база сведений хранящихся в соответствии с заданными требованиями что это
Локализация обработки персональных данных граждан России: значение баз данных как объектов интеллектуальной собственности
1. В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к компаниям
Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» («Закон о персональных данных») при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных:
При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства, а также комментарий сотрудников Роскомнадзора, доступный на сайте уполномоченного органа.
Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:
Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).
Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).
Следовательно, требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:
2. Реальные риски компаний, связанные с нарушением требования о локализации персональных данных
Реальные риски компаний, связанные с нарушением требования о локализации, лучше всего видны на примерах из правоприменительной практики:
По мнению суда, компания LinkedIn нарушила требование о локализации при сборе информации о пользователях социальной сети, а также гражданах Российской Федерации, не являющихся пользователями социальной сети.
Таким образом, до принятия законопроекта № 729516-7 о введении штрафов за нарушение требования о локализации компаниям, которые нарушают эти требования, грозят блокировки интернет-ресурсов, используемых для незаконной обработки данных, а также относительно небольшие штрафы за непредоставлении информации, подтверждающей выполнение требования о локализации. Как отмечалось ранее, если законопроект № 729516-7 будет принят, на нарушителей смогут налагаться штрафы до 18 миллионов рублей.
3. Как можно снизить издержки на выполнение требования о локализации персональных данных с учетом законодательства о базах данных как объектах интеллектуальной собственности
Некоторые особенности законодательства о базах данных как объектах интеллектуальной собственности могут помочь снизить издержки на выполнение требований о локализации.
Помимо прочего, данное требование предполагает, что оператор обязан обеспечить извлечение персональных данных с использованием базы данных, находящейся в России. Законодательство о персональных данных не определяет понятие «извлечение персональных данных». В связи с этим возможно утверждать, что под извлечением персональных данных на основе пункта 1 статьи 1334 ГК РФ следует понимать перенос всего содержания базы данных с персональными данными или существенной части составляющих ее персональных данных на другой информационный носитель с использованием любых технических средств и в любой форме. Статья 1334 ГК описывает исключительное право изготовителя базы данных как объекта смежных прав.
Такое толкование предполагает, что требование о локализации не распространяется на случаи переноса несущественной части персональных данных из базы данных с персональными данными, расположенной за рубежом, в другую базу данных, расположенную за рубежом. Указанные случаи могут иметь место в информационных системах персональных данных, предусматривающих их трансграничную передачу. Таким образом, приведенное толкование позволило бы компаниям снизить издержки на выполнение требования о локализации, поскольку оно значительно сужает понятие «извлечение персональных данных», на которое распространяется требование о локализации.
Следует отметить, что предложенное толкование не проверено правоприменительной практикой и может встретить неприятие со стороны Роскомнадзора и судов. В связи с этим при его использовании следует учитывать соответствующие риски.
Как оператору исполнить обязанность по размещению баз с персональными данными на территории РФ
Выбираем стратегии выполнения требований закона к обработке персональных данных и оцениваем риски их применения
Рост мировой геополитической напряженности в первой половине 2014 г. между Россией и некоторыми зарубежными странами, взаимные и встречные санкции побудили российские власти выступить с рядом инициатив по обеспечению национальной безопасности РФ.
22 июля 2014 г. был опубликован текст Федерального закона № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», который вступил в силу 1 сентября 2015 г. Им в ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» были внесены дополнения следующего содержания: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
Это требование распространяется на всех операторов, за исключением некоторых случаев обработки персональных данных (далее – ПДн) СМИ и органами государственной власти. К исключениям также относится п. 2 ч. 1 ст. 6 Закона № 152-ФЗ: «Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей». Однако, по нашему мнению, такое исключение может применяться только в тех случаях, когда на оператора возлагается обязанность по сбору и дальнейшей обработке ПДн за рубежом.
