Уведомлять или нет РКН о месте нахождения баз данных ПДн россиян? Не вопрос :-)

Уведомлять или нет РКН о месте нахождения баз данных ПДн россиян? Не вопрос :-)
Сегодня наступило знаменательное событие - прошло ровно 10 рабочих дней с момента вступления в силу 242-ФЗ, "закона о запрете хранения персональных данных россиян за границей". И многие операторы ПДн задумались, как им выполнить часть 7-ю статьи 22-й этого закона. А гласит эта статья немного немало, а об обязанности уведомить РКН о месте нахождения базы данных с персональными данными. Роскомнадзор не преминул воспользоваться своим правом и стал рекомендовать/требовать от операторов ПДн в разных регионах прислать обновленное уведомление. Вот, например, ростовский РКН об этом пишет , а вот - екатеринбургский. Писать необходимо в формате некоего информационного сообщения. И вот по этому поводу у меня есть несколько комментариев.

Во-первых, если внимательно прочитать саму статью 22.7, то мы увидим, что о месте нахождения базы данных с ПДн никого уведомлять не нужно! 7-я часть говорит только о необходимости повторного уведомления всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в ранее отправленном уведомлении. Но вы же скорее всего и так раньше хранили ПДн в России (хранящих за ее пределами не так уж и много на самом деле). Значит у вас ничего не поменялось и вам повторно утруждать Роскомнадзор изучением вашего уведомления не надо. Да и леса надо поберечь. Если 300 тысяч операторов ПДн повторно направят свои уведомления, то от этого выиграет только "Почта России" и продавцы бумаги. Ни РКН не узнает ничего нового, ни субъекты ПДн не пострадают.

А что же делать, если у вас раньше ПДн хранились "там", а к 1-му сентября вы их перенесли "сюда"? Если смотреть формально, то все равно вы же раньше не уведомляли о месте нахождения баз данных. А значит, с формальной точки зрения, у вас ничего и не поменялось в отправленном уведомлении. Но поскольку РКН у нас очень вольно трактует законодательство и регулярно меняет свою точку зрения на одни и те же вопросы, то многие хотят подстраховаться и все-таки направить РКН повторное уведомление. Что в нем писать?

Терорганы РКН ("тер" - от слова "территориальные", а не "терроризирующие") в своих устных ответах на этот вопрос говорят, что указывать надо не только физическое местонахождение база данных (я бы координаты ГЛОНАСС отправил :-), но и название СУБД и даже ее версию. Видимо они хотят повторить эпопею с указанием наименований СКЗИ, защищающих ПДн. Надо ли отправлять эту информацию? Нет, не надо! Мотивация проста.

Форма уведомления в РКН утверждена 482-м приказом РКН от 16.07.2010, а приказом 706-м от 19.08.2011 в нее внесены изменения. На сегодняшний день это единственный официальныйдокумент, определяющий, что и как вы должны писать в уведомлении в Роскомнадзор. 30-го декабря 2014-го года были выпущены еще одни, временные, рекомендации по заполнению формы уведомления. Мне их статус не совсем понятен (где приказ, на основании которого они были утверждены), но и там нет ни слова о том, что надо писать относительно местонахождения баз данных ПДн (хотя текст законопроекта, впоследствие ставший 242-ФЗ, уже был тогда известен).

Если посмотреть административный регламент РКН по исполнению государственной функции ведения реестра операторов ПДн (а утвержден он 20 января 2010-го года), то и там нет ни слова про то, что надо указывать в части местонахождения баз данных ПДн. Кстати, забавная ситуация, вот уже много лет на официальном сайте РКН на месте этого регламента висит другой - по проведению проверок в области радиочастотного спектра.

Какой же вывод можно сделать из этого? В связи с тем, что официальных документов, разъясняющих, что такое "сведения о месте нахождения баз данных информации, содержащей персональные данные граждан Российской Федерации" нет, то если вы все-таки горите желанием отправить в РКН хоть что-то, то отправьте туда информационное сообщение, в котором будет написано, что база данных ПДн находится на территории Российской Федерации. Это не противоречит закону и даже полностью ему соответствует. А вот когда РКН разродится изменениями и в свой приказ, и в административный регламент, тогда уже можно будет говорить и об отправке более конкретных сведений.

ЗЫ. На  портале  проектов НПА я не нашел упоминаний о подготовке обновленной версии приказа РКН). Хотя времени у РКН было предостаточно и другие проекты они готовили загодя.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь