Перейти к содержимому
Калькуляторы

Предоставление сведений о месте нахождения баз данных

Доброго времени суток!

 

Поступило письмо от Роскомнадзора о предоставлении информации относительно места нахождения баз данных,содержащих ПД, как того требует закон о персональных данных (п.10.1 ч.3 ст. 22) и приказ РКН от 30.05.2017 №94.

Там указано, что необходимо указать конкретный адрес местонахождения базы данных.

Можно ли обойтись ссылкой только на юр.адрес компании? РКН будет проверять реальное нахождение базы данных,запрашивать договоры аренды на помещение,купле-продажи на приобретение сервера?

Допустим часть ПД по юр.адресу в бумажном виде можно проверить.

А в электронном виде? 

Формально показать доступ к базе данных можно хоть с юр.адреса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Fafnir Вы должны указать адрес фактического расположения баз данных, содержащих ПД. Если это сервер у вас в офисе - адрес офиса, если в датацентре - адрес датацентра. Сейчас эти сведения просто дозапрашивают в связи с изменения в ФЗ, проверять их сходу не будут. Проверять их могут только в ходе назначенной проверки, с которыми в этом году проблемы. Практики прохождения таких проверок тоже пока нет. Однако - при изменении места нахождения БД ИСПДн вы должны уведомлять РКН в течение 10 рабочих дней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 А чего в этом странного ? Указываете свой физ.адрес, или место где бд лежит . Просто приводят свои дукументы  в порядок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, jffulcrum said:

@Fafnir Вы должны указать адрес фактического расположения баз данных, содержащих ПД. Если это сервер у вас в офисе - адрес офиса, если в датацентре - адрес датацентра. Сейчас эти сведения просто дозапрашивают в связи с изменения в ФЗ, проверять их сходу не будут. Проверять их могут только в ходе назначенной проверки, с которыми в этом году проблемы. Практики прохождения таких проверок тоже пока нет. Однако - при изменении места нахождения БД ИСПДн вы должны уведомлять РКН в течение 10 рабочих дней.

То есть, пока нет понимания,что будут запрашивать по документам при проверке в подтверждение размещения базы ПД в конкретном месте, соответствие нашего сервера требованиям, сравнимым с дата-центрами.

Тема новая для меня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, Fafnir сказал:

То есть, пока нет понимания,что будут запрашивать по документам при проверке в подтверждение размещения базы ПД в конкретном месте, соответствие нашего сервера требованиям, сравнимым с дата-центрами.

Пока известно, что такие вопросы задавались, но удовлетворял договор размещения сервера на коло в датацентре. Есть определенные требования защиты ИСПДн в части физической безопасности, но главная причина интереса РКН - это отбить желание хранить базы за рубежом. Как правило, поводом к таким вопросам являлся донос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

38 минут назад, jffulcrum сказал:

главная причина интереса РКН - это отбить желание хранить базы за рубежом

Вовсе нет. Все данные после структуризации передаются ФСБ. Также есть приказ о взаимодействии ФСБ с МВД при изъятии серверов и предоставлении информации с них органам МВД.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

чисто интересно если база данных размещена на кластере который состоит из 10-тка серверов разнесенных по разным тех.площадкам для большей отказоустойчивости? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@AAS В электронной форме уведомления можно несколько адресов забить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 hours ago, jffulcrum said:

@AAS В электронной форме уведомления можно несколько адресов забить.

чтобы гарантированно везде заехали и вынесли всё что только можно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, Fafnir сказал:

Доброго времени суток!

 

Поступило письмо от Роскомнадзора о предоставлении информации относительно места нахождения баз данных,содержащих ПД, как того требует закон о персональных данных (п.10.1 ч.3 ст. 22) и приказ РКН от 30.05.2017 №94.

Там указано, что необходимо указать конкретный адрес местонахождения базы данных.

Можно ли обойтись ссылкой только на юр.адрес компании? РКН будет проверять реальное нахождение базы данных,запрашивать договоры аренды на помещение,купле-продажи на приобретение сервера?

Допустим часть ПД по юр.адресу в бумажном виде можно проверить.

А в электронном виде? 

Формально показать доступ к базе данных можно хоть с юр.адреса.

а от какой даты запрос?

( получается, не смотря на мораторий в связи Ковид19, они продолжают писать запросы...?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 minutes ago, Галушко Дмитрий said:

а от какой даты запрос?

( получается, не смотря на мораторий в связи Ковид19, они продолжают писать запросы...?

 

Запрос от 25 марта 2020 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, Fafnir сказал:

Запрос от 25 марта 2020 года.

формально нераб. дни с 30 марта...

 

 

и там поаккуратней, коллега! Копают Вас под:

Цитата

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от одного миллиона до шести миллионов рублей.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги,спасибо за высказанные мнения и с майскими праздниками!

Есть ещё один нюанс, который пытаюсь понять.

 

Согласно приказа РКН от 30.05.2017г. (пункты 3.1.3.-3.1.4.), учитываются все категории ПД. Рекомендуется указать все категории субъектов ПД и виды отношений с ними.

В нашем случае это физ.лица-работники (трудовые отношения) и клиенты (гражданско-правовые отн-я).

Разница по ПД у субъектов по объему и видами действий с ними.Для работников бОльший объем ПД и действий с ними.

Изначально при регистрации заявляли две категории субъектов.

 

Правильнее ли указывать в ответе РКН все же два адреса местонахождения баз данных, ввиду наличия двух категорий субъектов ПД? (БД клиентов находится по юр.адресу, а ПД работников у кадровика по другому адресу)

Из буквального прочтения п.3.1.3.-3.1.4. приказа у меня сложилось впечатление, что в одной БД нельзя одновременно указывать ПД работников и клиентов в виду озвученных выше различий.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

24 минуты назад, Fafnir сказал:

ПД работников у кадровика по другому адресу

Если это реально отдельная ИС, со своей базой данных - то да, вы указываете ее отдельно. Привязка именно к ИС, а не к категории (в ИС могут обрабатываться данные разных категорий).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, jffulcrum said:

Если это реально отдельная ИС, со своей базой данных - то да, вы указываете ее отдельно. Привязка именно к ИС, а не к категории (в ИС могут обрабатываться данные разных категорий).

Тогда напрашивается вопрос - как тогда категории разграничивать категории?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@AAS На уровне доступа в самой ИС, между пользователями. Если вопрос именно по работе в одной ИС с разными ПД.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Изначально при регистрации компании указывались две категории субъектов ПД.

Соответственно сейчас при заполнении формы (https://pd.rkn.gov.ru/operators-registry/notification/updateform/)

 

В разделе "Сведения об информационных системах" , подразделе "Категории персональных данных" в отношении работников было больше отмечено обрабатываемых данных, чем для клиентов.

 

Насколько вижу из формы - уровни доступа к ИС при заполнении не отразить,требуется выбрать либо что то одно,либо создавать две категории субъектов,объем данных, с разными адресами ИС.

 

То есть, сузить/расширить указав одну категорию либо указать две разные категории субъектов ПД выполняя п.3.1.4. Приказа РКН от 30.05.2017 № 94

(Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором), и др.).

 

Получается,если указываем лишь одну базу (например работников по трудовому договору),  то не получится ли в понимании РКН, что мы необоснованно обрабатываем много ПД в отношении клиентов?

Как разрешить данную ситуацию не попав под нарушение?

Изменено пользователем Fafnir

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если у вас все данные в одной ИС, то вы для нее указываете ту категорию, которых больше всего. То есть если у вас 100 клиентов и 10 сотрудников - значит выбираете что это ИС с ПД клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.