152-ФЗ. ЦОДы, базы данных и уведомления о них / Хабр
Согласно изменениям, внесенным в Федеральный закон 152-ФЗ Федеральным законом от 21.07.2014 N 242-ФЗ, уведомление, направляемое в Роскомнадзор должно содержать:
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
До недавнего времени данное требование не дублировалось ни в Административном регламенте Роскомнадзора, ни в формах соответствующих Уведомлений (их две — для подачи в бумажном и в электронном виде — и как ни странно они различны). Но поскольку закон-есть-закон (изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу этим летом), то логично, что Роскомнадзор требовал с операторов указывать эти данные в уведомлении. И естественно это вызывало трудности у операторов, поскольку на вопрос что и где нужно указывать ответить никто не мог.
Но все меняется и Минсвязи выпустило Приказ от 28 августа 2015 г. N 315 (ссылки в pdf, текстовом виде).
Согласно Приказу вносятся изменения в Административный регламент — пункты 46 (данные, вносимые в реестр) и 54 (данные, указываемые в Уведомлении) дополняются следующим:
Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Соответственно меняется и форма Уведомления (она приведена в приложении к Приказу). И вот тут начинается интересное.
Напомним, что согласно текущей редакции 152-ФЗ:
3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
То есть Уведомление:
- может направляться либо в бумажном, либо в электронном виде;
- закон не делает разницы по составу предоставляемой информации между обоими вариантами.
И если мы посмотрим на бумажную форму Уведомления, то добавился абзац, в котором нужно указать страну, адрес местонахождения базы данных, наименование информационной системы (базы данных).
Кстати, если посмотреть в текст 152-ФЗ, то информационная система персональных данных это:
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Даже не говоря о том, что персональные данные могут быть не только в составе баз данных — баз данных может быть множество (и это логично), но вот указать согласно форме уведомления нужно одну. Почему так? Загадко.
Но перейдем к электронной форме Уведомления.
После трансграничной передачи данных идет раздел, описывающий сведения о базе данных. Но это по заголовку. А по тексту требуется описать адрес ЦОДа! Сразу вопрос — все перешли в облака? Что писать, если ЦОД не используется?
Заполним форму
Несмотря на предложение выбрать из справочника — никакого справочника нет. Данные вводятся вручную
Если не указать явно, что используется собственный ЦОД, то появляется запрос на указание данных о владельце ЦОДа:
Естественно ничего подобного по Административному регламенту не требуется:
46.В Реестр вносятся следующие сведения:
46.1. Регистрационный номер.
46.2. Наименование (фамилия, имя, отчество), адрес Оператора.
46.3. Адреса филиалов (представительств) Оператора (при наличии).46.4. Дата направления Уведомления.
46.5. Цель обработки персональных данных.
46.6. Категории персональных данных.
46.7. Категории субъектов, персональные данные которых обрабатываются.
46.8. Правовое основание обработки персональных данных.
46.9. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
46.10. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
46.11. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
46.12. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
46.12.1. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации
46.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.46.14. Дата начала обработки персональных данных.
46.15. Срок или условие прекращения обработки персональных данных.
В Реестр вносятся следующие сведения:
Еще одно отличие электронной формы от бумажной — возможность (необходимость?) указания всех баз данных (ЦОДов в формулировке электронного Уведомления), которые есть в организации. Ни в вышеупомянутом Приказе (и в утвержденной им формой уведомления), ни в законе подобного требования нет.
Помимо общей информации, требуемой в бумажной форме, здесь нужно указывать куда больше сведений и каждой базе данных — причем согласно форме одна база соответствует одной ИС
Требуется ли в связи со вступлением в силу этих уведомлений направлять уведомление? Согласно Закону:
7.
В случае изменения сведений (ранее поданных в Роскомнадзор)… а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.То есть Закон четко говорит, что уведомлять не нужно. Согласно закону по новой форме нужно подавать данные только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года (дата вступления в силу изменений в Уведомлении) или на крайний случай и тем, кто отправляет уведомления после вступления в силу изменений в Законе.
Но это формально. По факту традиционно все будет решаться позицией на местах — и прецеденты уже имеются.
Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Алтайскому краю и Республике Алтай Жданов А.
П. прямо и четко сказал, что они (это управление и отдел в частности) считают, что ч. 7 ст. 22 152-ФЗ распространяется и на ситуацию с добавление в ч. 3 ст 22 новый пунктов вообще и расположении БД в частности. Т.е. они при проверках будут считать нарушение не подачу Информационного письма о внесении изменений…И последнее. О собственно базах данных. Что это такое — определения нет. Но есть позиция Роскомнадзора
(подробнее тут). То есть под понятие базы данных попадет любой упорядоченный список данных — хоть в текстовом файле. Соответственно заполняя электронное уведомление нужно указать все места расположения всех упорядоченных массивов информации. Для всех офисов, ЦОДов и субподрядчиков. Благо пока не требуют указывать адреса личных (BYOD!) и домашних компьютеров.
