договором или отдельным соглашением. Оператор ЦОД при этом не подаёт собственного уведомления в РКН — обязанность остаётся за вами как за оператором-доверителем.

Нужна проверка описания ЦОД в действующем уведомлении?

Если юрист компании сомневается, корректно ли отражены все площадки хранения в реестре РКН, — аудит уведомления займёт 2–3 рабочих дня. Выявленные расхождения устраняются до того, как инспектор РКН обнаружит их самостоятельно. Штраф по ч. 10 ст. 13.11 КоАП за некорректное уведомление — до 300 000 ₽.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Заполните раздел «Местонахождение баз данных» в уведомлении

Уведомление о намерении обрабатывать ПДн подаётся через портал pd.rkn.gov.ru по форме, установленной Приказом РКН № 180 от 28.10.2022. В поле о местонахождении баз данных оператор указывает страну и адрес каждого места хранения. При мультиЦОД-архитектуре это поле заполняется несколькими строками — по одной на каждую площадку.

Практические правила заполнения при нескольких ЦОД:

  • Для каждого ЦОД — отдельная строка с адресом до уровня города или улицы (зависит от того, насколько подрядчик раскрывает адрес в договоре).
  • Если ЦОД арендован у стороннего провайдера — указывается адрес фактического размещения серверов, а не юридический адрес провайдера.
  • Облачная инфраструктура российского провайдера (Яндекс Облако, SberCloud, MТС Cloud) — указывается адрес дата-центра, который провайдер раскрывает в договоре или публичной документации.
  • Резервный ЦОД указывается наравне с основным: резервное хранение — это хранение в смысле ст. 3 ФЗ-152.
  • Зарубежные площадки — отдельная строка с указанием страны; одновременно требуется уведомление о трансграничной передаче по ст. 12 ФЗ-152, если речь идёт не о стране с адекватной защитой.
«Ч. 5 ст. 18 ФЗ-152 обязывает оператора обеспечивать, чтобы запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществлялись с использованием баз данных, находящихся на территории России.»

Ошибка, которую юристы допускают чаще всего: в уведомлении указывается только основной ЦОД, а резервный — не отражается. РКН при проверке запрашивает схему инфраструктуры. Расхождение между реальной архитектурой и уведомлением фиксируется как нарушение требований ст. 22 ФЗ-152.

Как обновить уведомление при изменении инфраструктуры?

Оператор обязан уведомить РКН об изменении сведений, ранее включённых в реестр, в течение 10 рабочих дней с момента изменения — такое требование следует из порядка, установленного Приказом РКН № 180. Переезд базы в новый ЦОД, подключение резервной площадки, смена облачного провайдера — каждое из этих событий требует подачи уведомления об изменении сведений.

Порядок действий при смене ЦОД:

  • Фиксируйте дату фактического начала хранения в новом ЦОД в рамках внутреннего журнала изменений ИТ-инфраструктуры.
  • Подайте уведомление об изменении сведений через pd.rkn.gov.ru в течение 10 рабочих дней с этой даты.
  • После подачи уведомления обновите схему инфраструктуры в ОРД — политику обработки ПДн и технический регламент ИСПДн.
  • Если старый ЦОД выводится из эксплуатации — убедитесь, что данные уничтожены или переданы, и зафиксируйте это актом.

Что подготовить для корректного уведомления при нескольких ЦОД

  • Реестр ЦОД с адресами, ролями в обработке и наименованиями провайдеров — согласованный с CTO.
  • Договоры поручения обработки ПДн с каждым оператором ЦОД по п. 3 ст. 6 ФЗ-152.
  • Актуальное уведомление в реестре РКН с заполненными строками по всем площадкам.
  • Журнал изменений ИТ-инфраструктуры с датами подключения/отключения ЦОД.
  • Обновлённая политика обработки ПДн по ст. 18.1 ФЗ-152 с описанием мест хранения.

Шаг 3. Синхронизируйте уведомление с ОРД оператора

Уведомление в реестре РКН — только один из документов, описывающих места обработки. Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать сведения о наименовании и адресе оператора, целях и правовых основаниях обработки, а также о составе обрабатываемых данных. Описание мест хранения — часть этого раздела.

