Jump to content
Калькуляторы

Предоставление сведений о месте нахождения баз данных

Доброго времени суток!

 

Поступило письмо от Роскомнадзора о предоставлении информации относительно места нахождения баз данных,содержащих ПД, как того требует закон о персональных данных (п.10.1 ч.3 ст. 22) и приказ РКН от 30.05.2017 №94.

Там указано, что необходимо указать конкретный адрес местонахождения базы данных.

Можно ли обойтись ссылкой только на юр.адрес компании? РКН будет проверять реальное нахождение базы данных,запрашивать договоры аренды на помещение,купле-продажи на приобретение сервера?

Допустим часть ПД по юр.адресу в бумажном виде можно проверить.

А в электронном виде? 

Формально показать доступ к базе данных можно хоть с юр.адреса.

Share this post


Link to post
Share on other sites

@Fafnir Вы должны указать адрес фактического расположения баз данных, содержащих ПД. Если это сервер у вас в офисе - адрес офиса, если в датацентре - адрес датацентра. Сейчас эти сведения просто дозапрашивают в связи с изменения в ФЗ, проверять их сходу не будут. Проверять их могут только в ходе назначенной проверки, с которыми в этом году проблемы. Практики прохождения таких проверок тоже пока нет. Однако - при изменении места нахождения БД ИСПДн вы должны уведомлять РКН в течение 10 рабочих дней.

Share this post


Link to post
Share on other sites

 А чего в этом странного ? Указываете свой физ.адрес, или место где бд лежит . Просто приводят свои дукументы  в порядок.

Share this post


Link to post
Share on other sites
1 hour ago, jffulcrum said:

@Fafnir Вы должны указать адрес фактического расположения баз данных, содержащих ПД. Если это сервер у вас в офисе - адрес офиса, если в датацентре - адрес датацентра. Сейчас эти сведения просто дозапрашивают в связи с изменения в ФЗ, проверять их сходу не будут. Проверять их могут только в ходе назначенной проверки, с которыми в этом году проблемы. Практики прохождения таких проверок тоже пока нет. Однако - при изменении места нахождения БД ИСПДн вы должны уведомлять РКН в течение 10 рабочих дней.

То есть, пока нет понимания,что будут запрашивать по документам при проверке в подтверждение размещения базы ПД в конкретном месте, соответствие нашего сервера требованиям, сравнимым с дата-центрами.

Тема новая для меня.

Share this post


Link to post
Share on other sites
7 минут назад, Fafnir сказал:

То есть, пока нет понимания,что будут запрашивать по документам при проверке в подтверждение размещения базы ПД в конкретном месте, соответствие нашего сервера требованиям, сравнимым с дата-центрами.

Пока известно, что такие вопросы задавались, но удовлетворял договор размещения сервера на коло в датацентре. Есть определенные требования защиты ИСПДн в части физической безопасности, но главная причина интереса РКН - это отбить желание хранить базы за рубежом. Как правило, поводом к таким вопросам являлся донос.

Share this post


Link to post
Share on other sites
38 минут назад, jffulcrum сказал:

главная причина интереса РКН - это отбить желание хранить базы за рубежом

Вовсе нет. Все данные после структуризации передаются ФСБ. Также есть приказ о взаимодействии ФСБ с МВД при изъятии серверов и предоставлении информации с них органам МВД.
 

Share this post


Link to post
Share on other sites

чисто интересно если база данных размещена на кластере который состоит из 10-тка серверов разнесенных по разным тех.площадкам для большей отказоустойчивости? :)

Share this post


Link to post
Share on other sites

@AAS В электронной форме уведомления можно несколько адресов забить.

Share this post


Link to post
Share on other sites
2 hours ago, jffulcrum said:

@AAS В электронной форме уведомления можно несколько адресов забить.

чтобы гарантированно везде заехали и вынесли всё что только можно?

Share this post


Link to post
Share on other sites
20 часов назад, Fafnir сказал:

Доброго времени суток!

 

Поступило письмо от Роскомнадзора о предоставлении информации относительно места нахождения баз данных,содержащих ПД, как того требует закон о персональных данных (п.10.1 ч.3 ст. 22) и приказ РКН от 30.05.2017 №94.

Там указано, что необходимо указать конкретный адрес местонахождения базы данных.

