Самая полная информация о том, что такое ЦОД при обработке персональных данных и его основные функции
Многие современные крупные компании нуждаются в оптимизации процесса сбора, обработки и хранения данных. Создание датацентров позволяет наладить эффективное управление ресурсами и добиться их оптимального распределения. Центры обработки должны адаптироваться под условия бизнеса, быть надежными и успешно справляться с огромными объемами поступающей информации.
Расшифровка
ЦОД расшифровывается как Центр обработки данных. Многие до сих пор не знают, что это такое. Между тем, он представляет собой целый комплекс, предназначенный для хранения серверов и оборудования и обеспечивающий их бесперебойную работу. Чаще всего такие центры располагаются в крупных зданиях и включают серверы крупных компаний.
Сейчас услуги дата-центра популярны и среди молодых компаний, инвесторами которых выступают иностранцы. В России и странах СНГ популярность подобных центров пока что невысока, но за рубежом они считаются выгодными.
Отличие от базы данных
Практически в любой компании существует база данных для оптимизации рабочего процесса.
Эта база может храниться в разном виде, и доступ к ней должен быть бесперебойным. Однако различные факторы, например, временное отсутствие электричества, или же программный сбой, могут повлиять на скорость обработки данных, или вовсе временно ограничить доступ к информации.
Центры обработки данных бывают двух видов.
Помимо непрерывной работы оборудования, центр обработки данных должен позволять:
Коммерческие ЦОД, в отличие от локальных, исключают неправильную организацию системы, а также дают возможность сэкономить на содержании штата специалистов. Кроме того, отсутствует необходимость выделять одно или несколько помещений под работу дата-центров.
Что такое дата центр при обработке личных сведений?
Сервер
Работа центра обработки данных обеспечивает высокое качество обработки информации на большой скорости, при этом не теряя деталей и сохраняя целостность этой информации. Производительность сервера – один из главных факторов, на которые обращает внимание компания.
Кроме того, важными функциями ЦОДа как сервера считают:
Как сервис
Компании, предоставляющие услуги дата-центров, предлагают широкий спектр основных и дополнительных услуг. В них входят аренда телекоммуникационных стоек, шкафов, выделенных серверов, колокейшн, виртуальный хостинг и возможность использования облачных платформ.
Кроме того, важным фактором работы ЦОД считаются устойчивые интернет каналы и наличие точек обмена трафиком. Электропитание должно быть не менее надежным, включать независимые вводы электричества и дизельные электростанции.
Благодаря вышеуказанным факторам, ЦОД как сервис можно считать высокоэффективным и надежным, имеющим отказоустойчивую инфраструктуру.
Что такое уведомление о месте нахождения и как указать адрес?
Компания должна направить уведомление в Роскомнадзор, в котором необходимо указать сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (согласно изменению 152-Ф3 от 21.07.2014 N 242-Ф3).
Направить документ в структуру можно как на бумаге, так и в электронном виде. Обязательна подпись уполномоченного лица. В уведомлении должны содержаться следующие сведения:
Заполнение последнего пункта должно содержать сведения о местонахождении БД информации с персональными данными граждан РФ. Необходимо указать страну и точный адрес ЦОДа, если он локальный, или предоставить сведения о владельце центра, если он коммерческий. Во втором случае требуется предоставить следующую информацию:
Рациональное применение ЦОД позволит крупным компаниям сократить затраты времени и средств, обеспечить должную безопасность хранения информации и бесперебойный доступ к ней. Выбирая локальный вид ЦОД, лучше убедиться в соблюдении вышеуказанных целей, а при выборе коммерческого, важно просмотреть все лицензии, подтверждающие качество сервиса.
Что такое адрес цода в персональных данных
Методические рекомендации по заполнению полей, предусмотренных формами Уведомления и Информационного письма
! Методические рекомендации по заполнению полей, предусмотренных формами Уведомления и Информационного письма
Наименование ТО Роскомнадзора
Необходимо указывать наименование ТО Роскомнадзора, а именно «Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области» (или «Управление Роскомнадзора по Челябинской области»).
Тип оператора
Необходимо указывать тип оператора: (выбирается один из вариантов: государственный орган, муниципальный орган, юридическое или физическое лицо, индивидуальный предприниматель, иностранный гражданин).
Необходимо указывать адрес оператора, ИНН, ОГРН
Зачастую полное наименование организации на бланке и (или) печати и в уведомлении не соответствуют. Необходимо точное соответствие.
В Информационных письмах обязательно указание регистрационного номера записи оператора в реестре. Для того чтобы узнать регистрационный номер необходимо перейти на Портал персональных данных по ссылке: https://pd.rkn.gov.ru и в поле Реестр воспользоваться поиском по ИНН или расширенным поиском по ИНН, наименованию Оператора.
