Security Lab

Об уведомлении РКН о местонахождении баз данных ПДн

Об уведомлении РКН о местонахождении баз данных ПДн
1-го декабря Минюст зарегистрировал  приказ Минкомсвязи №315 от 28-го августа 2015-го года о внесении изменений в Административный регламент РКН в части местонахождения баз данных персональных данных. Теперь в уведомлении в РКН добавился соответствующий раздел:


РКН по своей привычке немного переосмыслил то, что написано в Административном регламенте, попутно уравняв термин "база данных" и "центр обработки данных", и в электронной форме уведомления, размещенной  на сайте РКН, это добавление выглядит так:


Никакого справочника ЦОДов, как могло бы показаться, на сайте РКН нет. Требования указывать право собственности на ЦОД в обновленном Административном регламенте тоже нет. Если вы используете чужую площадку, то РКН потребует еще и "настучать" на вашего контрагента.


Еще одной новацией новой формы электронного уведомления является необходимость указывать каждую ИСПДн, которая у вас есть. Меня это тоже смущает, так как ни в законе, ни в форме уведомления, утвержденной Минкомсвязи и являющейся приложением к Административному регламенту, нет ни слова про необходимость указывать все свои ИСПДн. РКН опять действует вне сферы своей компетенции.

Вторым приложением к приказу Минкомсвязи разработано информационное письмо о внесении изменений, которое по логике вещей должно стать основанием для отправки в РКН соответствующих уведомлений. Однако, хочу вернуться к своей сентябрьской заметке , посвященной этому вопросу.

Я уже тогда писал, что повторное уведомление шлется только в двух случаях, прямо предусмотренных законом - прекращение обработки ПДн и изменений сведений в первичном уведомлении. Ни тот, ни другой случай не стыкуются с местонахождением базы данных ПДн. Поэтому мои рекомендации остались неизменными - формально вы не обязаны отправлять повторное уведомление в РКН по факту нахождения своих ПДн. Это необходимо делать только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года.

Если же вы решите, несмотря на то, что это не является необходимым, направить в РКН информационное сообщение согласно 2-му приложению к 315-му приказу, то предварительно уточните физический адрес местонахождения своих баз данных с ПДн. Вспоминая  совершенно идиотскую трактовку этого термина, которую, да-да, незаконно, использует РКН, под "базу данных" попадает любая табличка в Excel или Word, хранящуюся на компьютере. Отсюда вытекает два замечательных следствия:

  1. Вам придется указывать адреса ВСЕХ своих офисов, в которых ведется обработка ПДн.
  2. Вам придется уточнить адреса всех площадок, включая облачные, используемые вашими контрагентами/обработчиками ПДн. Да-да. По всем своим привлеченным обработчикам вам тоже придется это сделать, ведь это обязанность оператора ПДн.
Про мобильные устройства (лэптопы или смартфоны), хранящие базы данных с ПДн, даже думать не хочется. Какой адрес указывать у них? ГЛОНАСС? GPS? "Порт приписки"?


Ну и в заключении очередной факт, показывающий как РКН относится к реальной защите прав субъектов ПДн. Все, что вы внесете в электронную форму уведомления, включая и ПДн ответственных за обработку, будет передано по открытым каналам связи (даже без HTTPS). Все в соответствие с буквой закона . А вот дух закона уполномоченный орган по защите прав субъектов ПДн волнует мало.


Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену