адрес цода что это роскомнадзор
Обработка и хранение персональных данных и ЦОД
За последние 10 лет государство несколько раз ужесточало требования к хранению и обработке персональных данных (ПД). Эти изменения коснулись всех участников экономического оборота, от небольших торговых ИП до федеральных банков. Какую роль здесь играет ЦОД? О этом и специфике обращения с ПД в рамках услуг дата-центров нашим читателям согласился/лась рассказать (ФИО, должность) зеленоградского ЦОД GreenBushDC.
Персональные данные и операторы ПД
Для начала определимся, что является ПД и кто за них отвечает. По № 152-ФЗ к персональным данным относятся: ФИО, дата и место рождения человека, адрес регистрации, статус (семейное/социальное положение), сведения о доходе, образовании, номер СНИЛС, ИНН, паспортные данные и пр. По сути, даже email, если по нему можно идентифицировать гражданина, можно отнести к ПД.
В свою очередь оператором ПД является любое юридическое лицо или ИП, ведущее переписку с клиентами, регистрирующее пользователей на сайте или в базе, проводящее транзакции, делающее рассылку.
По сути, это все финансово-кредитные организации, розничные сети, интернет-магазины и фитнес-центры с клубными картами и программами лояльности, медицинские, образовательные организации и туристические агентства, работающие с телефоном/email/мессенджерами и платежными сервисами. От них 152-ФЗ требует, как минимум, зарегистрироваться в реестре Роскомнадзора и собрать пакет документов, определяющих, как оператор собирает данные, обрабатывает, хранит и чем обеспечивает их безопасность.
ЦОД и персональные данные
Причем здесь ЦОД? Дело в том, что многие компании до сих пор не осведомлены о специфике требований 152-ФЗ и уверены — установив сервера в ЦОД, они тем самым передают дата-центру свои обязанности оператора ПД и ответственность за них. Это не так.
ЦОД — центр обработки данных, но в отношениях между государством и оператором персональных данных, дата-центр лишь промежуточное звено. От того, что компания N хранит ПД в облаке дата-центра, она не перестает быть оператором персональных данных и не перестает отвечать за их сохранность. Ответственность за соблюдение 152-ФЗ по-прежнему лежит на ней и роль ЦОД в этой ситуации заключается в поддержке отказоустойчивости IT-инфраструктуры и надежной физической охране оборудования, размещенного в дата-центре. Не более.
Зато эта сторона защиты реализована в дата-центре на достойном уровне: резервирование всех основных и коммуникационных систем, видеонаблюдение, трех- и четырехконтурный периметр, СКУД. Строже, чем в банке. Хотите убедиться? Приходите на обзорную экскурсию в GreenBushDC: заполните форму, с вами обязательно свяжутся и назначат дату визита.
152-ФЗ. ЦОДы, базы данных и уведомления о них
Согласно изменениям, внесенным в Федеральный закон 152-ФЗ Федеральным законом от 21.07.2014 N 242-ФЗ, уведомление, направляемое в Роскомнадзор должно содержать:
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
До недавнего времени данное требование не дублировалось ни в Административном регламенте Роскомнадзора, ни в формах соответствующих Уведомлений (их две — для подачи в бумажном и в электронном виде — и как ни странно они различны). Но поскольку закон-есть-закон (изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу этим летом), то логично, что Роскомнадзор требовал с операторов указывать эти данные в уведомлении. И естественно это вызывало трудности у операторов, поскольку на вопрос что и где нужно указывать ответить никто не мог.
Но все меняется и Минсвязи выпустило Приказ от 28 августа 2015 г. N 315 (ссылки в pdf, текстовом виде).
Согласно Приказу вносятся изменения в Административный регламент — пункты 46 (данные, вносимые в реестр) и 54 (данные, указываемые в Уведомлении) дополняются следующим:
Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Соответственно меняется и форма Уведомления (она приведена в приложении к Приказу). И вот тут начинается интересное.
Напомним, что согласно текущей редакции 152-ФЗ:
3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
То есть Уведомление:
Кстати, если посмотреть в текст 152-ФЗ, то информационная система персональных данных это:
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Даже не говоря о том, что персональные данные могут быть не только в составе баз данных — баз данных может быть множество (и это логично), но вот указать согласно форме уведомления нужно одну. Почему так? Загадко.
