DPO, юрист в области информационного права, юридическая компания Lukash & Partners
Поддерживаю. В целом, если сделка связана с каким-то потоком персональных данных к контрагентам, то к договору сразу предъявляется ряд требований по 152-ФЗ. Как следствие, предъявить аналогичные требования контрагентам контрагента.
Провайдер хостинга в отношении одних потоков персональных данных является оператором, в отношении других - лицом, осуществляющим обработку персональных данных по поручению оператора (для краткости - обработчиком). Процесс идентификации здесь принципиально ничего не меняет. В отношении клиентов - физлиц провайдер хостинга является оператором, а также являлся ранее, даже если не собирал точные данные о клиенте - физлице (см. понятие "персональные данные" с учетом косвенного отнесения).
Провайдер хостинга являлся и является обработчиком в отношении персональных данных пользователей клиентов, т.е. тех персональных данных, которые обрабатывает клиент провайдера хостинга как оператор в размещаемой информационной системе на вычислительной мощности провайдера хостинга.
В дополнение для полноты. Каждый провайдер хостинга должен также уведомить Роскомнадзор об обработке персональных данных по ст. 22 152-ФЗ.
С 01.12.23 открылась возможность подачи уведомления в электронном виде https://service.rkn.gov.ru/monitoring/rph.
Направлял письмо в Минцифры России в сентябре с аналогичным вопросом, последний ушел от явного ответа в отношении собственных серверов (хотя ответил на другие вопросы). Моя позиция - новые требования не распространяются если нет критерия "предоставления" вычислительной мощности (см. определение провайдера хостинга).
Замечу, Вы упомянули "внешним" клиентам. Если есть пользователи внутри группы компаний, часто это отдельные юридические лица, здесь как раз вычислительная мощность может именно предоставляться.
Много интересного также публикую в телеграм-канале https://t.me/privacyexpert, подписывайтесь.