Вопросы и ответы

Как проверить, что облачный сервис соответствует требованиям 152-ФЗ перед подписанием договора

Прежде чем подписывать договор на облачный сервис, нужно убедиться, что провайдер законно обрабатывает персональные данные и соблюдает требования 152-ФЗ.

Как проверить облачный провайдер в реестре операторов Роскомнадзора

Первый и самый важный шаг — убедиться, что провайдер имеет право обрабатывать персональные данные. По 152-ФЗ каждый оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные и получить соответствующее уведомление. Если облачный сервис выступает оператором или субоператором, его регистрация должна быть подтверждена.

Проверка занимает буквально несколько минут:

1. Перейдите на официальный сайт Роскомнадзора (rkn.gov.ru) в раздел «Реестр операторов, осуществляющих обработку персональных данных».

2. Введите ИНН или наименование провайдера в строку поиска.

3. Проверьте, что запись активна, а не отозвана, и что указанная цель обработки данных совпадает с тем, для чего вы планируете использовать сервис.

Согласно статье 22 152-ФЗ, оператор обязан направить уведомление в Роскомнадзор до начала обработки персональных данных. Отсутствие уведомления — прямое нарушение закона.

По нашему опыту, около 15–20 % небольших облачных провайдеров на российском рынке не имеют действующего уведомления в реестре. Это не обязательно означает мошенничество — иногда провайдер просто не считает себя оператором, передавая эту функцию клиенту. Но тогда в договоре должно быть чётко прописано, кто является оператором, а кто — обрабатывающей стороной по поручению.

Важно: реестр обновляется с задержкой в несколько рабочих дней. Если вы нашли запись, но она выглядит устаревшей, запросите у провайдера актуальную копию уведомления с печатью Роскомнадзора. Команда duubesoft.com рекомендует запрашивать этот документ наряду с остальными — он не заменяет проверку в реестре, но подтверждает добросовестность провайдера.

Где в договоре искать условия локализации данных на территории РФ

Второй критический блок — локализация. С 1 сентября 2015 года пункт 5 статьи 18 152-ФЗ требует, чтобы при сборе персональных данных граждан РФ обеспечивалась запись, систематизация, накопление, хранение и извлечение данных на территории России. Это так называемый принцип локализации.

В облачном контраксте нужно искать конкретные формулировки:

1. Где физически хранятся данные. Ищите в договоре или техническом приложении указание на дата-центр. Должны быть названы город и адрес, либо хотя бы регион размещения серверов. Если провайдер использует несколько площадок — уточните, на какой из них будут размещены ваши данные.

2. Кто контролирует резервное копирование. Даже если основной сервер в России, резервная копия может находиться за рубежом. Это нарушение. Убедитесь, что бэкапы также размещены на территории РФ.

3. Допускается ли трансграничная передача. Если данные могут покинуть Россию (например, для технической поддержки зарубежным инженером), это должно быть явно прописано и обосновано. По статье 18 (пункт 5) трансграничная передача допускается только при обеспечении адекватного уровня защиты и при наличии соответствующего решения Роскомнадзора.

4. Что происходит при расторжении договора. Провайдер обязан вернуть или уничтожить данные в установленный срок. Подробнее об этом читайте в нашем материале «Условия переноса данных при расторжении контракта с SaaS».

Пункт 5 статьи 18 152-ФЗ: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечивается запись, систематизация, накопление, хранение, обновление (извлечение) персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Какие сертификаты СКЗИ и протоколы шифрования должны быть у провайдера

Третий блок проверки — криптографическая защита. Облачный сервис, обрабатывающий персональные данные, должен обеспечивать их конфиденциальность с помощью средств криптографической защиты информации (СКЗИ). Это требование вытекает из Приказа ФСТЭК России № 21 от 18 февраля 2013 года и ГОСТ Р 34.12-2015 («Кузнечик»).

На что обращать внимание:

1. Сертификат соответствия СКЗИ. Провайдер должен предоставить действующий сертификат на средство криптографической защиты, выданный ФСБ или ФСТЭК. Проверьте срок действия сертификата — он не должен быть просрочен.

2. Протоколы шифрования. Минимально допустимые протоколы: TLS 1.2 и выше. Протоколы SSL 3.0, TLS 1.0 и TLS 1.1 считаются устаревшими и не обеспечивают достаточного уровня защиты. В договоре или технической документации должно быть указано, какие именно протоколы используются для передачи данных.

3. Шифрование данных при хранении (at rest). Помимо шифрования при передаче (in transit), данные должны быть зашифрованы на диске. Спросите провайдера, какой алгоритм используется — AES-256, ГОСТ 34.12-2015 «Кузнечик» или другой сертифицированный алгоритм.

4. Управление ключами. Кто генерирует ключи шифрования? Если ключи хранятся у провайдера — это нормально для коммерческих сервисов, но вы должны это знать. Если провайдер предлагает вариант «приватный ключ хранится у клиента» — это дополнительный плюс к безопасности.

