ГрамотаИБ ГрамотаИБ

Политика обработки ПДн для сайта на внешнем хранилище Яндекса: передача данных третьим лицам

23.06.2026

Разбор на конкретном примере: как сайту, который хранит персональные данные во внешнем облаке Яндекса (Yandex Object Storage, Яндекс Облако), правильно оформить передачу данных. Почему облако — это поручение обработки, а не слив данных на сторону, как закрывается локализация, что отразить в политике, что должно быть в согласии и в договоре поручения с провайдером. С примерами формулировок.

Частый и неочевидный кейс: сайт хранит данные пользователей не у себя, а во внешнем облаке — например, в Яндекс Объектном хранилище (Yandex Object Storage) или Яндекс Облаке. Сразу возникают вопросы: это передача данных третьим лицам? Нужно ли отдельное согласие? Что писать в политике и в договоре с провайдером? Разберём на конкретном примере — он опирается на общий порядок из статьи про разработку политики обработки ПДн.

Облако — это поручение обработки, а не передача на сторону

Ключевой момент: когда вы храните персональные данные в облаке провайдера, тот действует не как самостоятельный оператор, а как обработчик по вашему поручению (часть 3 статьи 6 152-ФЗ). Оператором остаётесь вы и именно вы отвечаете перед субъектом за обработку. Провайдер обрабатывает данные только по вашей инструкции и не вправе использовать их в своих целях. Это не слив данных на сторону, но оформить отношения нужно строго, иначе передача становится неправомерной, см. статью про поручение на обработку.

Локализация: почему Яндекс здесь удобен

Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны вестись в базах данных на территории России (часть 5 статьи 18 152-ФЗ). Российские дата-центры Яндекса этому требованию отвечают, поэтому хранение в российском регионе закрывает локализацию и не создаёт трансграничной передачи. Важный нюанс: если выбрать зарубежный регион размещения, появляется трансграничная передача (статья 12) с отдельными требованиями — для данных граждан РФ это лишний риск, проще оставаться в российском регионе.

Что отразить в политике

  • что обработка в части хранения поручается обработчику — поставщику облачной инфраструктуры;
  • цель и перечень действий обработчика (хранение, резервное копирование);
  • что данные хранятся на территории РФ;
  • что трансграничная передача не осуществляется (либо осуществляется — с указанием стран и оснований);
  • применяемые меры защиты.

Пример формулировки для политики: «Оператор вправе поручать обработку персональных данных (в части хранения и резервного копирования) третьим лицам — поставщикам облачной инфраструктуры — на основании договора, при условии соблюдения ими конфиденциальности и требований к безопасности. Хранение персональных данных осуществляется в дата-центрах, расположенных на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.»

Что должно быть в согласии

Поручение обработки по общему правилу допускается с согласия субъекта (часть 3 статьи 6 152-ФЗ), поэтому возможность привлечения обработчиков нужно отразить в согласии. С 1 сентября 2025 года согласие оформляется отдельным документом, а не пунктом в договоре или анкете (виды согласий разобраны в статье про согласия на обработку). В согласии стоит указать:

  • что оператор вправе поручать обработку третьим лицам (категория — поставщики облачных услуг — или конкретное лицо);
  • цели обработки и перечень действий с данными;
  • срок действия и порядок отзыва согласия.

Пример формулировки для согласия: «Я даю согласие на обработку моих персональных данных, включая их хранение с привлечением поставщика облачной инфраструктуры (обработчика) на основании договора поручения, для цели оказания услуг сайта. Согласие действует до достижения цели обработки и может быть отозвано путём направления заявления оператору.»

Что должно быть в договоре с провайдером

Отношения с облачным провайдером оформляются договором поручения; часто провайдер предоставляет готовое соглашение об обработке персональных данных, которое вы принимаете. По части 3 статьи 6 152-ФЗ в нём обязательно должны быть:

  • перечень действий (операций) с персональными данными, которые будет совершать обработчик;
  • цели обработки;
  • обязанность обработчика соблюдать конфиденциальность и обеспечивать безопасность данных при обработке;
  • требования к защите данных в соответствии со статьёй 19 152-ФЗ.

Проверьте, что провайдер готов предоставить такое поручение и подтвердить соответствие своей инфраструктуры требованиям (наличие аттестации и сертификатов). Ответственность перед субъектом всё равно несёт оператор, а обработчик отвечает перед оператором — поэтому договор это не формальность.

Подводные камни

  • выбран зарубежный регион хранения — возникла трансграничная передача и риск нарушения локализации;
  • облако используется, но поручение (соглашение об обработке) с провайдером не оформлено;
  • в политике и согласии вообще не упомянуто привлечение обработчиков;
  • путаница понятий: хранение в облаке описывают как раскрытие данных другому оператору, хотя это поручение;
  • данные уходят и другим получателям (аналитика, рассылки, CRM, доставка), а в документах отражено только облако.

Главное

Хранение данных сайта во внешнем облаке Яндекса — это поручение обработки: вы остаётесь оператором и отвечаете за данные. Чтобы всё было правомерно, нужны три согласованных документа: политика (упоминает поручение, локализацию и меры), согласие (допускает привлечение обработчиков) и договор поручения с провайдером (перечень операций, цели, конфиденциальность, меры по статье 19). Российский регион хранения дополнительно закрывает локализацию. ГрамотаИБ помогает собрать этот комплект под ваш профиль и связать политику с поручениями — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Как разработать политику обработки персональных данных: требования и типичные нарушения

Пошаговое руководство по разработке политики обработки персональных данных: чем регламентирован документ (статья 18.1 152-ФЗ и рекомендации Роскомнадзора), что обязательно должно быть внутри, где и как его публиковать, как составить под реальные процессы компании, а также подводные камни и характерные нарушения, за которые операторов штрафуют по статье 13.11 КоАП.

Обезличивание персональных данных: что это, зачем и как сделать

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.

Биометрия в фитнес-клубе: вход по лицу или отпечатку — что требует закон

Что обязан сделать фитнес-клуб, если пускает клиентов по отпечатку пальца или распознаванию лица. Пошагово: почему это биометрические персональные данные, зачем отдельное письменное согласие, как биометрия поднимает уровень защищённости до УЗ-3 по ПП-1119, требования 572-ФЗ и ЕБС, документы и меры. И почему многим клубам проще обойтись картой или браслетом.

Персональные данные в салоне красоты и барбершопе: пошаговый алгоритм

Минимальный, но полный алгоритм для салона красоты, барбершопа или студии: как небольшому бизнесу с онлайн-записью и CRM законно работать с персональными данными клиентов. По шагам — от 152-ФЗ и оснований обработки до расчёта уровня защищённости по ПП-1119 (обычно УЗ-4), уведомления Роскомнадзора, документов, мер по приказу ФСТЭК №21 и поручений сервисам записи.