15.9.15

Уведомлять или нет РКН о месте нахождения баз данных ПДн россиян? Не вопрос :-)

Сегодня наступило знаменательное событие - прошло ровно 10 рабочих дней с момента вступления в силу 242-ФЗ, "закона о запрете хранения персональных данных россиян за границей". И многие операторы ПДн задумались, как им выполнить часть 7-ю статьи 22-й этого закона. А гласит эта статья немного немало, а об обязанности уведомить РКН о месте нахождения базы данных с персональными данными. Роскомнадзор не преминул воспользоваться своим правом и стал рекомендовать/требовать от операторов ПДн в разных регионах прислать обновленное уведомление. Вот, например, ростовский РКН об этом пишет, а вот - екатеринбургский. Писать необходимо в формате некоего информационного сообщения. И вот по этому поводу у меня есть несколько комментариев.

Во-первых, если внимательно прочитать саму статью 22.7, то мы увидим, что о месте нахождения базы данных с ПДн никого уведомлять не нужно! 7-я часть говорит только о необходимости повторного уведомления всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в ранее отправленном уведомлении. Но вы же скорее всего и так раньше хранили ПДн в России (хранящих за ее пределами не так уж и много на самом деле). Значит у вас ничего не поменялось и вам повторно утруждать Роскомнадзор изучением вашего уведомления не надо. Да и леса надо поберечь. Если 300 тысяч операторов ПДн повторно направят свои уведомления, то от этого выиграет только "Почта России" и продавцы бумаги. Ни РКН не узнает ничего нового, ни субъекты ПДн не пострадают.

А что же делать, если у вас раньше ПДн хранились "там", а к 1-му сентября вы их перенесли "сюда"? Если смотреть формально, то все равно вы же раньше не уведомляли о месте нахождения баз данных. А значит, с формальной точки зрения, у вас ничего и не поменялось в отправленном уведомлении. Но поскольку РКН у нас очень вольно трактует законодательство и регулярно меняет свою точку зрения на одни и те же вопросы, то многие хотят подстраховаться и все-таки направить РКН повторное уведомление. Что в нем писать?

Терорганы РКН ("тер" - от слова "территориальные", а не "терроризирующие") в своих устных ответах на этот вопрос говорят, что указывать надо не только физическое местонахождение база данных (я бы координаты ГЛОНАСС отправил :-), но и название СУБД и даже ее версию. Видимо они хотят повторить эпопею с указанием наименований СКЗИ, защищающих ПДн. Надо ли отправлять эту информацию? Нет, не надо! Мотивация проста.

Форма уведомления в РКН утверждена 482-м приказом РКН от 16.07.2010, а приказом 706-м от 19.08.2011 в нее внесены изменения. Потом был еще 37-й приказ от 14.03.2014, которые 30 декабря были отменены 198-м приказом РКН. Тогда же, 30-го декабря 2014-го года были выпущены еще одни, временные, рекомендации по заполнению формы уведомления. Но и там нет ни слова о том, что надо писать относительно местонахождения баз данных ПДн (хотя текст законопроекта, впоследствие ставший 242-ФЗ, уже был тогда известен).

Если посмотреть административный регламент РКН по исполнению государственной функции ведения реестра операторов ПДн (похоже, это единственный действующий сейчас документ по части уведомления), то и там нет ни слова про то, что надо указывать в части местонахождения баз данных ПДн. Кстати, забавная ситуация, вот уже много лет на официальном сайте РКН на месте этого регламента висит другой - по проведению проверок в области радиочастотного спектра.

Какой же вывод можно сделать из этого? В связи с тем, что официальных документов, разъясняющих, что такое "сведения о месте нахождения баз данных информации, содержащей персональные данные граждан Российской Федерации" нет, то если вы все-таки горите желанием отправить в РКН хоть что-то, то отправьте туда информационное сообщение, в котором будет написано, что база данных ПДн находится на территории Российской Федерации. Это не противоречит закону и даже полностью ему соответствует. А вот когда РКН разродится изменениями и в свой приказ, и в административный регламент, тогда уже можно будет говорить и об отправке более конкретных сведений.

ЗЫ. На портале проектов НПА я не нашел упоминаний о подготовке обновленной версии приказа РКН). Хотя времени у РКН было предостаточно и другие проекты они готовили загодя.

12 коммент.:

r1j1k комментирует...

Терорганы - отличная словоформа для любого регулятора)
Спасибо!

Александр Германович комментирует...