Подведем итоги:
- Уведомления бумажное и электронное существенно отличаются.
- Согласно 152-ФЗ персональные данные могут быть только в составе баз данных.
- Что есть база данных — определения нет, но скорее всего толковаться будет как неким образом упорядоченная информация, сохраненная в электронном виде.
- Указывать нужно места хранения только баз данных для граждан РФ. В принципе понятно, откуда взялось это требование — оно родилось на волне требований о переносе мест обработки персональных данных в Россию. Но войдя в закон — оно стало выглядеть странно — мы не заинтересованы в защите данных граждан и подданных иных стран? Отсюда же кстати возникли и базы данных — борьба шла за перенос из зарубежных ЦОДов. Но опять же войдя в закон это стало источником странностей.
- Не определено, что есть месторасположение. С какой точностью нужно указывать согласно закону — с точностью до страны или дома? Лично мне не понятно, зачем государству знать все места расположения всех персональных данных (да — согласно букве закона — с точностью до последнего мобильного на любой момент времени, если на нем хранится упорядоченная информация).
Кто и когда должен уведомить Роскомнадзор об обработке персональных данных — Контур.Экстерн
25 августа 2022 151 914 Вопрос
Оператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). С 1 сентября 2022 года уведомлять не нужно только в трех случаях (Федеральный закон от 14.07.2022 № 266-ФЗ):
- оператор обрабатывает ПД без автоматизации;
- ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- обработка ПД в случаях, предусмотренных законодательством РФ о транспортной безопасности.
До начала осени 2022 года из этого правила было девять исключений. Например, не нужно было уведомлять РКН об обработке ПД сотрудников в рамках трудовых правоотношений, ПД, состоящих только из фамилии, имени, отчества, либо личной информации, необходимой для оформления разового пропуска посетителю.
Это означает, что подавляющее большинство ОПД, в том числе все работодатели, должны будут уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан.
Форма уведомления приведена в приложении 1 к Методическим рекомендациям Роскомнадзора (Приказ Роскомнадзора от 30.05.2017 № 94). Уведомление нужно направить одним из трех способов:
- В бумажном виде. Для этого нужно заполнить форму на сайте Роскомнадзора, а затем распечатать, подписать и направить письмом в адрес территориального отделения Роскомнадзора по месту своей регистрации.
- Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи.
- В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.
31 августа 2022 года Роскомнадзор сообщил на своем сайте, что предельный срок для подачи уведомления не определён. 1 сентября не является крайним сроком. Рекомендуем не откладывать подачу надолго и сделать это в ближайшее время.
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Отчитаться
Уведомление Роскомнадзора — разовая акция. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но вам следует проверить сведения, которые есть в Роскомнадзоре. В частности, категории ПД и категории субъектов ПД, которые вы указывали в ранее поданном уведомлении. Если какие-то виды личной информации отсутствуют, например, из трудовых правоотношений, то нужно уведомить Роскомнадзор об изменении сведений (п. 7 ст. 22 152-ФЗ).
Информационное письмо можно направить теми же способами, что и уведомление. На это отведено 10 рабочих дней с даты возникновения изменений. В случае с 266-ФЗ сроки надо отсчитывать с 1 сентября 2022 года.
Скачать методические рекомендации по заполнению Уведомления и Информационного письма
Главное на почту — и памятка по ЕНП в подарок
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.
Соблюдение нового российского закона о конфиденциальности
С 1 сентября организации, работающие в России, должны соблюдать поправки к закону о конфиденциальности для хранения персональных данных о местных жителях в России. Этот закон, который, по мнению некоторых, может стать предвестником запрета на иностранные социальные сети, оказывает существенное влияние на ряд компаний, и руководители должны знать о его юридических и финансовых последствиях.
ИТ-директора обеспокоены, но уверены в себе
В третьем квартале 2015 г. компания Gartner провела опрос крупных иностранных компаний, работающих в России, который показал, что 42% ИТ-директоров не уверены, смогут ли они выполнить поправку вовремя.
Некоторым также были неясны его положения.
Тем не менее, федеральный орган исполнительной власти России, Роскомнадзор, отвечающий за сферу связи, информационных технологий и средств массовой информации, дал указания бизнесу в очной и онлайн-режиме. Чиновники Роскомнадзора также заявили, что компании должны иметь основную базу данных записей местных жителей, хранящихся в стране, но им разрешено копировать ее в центры обработки данных за границей.
«Опрос показал, что почти треть ИТ-директоров заявили, что новый закон негативно повлияет на их бизнес из-за более высоких затрат на ИТ-инфраструктуру, а также из-за опасений увеличения количества проверок и связанных с ними штрафов за несоблюдение», — сказал Петр Городецкий, старший научный сотрудник аналитик Gartner. «Однако большинство ИТ-директоров не ожидали изменений в своем бизнесе в России. По общему мнению, основные бизнес-процессы, по крайней мере, останутся незатронутыми».
