Fafnir Опубликовано 28 апреля, 2020 · Жалоба Доброго времени суток! Поступило письмо от Роскомнадзора о предоставлении информации относительно места нахождения баз данных,содержащих ПД, как того требует закон о персональных данных (п.10.1 ч.3 ст. 22) и приказ РКН от 30.05.2017 №94. Там указано, что необходимо указать конкретный адрес местонахождения базы данных. Можно ли обойтись ссылкой только на юр.адрес компании? РКН будет проверять реальное нахождение базы данных,запрашивать договоры аренды на помещение,купле-продажи на приобретение сервера? Допустим часть ПД по юр.адресу в бумажном виде можно проверить. А в электронном виде? Формально показать доступ к базе данных можно хоть с юр.адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 апреля, 2020 · Жалоба @Fafnir Вы должны указать адрес фактического расположения баз данных, содержащих ПД. Если это сервер у вас в офисе - адрес офиса, если в датацентре - адрес датацентра. Сейчас эти сведения просто дозапрашивают в связи с изменения в ФЗ, проверять их сходу не будут. Проверять их могут только в ходе назначенной проверки, с которыми в этом году проблемы. Практики прохождения таких проверок тоже пока нет. Однако - при изменении места нахождения БД ИСПДн вы должны уведомлять РКН в течение 10 рабочих дней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 апреля, 2020 · Жалоба А чего в этом странного ? Указываете свой физ.адрес, или место где бд лежит . Просто приводят свои дукументы в порядок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fafnir Опубликовано 28 апреля, 2020 · Жалоба 1 hour ago, jffulcrum said: @Fafnir Вы должны указать адрес фактического расположения баз данных, содержащих ПД. Если это сервер у вас в офисе - адрес офиса, если в датацентре - адрес датацентра. Сейчас эти сведения просто дозапрашивают в связи с изменения в ФЗ, проверять их сходу не будут. Проверять их могут только в ходе назначенной проверки, с которыми в этом году проблемы. Практики прохождения таких проверок тоже пока нет. Однако - при изменении места нахождения БД ИСПДн вы должны уведомлять РКН в течение 10 рабочих дней. То есть, пока нет понимания,что будут запрашивать по документам при проверке в подтверждение размещения базы ПД в конкретном месте, соответствие нашего сервера требованиям, сравнимым с дата-центрами. Тема новая для меня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 апреля, 2020 · Жалоба 7 минут назад, Fafnir сказал: То есть, пока нет понимания,что будут запрашивать по документам при проверке в подтверждение размещения базы ПД в конкретном месте, соответствие нашего сервера требованиям, сравнимым с дата-центрами. Пока известно, что такие вопросы задавались, но удовлетворял договор размещения сервера на коло в датацентре. Есть определенные требования защиты ИСПДн в части физической безопасности, но главная причина интереса РКН - это отбить желание хранить базы за рубежом. Как правило, поводом к таким вопросам являлся донос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 28 апреля, 2020 · Жалоба 38 минут назад, jffulcrum сказал: главная причина интереса РКН - это отбить желание хранить базы за рубежом Вовсе нет. Все данные после структуризации передаются ФСБ. Также есть приказ о взаимодействии ФСБ с МВД при изъятии серверов и предоставлении информации с них органам МВД. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AAS Опубликовано 28 апреля, 2020 · Жалоба чисто интересно если база данных размещена на кластере который состоит из 10-тка серверов разнесенных по разным тех.площадкам для большей отказоустойчивости? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 апреля, 2020 · Жалоба @AAS В электронной форме уведомления можно несколько адресов забить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 28 апреля, 2020 · Жалоба 2 hours ago, jffulcrum said: @AAS В электронной форме уведомления можно несколько адресов забить. чтобы гарантированно везде заехали и вынесли всё что только можно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 28 апреля, 2020 · Жалоба http://www.consultant.ru/document/cons_doc_LAW_61801/ca9e5658710519f09ab2fdb8196fcb3eb024a051/ Читаем... думаем.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 29 апреля, 2020 · Жалоба 20 часов назад, Fafnir сказал: Доброго времени суток! Поступило письмо от Роскомнадзора о предоставлении информации относительно места нахождения баз данных,содержащих ПД, как того требует закон о персональных данных (п.10.1 ч.3 ст. 22) и приказ РКН от 30.05.2017 №94. Там указано, что необходимо указать конкретный адрес местонахождения базы данных. Можно ли обойтись ссылкой только на юр.