Но перейдем к электронной форме Уведомления.
После трансграничной передачи данных идет раздел, описывающий сведения о базе данных. Но это по заголовку. А по тексту требуется описать адрес ЦОДа! Сразу вопрос — все перешли в облака? Что писать, если ЦОД не используется?
Несмотря на предложение выбрать из справочника — никакого справочника нет. Данные вводятся вручную
Если не указать явно, что используется собственный ЦОД, то появляется запрос на указание данных о владельце ЦОДа:
Естественно ничего подобного по Административному регламенту не требуется:
46. В Реестр вносятся следующие сведения:
46.1. Регистрационный номер.
46.2. Наименование (фамилия, имя, отчество), адрес Оператора.
46.3. Адреса филиалов (представительств) Оператора (при наличии).
46.4. Дата направления Уведомления.
46.5. Цель обработки персональных данных.
46.6. Категории персональных данных.
46.7. Категории субъектов, персональные данные которых обрабатываются.
46.8. Правовое основание обработки персональных данных.
46.9. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
46.10. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
46.11. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
46.12. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
46.12.1. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации
46.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
46.14. Дата начала обработки персональных данных.
46.15. Срок или условие прекращения обработки персональных данных.
Еще одно отличие электронной формы от бумажной — возможность (необходимость?) указания всех баз данных (ЦОДов в формулировке электронного Уведомления), которые есть в организации. Ни в вышеупомянутом Приказе (и в утвержденной им формой уведомления), ни в законе подобного требования нет.
Помимо общей информации, требуемой в бумажной форме, здесь нужно указывать куда больше сведений и каждой базе данных — причем согласно форме одна база соответствует одной ИС
Требуется ли в связи со вступлением в силу этих уведомлений направлять уведомление? Согласно Закону:
7. В случае изменения сведений (ранее поданных в Роскомнадзор)… а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
То есть Закон четко говорит, что уведомлять не нужно. Согласно закону по новой форме нужно подавать данные только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года (дата вступления в силу изменений в Уведомлении) или на крайний случай и тем, кто отправляет уведомления после вступления в силу изменений в Законе.
Но это формально. По факту традиционно все будет решаться позицией на местах — и прецеденты уже имеются.
Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Алтайскому краю и Республике Алтай Жданов А.П. прямо и четко сказал, что они (это управление и отдел в частности) считают, что ч. 7 ст. 22 152-ФЗ распространяется и на ситуацию с добавление в ч. 3 ст 22 новый пунктов вообще и расположении БД в частности. Т.е. они при проверках будут считать нарушение не подачу Информационного письма о внесении изменений…
И последнее. О собственно базах данных. Что это такое — определения нет. Но есть позиция Роскомнадзора
(подробнее тут). То есть под понятие базы данных попадет любой упорядоченный список данных — хоть в текстовом файле. Соответственно заполняя электронное уведомление нужно указать все места расположения всех упорядоченных массивов информации. Для всех офисов, ЦОДов и субподрядчиков. Благо пока не требуют указывать адреса личных (BYOD!) и домашних компьютеров.
Уведомление об обработке персональных данных в Роскомнадзор
Кому необходимо подать уведомление в реестр операторов персональных данных. В 152-ФЗ широкое определение обработки. Практически любое действие с персональными данными (далее – ПДн) – обработка.
Если лицо собирает сведения о гражданине в заранее установленных целях, определяет состав сведений и действия с ними, то такое лицо становится оператором ПДн.
В процессе обработки может участвовать лицо, осуществляющее обработку персональных данных по поручению оператора (далее — Обработчик). Обработчик заключает с оператором договор-поручение и действует только в интересах последнего. Обработчик не преследует свои цели.
Если оператор обрабатывает (собирает, обезличивает, уточняет, использует, хранит и пр.) ПДн с использованием сайта, веб-приложения или мобильного приложения и др., работающих в инфраструктуре облачного провайдера или стороннего ЦОДа, тогда в цепочке «субъект ПДн — оператор — провайдер облачных услуг/ЦОД» провайдеры и дата-центры выступают в качестве обработчиков. Данные таким компаниям поступают не напрямую от субъекта.
