Хостинг-провайдеры и Реестр операторов
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 составов вместо прежних семи. Хостинг-провайдеры и их клиенты оказались в зоне двойного риска — нарушение может квалифицироваться как по неуведомлению (ч. 10), так и по существу обработки (ч. 1, ч. 2, ч. 8). В материале разобраны роли хостера и клиента, требования к уведомлению по Приказу РКН №180, порядок проверок по индикаторам риска и стратегия защиты при вынесении протокола.
Когда хостинг-провайдер становится оператором персональных данных?
Ключевой вопрос — определить роль стороны по ст. 3 ФЗ-152. Оператор самостоятельно или совместно с другими определяет цели и состав обработки. Лицо, осуществляющее обработку по поручению, выполняет конкретный перечень действий в рамках инструкций оператора-клиента.
Хостинг-провайдер попадает в статус оператора, если выполняется хотя бы одно из условий: самостоятельно определяет цели обработки данных на своей инфраструктуре; имеет возможность доступа к содержимому баз данных клиента вне рамок технического обслуживания; агрегирует данные нескольких клиентов в единой логической базе. Если же провайдер только предоставляет вычислительные ресурсы по договору и действует исключительно по инструкции клиента — он является лицом, обрабатывающим данные по поручению (п. 3 ст. 6 ФЗ-152).
На практике граница размыта. Хостер, предоставляющий управляемые базы данных с доступом к SQL-запросам по умолчанию, резервное копирование с дешифрованием или аналитику трафика — уже выходит за рамки роли обработчика. Роскомнадзор при проверках оценивает договор, техническую документацию и фактический объём доступа, а не только формальные формулировки соглашения.
Какие требования к уведомлению в Реестре операторов для хостинга?
Обязанность уведомить РКН до начала обработки ПДн закреплена в ст. 22 ФЗ-152. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр — 30 дней с даты получения уведомления регулятором.
Для хостинг-провайдера, действующего как оператор, уведомление содержит: наименование и адрес; цели обработки (хранение данных клиентов в рамках SaaS/IaaS-услуг); категории субъектов и состав ПДн; правовые основания; описание мер защиты; сведения о трансграничной передаче. Если провайдер — только обработчик по поручению, уведомление подаёт клиент-оператор, а в договоре поручения перечисляются конкретные действия хостера.
Типичная ошибка: клиент уведомил РКН, указав только собственные серверы, но фактически данные хранятся на арендованных мощностях в другом дата-центре. При проверке это квалифицируется как расхождение фактической обработки с зарегистрированными сведениями — основание для протокола по ч. 1 ст. 13.11 (150–300 тыс. ₽) или предписания об актуализации уведомления.
Реестр операторов не обновлён после смены хостинга?
Если юрист обнаружил, что в уведомлении РКН указаны устаревшие сведения об инфраструктуре — у компании есть окно для добровольной актуализации до проверки. После получения предписания возможности становятся значительно уже. Юристы DATUM сопроводят взаимодействие с РКН: актуализируют уведомление, оценят полноту договора поручения с хостером, подготовят компанию к профвизиту или плановой проверке.
Подготовиться к проверке РКН+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как проходят проверки РКН хостинг-провайдеров и их клиентов?
С 2023 года РКН применяет риск-ориентированный подход: плановые проверки, внеплановые, профилактические визиты и документарные проверки. Для малого и среднего бизнеса действовал мораторий на плановые проверки, однако он не распространялся на внеплановые, инициированные по жалобе субъекта или при срабатывании индикатора риска.
Индикаторы риска для хостинг-сектора включают: отсутствие в реестре операторов при наличии публично доступного сайта с формой сбора данных; жалоба субъекта на невозможность реализовать право на доступ к своим ПДн; публикация данных о предполагаемой утечке в открытых источниках или базах «слитых» данных; несоответствие политики конфиденциальности требованиям ч. 2 ст. 18.1 ФЗ-152.
Профилактический визит — наименее формализованная процедура: инспектор изучает документацию без права выдачи предписания. Однако сведения, полученные на визите, могут стать основанием для инициирования внеплановой проверки. Документарная проверка проводится по запросу — компания обязана предоставить документы в установленный срок, уклонение квалифицируется как самостоятельное нарушение.
Что подготовить к проверке РКН по хостингу
- Актуальная выписка из реестра операторов с pd.rkn.gov.ru — с датой последнего обновления сведений.
- Договор с хостинг-провайдером с разделом поручения обработки ПДн по п. 3 ст. 6 ФЗ-152 — перечень действий, цели, меры защиты.
- Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 — опубликована на сайте и актуальна.
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
- Журнал учёта обращений субъектов и схема инфраструктуры с указанием фактических мест хранения данных (включая облачные сервисы).
Локализация данных при использовании зарубежного хостинга
Ч. 5 ст. 18 ФЗ-152 обязывает оператора при записи, систематизации, накоплении, хранении, уточнении и извлечении ПДн граждан РФ использовать базы данных, расположенные на территории России. Требование действует с 01.09.2015 и с 01.07.2025 применяется в ужесточённой редакции по ФЗ-233 от 08.08.2024.
Использование зарубежного хостинга (AWS, Azure, Google Cloud, DigitalOcean) для первичного хранения ПДн граждан РФ нарушает ч. 5 ст. 18. Штраф по ч. 8 ст. 13.11 КоАП — от 1 млн до 6 млн ₽; при повторном нарушении по ч. 9 — от 6 млн до 18 млн ₽. В 2023–2024 годах РКН блокировал ресурсы нарушителей в дополнение к штрафным санкциям.
Трансграничная передача ПДн (репликация, резервное копирование, CDN-кэширование в зарубежных узлах) регулируется ст. 12 ФЗ-152: перед передачей в страну без адекватной защиты необходимо уведомить РКН. Перечень стран с адекватной защитой утверждён приказом регулятора; США и большинство юрисдикций популярных облачных провайдеров в него не входят.
Если юрист выявил, что данные клиентов хранятся на зарубежном хостинге без уведомления РКН о трансгранике — штраф по ч. 8 ст. 13.11 начинается от 1 млн ₽. До начала проверки есть возможность перевести инфраструктуру и актуализировать реестр. Юристы DATUM оценят риски и сопроводят миграцию документально.
Защитить от штрафа 13.11Практика применения ст. 13.11 КоАП в делах с хостинг-инфраструктурой
Кейс 1. IT-компания Центрального ФО (осень 2025) использовала SaaS-платформу с хранением данных на серверах подрядчика в Нидерландах. После жалобы субъекта РКН провёл внеплановую документарную проверку. Выявлено: отсутствие уведомления о трансграничной передаче, хранение ПДн граждан РФ вне российской юрисдикции. Составлены протоколы по ч. 8 ст. 13.11 (нарушение локализации) и ч. 10 ст. 13.11 (ненадлежащее уведомление о намерении обрабатывать). Арбитражный суд региона назначил штрафы в общей сложности в диапазоне нескольких миллионов рублей. Своевременная миграция данных и актуализация уведомления до проверки позволили бы ограничиться административными издержками на комплаенс.
Кейс 2. Интернет-магазин Сибирского ФО (начало 2026) передал обработку заказов на платформу e-commerce-провайдера без оформления договора поручения по п. 3 ст. 6 ФЗ-152. При профвизите РКН инспектор запросил договор с хостером: в нём отсутствовал перечень действий с ПДн и обязательство по соблюдению ч. 5 ст. 18. Компания получила предписание об устранении в 30-дневный срок. Нарушение формальных требований к договору поручения — отдельное основание для штрафа по ч. 1 ст. 13.11 (150–300 тыс. ₽), если РКН переквалифицирует профвизит в проверку. Заблаговременный аудит договорной базы позволил бы закрыть риск до визита.
Типовые сценарии нарушений: ситуация, доказательства, исход
Сценарий 1. Хостинг сменился, реестр не обновлён. Компания переехала с собственного сервера на облачный VPS, уведомление в реестре осталось старым. При индикаторном мониторинге РКН фиксирует расхождение IP-адресов из уведомления и фактического местонахождения данных. Доказательства: технические логи, публичный WHOIS, старое уведомление. Вероятный исход — предписание об актуализации + протокол по ч. 10 ст. 13.11 (100–300 тыс. ₽). Стратегия: немедленно подать обновлённое уведомление по Приказу РКН №180, оформить договор поручения с облачным провайдером, ссылаться на добровольное устранение при оспаривании протокола.
Сценарий 2. Утечка через инфраструктуру хостера. Хостинг-провайдер допустил несанкционированный доступ к данным клиента — утекли ПДн 15 000 субъектов. Клиент-оператор обязан уведомить РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152 и направить отчёт в течение 72 часов по Приказу РКН №187. Если уведомление просрочено — штраф по ч. 11 ст. 13.11 (1–3 млн ₽). По факту утечки — ч. 13 ст. 13.11 (5–10 млн ₽, диапазон 10 000–100 000 субъектов). Ответственность перед субъектами сохраняется за оператором-клиентом, независимо от вины хостера. Стратегия: зафиксировать уведомление провайдера с временнóй меткой, документировать факт его вины для регрессного требования, оперативно подать первичное уведомление в РКН.