В целом ИТ-директора были уверены, что знают, как решить проблему соблюдения нормативных требований.
Наиболее распространенными вариантами, запланированными ИТ-директорами иностранных компаний, были:
- Перенос инфраструктуры в собственный дата-центр в России или расширение существующих мощностей (31%)
- Предоставление дополнительного анализа и консультирование (29 процентов)
- Перемещение серверов в местный коммерческий центр обработки данных (16 процентов)
Другие сказали, что либо занимаются интеграционными проектами, либо уже имеют достаточную местную инфраструктуру, либо вообще ничего не делают.
Сотрудничество ИТ-директоров с TSP
«Вместо того, чтобы вкладывать значительные средства в создание компетенций продуктов и услуг в соответствии с законом, ИТ-директорам следует подумать о партнерстве с поставщиками технологий и услуг (TSP) и экспертами по вопросам конфиденциальности», — сказал г-н Городецкий.
Чуть более половины ИТ-директоров заявили, что раскроют планы по работе со сторонними поставщиками транспортных услуг, а треть планирует привлечь их в качестве консультантов.
Шестьдесят процентов заявили, что хотели бы получить информацию об опыте TSP в области защиты данных. Некоторые ИТ-директора утверждали, что потенциальные подрядчики, предлагающие такие услуги, недостаточно понимают особенности законодательства.
Последние разработки
Пока мы находимся в периоде неопределенности с введением закона в действие, Роскомнадзор не планирует проводить все проверки до конца 2015 года, что дает некоторым компаниям время для принятия необходимых мер.
«Закон все еще неясен для крупных международных вендоров и ТСП», — сказал г-н Городецкий. «Если международные поставщики, такие как Facebook, Salesforce, Google, Amazon и другие, решат не подчиняться требованиям, их отказ может привести к значительным изменениям на местном рынке ИКТ. Это также может негативно сказаться на местных и международных компаниях, работающих в России, которым, возможно, придется планировать дополнительные проекты и ресурсы для внедрения «незаконных» решений или рассмотреть возможность ухода с российского рынка».
Рекомендуемые ресурсы для клиентов Gartner*:
Поправка к Закону о защите данных в России: бизнес-возможность для ИТ-провайдеров
Hype Cycle for Privacy, 2015 г.
*Обратите внимание, что некоторые документы могут быть доступны не всем клиентам Gartner.
С любовью к российскому рынку центров обработки данных
Россия продолжает привлекать инвесторов со всего мира, занимая шестое место среди самых привлекательных стран для прямых иностранных инвестиций. Коммерческий рынок центров обработки данных в России рос примерно на 25 процентов в год в течение последних пяти лет.
Этому росту способствует как прохладный климат, снижающий затраты на повторное охлаждение, так и изменения в законе о защите данных, согласно которому персональные данные граждан России должны храниться на серверах, расположенных в России.
Самым востребованным российским городом для установки дата-центра является Москва. В столице работают 16 из 20 крупнейших дата-центров страны, каждый из которых содержит более 1000 стоек и имеет общую мощность в среднем 12 МВт.
Закон о защите информации
С 1 сентября 2015 года в России вступил в силу Федеральный закон № 242-ФЗ. Короче говоря, закон требует, чтобы все иностранные компании, работающие с персональными данными граждан России, хранили эти данные на серверах, расположенных внутри страны. Для соблюдения этой меры любой, кто собирает или обрабатывает такие данные, должен уведомить Федеральную службу по надзору в сфере информационных технологий и связи — Роскомнадзор — о точном местонахождении серверов.
Климатические преимущества
Холодный российский климат идеально подходит для хранения фиников и не требует дополнительных затрат на круглогодичные системы доохлаждения, что выгодно отличает его от погоды в Силиконовой долине или ее аналогах в Индии, Китай, Малайзия и Объединенные Арабские Эмираты. Сибирь и Дальний Восток, где только что началось строительство первого дата-центра, могут оказаться наиболее выгодными с точки зрения климата и доступа к энергии.
Несколько вариантов центров обработки данных в России
Datapipe расширяется в Россию
Стратегическое расположение нового объекта Datapipe в Москве позволяет глобальным предприятиям работать и продавать в России, соблюдая законы страны о суверенитете данных. Кроме того, компания продолжит свою глобальную экспансию, позволяя своим клиентам воспользоваться преимуществами быстрорастущей индустрии электронной коммерции в России.
NTT Communications предложит услуги центра обработки данных в России
Объект IXcellerate предлагает услуги центра обработки данных корпоративного класса премиум-класса в высококачественной среде для клиентов, желающих разместить телекоммуникационную, интернет- и ИТ-инфраструктуру. НТТ Ком Россия будет интегрировать и расширять свои сетевые, облачные и хостинговые услуги на российском рынке, используя преимущества этого превосходного объекта.
Telehouse входит в Россию с московским дата-центром
Для расширения в России Telehouse заняла около 70 000 кв.