Если возникает необходимость в услугах облачных сервисов, проверьте реализуемые меры защиты ПДн и правильно оформите договор-поручение. Как выбрать облачную инфраструктуру, соответствующую 152-ФЗ, можно узнать здесь.
Обязанность подать уведомление об обработке персональных данных
Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.
В некоторых ситуациях разрешено не состоять в реестре:
С 1 марта 2021 года в перечне появился новый пункт — уведомлять не нужно, если гражданин разрешил распространять сведения о себе. Однако для правомерности таких действий оператор обязан получить отдельное согласие.
О чем нужно уведомлять Роскомнадзор
Если вы уже являетесь оператором или только имеете намерение осуществлять обработку, то предоставьте следующую информацию в РКН:
Образец заполнения и рекомендации
Форма уведомления об обработке персональных данных в Роскомнадзор расположена на официальном сайте. Ниже рассмотрен общий порядок заполнения.
Сначала выберите территориальный орган, в который направляется документ. Территориальный орган выбирается на основании местонахождения оператора:
Далее указываются общие сведения о лице, подающем уведомление. Обязательные поля помечены красной отметкой:
Укажите адреса филиалов компании при наличии. Компании часто забывают об этом и приводят сведения только о головной организации.
Далее следует раздел «Общие сведения»:
Под правовым основанием понимаются законы, локальные акты (здесь не забудьте указать внутреннее положение об обработке в компании) и иные документы, в соответствии с которыми вы действуете. Однако не рекомендуется указывать 152-ФЗ — это одна из ошибок, часто отмечаемая РКН в разъяснениях.
Нужно обязательно привести конкретные статьи и пункты. Пример заполнения поля:
Сведения о целях, для достижения которых вы ведете обработку, рекомендуется привести в отношении каждой категории субъектов отдельно. Для начала проверьте, есть ли у вас сведения о:
Сведения о соискателях не могут быть использованы в тех же целях, что сведения о заказчиках, и наоборот. Если вы укажете цели для всех категорий одной строкой, это будет нарушением.
При описании предусмотренных Федеральным законом мер желательно перечислить полный список таких мер. Предварительно ознакомьтесь с содержанием соответствующих статей, поскольку важно не только заявлять декларативно о применении мер, но и действительно внедрять их в компании. В противном случае может грозить привлечение к ответственности.
В графе о средствах безопасности укажите меры, которые позволяют вам следить за сохранностью ПДн — это могут быть меры как технического, так и организационного характера. В каждой организации в зависимости от вероятности утечек и иных факторов используются свои способы обеспечения информационной безопасности.
Для иллюстрации можно привести следующие:
Для правильного заполнения поля «Сведения об обеспечении безопасности» нужно установить, какие угрозы актуальны для вашей компании. Уровень защищенности можно определить, исходя из:
Для каждого уровня из четырех отдельные требования к безопасности Нужный уровень защищенности ПДн поможет определить калькулятор (см. раздел «определить уровень защищенности»).
Дата начала обработки чаще всего совпадает с датой регистрации компании. Маловероятно, что компания не обрабатывает данные граждан с самого начала своей деятельности. Обычно сразу появляется информация о клиентах, о представителях сторонних организаций (например, курьеров, ремонтных служб, служб доставки).
Дату окончания обработки определить затруднительно. Поэтому лучше укажите условия, при которых вы больше не будете обрабатывать сведения.
Заполняем категории персональных данных
Создайте отдельную ИСПДн для каждой категории субъектов. Это правило следует из законодательного принципа недопустимости объединения ПДн, которые обрабатываются в несовместимых между собой целях.
Перед заполнением уведомления:
В разделе уведомления «Сведения об информационных системах» каждую категорию физических лиц укажите отдельно. Например, сначала вы заполняете перечень действий, категории и иные сведения об обработке ПДн клиентов. Если вы также обрабатываете сведения о других субъектах, добавьте новую ИС и заполните раздел для новой категории субъектов ПДн.