Важной особенностью положений Закона № 242-ФЗ является акцент на гражданстве субъектов ПДн. Ранее законодательство РФ было направлено на защиту прав субъектов ПДн безотносительно их гражданства.
В случае если оператор поручает другому лицу обработку персональных данных, включая их сбор, указанное требование распространяется также и на это лицо. При этом оператор обязан обеспечить размещение данных на территории РФ.
Необходимо отметить, что требование распространяется только на обработку ПДн при их сборе. Таким образом, можно сделать вывод о том, что последующие действия с ПДн могут производиться в базах данных (далее – БД) на территории иностранных государств. Кроме того, изменения в Закон № 152-ФЗ не затрагивают трансграничную передачу ПДн.
Общие рекомендации по выполнению требований Закона № 242-ФЗ
Операторам информационных систем с ПДн (далее – ИСПДн), обрабатывающим персональные данные граждан РФ, следует соблюдать следующие принципы:
На текущий момент несколько органов государственной власти высказали свою позицию, которая суммирует результаты толкования ими требований Закона № 242-ФЗ в отношении размещения БД с данными российских граждан. Необходимо отметить, что нижеприведенные интерпретации норм не всегда могут считаться официальными разъяснениями, так как не все эти органы, например Роскомнадзор, наделены таким правомочием.
Позиция Государственно-правового управления Президента РФ
В целом вышеописанные позиции иллюстрируют два обобщенных подхода органов госвласти к толкованию норм Закона № 242-ФЗ:
Способы выполнения требований к обработке персональных данных
В связи с противоречивостью и фрагментарностью правоприменительной практики и комментариев уполномоченных органов затруднительно сделать однозначные выводы о наиболее оптимальных стратегиях выполнения требований к обработке персональных данных операторами, обладающими БД с ПДн российских граждан за пределами территории РФ. Можно выделить восемь возможных стратегий выполнения требований Закона № 242-ФЗ (см. рис. ниже). Допустимо комбинировать их между собой.
Следует дать дополнительные пояснения к некоторым из стратегий.
Перечисленные стратегии формировались исходя из презумпции, что обработка ПДн при осуществлении процедур по обеспечению непрерывности информационно-технологической инфраструктуры и восстановления ее после сбоев, при разработке и тестировании программных модулей информационных систем не регулируется напрямую Законом № 242-ФЗ в части размещения БД с ПДн на территории РФ. Данное предположение основывается на следующем доводе: в рамках резервной информационно-технологической инфраструктуры и сред разработки и тестирования программных модулей ИС не осуществляется сбор ПДн субъектов. ПДн передаются в указанную инфраструктуру и среды из иных БД с ПДн. Для минимизации юридических рисков, связанных с обработкой ПДн в средах разработки и тестирования программных модулей ИС, оператору рекомендуется рассмотреть возможность применения технологий обезличивания (обратимого и необратимого) или шифрования ПДн.
Представленные стратегии рассматривают только вопросы логики распределения информационных потоков внутри и между ИСПДн, но не затрагивают вопросы правового характера.
Риски применения стратегий выполнения требований Закона № 242-ФЗ
Для просчета юридических рисков, сопутствующих применению стратегий выполнения требований Закона № 242-ФЗ, оценивалась вероятность 4 выявления правонарушения (обнаружить несоответствие могут Роскомнадзор и Прокуратура, субъекты ПДн, контрагенты оператора и иные лица) и дальнейшего доказывания этого факта в суде. Для этого выявлялась степень соответствия стратегии требованиям закона с точки зрения органов госвласти, опирающихся на политическую ситуацию и ведомственное мнение, и судов, руководствующихся юридической трактовкой и внутренним убеждением.
Отметим, что здесь не учитывалась возможность нарушения оператором требования об уведомлении Роскомнадзора о местонахождении БД с ПДн и привлечения его к ответственности по ст. 19.7 КоАП РФ, поскольку письмо о внесении изменений в сведения в реестре операторов он обязан направить в ведомство вне зависимости от выбора стратегии.
Ниже приведено графическое представление интегральной оценки в диапазоне от 0 до 5 баллов в отношении величины юридических рисков для каждой из стратегий. Так, стратегия № 1 получила 0 баллов, что демонстрирует ее безрисковость. Выбор стратегии № 2 чреват наибольшим юридическим риском среди всех восьми стратегий. При реализации остальных стратегий вы в большей (стратегии № 4, 5, 8) или меньшей степени (стратегии № 3, 6, 7) рискуете столкнуться с наступлением неблагоприятных последствий, описанных далее.
Оценка реализации стратегий выполнения требований Закона № 242-ФЗ
Выбор стратегии основывается на принципе минимизации вероятного ущерба компании и расходов на ее реализацию. При этом ущерб подразделяется на штраф, влияние на бизнес и репутационный ущерб. Расходы могут быть однократными и периодическими.
Чтобы вычислить расходы, определить риски и дать общую оценку стратегии качественные значения ставятся в соответствие с количественными, которые представляют собой безразмерную величину (условные пункты).
| Количественное значение | Описание | ||
|---|---|---|---|
| Однократные расходы | Периодические расходы | Оценка репутационного ущерба | |
| 0 | Реализация стратегии не предполагает затрат со стороны компании. | Эксплуатация технических решений и сопровождение организационных процессов не требуют дополнительных затрат компании. | Риски отсутствуют. Например, вследствие прекращения обработки ПДн в системе. |
| 10 | Технические и организационные изменения просты. Трудозатраты незначительны. | Эксплуатация и сопровождение требуют минимальных дополнительных затрат компании. | Риски минимальны. Например, для систем, в которых обрабатываются ограниченные перечни ПДн или данные ограниченного количества субъектов ПДн. |
| 30 | Технические и организационные изменения не представляют большой сложности и являются локальными для систем и бизнес-процессов. Трудозатраты невысокие. | Эксплуатация и сопровождение требуют незначительных дополнительных затрат компании. | Риски средние. Например, для систем, в которых обрабатываются незначительные перечни ПДн. |
| 50 | Технические и организационные изменения значительны и могут затронуть смежные системы или бизнес-процессы. Трудозатраты высокие. | Эксплуатация и сопровождение требуют больших дополнительных затрат компании. | Риски высокие. Например, для систем, в которых обрабатываются множество категорий ПДн или данные большого количества субъектов. |
| 100 | Технические и организационные изменения сложны в реализации. Трудозатраты очень высокие. | Эксплуатация и сопровождение требуют очень больших дополнительных затрат компании. | Риски очень высокие. Например, для систем, в которых обрабатываются множество категорий ПДн большого количества субъектов. |
| 1000 | Технические и организационные изменения настолько значительны, что их реализуемость в краткосрочной и среднесрочной перспективе с приемлемыми трудозатратами сомнительна. | Эксплуатация и сопровождение требуют крайне больших дополнительных затрат компании. | Риски крайне высокие. Например, для систем, в которых обрабатываются специальные или биометрические категории ПДн большого количества субъектов. |
Оценка стратегий осуществляется в отношении только тех систем, базы данных с ПДн которых полностью или частично располагаются за пределами РФ. При оценке применяется допущение, что в течение жизненного цикла систем проверка со стороны Роскомнадзора будет проведена как минимум один раз.
Привлекательность стратегии определяется по формуле, позволяющей оценить величину расходов на ее реализацию: Si=Ci+Oi*Tэ+Pо,i*Pв,i*Pд,i*M*S1+Pо,i*Pв,i*Pсми,I*D.
Влияние на бизнес выражается в виде расходов на реализацию стратегии, умноженных на мультипликатор. Мультипликатор зависит от критичности системы для бизнеса, сложности переноса системы, вовлеченности ее в основные бизнес-процессы и находится в промежутке от 1 до 3 единиц.