При мультиЦОД-архитектуре политика должна либо прямо перечислять площадки, либо содержать ссылку на приложение с перечнем ЦОД, которое актуализируется при каждом изменении. Второй вариант удобнее: он позволяет обновлять приложение без переиздания всего документа.

«Ст. 18.1 ФЗ-152 обязывает оператора принимать меры, необходимые и достаточные для обеспечения выполнения требований закона, в том числе публиковать политику обработки ПДн с обязательными разделами, определёнными ч. 2 той же статьи.»

Ответственный за организацию обработки, назначенный по ст. 22.1 ФЗ-152, должен иметь актуальную карту мест обработки и отвечать за синхронизацию между реестром РКН, политикой и внутренними регламентами. Если функция DPO отдана на аутсорсинг, это условие включается в договор с аутсорсером.

Требования к составу согласия также влияют на описание мест хранения: с 01.09.2025 согласие субъекта по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом и должно содержать перечень действий с ПДн. Если хранение осуществляется в нескольких ЦОД, это входит в описание действий с данными, которые субъект должен осознать при подписании согласия.

Если юрист компании обнаружил расхождение между реальной инфраструктурой и уведомлением — срок на подачу изменений отсчитывается с момента фактического изменения, а не с момента обнаружения. Промедление увеличивает период нарушения и штрафной риск по ч. 10 ст. 13.11 КоАП.

Собрать ОРД под ключ

Шаг 4. Проверьте соответствие требованиям локализации и трансграничной передачи

Если хотя бы один ЦОД находится за пределами России, возникают два параллельных требования. Первое — требование локализации: первичные действия с ПДн граждан РФ (запись, систематизация, хранение, уточнение, извлечение) должны совершаться в базах на территории России по ч. 5 ст. 18 ФЗ-152. Зарубежный ЦОД не может быть единственным местом хранения — допускается только как вторичное зеркало при условии, что в России есть актуальная база.

Второе — уведомление о трансграничной передаче по ст. 12 ФЗ-152. Если страна назначения не входит в перечень стран с адекватной защитой (утверждается приказом РКН), до начала передачи оператор подаёт уведомление в РКН. После вступления в силу обновлённых правил в 2025 году порядок уведомления о трансграничной передаче стал строже: РКН вправе запретить передачу до рассмотрения уведомления.

«Ст. 12 ФЗ-152: до осуществления трансграничной передачи ПДн в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить Роскомнадзор и вправе начать передачу только при отсутствии запрета со стороны регулятора.»

Нарушение требования локализации с 30.05.2025 влечёт штраф от 1 000 000 до 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП, а при повторном нарушении — от 6 000 000 до 18 000 000 ₽ по ч. 9 той же статьи. Это один из наиболее дорогостоящих составов в новой редакции статьи.

Типовые ситуации: как это работает на практике

Ситуация 1. Основной ЦОД в Москве, резервный в Новосибирске, уведомление подано только по Москве. Инспектор РКН при плановой проверке запросил схему инфраструктуры. Расхождение выявлено: резервный ЦОД не отражён в реестре. Составлен протокол по ч. 10 ст. 13.11 КоАП. В арбитражном суде оператор представил договор с новосибирским провайдером, датированный позднее, чем уведомление, и доказал, что уведомление на момент подачи было корректным, а срок на обновление ещё не истёк. Протокол прекращён. Вывод: дата договора с ЦОД — ключевое доказательство.

Ситуация 2. Оператор перешёл на облачную инфраструктуру, не обновив уведомление. Компания (Приволжский ФО, лето 2025) мигрировала базу клиентов с собственного сервера на SberCloud, не подав уведомление об изменении сведений. При внеплановой проверке по жалобе субъекта РКН зафиксировал несоответствие. Штраф составил сумму в диапазоне нижней трети ч. 10 ст. 13.11 КоАП. После уплаты оператор обновил уведомление и пакет ОРД. Вывод: миграция в облако — триггер для немедленного обновления уведомления.

