18.12.2015

Об уведомлении РКН о местонахождении баз данных ПДн

1-го декабря Минюст зарегистрировал приказ Минкомсвязи №315 от 28-го августа 2015-го года о внесении изменений в Административный регламент РКН в части местонахождения баз данных персональных данных. Теперь в уведомлении в РКН добавился соответствующий раздел:


РКН по своей привычке немного переосмыслил то, что написано в Административном регламенте, попутно уравняв термин "база данных" и "центр обработки данных", и в электронной форме уведомления, размещенной на сайте РКН, это добавление выглядит так:


Никакого справочника ЦОДов, как могло бы показаться, на сайте РКН нет. Требования указывать право собственности на ЦОД в обновленном Административном регламенте тоже нет. Если вы используете чужую площадку, то РКН потребует еще и "настучать" на вашего контрагента.


Еще одной новацией новой формы электронного уведомления является необходимость указывать каждую ИСПДн, которая у вас есть. Меня это тоже смущает, так как ни в законе, ни в форме уведомления, утвержденной Минкомсвязи и являющейся приложением к Административному регламенту, нет ни слова про необходимость указывать все свои ИСПДн. РКН опять действует вне сферы своей компетенции.

Вторым приложением к приказу Минкомсвязи разработано информационное письмо о внесении изменений, которое по логике вещей должно стать основанием для отправки в РКН соответствующих уведомлений. Однако, хочу вернуться к своей сентябрьской заметке, посвященной этому вопросу.

Я уже тогда писал, что повторное уведомление шлется только в двух случаях, прямо предусмотренных законом - прекращение обработки ПДн и изменений сведений в первичном уведомлении. Ни тот, ни другой случай не стыкуются с местонахождением базы данных ПДн. Поэтому мои рекомендации остались неизменными - формально вы не обязаны отправлять повторное уведомление в РКН по факту нахождения своих ПДн. Это необходимо делать только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года.

Если же вы решите, несмотря на то, что это не является необходимым, направить в РКН информационное сообщение согласно 2-му приложению к 315-му приказу, то предварительно уточните физический адрес местонахождения своих баз данных с ПДн. Вспоминая совершенно идиотскую трактовку этого термина, которую, да-да, незаконно, использует РКН, под "базу данных" попадает любая табличка в Excel или Word, хранящуюся на компьютере. Отсюда вытекает два замечательных следствия:

  1. Вам придется указывать адреса ВСЕХ своих офисов, в которых ведется обработка ПДн.
  2. Вам придется уточнить адреса всех площадок, включая облачные, используемые вашими контрагентами/обработчиками ПДн. Да-да. По всем своим привлеченным обработчикам вам тоже придется это сделать, ведь это обязанность оператора ПДн.
Про мобильные устройства (лэптопы или смартфоны), хранящие базы данных с ПДн, даже думать не хочется. Какой адрес указывать у них? ГЛОНАСС? GPS? "Порт приписки"?


Ну и в заключении очередной факт, показывающий как РКН относится к реальной защите прав субъектов ПДн. Все, что вы внесете в электронную форму уведомления, включая и ПДн ответственных за обработку, будет передано по открытым каналам связи (даже без HTTPS). Все в соответствие с буквой закона. А вот дух закона уполномоченный орган по защите прав субъектов ПДн волнует мало.


9 коммент.:

Артем Дудник комментирует...

Спасибо за статью.
Форму подачи изменений "допилили" недавно.
В нашу организацию пришло письмо с требованием указать размещение базы данных, это было 3 декабря.
На тот момент для адреса размещения базы данных не было, пришлось консультироваться с РКН.
Уровнять базу данных и ЦОД -это смелое решение! (сарказм)

Алексей Лукацкий комментирует...

Да, это недавнее "изобретение". Но у РКН свое мнение, как обычно.

StepFor комментирует...

Для участия в закупках, обязательным условием со стороны Заказчика было предоставление выписки из реестра операторов ПДн.
При направлении заявления о предоставлении выписки, Роскомнадзор в обязательном порядке запросил предоставление информации о расположении баз данных. Так как выписка требовалась срочно, то соответствующая информация была предоставлена в РКН.

Алексей Лукацкий комментирует...

Узаконенный шантаж :-(

Alexey Muntyan комментирует...

Коллеги, только одного меня смутило появлении в электронной форме уведомления на портале РКН раздела "Сведения об информационной системе - Наименование ИС *", в котором надо напихать все сведения о категориях обрабатываемых ПДн, способах обработки и т.д.? И это надо делать для каждой ИС! А если в организации нет ИС, то как ей заполнять поля о категориях ПДн, категориях субъектов, перечне действия и т.д.? Я звонил в управление РКН по ЦФО - коллеги признали несовершенство формы и предложили обратиться в ЦА РКН с соответствующим запросом.

Алексей Лукацкий комментирует...

Вы вообще не обязаны электронную форму заполнять - сами в Wordе сделайте и все

Alexey Muntyan комментирует...

Это я прекрасно знаю, но РКН не перестает удивлять своей фантазией... Написал им запрос, в котором попросил объяснить несуразности нынешней формы.

Алексей Лукацкий комментирует...

РКН вообще не перестает ;-)

Alexey Muntyan комментирует...

Получил из РКН ответ за подписью Контемирова на свой запрос. Ответ сугубо на "отстань" (ни на один из трех поставленных вопросов не ответили), но электронную форму все же изменили: больше не требуют указать контрагентов по предоставлению услуг ЦОДа и наименование ИС, а вот ИСПДн все равно надо будет указывать по отдельности со всеми сведениями о категориях обрабатываемых ПДн, способах обработки и т.д.