ПараметрМинимальное требованиеЖелательный уровень
Протокол передачиTLS 1.2TLS 1.3
Шифрование at restAES-128AES-256 / ГОСТ «Кузнечик»
Сертификат СКЗИДействующий сертификат ФСТЭКСертификат ФСБ
Управление ключамиНа стороне провайдераКлиентский контроль ключей

На duubesoft.com мы регулярно проверяем техническую документацию провайдеров и замечаем, что многие до сих пор не могут предоставить сертификат СКЗИ по первому запросу. Это серьёзный красный флаг.

Таблица проверки: какие пункты 152-ФЗ проверить в облачном сервисе перед подписанием

Мы собрали все ключевые требования в единую таблицу. Используйте её как рабочий инструмент при анализе договора и технической документации провайдера.

Пункт проверкиТребование 152-ФЗ / подзаконного актаКак проверитьСтатус
Уведомление РоскомнадзорСт. 22 — оператор обязан уведомить РоскомнадзорПоиск в реестре на rkn.gov.ru
Локализация данныхСт. 18, п. 5 — хранение на территории РФЗапрос адреса дата-центра в договоре
Согласие субъектаСт. 9 — получение согласия на обработкуПроверка формы согласия в сервисе
Шифрование данныхПриказ ФСТЭК № 21, ГОСТ Р 34.12-2015Запрос сертификата СКЗИ
Назначение ответственногоСт. 5, п. 1 — ответственный за организацию обработкиЗапрос приказа или указания должности
Журнал событийПриказ ФСТЭК № 21, п. 13 — ведение журналаЗапрос образца журнала аудита
Уничтожение данныхСт. 21 — уничтожение по прекращении обработкиПроверка раздела о расторжении договора
Трансграничная передачаСт. 18, п. 5 — ограничение передачи за рубежПроверка географии серверов
Реагирование на инцидентыСт. 21.1 — уведомление об утечке в 72 часаПроверка SLA по инцидентам
Аудит безопасностиПриказ ФСТЭК № 21 — периодический аудитЗапрос последнего отчёта об аудите

Риски: что будет, если облачный сервис не соответствует 152-ФЗ

Несоблюдение требований 152-ФЗ влечёт серьёзные последствия как для провайдера, так и для его клиента — оператора данных. Вот основные риски, которые мы выявили при анализе судебной практики и решений Роскомнадзора:

1. Штрафы по статье 13.11 КоАП РФ. Размер штрафов был значительно увеличен в 2017 году и по состоянию на 2025 год составляет: до 50 000 ₽ за нарушение требований к обработке данных, до 100 000 ₽ за непредоставление информации субъекту, до 6 000 000 ₽ за обработку данных без согласия и до 18 000 000 ₽ за повторное нарушение. Для небольшой компании это может стать критическим ударом.

2. Приостановка деятельности. Роскомнадзор вправе приостановить обработку персональных данных на срок до 6 месяцев. Если ваш бизнес полностью зависит от облачного сервиса, приостановка означает остановку всех процессов — от CRM до электронного документооборота.

3. Репутационные потери. Утечка персональных данных сотрудников или клиентов влечёт обязанность уведомить пострадавших и Роскомнадзор в течение 72 часов (статья 21.1 152-ФЗ). Публичный скандал может обойтись дороже штрафа.

4. Расторжение контракта с госзаказчиком. Если вы работаете с государственными структурами, несоблюдение 152-ФЗ может стать основанием для расторжения контракта и включения в реестр недобросовестных поставщиков.

По данным Роскомнадзора за 2024 год, количество проверок в сфере персональных данных выросло на 30 % по сравнению с 2023 годом, а суммарный размер штрафов превысил 2,5 млрд ₽.

Дополнительно рекомендуем ознакомиться с нашим материалом «Безопасность аккаунта в цифровом сервисе» — в нём мы рассказываем о базовых мерах защиты, которые должен обеспечить каждый облачный провайдер.

Чек-лист: 10 вопросов к провайдеру перед подписанием договора

Мы составили финальный чек-лист из десяти вопросов, которые стоит направить провайдеру в письменной форме до подписания. Ответы на эти вопросы позволят оценить реальный уровень соответствия 152-ФЗ.

1. Есть ли у вас действующее уведомление в реестре операторов Роскомнадзора? Предоставьте номер уведомления и дату регистрации.

2. На территории какого государства физически размещены серверы, на которых будут храниться мои данные? Предоставьте адреса дата-центров.

3. Какие протоколы шифрования используются для передачи данных (in transit) и хранения (at rest)?

4. Предоставьте действующий сертификат СКЗИ на средство криптографической защиты.

5. Кто является оператором персональных данных в рамках нашего взаимодействия — вы или я? Как это зафиксировано в договоре?

6. Предусмотрена ли возможность аудита безопасности со стороны моей организации или независимого аудитора?

7. Каков порядок и сроки уведомления об инцидентах (утечках данных)? Какие обязательства по SLA вы берёте?

8. Что происходит с моими данными при расторжении договора — возврат, уничтожение или иное? В какие сроки?

9. Допускается ли трансграничная передача моих данных? Если да — на каком правовом основании и в какие страны?

10. Какие меры организационной защиты предусмотрены: назначенный ответственный, внутренний регламент обработки ПДн, обучение персонала?

Подробнее о рисках переноса данных читайте в нашем чек-листе «Чек-лист переноса данных: риски и следующий шаг».

Проверка первоисточников

Где сверить правила и документы

Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.