Сценарий 3. Хостер в статусе оператора не состоит в реестре. Провайдер предоставляет управляемые базы данных с доступом к содержимому — фактически является соопертором. Жалоба субъекта запускает внеплановую проверку. РКН квалифицирует обработку как незаконную ввиду отсутствия уведомления. Штраф по ч. 10 ст. 13.11 (100–300 тыс. ₽) + возможное предписание о прекращении обработки до регистрации. Стратегия: провести аудит роли провайдера, при необходимости подать уведомление, пересмотреть архитектуру доступа к данным, чтобы однозначно квалифицировать провайдера как обработчика по поручению.
Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний.
- Аудит соответствия 152-ФЗ — проверка 38 пунктов, включая договоры с хостерами и статус в реестре.
- Защита при штрафе в арбитраже — оспаривание протоколов по ч. 8, ч. 10, ч. 11 ст. 13.11 КоАП.
Частые вопросы
1. Как подготовиться к проверке РКН хостинг-провайдеру или его клиенту?
Подготовка включает четыре блока: актуализацию уведомления в реестре операторов (Приказ РКН №180), проверку договора с хостером на соответствие п. 3 ст. 6 ФЗ-152 (перечень действий, меры защиты, обязательство по локализации), публикацию актуальной политики обработки ПДн по ч. 2 ст. 18.1 и назначение ответственного по ст. 22.1. Дополнительно — схема инфраструктуры с фактическими локациями баз данных и журнал обращений субъектов за последние 12 месяцев.
2. Какие индикаторы риска РКН применяет к операторам с внешним хостингом?
Среди ключевых индикаторов: отсутствие оператора в реестре при наличии сайта с формой сбора данных; IP-адреса серверов, зарегистрированные за рубежом при декларировании российской локализации; жалоба субъекта на отказ в доступе к ПДн или их уничтожении; публикация сведений об утечке в открытых источниках; несоответствие политики конфиденциальности обязательным реквизитам по ч. 2 ст. 18.1 ФЗ-152. Наличие двух и более индикаторов повышает вероятность внеплановой проверки.
3. Можно ли отказаться отвечать на запрос РКН в ходе документарной проверки?
Отказ от предоставления документов по запросу РКН в ходе документарной проверки является самостоятельным основанием для привлечения к ответственности и может квалифицироваться как воспрепятствование проверке. Компания вправе оспорить правомерность конкретного запроса (например, выходящего за предмет проверки) в установленном порядке, однако полный отказ от взаимодействия существенно ухудшает позицию при дальнейшем обжаловании постановления. Юридически обоснованный ответ с указанием ограничений — предпочтительная тактика.
4. Что грозит за невыполнение предписания РКН?
Предписание РКН подлежит исполнению в установленный срок. Неисполнение влечёт самостоятельный состав правонарушения по КоАП и может стать основанием для обращения РКН в суд с требованием об ограничении доступа к сайту оператора. При повторном нарушении после вступившего в силу предписания возможно применение ч. 1.1 или ч. 5.1 ст. 13.11 КоАП (повторные составы) с увеличенными санкциями.
5. Куда обжаловать постановление РКН о штрафе по ст. 13.11 КоАП?
С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд, затем — в суд субъекта РФ в порядке надзора. При наличии оснований по ст. 4.1.1 КоАП (микропредприятие, первичность нарушения, отсутствие вреда) суд вправе заменить штраф предупреждением; этот механизм не применяется к оборотным составам (ч. 15 и ч. 18 ст. 13.11). Срок на подачу жалобы — 10 суток с момента вручения постановления.
Итог
Хостинг-провайдер и его клиент-оператор несут разные, но взаимосвязанные обязательства по ФЗ-152: первый обязан оформить договор поручения с полным перечнем действий и мер защиты, второй — своевременно уведомить РКН и обеспечить локализацию. Несоответствие любого из этих элементов создаёт риск по ст. 13.11 КоАП в редакции с 30.05.2025 — от 100 тыс. ₽ до оборотных санкций при повторной утечке.
Практика DATUM по сопровождению операторов с облачной инфраструктурой охватывает аудит договоров поручения, актуализацию уведомлений в реестре, подготовку к профвизиту и защиту от протоколов по ч. 8, ч. 10 и ч. 11 ст. 13.11 КоАП.