Вероятность обнаружения ИСПДн зависит в первую очередь от того, был ли уведомлен Роскомнадзор об этой системе, а также от вовлеченности ее в деятельность организации, и оценивается по шкале 0–100%. Для основных бизнес-процессов вероятность обнаружения ИСПДн выше. Вероятность выявления правонарушения в ИСПДн зависит от реализованной стратегии и компетентности проверяющих.
Чтобы упростить процедуру оценки вероятностей, используется экспертное мнение о степени соответствия стратегий требованиям Закона № 242-ФЗ. Степень соответствия анализируется по следующей шкале:
Вероятность распространения информации в СМИ зависит от значимости нарушения, степени вовлеченности системы в основные процессы организации и также оценивается по шкале 0–100%.
Действующим законодательством не установлена прямая ответственность за неисполнение операторами требований о локализации БД с ПДн (ч. 5 ст. 18 Закона № 152-ФЗ). Однако этот пробел может быть восполнен в среднесрочной перспективе. Размер штрафа может быть установлен в пределах 50 тыс. руб. (с учетом размера штрафа, установленного ч. 1 ст. 13.11 КоАП РФ). Это значительно меньше прочих расходов на реализацию стратегий и величины сопутствующих рисков. При расчете общей оценки стратегии штраф в явном виде не учитывается.
Рассмотрим пример оценки восьми стратегий в отношении отдельно взятой ИСПДн.
Итак, в рассмотренном примере наиболее привлекательной оказалась стратегия № 1 – создание промежуточной БД на территории РФ. Немного менее привлекательной является стратегия № 2 – перенос БД на территорию РФ.
1 Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор ПДн – это процесс целенаправленного получения данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации в БД на территории РФ возникает только в период сбора ПДн. Если, например, в зарубежной системе на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие ПДн нельзя рассматривать как получаемые во время сбора, т.е. они не были получены от субъекта или через уполномоченных оператором лиц.
2 Например, Минкомсвязь указывает, что понятие «база данных» на уровне федерального закона раскрыто в абз. 2 ст. 1260 ГК РФ следующим образом: «Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины». Тут же ведомство поясняет, что при применении Закона № 242-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме. Роскомнадзор придерживается мнения, что следует руководствоваться понятием, которое дано в Модельном законе о персональных данных, принятом в Санкт-Петербурге 16 октября 1999 г. Постановлением № 14-19 на 14-м пленарном заседании Межпарламентской Ассамблеи государств – участников СНГ: «база персональных данных» – это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Следовательно, базой данных можно считать таблицу в формате Excel, Word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и в каком формате обрабатываются – бумажном или электронном.
3 С данным расширительным толкованием понятия БД можно не согласиться, так как согласно п. 10 ст. 3 Закона № 152-ФЗ БД является неотъемлемой частью ИСПДн, а обработка ПДн, содержащихся в БД, осуществляется с использованием информационных технологий и технических средств (средств автоматизации). При этом, согласно ч. 1 ст. 1 Закона № 152-ФЗ, без использования средств автоматизации могут обрабатываться ПДн, зафиксированные на материальном носителе и содержащиеся в картотеках или иных систематизированных собраниях ПДн. Таким образом, упорядоченные массивы ПДн можно условно разделить на две категории: [электронные] базы данных в составе ИСПДн; картотеки и иные систематизированные собрания ПДн.
4 Оценка проводилась в течение трех лет. Указанный срок был определен на основании нормы, закрепленной в п. 33 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312).
База сведений хранящихся в соответствии с заданными требованиями что это
(1).jpg "база сведений хранящихся в соответствии с заданными требованиями что это. Смотреть фото база сведений хранящихся в соответствии с заданными требованиями что это. Смотреть картинку база сведений хранящихся в соответствии с заданными требованиями что это. Картинка про база сведений хранящихся в соответствии с заданными требованиями что это. Фото база сведений хранящихся в соответствии с заданными требованиями что это")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Положение Банка России от 21 февраля 2013 г. № 397-П «О порядке создания, ведения и хранения баз данных на электронных носителях”
Глава 1. Общие положения
Кредитная организация обеспечивает возможность определения даты осуществления операций и иных сделок, а также информации о лицевом счете, на котором отражена операция и сделка.