Можно ли обойтись ссылкой только на юр.адрес компании? РКН будет проверять реальное нахождение базы данных,запрашивать договоры аренды на помещение,купле-продажи на приобретение сервера?

Допустим часть ПД по юр.адресу в бумажном виде можно проверить.

А в электронном виде? 

Формально показать доступ к базе данных можно хоть с юр.адреса.

а от какой даты запрос?

( получается, не смотря на мораторий в связи Ковид19, они продолжают писать запросы...?

 

Share this post


Link to post
Share on other sites
6 minutes ago, Галушко Дмитрий said:

а от какой даты запрос?

( получается, не смотря на мораторий в связи Ковид19, они продолжают писать запросы...?

 

Запрос от 25 марта 2020 года.

Share this post


Link to post
Share on other sites
9 минут назад, Fafnir сказал:

Запрос от 25 марта 2020 года.

формально нераб. дни с 30 марта...

 

 

и там поаккуратней, коллега! Копают Вас под:

Цитата

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от одного миллиона до шести миллионов рублей.

 

Share this post


Link to post
Share on other sites

Коллеги,спасибо за высказанные мнения и с майскими праздниками!

Есть ещё один нюанс, который пытаюсь понять.

 

Согласно приказа РКН от 30.05.2017г. (пункты 3.1.3.-3.1.4.), учитываются все категории ПД. Рекомендуется указать все категории субъектов ПД и виды отношений с ними.

В нашем случае это физ.лица-работники (трудовые отношения) и клиенты (гражданско-правовые отн-я).

Разница по ПД у субъектов по объему и видами действий с ними.Для работников бОльший объем ПД и действий с ними.

Изначально при регистрации заявляли две категории субъектов.

 

Правильнее ли указывать в ответе РКН все же два адреса местонахождения баз данных, ввиду наличия двух категорий субъектов ПД? (БД клиентов находится по юр.адресу, а ПД работников у кадровика по другому адресу)

Из буквального прочтения п.3.1.3.-3.1.4. приказа у меня сложилось впечатление, что в одной БД нельзя одновременно указывать ПД работников и клиентов в виду озвученных выше различий.

 

Share this post


Link to post
Share on other sites
24 минуты назад, Fafnir сказал:

ПД работников у кадровика по другому адресу

Если это реально отдельная ИС, со своей базой данных - то да, вы указываете ее отдельно. Привязка именно к ИС, а не к категории (в ИС могут обрабатываться данные разных категорий).

Share this post


Link to post
Share on other sites
3 hours ago, jffulcrum said:

Если это реально отдельная ИС, со своей базой данных - то да, вы указываете ее отдельно. Привязка именно к ИС, а не к категории (в ИС могут обрабатываться данные разных категорий).

Тогда напрашивается вопрос - как тогда категории разграничивать категории?

Share this post


Link to post
Share on other sites

@AAS На уровне доступа в самой ИС, между пользователями. Если вопрос именно по работе в одной ИС с разными ПД.

Share this post


Link to post
Share on other sites

Изначально при регистрации компании указывались две категории субъектов ПД.

Соответственно сейчас при заполнении формы (https://pd.rkn.gov.ru/operators-registry/notification/updateform/)

 

В разделе "Сведения об информационных системах" , подразделе "Категории персональных данных" в отношении работников было больше отмечено обрабатываемых данных, чем для клиентов.

 

Насколько вижу из формы - уровни доступа к ИС при заполнении не отразить,требуется выбрать либо что то одно,либо создавать две категории субъектов,объем данных, с разными адресами ИС.

 

То есть, сузить/расширить указав одну категорию либо указать две разные категории субъектов ПД выполняя п.3.1.4. Приказа РКН от 30.05.2017 № 94

(Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором), и др.).

 

Получается,если указываем лишь одну базу (например работников по трудовому договору),  то не получится ли в понимании РКН, что мы необоснованно обрабатываем много ПД в отношении клиентов?

Как разрешить данную ситуацию не попав под нарушение?

Edited by Fafnir

Share this post


Link to post
Share on other sites

Если у вас все данные в одной ИС, то вы для нее указываете ту категорию, которых больше всего. То есть если у вас 100 клиентов и 10 сотрудников - значит выбираете что это ИС с ПД клиентов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now