Правовое основание обработки персональных данных
Необходимо указывать соответствующие статьи и номер закона или иного НПА, регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных (статьи Трудового кодекса, Указов Президента РФ, Постановлений Правительства РФ и других НПА)
Цель обработки персональных данных
Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели фактически осуществляемой оператором деятельности.
Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке
Необходимо указать конкретные организационные и технические меры, принимаемые оператором в соответствии со ст.18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных, в том числе факт использования шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации
Необходимо указывать конкретные меры, предпринимаемые Оператором для обеспечения безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Например, какие конкретные меры предпринимает оператор в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Дата начала обработки персональных данных
Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными. Например, 01.01.2019.
Зачастую дата начала обработки совпадает с датой присвоения ОГРН (ОГРНИП).
Срок или условие прекращения обработки персональных данных
Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
Например, дата: «01.01.2020» или условие «ликвидация (реорганизация) юридического лица».
Категории персональных данных
Категории субъектов, персональные данные которых обрабатываются
Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором), клиенты, пациенты. Слово «и др.» писать не нужно.
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных
Конкретные действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, которые оператор осуществляет с персональными данными);с указанием конкретных способов обработки:
— неавтоматизированная обработка персональных данных;
-исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
— смешанная обработка персональных данных с передачей полученной информации по сети или без таковой.
А также необходимо указывать порядок передачи информации при смешанной и (или) автоматизированной обработке.
-«информация передается/ не передается по внутренней сети юридического лица»;
-«информация передается/ не передается с передачей по сети
Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки
В случае трансграничной передачи персональных данных необходимо указывать страны, в которые происходит передача персональных данных в процессе их обработки.
Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ
В данном поле необходимо указывать страну и конкретный адрес (например, страна: Россия, адрес ЦОДа: в формате Регион/Город или населенный пункт/Улица/Дом/Офис).
Необходимо указывать на принадлежность ЦОДа (например, собственный ЦОД (Да / Нет), в случае выбора варианта «Нет», необходимо указывать какой организации принадлежит ЦОД).
Ответственное лицо за организацию обработки персональных данных
В данном поле необходимо указывать ФИО ответственного лица или наименование организации, ответственных за организацию обработки персональных данных.
Обязательно: номер телефона, почтовый адрес, адрес электронной почты ответственного лица или организации. Например, Иванов Иван Иванович, тел. 8(351) 000-00-00, Регион/Город или населенный пункт/Улица/Дом/Офис, E-mail: info@info.ru.
Исполнитель
В данном поле необходимо указывать ФИО, должность, контактную информацию исполнителя, то есть лица, заполнившего данную форму.
Подпись
Сформированная печатная форма Уведомления или Информационного письма в бумажном виде должна быть подписана руководителем организации или лицом, имеющим право подписи документов и направлена в Управление Роскомнадзора по Челябинской области почтовым отправлением или доставлена нарочно.
Номер и ключ уведомления
В случае заполнения электронных форм на Портале персональных данных Вашему документу будет присвоен номер уведомления и ключ.
Напоминаем, что недопустимо внесение в сформированные печатные формы изменений, а также удаление информации о номере и ключе уведомления.
Время публикации: 05.09.2019 08:02
Последнее изменение: 05.09.2019 08:02
© 2009-2021, Версия 2.15.18
Официальный интернет-ресурс Федеральной службы по надзору
в сфере связи, информационных технологий и массовых коммуникаций
Уведомление об обработке персональных данных в Роскомнадзор
Кому необходимо подать уведомление в реестр операторов персональных данных. В 152-ФЗ широкое определение обработки. Практически любое действие с персональными данными (далее – ПДн) – обработка.
Если лицо собирает сведения о гражданине в заранее установленных целях, определяет состав сведений и действия с ними, то такое лицо становится оператором ПДн.
В процессе обработки может участвовать лицо, осуществляющее обработку персональных данных по поручению оператора (далее — Обработчик). Обработчик заключает с оператором договор-поручение и действует только в интересах последнего. Обработчик не преследует свои цели.
Если оператор обрабатывает (собирает, обезличивает, уточняет, использует, хранит и пр.) ПДн с использованием сайта, веб-приложения или мобильного приложения и др., работающих в инфраструктуре облачного провайдера или стороннего ЦОДа, тогда в цепочке «субъект ПДн — оператор — провайдер облачных услуг/ЦОД» провайдеры и дата-центры выступают в качестве обработчиков. Данные таким компаниям поступают не напрямую от субъекта.
Если возникает необходимость в услугах облачных сервисов, проверьте реализуемые меры защиты ПДн и правильно оформите договор-поручение. Как выбрать облачную инфраструктуру, соответствующую 152-ФЗ, можно узнать здесь.
Обязанность подать уведомление об обработке персональных данных
Операторы обязаны сообщить в РКН о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Закона). Заполнить уведомление в Роскомнадзор и привести процессы обработки в соответствие с установленными требованиями рекомендуется до начала взаимодействия с ПДн.
В некоторых ситуациях разрешено не состоять в реестре:
С 1 марта 2021 года в перечне появился новый пункт — уведомлять не нужно, если гражданин разрешил распространять сведения о себе. Однако для правомерности таких действий оператор обязан получить отдельное согласие.
О чем нужно уведомлять Роскомнадзор
Если вы уже являетесь оператором или только имеете намерение осуществлять обработку, то предоставьте следующую информацию в РКН:
Образец заполнения и рекомендации
Форма уведомления об обработке персональных данных в Роскомнадзор расположена на официальном сайте. Ниже рассмотрен общий порядок заполнения.
Сначала выберите территориальный орган, в который направляется документ. Территориальный орган выбирается на основании местонахождения оператора:
Далее указываются общие сведения о лице, подающем уведомление. Обязательные поля помечены красной отметкой:
Укажите адреса филиалов компании при наличии. Компании часто забывают об этом и приводят сведения только о головной организации.
Далее следует раздел «Общие сведения»:
Под правовым основанием понимаются законы, локальные акты (здесь не забудьте указать внутреннее положение об обработке в компании) и иные документы, в соответствии с которыми вы действуете. Однако не рекомендуется указывать 152-ФЗ — это одна из ошибок, часто отмечаемая РКН в разъяснениях.
Нужно обязательно привести конкретные статьи и пункты. Пример заполнения поля:
Сведения о целях, для достижения которых вы ведете обработку, рекомендуется привести в отношении каждой категории субъектов отдельно. Для начала проверьте, есть ли у вас сведения о:
Сведения о соискателях не могут быть использованы в тех же целях, что сведения о заказчиках, и наоборот. Если вы укажете цели для всех категорий одной строкой, это будет нарушением.
При описании предусмотренных Федеральным законом мер желательно перечислить полный список таких мер. Предварительно ознакомьтесь с содержанием соответствующих статей, поскольку важно не только заявлять декларативно о применении мер, но и действительно внедрять их в компании. В противном случае может грозить привлечение к ответственности.
В графе о средствах безопасности укажите меры, которые позволяют вам следить за сохранностью ПДн — это могут быть меры как технического, так и организационного характера. В каждой организации в зависимости от вероятности утечек и иных факторов используются свои способы обеспечения информационной безопасности.
Для иллюстрации можно привести следующие:
Для правильного заполнения поля «Сведения об обеспечении безопасности» нужно установить, какие угрозы актуальны для вашей компании. Уровень защищенности можно определить, исходя из:
Для каждого уровня из четырех отдельные требования к безопасности Нужный уровень защищенности ПДн поможет определить калькулятор (см. раздел «определить уровень защищенности»).
Дата начала обработки чаще всего совпадает с датой регистрации компании. Маловероятно, что компания не обрабатывает данные граждан с самого начала своей деятельности. Обычно сразу появляется информация о клиентах, о представителях сторонних организаций (например, курьеров, ремонтных служб, служб доставки).
Дату окончания обработки определить затруднительно. Поэтому лучше укажите условия, при которых вы больше не будете обрабатывать сведения.
Заполняем категории персональных данных
Создайте отдельную ИСПДн для каждой категории субъектов. Это правило следует из законодательного принципа недопустимости объединения ПДн, которые обрабатываются в несовместимых между собой целях.
Перед заполнением уведомления:
В разделе уведомления «Сведения об информационных системах» каждую категорию физических лиц укажите отдельно. Например, сначала вы заполняете перечень действий, категории и иные сведения об обработке ПДн клиентов. Если вы также обрабатываете сведения о других субъектах, добавьте новую ИС и заполните раздел для новой категории субъектов ПДн.
В поле «Перечень действий» указываются действия, которые вы осуществляете с данными. Выберите все действия из перечня, закрепленного в законе:
Если ПДн хранятся только в электронной форме, то обработка является автоматизированной.
Смешанная обработка возможна, если данные хранятся как в бумажной форме, так и в электронных базах. Например, сведения о работниках, как правило, хранятся в карточке Т-2, трудовой книжке и одновременно в электронных базах (СКУД, 1С, SAP), следовательно, обработка смешанная.
Также обязательно указать, передаются ли ПДн внутри организации и с использованием сети интернет.