В электронные базы данных должна включаться информация об имуществе, обязательствах кредитной организации и их движении, содержащаяся в определяемых кредитной организацией объектах файловых систем (электронные таблицы, базы данных, файлы электронных образов бумажных документов, текстовых документов, электронных документов и другие виды объектов), создаваемых и хранящихся в кредитной организации (в том числе в ее структурных подразделениях) на электронных носителях, в том числе на жестких дисках серверов, рабочих станциях и удаленных устройствах, а также на отчуждаемых (съемных) машинных носителях информации.
Кредитная организация обязана включать в электронные базы данных информацию о договорах и иных сделках, об иных документах, включая информацию о первичных учетных документах, отражающих совершение операций либо факты возникновения, изменения или прекращения прав или обязанностей кредитной организации, а также информацию о документах, определяющих права на имущество, основания возникновения, изменения, перехода, прекращения таких прав, их ограничениях (обременениях).
В состав информации об имуществе, обязательствах кредитной организации и их движении включаются сведения о принятии органами управления кредитной организации решений о совершении сделок, если принятие таких решений предусмотрено федеральными законами.
Кредитной организации рекомендуется включать в электронные базы данных сведения:
о системе органов управления кредитной организации, в том числе исполнительных органов, о порядке их образования и их полномочиях, а также принятых ими решениях;
о распределении полномочий между советом директоров (наблюдательным советом), коллегиальным исполнительным органом и единоличным исполнительным органом;
о внутренних документах кредитной организации, принятие которых предусмотрено нормативными актами Банка России, в том числе при формировании резервов на возможные потери и резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности;
об образовании и полномочиях подразделений (комитетов) кредитной организации, в компетенцию которых входит принятие решений о совершении сделок, и принятых ими решениях;
об учетной политике, принятой кредитной организацией.
Сведения, указанные в настоящем пункте, включаются в электронные базы данных путем отражения информации о соответствующих документах с указанием реквизитов, обеспечивающих их идентификацию и поиск в определенном кредитной организацией месте хранения (хранилище, архиве) документов кредитной организации на бумажных носителях или в электронном виде, либо посредством размещения электронного образа такого документа.
1.2. Способ отражения в электронных базах данных информации должен обеспечить ее хранение не менее чем пять лет с даты включения в электронные базы данных и обеспечить возможность доступа к такой информации по состоянию на каждый операционный день.
Глава 2. Порядок создания, ведения и хранения электронных баз данных
2.1. Кредитная организация должна разработать внутренние документы (распоряжения, приказы, решения, правила, положения, методики, регламенты, должностные инструкции и иные документы) по вопросам создания, ведения и хранения электронных баз данных.
2.1.1. Распорядительными актами и внутренними документами кредитной организации должны быть определены полномочия и ответственность лиц, осуществляющих действия по созданию, ведению, хранению электронных баз данных, а также по защите информации и электронных носителей при их хранении и использовании.
2.1.2. Внутренними документами кредитной организации должны быть определены способы создания, ведения и хранения электронных баз данных, включая хранение версий программного обеспечения систем и подсистем, используемых при создании электронных баз данных, а при необходимости и аппаратных средств.
2.1.3. Внутренними документами кредитной организации должны быть определены способы хранения информации по учету изменений, вносимых в электронные базы данных.
Способы хранения информации по учету изменений, вносимых в электронные базы данных, должны обеспечивать возможность восстановления временной последовательности событий и действий пользователей по внесению изменений в электронные базы данных, а также возможность идентификации лиц, которые вносили данные изменения.
