ГрамотаИБ ГрамотаИБ

Персональные данные в 1С: кто оператор, облако или свой сервер и как не попасть на штраф

25.06.2026

В 1С почти всегда есть персональные данные — зарплата и кадры, клиенты, контрагенты-физлица. Значит, это ИСПДн со своими требованиями 152-ФЗ. Разбираем, кто здесь оператор (вы, а не фирма 1С и не хостер), чем с точки зрения закона отличается локальная 1С на своём сервере от облачной аренды (1С в облаке, хостинг, 1С:Фреш), почему облачный провайдер — это обработчик и нужно поручение на обработку с локализацией данных в России, какие документы оформить и на чём экономия превращается в штраф.

1С есть почти в каждой организации, и почти в каждой базе 1С есть персональные данные: зарплата и кадры, клиенты, контрагенты-физлица, контакты. Как только в системе появляются такие данные, это уже информационная система персональных данных (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.) со своими требованиями 152-ФЗ. Частая ошибка — экономить на хостинге и защите, считая, что за всё отвечает кто-то другой. Разберём, кто на самом деле оператор и как организовать 1С с данными законно.

1С с персональными данными — это ИСПДн

Если в 1С обрабатываются ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). с использованием средств автоматизации (а так и есть — поиск, выборки, отчёты), система подпадает под требования к ИСПДн: нужно определить уровень защищённости, принять организационные и технические меры, оформить документы. Базовый разбор — в статьях «Обработка ПДн с использованием средств автоматизации» и «Уровни защищённости ПДн».

Кто оператор: вы, а не 1С и не хостер

Оператор — это тот, кто определяет цели и состав обработки, то есть ваша организация. Разработчик программы (фирма 1С) оператором вашей клиентской базы не является, пока не получает к ней доступ. Облачный провайдер в отношении ваших данных выступает обработчиком — обрабатывает их по вашему поручению (хотя по своим данным об аккаунте, оплате и поддержке он сам оператор). Ответственность за вашу базу перед субъектами и Роскомнадзором остаётся на вас: нельзя переложить её на провайдера фразой «данные в облаке, пусть отвечает он».

Вариант А: 1С на своём сервере

Если 1С развёрнута локально — на вашем сервере или компьютерах, — вы и оператор, и тот, кто обеспечивает защиту. На вас:

  • определить уровень защищённости ИСПДн и принять меры под него;
  • разграничить доступ к базе: у каждого сотрудника своя учётная запись, права по роли, а не общий вход для всех;
  • организовать резервное копирование, антивирусную защиту, обновления;
  • оформить организационные документы и журналы.

Вариант Б: 1С в облаке (аренда, хостинг, 1С:Фреш)

При облачной 1С появляется обработчик, и к вашим обязанностям добавляются ещё несколько:

  • Поручение на обработку. С провайдером нужен договор (поручение), отвечающий статье 6 части 3 и статье 18.1 152-ФЗ: перечень действий, цели, требование соблюдать конфиденциальность и принимать меры защиты, обязанность по запросу удалить данные. Подробно — в статье «Поручение на обработку ПДн».
  • Локализация в России. Первичная запись и хранение ПДн граждан РФ должны идти в базах на территории России (часть 5 статьи 18 152-ФЗ). Дешёвый зарубежный VPS под базу 1С с такими данными конфликтует с этим требованием.
  • Надёжный провайдер. Выбирайте провайдера с инфраструктурой в РФ, подтверждёнными мерами защиты, договорными гарантиями и понятным порядком доступа и реагирования на инциденты; аттестованный ЦОД и лицензии — плюс, но не всегда обязательное условие для аренды облачной 1С. О тонкостях внешних хранилищ — в статье «Политика ПДн для сайта на внешнем хранилище».

Какие документы оформить

  • Перечень ИСПДн (с указанием базы 1С) и акт определения уровня защищённости.
  • Поручение на обработку с облачным провайдером (для облачного варианта).
  • Политику обработки ПДн, согласия, приказы о доступе и ответственном — общий комплект см. в обзоре «Документы по защите информации».

Типичные ошибки

  • «Данные в облаке — отвечает провайдер». Ответственность оператора остаётся на вас; провайдер лишь обработчик.
  • Зарубежный хостинг ради экономии. Дешёвый иностранный сервер под базу 1С с данными россиян конфликтует с требованием о локализации.
  • Нет поручения. Используют облачную 1С без договора-поручения с провайдером.
  • Общий доступ ко всей базе. Все сотрудники заходят под одним пользователем и видят всё — нет разграничения доступа.
  • Никаких документов. 1С с зарплатой и клиентами работает, а уровень защищённости не определён и бумаг нет.

Главное

1С с зарплатой, кадрами и клиентами — это ИСПДн, а оператор в ней вы, а не фирма 1С или хостер. На своём сервере вы сами обеспечиваете защиту; в облаке добавляются поручение на обработку с провайдером и локализация данных в России. Экономия на зарубежном хостинге или на оформлении оборачивается нарушением и штрафом, тогда как правильная организация стоит недорого. ГрамотаИБ помогает определить уровень защищённости вашей 1С, подготовить поручение и комплект документов — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Уведомление в Роскомнадзор об обработке персональных данных: кому обязательно и как подать

Уведомление об обработке персональных данных — первый и самый дешёвый шаг к соответствию 152-ФЗ. После реформы 2022 года почти все операторы обязаны подавать его, включая ИП и работодателей, обрабатывающих данные своих сотрудников. Разбираем, кто обязан уведомлять и какие исключения статьи 22 ещё остались, как подать уведомление бесплатно через сайт Роскомнадзора или Госуслуги, что в нём указать и какой штраф грозит за неподачу (статья 13.11 КоАП РФ).

Роскомнадзор проверяет сайты автоматически: что сканирует и как пройти без предписания

В 2025 году Роскомнадзор перешёл к автоматизированному мониторингу сайтов и массово рассылает операторам требования и предписания — без выездной проверки. Разбираем, что именно проверяется на сайте (опубликованная политика обработки ПДн, формы сбора согласия и чек-боксы, уведомление в реестре операторов, локализация баз данных в России, иностранные счётчики и сервисы), как самостоятельно пройти этот чек-лист и закрыть нарушения бесплатно, чтобы не получить штраф.

Бумага и ИСПДн: что хранить, сколько и когда уничтожать персональные данные

Клиент подписал согласие и договор на бумаге, а данные внесли в информационную систему. Нужно ли после этого уничтожать оригиналы документов и сколько их хранить? Когда и как удалять данные из ИСПДн? Разбираем жизненный цикл персональных данных на двух носителях сразу: зачем хранить бумажный оригинал как доказательство законности обработки, какие сроки хранения у согласий и договоров, когда наступает обязанность уничтожить данные (30 дней по статье 21 152-ФЗ) и как оформить уничтожение по Приказу Роскомнадзора №179.

Обработка персональных данных соискателей при найме: согласие, кадровый резерв и сроки

Как работодателю законно обрабатывать персональные данные соискателей на этапе найма: на каком основании можно рассматривать резюме без отдельного согласия, почему хранение резюме в кадровом резерве требует отдельного согласия и срока, когда нужно согласие на проверку кандидата, принцип минимизации данных и сроки удаления после отказа. Типичные нарушения, за которые штрафует Роскомнадзор.