1-го декабря Минюст зарегистрировал приказ Минкомсвязи №315 от 28-го августа 2015-го года о внесении изменений в Административный регламент РКН в части местонахождения баз данных персональных данных. Теперь в уведомлении в РКН добавился соответствующий раздел:
Никакого справочника ЦОДов, как могло бы показаться, на сайте РКН нет. Требования указывать право собственности на ЦОД в обновленном Административном регламенте тоже нет. Если вы используете чужую площадку, то РКН потребует еще и "настучать" на вашего контрагента.
Еще одной новацией новой формы электронного уведомления является необходимость указывать каждую ИСПДн, которая у вас есть. Меня это тоже смущает, так как ни в законе, ни в форме уведомления, утвержденной Минкомсвязи и являющейся приложением к Административному регламенту, нет ни слова про необходимость указывать все свои ИСПДн. РКН опять действует вне сферы своей компетенции.
Вторым приложением к приказу Минкомсвязи разработано информационное письмо о внесении изменений, которое по логике вещей должно стать основанием для отправки в РКН соответствующих уведомлений. Однако, хочу вернуться к своей сентябрьской заметке, посвященной этому вопросу.
Я уже тогда писал, что повторное уведомление шлется только в двух случаях, прямо предусмотренных законом - прекращение обработки ПДн и изменений сведений в первичном уведомлении. Ни тот, ни другой случай не стыкуются с местонахождением базы данных ПДн. Поэтому мои рекомендации остались неизменными - формально вы не обязаны отправлять повторное уведомление в РКН по факту нахождения своих ПДн. Это необходимо делать только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года.
Если же вы решите, несмотря на то, что это не является необходимым, направить в РКН информационное сообщение согласно 2-му приложению к 315-му приказу, то предварительно уточните физический адрес местонахождения своих баз данных с ПДн. Вспоминая совершенно идиотскую трактовку этого термина, которую, да-да, незаконно, использует РКН, под "базу данных" попадает любая табличка в Excel или Word, хранящуюся на компьютере. Отсюда вытекает два замечательных следствия:
Ну и в заключении очередной факт, показывающий как РКН относится к реальной защите прав субъектов ПДн. Все, что вы внесете в электронную форму уведомления, включая и ПДн ответственных за обработку, будет передано по открытым каналам связи (даже без HTTPS). Все в соответствие с буквой закона. А вот дух закона уполномоченный орган по защите прав субъектов ПДн волнует мало.
РКН по своей привычке немного переосмыслил то, что написано в Административном регламенте, попутно уравняв термин "база данных" и "центр обработки данных", и в электронной форме уведомления, размещенной на сайте РКН, это добавление выглядит так:
Никакого справочника ЦОДов, как могло бы показаться, на сайте РКН нет. Требования указывать право собственности на ЦОД в обновленном Административном регламенте тоже нет. Если вы используете чужую площадку, то РКН потребует еще и "настучать" на вашего контрагента.
Еще одной новацией новой формы электронного уведомления является необходимость указывать каждую ИСПДн, которая у вас есть. Меня это тоже смущает, так как ни в законе, ни в форме уведомления, утвержденной Минкомсвязи и являющейся приложением к Административному регламенту, нет ни слова про необходимость указывать все свои ИСПДн. РКН опять действует вне сферы своей компетенции.
Вторым приложением к приказу Минкомсвязи разработано информационное письмо о внесении изменений, которое по логике вещей должно стать основанием для отправки в РКН соответствующих уведомлений. Однако, хочу вернуться к своей сентябрьской заметке, посвященной этому вопросу.
Я уже тогда писал, что повторное уведомление шлется только в двух случаях, прямо предусмотренных законом - прекращение обработки ПДн и изменений сведений в первичном уведомлении. Ни тот, ни другой случай не стыкуются с местонахождением базы данных ПДн. Поэтому мои рекомендации остались неизменными - формально вы не обязаны отправлять повторное уведомление в РКН по факту нахождения своих ПДн. Это необходимо делать только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года.
Если же вы решите, несмотря на то, что это не является необходимым, направить в РКН информационное сообщение согласно 2-му приложению к 315-му приказу, то предварительно уточните физический адрес местонахождения своих баз данных с ПДн. Вспоминая совершенно идиотскую трактовку этого термина, которую, да-да, незаконно, использует РКН, под "базу данных" попадает любая табличка в Excel или Word, хранящуюся на компьютере. Отсюда вытекает два замечательных следствия:
- Вам придется указывать адреса ВСЕХ своих офисов, в которых ведется обработка ПДн.
- Вам придется уточнить адреса всех площадок, включая облачные, используемые вашими контрагентами/обработчиками ПДн. Да-да. По всем своим привлеченным обработчикам вам тоже придется это сделать, ведь это обязанность оператора ПДн.
Про мобильные устройства (лэптопы или смартфоны), хранящие базы данных с ПДн, даже думать не хочется. Какой адрес указывать у них? ГЛОНАСС? GPS? "Порт приписки"?
Ну и в заключении очередной факт, показывающий как РКН относится к реальной защите прав субъектов ПДн. Все, что вы внесете в электронную форму уведомления, включая и ПДн ответственных за обработку, будет передано по открытым каналам связи (даже без HTTPS). Все в соответствие с буквой закона. А вот дух закона уполномоченный орган по защите прав субъектов ПДн волнует мало.