Ситуация 3. Два ЦОД в России и один в Германии как резервный. Юрист выявил, что немецкий ЦОД реплицирует базу в режиме реального времени. Германия входит в перечень стран, обеспечивающих адекватную защиту, по действующему приказу РКН. Однако первичные действия (запись новых ПДн) выполнялись в том числе через немецкую площадку — это нарушение ч. 5 ст. 18 ФЗ-152. Архитектура была переработана: запись только через российские ЦОД, немецкий — только получатель реплики. Уведомление обновлено с указанием всех трёх площадок.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн при нескольких ЦОД?

Минимальный пакет включает: актуальное уведомление в реестре РКН по ст. 22 ФЗ-152 с указанием всех площадок хранения; политику обработки ПДн по ст. 18.1 с описанием мест обработки; договоры поручения обработки с каждым оператором ЦОД по п. 3 ст. 6 ФЗ-152; приказ о назначении ответственного по ст. 22.1; журнал изменений ИТ-инфраструктуры. Если один из ЦОД зарубежный — дополнительно уведомление о трансграничной передаче по ст. 12.

2. Как составить политику обработки ПДн при мультиЦОД-архитектуре?

Политика по ч. 2 ст. 18.1 ФЗ-152 должна содержать сведения о целях обработки, правовых основаниях, категориях данных и субъектов, составе действий и мерах защиты. При нескольких ЦОД удобно вынести перечень площадок в отдельное приложение к политике — это позволяет обновлять список без переутверждения всего документа. Само приложение должно быть опубликовано или доступно субъектам по запросу наравне с политикой.

3. Кого назначить ответственным по ст. 22.1 при распределённой инфраструктуре?

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. При мультиЦОД-архитектуре этот сотрудник или аутсорсер должен владеть актуальной картой мест обработки и иметь полномочия инициировать обновление уведомления при изменении инфраструктуры. Требования к квалификации — ч. 4 ст. 22.1. Функцию можно передать по договору внешнему DPO.

4. Можно ли использовать шаблон политики из интернета, если ЦОД несколько?

Шаблон даёт структуру, но не подходит для прямого использования при нестандартной инфраструктуре. Политика должна отражать реальный состав действий именно вашего оператора: конкретные цели, основания и места обработки. Типовой шаблон, скачанный без адаптации, при проверке РКН квалифицируется как формальное исполнение требований без их существа — это не защищает от штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ за нарушение порядка публикации политики).

5. Какие согласия нужны после 01.09.2025, если ПДн хранятся в нескольких ЦОД?

С 01.09.2025 согласие субъекта по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом — не включается в текст договора, оферты или политики. Согласие должно содержать перечень действий с ПДн. При хранении в нескольких ЦОД в этот перечень включается указание на хранение, систематизацию и резервное копирование. Ранее полученные согласия не требуют обязательного переоформления — обратной силы закон не имеет, но новые согласия с 01.09.2025 — только по новым правилам.

6. Что проверяет РКН при плановой проверке в части уведомления о ЦОД?

РКН сверяет содержание уведомления в реестре с фактической архитектурой обработки: запрашивает схему инфраструктуры, договоры с ЦОД, регламент резервного копирования. Несоответствие адресов или отсутствие резервных площадок в уведомлении фиксируется как нарушение ст. 22 ФЗ-152 с составлением протокола по ч. 10 ст. 13.11 КоАП — штраф до 300 000 ₽ для юрлица.

Итог

Корректное уведомление при нескольких ЦОД — это четыре взаимосвязанных действия: реестр площадок с договорами поручения, актуальное уведомление в РКН по всем адресам, синхронизированная политика обработки и своевременное обновление при изменении инфраструктуры. Каждое звено должно быть закрыто документом — иначе разрыв цепочки становится самостоятельным основанием для штрафа.

Практика DATUM включает сопровождение операторов с распределённой инфраструктурой: от составления реестра ЦОД и подготовки договоров поручения до подачи уведомлений в РКН и актуализации пакета ОРД при изменениях архитектуры.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508.

24 ноября 2026 года