адрес компании? РКН будет проверять реальное нахождение базы данных,запрашивать договоры аренды на помещение,купле-продажи на приобретение сервера? Допустим часть ПД по юр.адресу в бумажном виде можно проверить. А в электронном виде? Формально показать доступ к базе данных можно хоть с юр.адреса. а от какой даты запрос? ( получается, не смотря на мораторий в связи Ковид19, они продолжают писать запросы...? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fafnir Опубликовано 29 апреля, 2020 · Жалоба 6 minutes ago, Галушко Дмитрий said: а от какой даты запрос? ( получается, не смотря на мораторий в связи Ковид19, они продолжают писать запросы...? Запрос от 25 марта 2020 года. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 29 апреля, 2020 · Жалоба 9 минут назад, Fafnir сказал: Запрос от 25 марта 2020 года. формально нераб. дни с 30 марта... и там поаккуратней, коллега! Копают Вас под: Цитата 8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, - влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от одного миллиона до шести миллионов рублей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fafnir Опубликовано 4 мая, 2020 · Жалоба Коллеги,спасибо за высказанные мнения и с майскими праздниками! Есть ещё один нюанс, который пытаюсь понять. Согласно приказа РКН от 30.05.2017г. (пункты 3.1.3.-3.1.4.), учитываются все категории ПД. Рекомендуется указать все категории субъектов ПД и виды отношений с ними. В нашем случае это физ.лица-работники (трудовые отношения) и клиенты (гражданско-правовые отн-я). Разница по ПД у субъектов по объему и видами действий с ними.Для работников бОльший объем ПД и действий с ними. Изначально при регистрации заявляли две категории субъектов. Правильнее ли указывать в ответе РКН все же два адреса местонахождения баз данных, ввиду наличия двух категорий субъектов ПД? (БД клиентов находится по юр.адресу, а ПД работников у кадровика по другому адресу) Из буквального прочтения п.3.1.3.-3.1.4. приказа у меня сложилось впечатление, что в одной БД нельзя одновременно указывать ПД работников и клиентов в виду озвученных выше различий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 4 мая, 2020 · Жалоба 24 минуты назад, Fafnir сказал: ПД работников у кадровика по другому адресу Если это реально отдельная ИС, со своей базой данных - то да, вы указываете ее отдельно. Привязка именно к ИС, а не к категории (в ИС могут обрабатываться данные разных категорий). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fafnir Опубликовано 4 мая, 2020 · Жалоба 3 hours ago, jffulcrum said: Если это реально отдельная ИС, со своей базой данных - то да, вы указываете ее отдельно. Привязка именно к ИС, а не к категории (в ИС могут обрабатываться данные разных категорий). Тогда напрашивается вопрос - как тогда категории разграничивать категории? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 4 мая, 2020 · Жалоба @AAS На уровне доступа в самой ИС, между пользователями. Если вопрос именно по работе в одной ИС с разными ПД. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fafnir Опубликовано 6 мая, 2020 (изменено) · Жалоба Изначально при регистрации компании указывались две категории субъектов ПД. Соответственно сейчас при заполнении формы (https://pd.rkn.gov.ru/operators-registry/notification/updateform/) В разделе "Сведения об информационных системах" , подразделе "Категории персональных данных" в отношении работников было больше отмечено обрабатываемых данных, чем для клиентов. Насколько вижу из формы - уровни доступа к ИС при заполнении не отразить,требуется выбрать либо что то одно,либо создавать две категории субъектов,объем данных, с разными адресами ИС. То есть, сузить/расширить указав одну категорию либо указать две разные категории субъектов ПД выполняя п.3.1.4. Приказа РКН от 30.05.2017 № 94 (Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором), и др.). Получается,если указываем лишь одну базу (например работников по трудовому договору), то не получится ли в понимании РКН, что мы необоснованно обрабатываем много ПД в отношении клиентов? Как разрешить данную ситуацию не попав под нарушение? Изменено 6 мая, 2020 пользователем Fafnir Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 6 мая, 2020 · Жалоба Если у вас все данные в одной ИС, то вы для нее указываете ту категорию, которых больше всего. То есть если у вас 100 клиентов и 10 сотрудников - значит выбираете что это ИС с ПД клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...