2.2. Порядок создания, ведения и хранения электронных баз данных должен обеспечивать поддержание электронных баз данных в актуальном состоянии, возможность восстановления информации из электронных баз данных, в том числе при наступлении обстоятельств непреодолимой силы, а также исключать возникновение условий для их порчи, утраты, заражения вредоносными кодами, несанкционированного изменения содержащейся в них информации или доступа неуполномоченных лиц.
2.3. Определение способов и средств по обеспечению информационной безопасности при создании, ведении и хранении электронных баз данных осуществляется кредитной организацией самостоятельно, за исключением случаев, когда требования к указанным способам и средствам в отношении определенной информации определены законодательством Российской Федерации.
Глава 3. Создание резервных копий электронных баз данных
3.1. В целях обеспечения хранения информации, содержащейся в электронных базах данных, кредитная организация создает резервные копии электронных баз данных, содержащие информацию, предусмотренную главой 1 настоящего Положения, и обеспечивает их хранение и защиту на носителях или средствах вычислительной техники, отличных от тех, на которых осуществляется оперативное ведение и хранение электронных баз данных.
3.2. Кредитная организация хранит резервные копии электронных баз данных способом, позволяющим обеспечить возможность оперативного восстановления информации, содержащейся в электронных базах данных.
3.3. Периодичность обновления кредитной организацией информации, включаемой в резервные копии электронных баз данных, определяется внутренними документами кредитной организации исходя из необходимости обеспечения возможности восстановления информации, содержащейся в резервных копиях электронных баз данных, по состоянию на каждый операционный день.
3.4. Организация работы с резервными копиями электронных баз данных, а также полномочия и ответственность лиц, осуществляющих действия по созданию и защите резервных копий электронных баз данных и их электронных носителей, определяются кредитной организацией в порядке, аналогичном установленному в главе 2 настоящего Положения в отношении электронных баз данных.
3.5. В целях обеспечения сохранности резервных копий электронных баз данных и их безопасности, в том числе при возникновении обстоятельств непреодолимой силы, резервные копии электронных баз данных размещаются в местах, отличных от мест размещения носителей электронных баз данных.
3.6. Порядок создания, ведения и хранения резервных копий электронных баз данных должен обеспечивать возможность исполнения кредитной организацией требований настоящего Положения к созданию и передаче в Банк России резервных копий электронных баз данных, а также размещение резервных копий электронных баз данных на территории Российской Федерации.
Глава 4. Создание резервных копий электронных баз данных по требованию Банка России
4.1. Банк России направляет в кредитную организацию требование о создании и передаче в Банк России резервных копий электронных баз данных на отчуждаемых машинных носителях информации в случае возникновения у кредитной организации оснований для отзыва лицензии на осуществление банковских операций, предусмотренных статьей 20 Федерального закона «О банках и банковской деятельности».
4.2. Резервные копии электронных баз данных представляются в Банк России в течение трех рабочих дней, следующих за днем получения кредитной организацией требования Банка России.
4.3. Решение о предъявлении требования Банка России принимается заместителем Председателя Банка России, являющимся руководителем (заместителем руководителя) Комитета банковского надзора Банка России, по представлению Департамента лицензирования деятельности и финансового оздоровления кредитных организаций Банка России.
4.4. В требовании Банка России указывается дата, на которую должны быть созданы резервные копии электронных баз данных, и место их представления.
4.5. Резервные копии электронных баз данных, представляемые в Банк России, размещаются на одном или нескольких отчуждаемых машинных носителях информации.
Если резервные копии электронных баз данных размещаются на нескольких отчуждаемых машинных носителях информации, то используемые носители последовательно нумеруются.