Вариант заполнения формы:
В графе «Категории персональных данных» нужно перечислить личные сведения о субъектах, которые вы обрабатываете. Если вы собираете данные, не перечисленные в форме уведомления, дополнительно сообщите об этом в соответствующем поле.
Особое внимание уделите при указании специальных категорий и биометрических ПДн. К обработке указанных категорий законодательство устанавливает повышенные требования, в том числе к основаниям сбора(требуется письменное согласие) и защите.
В поле «Категории субъектов» рекомендуется писать только одну категорию (например, работники). Как уже отмечено, каждая отдельная категория указывается при помощи добавления новой ИС путем нажатия кнопки:
Если компания передает данные в другие страны, нужно также уведомить об этом РКН. Нередки случаи, когда информация передается в организацию, расположенную за рубежом: например, если сайт интернет-магазина имеет направленность на российских потребителей и принадлежит международной компании; компания имеет филиалы по всему миру и данные работников передаются в материнскую компанию; иные ситуации.
Также укажите СКЗИ, которые вы используете, и класс таких средств (если применимо). Если вы не применяете СКЗИ, укажите, что их нет. Вариант заполнения:
Указание адреса ЦОДа
Важно верно указать адреса ЦОДов, в которых размещены ИС со сведениями о субъектах. До передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. Данное требование было отдельно отмечено представителями РКН в ходе публичного семинара по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.
ПДн российских граждан должны первично обрабатываться на территории России соответственно. При этом дальнейшая трансграничная передача ПДн не запрещена. Если вы пользуетесь облачным провайдером, расположенным за границами Российской Федерации, то необходимо создавать первичную базу данных на территории России. Штрафы за несоблюдение могут доходить до 18 млн руб.
Перед трансграничной передачей разместите базы данных у российского провайдера. В уведомлении укажите первичный адрес базы данных. Адрес ЦОД обычно указан в договоре-поручении на обработку ПДн, заключаемом между оператором и облачным провайдером.
Ответственный за обработку персональных данных
В конце уведомления укажите сведения о назначенном лице (или компании), ответственном за обработку ПДн, в том числе ФИО (или название компании) и контакты. На практике назначается приказом сотрудник компании. Рекомендуется указывать достоверную контактную информацию, поскольку Роскомнадзор может связаться с представителем оператора для оперативного взаимодействия.
Частые ошибки
Типичные ошибки при заполнении уведомления:
Непредоставление полной информации по данным отчета РКН за 2019 год составляет 17% от общего числа нарушений.
Сроки и порядок отправки уведомления
Подайте уведомление до начала обработки в бумажном или в электронном виде. Роскомнадзор включает в реестр по истечении 30 дней с момента регистрации уведомления. Для проверки статуса уведомления и факта включения в реестр достаточно в поисковой строке указать ИНН.
Форма уведомления: бумажный носитель или электронный документ.
Есть три способа подачи уведомления:
Для подачи на бумажном носителе можно заполнить форму на сайте Роскомнадзора. После заполнения автоматически сформируется документ с уникальным номером и ключом. Заполненный бланк нужно распечатать и направить по адресу выбранного органа.
Появилась возможность электронной подачи. Однако потребуется усиленная квалифицированная ЭП или подтвержденная учетная запись на портале Госуслуг.
Подпись, оформление и отправка уведомления
Если уведомление подается в бумажном виде, его необходимо оформить на бланке организации (но если бланка нет, то можно без него). Затем подпишите и поставьте печать. Подписать может либо генеральный директор, либо лицо по доверенности — в таком случае должна быть приложена доверенность. Оформленное уведомление направьте по адресу территориального органа заказным письмом. Это позволит в дальнейшем отследить получение.
Последствия неуведомления
Даже если оператор уже давно обрабатывает данные и не состоит в реестре, целесообразно подать уведомление (на практике операторов не привлекали к ответственности, если уведомление подано позже начала обработки). Существует ошибочное мнение, что в поле зрения уполномоченного органа только компании в реестре. Роскомнадзор вправе направить запрос о подаче уведомления в любую организацию.
За несообщение предусмотрен штраф (статья 19.7. КоАП РФ):
| для граждан | 100-300 рублей |
| для должностных лиц | 300-500 рублей |
| для юридических лиц | 3000-5000 рублей |
Штрафовать могут неоднократно. В 2019 году РКН составил 5191 протокол по статье 19.7. и наложил штрафы в размере 4 231 430 рублей.
Необходимость внесения изменений в реестр операторов
При изменении процессов обработки или общих сведений оператор должен уведомить об этом. Например, если компания:
Помимо уведомления Роскомнадзора не забудьте внести изменения в поручения на обработку ЦОДам или провайдерам облачных сервисов.
Сведения об изменениях сообщаются путем отправки информационного письма:
