10.1)ロシア連邦市民の個人データを含む情報のデータベースの場所に関する情報。
最近まで、この要件はRoskomnadzorの管理規則または対応する通知の形式のいずれにも複製されていませんでした(紙と電子形式で提出するための2つがあり、奇妙なことにそれらは異なっています)。 しかし、法律は法律であるため(この夏に施行されたPDのデータベースの場所を示す必要がある修正152-)、Roskomnadzorが通知でこのデータを示すようにオペレーターに要求したのは論理的です。 そしてもちろん、これはオペレーターにとって困難を引き起こしました。誰が何をどこに示すのかという質問に答えることができなかったからです。
しかし、すべてが変化しており、通信省は2015年8月28日N 315の命令を発行しました( pdfのリンク、 テキスト形式 )。
命令によれば、管理規則の修正が行われます-パラグラフ46(登録簿に入力されたデータ)および54(通知に示されたデータ)は、以下によって補足されます:
ロシア連邦市民の個人データを含む情報のデータベースの場所に関する情報。
それに応じて、通知の形式が変わります(注文の付録に記載されています)。 そして、ここから面白いことが始まります。
152-FZの現在の版によると、それを思い出してください:
3.本条の第1項に規定された通知は、紙の文書の形または電子文書の形で送信され、権限のある人によって署名されるものとする。 通知には次の情報が含まれている必要があります。
通知には次の情報が含まれている必要があります。
1)名前(姓、名、愛称)、オペレーターの住所;
2)個人データの処理の目的。
3)個人データのカテゴリ。
4)個人データが処理されるエンティティのカテゴリ。
5)個人データの処理の法的根拠。
6)個人データを使用したアクションのリスト、個人データを処理するためにオペレーターが使用する方法の一般的な説明。
7)暗号化(暗号化)手段の利用可能性およびこれらの手段の名前に関する情報を含む、本連邦法の第18.1および19条で規定されている手段の説明。
7.1)個人の姓、名前、愛用者、または個人データの処理を担当する法人の名前、およびその連絡先の電話番号、住所、電子メールアドレス。
8)個人データの処理の開始日。
9)個人データの処理の終了の条件または条件。
10)個人データの処理過程における国境を越えた転送の有無に関する情報。
10.1)ロシア連邦市民の個人データを含む情報のデータベースの場所に関する情報。
つまり、通知:
- 紙または電子形式で送信できます。
- 法律では、2つのオプション間で提供される情報の構成に違いはありません。
そして、通知の紙のフォームを見ると、国、データベースの場所の住所、情報システム(データベース)の名前を指定する必要がある段落が追加されます。
ところで、テキスト152-FZを見ると、個人データ情報システムは次のとおりです。
データベースに含まれる個人データの全体、および情報技術と技術的手段の処理。
個人データはデータベースの一部であるだけでなく、多くのデータベースが存在する可能性があります(これは論理的です)が、通知フォームに従って指定する必要があることは言うまでもありません。 なぜそう ミステリー。
しかし、電子形式の通知に移りましょう。
国境を越えたデータ転送の後、データベースに関する情報を説明するセクションがあります。 しかし、これはタイトルです。 また、テキストではデータセンターの住所を説明する必要があります! すぐに質問です-誰もが雲に行きましたか? データセンターを使用しない場合は何を書くべきですか?
フォームに記入します
ディレクトリから選択するという申し出にもかかわらず、ディレクトリはありません。 手動で入力したデータ
独自のデータセンターが使用されていることを明示的に指定しない場合、データセンターの所有者に関するデータを指定するためのリクエストが表示されます。
当然、管理ルールではこの種のものは必要ありません。
46.次の情報が登録に入力されます。
46.1。 登録番号。
46.2。 名前(姓、名前、愛称)、オペレーターの住所。
46.3。 オペレーター(ある場合)の支店(代表事務所)の住所。
46.4。 通知の日付。
46.5。 個人データを処理する目的。
46.6。 個人データのカテゴリ。
46.7。 個人データが処理されるエンティティのカテゴリ。
46.8。 個人データの処理の法的根拠。
46.9。 個人データを使用したアクションのリスト。個人データを処理するためにオペレーターが使用する方法の一般的な説明。
46.10。 暗号化(暗号化)手段の利用可能性およびこれらの手段の名前に関する情報を含む、連邦法の18.1および19条で規定されている手段の説明。
46.11。 個人の姓、名前、個人の愛称、または個人データの処理を組織する法人の名前、およびその連絡先の電話番号、住所、電子メールアドレス。
46.12。 処理中の個人データの国境を越えた転送の有無に関する情報。
12/26/1。 ロシア連邦市民の個人データを含む情報のデータベースの場所に関する情報
46.13。 ロシア連邦政府によって確立された個人データの保護要件に従って個人データのセキュリティを確保することに関する情報。
46.14。 個人データの処理開始日。
46.15。 個人データの処理を終了する条件。
電子フォームと紙のフォームのもう1つの違いは、組織内にあるすべてのデータベース(電子通知の文言のDPC)を示す可能性(必要?)です。 前述の命令(およびそれによって承認された通知フォーム)にも、法律にも、そのような要件はありません。
紙のフォームで必要な一般情報に加えて、ここでは、より多くの情報と各データベースを指定する必要があります-そして、フォームによれば、1つのデータベースは1つのIPに対応します
通知には、これらの通知の発効に関する通知が必要ですか? 法律によると:
7.情報が変更された場合(以前にRoskomnadzorに提出された)...および個人データの処理が終了した場合、オペレーターは、そのような変更の発生日または個人の処理の終了日から10営業日以内に、これに関する個人データの対象者の権利の保護のために、認定機関に通知する必要がありますデータ。
つまり、法律は通知する必要がないことを明確に述べています。 法律によれば、新しいフォームによれば、2015年12月1日(通知の変更の効力発生日)以降、または最後の手段として最初の通知を送信するオペレーターと、効力発生後通知を送信するオペレーターのみにデータを送信する必要があります法律の変更。
しかし、これは正式です。 実際、伝統的に、すべては地上の位置によって決定されます-そして、 先例はすでに存在します。
アルタイ準州およびアルタイ・ズダノフA.P.共和国のRoskomnadzor局の情報技術分野における個人データおよび監督の主題の権利の保護部長 彼ら(この部門、特に部門)はアートのそのパート7を検討していると直接かつ明確に述べました。 22152-は、一般に記事22のパート3に新しい段落が追加され、特にデータベースの場所が追加された状況にも適用されます。 つまり 検査中に、彼らは修正に関する情報レターを提出しない違反を検討します...
そして最後の1つ。 実際のデータベースについて。 それは何ですか-定義はありません。 しかし、Roskomnadzorの位置があります
( 詳細はこちら )。 つまり、順序付けられたデータのリストは、少なくともテキストファイルではデータベースの概念に該当します。 したがって、電子通知に記入するには、情報のすべての順序付けられた配列のすべての場所を指定する必要があります。 すべてのオフィス、データセンター、下請業者向け。 幸いなことに、個人(BYOD!)および自宅のコンピューターのアドレスを指定する必要はありません。
要約すると:
- 紙の通知と電子通知は大きく異なります。
- 152-FZによると、個人データはデータベースの一部にしかなれません。
- データベースが何であるかの定義はありませんが、おそらく、何らかの形で電子形式で保存された順序付けられた情報として解釈されます。
- ロシア連邦市民のデータベースのみの保存場所を指定する必要があります。 原則として、この要件がどこから来たのかは明らかです-個人データを処理するための場所をロシアに転送するための要件の波で生まれました。 しかし、法律に入った-それは奇妙に見え始めた-私たちは市民や他の国の市民のデータを保護することに興味がありませんか? ちなみに、ここからはデータベースも発生しました-苦労は外国のデータセンターからの転送のためでした。 しかし、再び、法律に入ると、それは奇妙な原因になりました。
- 場所があるとは判断されません。 法律に従ってどのような正確性を指定する必要がありますか-国または家庭に対して正確ですか? 個人的には、州がすべての個人データのすべての場所を知る必要がある理由を理解していません(はい-法の規定によると-注文された情報を保存している場合、いつでも最後の携帯電話まで)。