Паспорт резервных копий электронных баз данных должен содержать информацию о включенных в электронные базы данных сведениях и их структуре, сведения о способе и порядке получения доступа к информации, содержащейся в электронных базах данных, о необходимом оборудовании, версиях системного и дополнительного программного обеспечения, об используемых программных и аппаратных средствах защиты, о разработчике программного обеспечения, а также иную информацию, необходимую для обеспечения возможности восстановления электронных баз данных из резервных копий электронных баз данных. Электронная копия указанного паспорта размещается в корневом каталоге (директории) отчуждаемого машинного носителя информации (первого отчуждаемого машинного носителя информации при размещении резервных копий электронных баз данных на нескольких носителях).
Паспорт резервных копий электронных баз данных составляется в двух экземплярах: один для передачи его в Банк России одновременно с резервными копиями электронных баз данных, второй остается в кредитной организации.
4.7. Кредитная организация передает в Банк России в соответствии с предъявленным требованием резервные копии электронных баз данных в опечатанной (опломбированной) упаковке (упаковках), позволяющей обнаружить факт ее (их) несанкционированного вскрытия.
4.8. Передача резервных копий электронных баз данных осуществляется по акту приема-передачи, составленному в двух экземплярах, подписанных представителем Банка России и руководителем кредитной организации или уполномоченным лицом.
4.9. При приеме-передаче упаковки с резервными копиям и электронных баз данных проверяется целостность упаковки, печатей (пломб).
4.10. Один экземпляр акта приема-передачи передается руководителю кредитной организации или уполномоченному лицу, второй остается в Банке России.
4.11. Банк России принимает резервные копии электронных баз данных на хранение в целях последующей передачи временной администрации по управлению кредитной организацией, назначенной Банком России после отзыва у кредитной организации лицензии на осуществление банковских операций, либо назначенному арбитражным судом конкурсному управляющему (ликвидатору) кредитной организации в случае их обращения с письменным ходатайством.
Банк России обеспечивает хранение переданных ему резервных копий электронных баз данных способом, исключающим доступ к содержащейся в них информации.
4.12. Передача Банком России резервных копий электронных баз данных руководителю временной администрации по управлению кредитной организацией, конкурсному управляющему (ликвидатору) кредитной организации либо их возврат кредитной организации осуществляется по акту приема-передачи.
Глава 5. Заключительные положения
5.1. Настоящее Положение вступает в силу по истечении 10 дней после дня его официального опубликования в «Вестнике Банка России».
| Председатель Центрального банка Российской Федерации | С.М. Игнатьев |
Зарегистрировано в Минюсте РФ 9 апреля 2013 г.
Регистрационный № 28051
Обзор документа
Установлен порядок создания, ведения и хранения баз данных на электронных носителях, содержащих информацию об имуществе, обязательствах кредитной организации и их движении.
В электронных базах данных (ЭБД) необходимо отражать операции и иные сделки, отмеченные в регистрах аналитического и синтетического учета согласно правилам ведения бухучета в кредитных организациях, расположенных в нашей стране, от 2012 г.
Кредитная организация обеспечивает возможность определения даты совершения операций и иных сделок, а также информации о лицевом счете, на котором отражена операция и сделка.
Организация обязана включать в ЭБД информацию о договорах и иных сделках, об иных документах, в т. ч. данные о первичных учетных документах, отражающих совершение операций либо факты возникновения, изменения или прекращения ее прав или обязанностей. Сюда также заносятся сведения о документах, определяющих права на имущество, основания возникновения, изменения, перехода, прекращения таких прав, их ограничениях (обременениях). Сведения о принятии органами управления организации решений о совершении сделок (если таковое предусмотрено федеральными законами).
Способ отражения в ЭБД информации должен обеспечить ее хранение не менее чем 5 лет с даты включения в базу и обеспечить возможность доступа к ней по состоянию на каждый операционный день.
Кредитная организация должна разработать внутренние документы по вопросам создания, ведения и хранения ЭБД.
Закреплен порядок создания резервных копий ЭБД (в т. ч. по требованию Банка России).
Положение вступает в силу по истечении 10 дней после официального опубликования в «Вестнике Банка России».