У РКН вообще много забавного. Вот на сайте Управления РКН по ЦФО среди нормативных актов в области ПДн до сих пор значатся (http://77.rkn.gov.ru/law/p4735/):
- Приказ "трех";
- Постановление Правительства 504 (о лицензировании!)
- Приказ ФСТЭК 58.
И почему-то к области ПДн у них отнесены Указ 351 и Постановление 1233.

Некогда регулятору в нормативке разибраться: работы много.

Unknown комментирует...

Потрудился немного, почитал нормативку и, что же Приказ всё-таки издаёт не Роскомнадзор, а Минкомсвязи. Прежде чем раздавать лозунги, нужно разобраться в теме, в которой Вы оппозиционируете себя как эксперт.
А все приведенные в заметке приказы Роскомнадзора давно являются недействующими в силу принятия Административного регламента. Тоже нужно быть более внимательным.
Последние из приведённых актов утверждали рекомендации по заполнению уведомления и там ни слова не было об утверждении формы уведомления.
И ещё…242-ФЗ напрямую определяет перечень информации, подлежащей указанию в уведомлении об обработке персональных данных. И таким образом, норма закона является обязательной для исполнения, а тезисы, призывающие не соблюдать закон вводят в заблуждение тех, кого это может касаться.
Экспертное мнение и оценка основывается как правило на фактах. Слишком много эмоций, а информации, к сожалению нет.

Алексей Лукацкий комментирует...

Евгений, давайте по порядку.
1. Вы про какой приказ Минкомсвязи говорите? Об утверждении регламента. Ну так если быть внимательным, то я и не писал, что его принимал РКН. РКН его писал.
2. Про недействительность приказов в заметке написано. Будьте внимательнее.
3. Рекомендации по заполнению уведомления неразрывно связаны с его формой. И поэтому вполне логично, что они не пишут про местонахождение баз данных, так как в самой форме про это ни слова и в регламенте РКН про это ни слова.
4. 242-ФЗ начинает действовать с момента вступления в силу, то есть с 1-го сентября 2015 года. Обратной силы он не имеет. И обязательным уведомление о местонахождения базы данных он становится только для тех, кто будет писать первичное уведомление. А для тех, кто такое уведомление уже отправлял раньше, ничего повторного отправлять не надо.

Экспертное мнение и оценка основывается как правило на фактах. В вашем комментарии слишком много эмоций, а информации, к сожалению нет.

Unknown комментирует...

Алексей, давайте по порядку:

1. В Вашей заметке указано: «На портале проектов НПА я не нашел упоминаний о подготовке обновленной версии приказа РКН).» Снова повторю вопрос, почему РКН? Приказ Минкомсвязи, а у РКН, как и Вы отметили, нет ведомственных приказов по уведомлениям, потому что нет права у них издавать приказы другого ведомства. Но если , как Вы утверждаете РКН пишет приказы за Минкомсвязь, получается не работает не Роскомнадзор, но это если следовать вашей логике.
2. Все остальное, это ровно то, что я говорил только переписано другими словами.

Алексей Лукацкий комментирует...

Минкомсвязь утверждает РЕГЛАМЕНТ РКН своим приказом. Приказы же о форме уведомления и рекомендации по ее заполнению утверждает РКН своим приказом.

Алексей Лукацкий комментирует...

2. Ровно то, что "вы говорили", и было написано в заметке. Вы почему-то решили с этим не согласиться

Unknown комментирует...

Для информации: повторюсь - форма уведомления утверждена Административным регламентом Минкомсвязи. Просто Вы запутались в этих актах, нужно это признать.

Мисник Николай комментирует...

Евгений, боюсь это не ваше поле битвы... А если вы думаете, что ваше, то вы еще в первом сообщении проиграли...
Ну, не буду влазить в спор двух мужчин.

ser-storchak комментирует...

Мне пришел ответ от Ростовского РКН http://goo.gl/OB8RDD

Unknown комментирует...

Обнаружил, что РКН изменил форму уведомления.
http://pd.rkn.gov.ru/operators-registry/notification/form/
При этом никаких приказов утверждающих её или я не нашел.
Теперь они просят указывать конкретный ЦОД, при этом описывать не просто обрабатываемые персональные данные, а указывать каждую ИСПДн.
Сразу возникает вопрос, как быть с неавтоматизированной обработкой, так как сначала спрашивают название ИСПДн, и только потом идет вопрос обработка осуществляется атоматизированная/неавтоматизированная/смешанная.

Алексей Лукацкий комментирует...

1-го декабря Минюст зарегистрировал изменения в Административный регламент РКН по данному вопросу - http://minjust.consultant.ru/documents/17149?items=1&page=1