В поле «Перечень действий» указываются действия, которые вы осуществляете с данными. Выберите все действия из перечня, закрепленного в законе:
Если ПДн хранятся только в электронной форме, то обработка является автоматизированной.
Смешанная обработка возможна, если данные хранятся как в бумажной форме, так и в электронных базах. Например, сведения о работниках, как правило, хранятся в карточке Т-2, трудовой книжке и одновременно в электронных базах (СКУД, 1С, SAP), следовательно, обработка смешанная.
Также обязательно указать, передаются ли ПДн внутри организации и с использованием сети интернет.
Вариант заполнения формы:
В графе «Категории персональных данных» нужно перечислить личные сведения о субъектах, которые вы обрабатываете. Если вы собираете данные, не перечисленные в форме уведомления, дополнительно сообщите об этом в соответствующем поле.
Особое внимание уделите при указании специальных категорий и биометрических ПДн. К обработке указанных категорий законодательство устанавливает повышенные требования, в том числе к основаниям сбора(требуется письменное согласие) и защите.
В поле «Категории субъектов» рекомендуется писать только одну категорию (например, работники). Как уже отмечено, каждая отдельная категория указывается при помощи добавления новой ИС путем нажатия кнопки:
Если компания передает данные в другие страны, нужно также уведомить об этом РКН. Нередки случаи, когда информация передается в организацию, расположенную за рубежом: например, если сайт интернет-магазина имеет направленность на российских потребителей и принадлежит международной компании; компания имеет филиалы по всему миру и данные работников передаются в материнскую компанию; иные ситуации.
Также укажите СКЗИ, которые вы используете, и класс таких средств (если применимо). Если вы не применяете СКЗИ, укажите, что их нет. Вариант заполнения:
Указание адреса ЦОДа
Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.
ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.
Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.
Ответственный за обработку персональных данных
В конце уведомления укажите сведения о назначенном лице (или компании), ответственном за обработку ПДн, в том числе ФИО (или название компании) и контакты. На практике назначается приказом сотрудник компании. Рекомендуется указывать достоверную контактную информацию, поскольку Роскомнадзор может связаться с представителем оператора для оперативного взаимодействия.
Частые ошибки
Типичные ошибки при заполнении уведомления:
Непредоставление полной информации по данным отчета РКН за 2019 год составляет 17% от общего числа нарушений.
Сроки и порядок отправки уведомления
Подайте уведомление до начала обработки в бумажном или в электронном виде. Роскомнадзор включает в реестр по истечении 30 дней с момента регистрации уведомления. Для проверки статуса уведомления и факта включения в реестр достаточно в поисковой строке указать ИНН.
Форма уведомления: бумажный носитель или электронный документ.
Есть три способа подачи уведомления:
Для подачи на бумажном носителе можно заполнить форму на сайте Роскомнадзора. После заполнения автоматически сформируется документ с уникальным номером и ключом. Заполненный бланк нужно распечатать и направить по адресу выбранного органа.
Появилась возможность электронной подачи. Однако потребуется усиленная квалифицированная ЭП или подтвержденная учетная запись на портале Госуслуг.
Подпись, оформление и отправка уведомления
Если уведомление подается в бумажном виде, его необходимо оформить на бланке организации (но если бланка нет, то можно без него). Затем подпишите и поставьте печать. Подписать может либо генеральный директор, либо лицо по доверенности — в таком случае должна быть приложена доверенность. Оформленное уведомление направьте по адресу территориального органа заказным письмом. Это позволит в дальнейшем отследить получение.
Последствия неуведомления
Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.
За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):
| для граждан | 100-300 рублей |
| для должностных лиц | 300-500 рублей |
| для юридических лиц | 3000-5000 рублей |
Штрафовать могут неоднократно. В 2019 году РКН составил 5191 протокол по статье 19.7. и наложил штрафы в размере 4 231 430 рублей.
Необходимость внесения изменений в реестр операторов
При изменении процессов обработки или общих сведений оператор должен уведомить об этом. Например, если компания:
Помимо уведомления Роскомнадзора не забудьте внести изменения в поручения на обработку ЦОДам или провайдерам облачных сервисов.
Сведения об изменениях сообщаются путем отправки информационного письма: