В чём разница между оператором ПДн и обработчиком ПДн?


(Алексей Комаров) #1

Мнение Ксении Шудровой:

Обратимся к определению:

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Таким образом, оператор:

  • осуществляет обработку;
  • может организовать обработку;
  • определяет цели обработки;
  • определяет состав персональных данных;
  • определяет действия над персональными данными.

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

То есть у лица, которое обрабатывает персональные данные по поручению, должно быть такое поручение, в котором оператор уже указал перечень действий и цели обработки. Если такое поручение есть, то все отлично. Сомнений нет - вы лицо, обрабатывающее персональные данные по поручению. А если его нет? Может быть оператор оказался недобросовестным и передал данные, не оформив все должным образом. В таком случае ошибку нужно исправить и поручение оформить. Но здесь важно понимать - получение данных не от субъекта напрямую не делает вас автоматически лицом, обрабатывающим персональные данные!

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию…

Есть простая истина, которую многие забывают - базы персональных данных могут дублироваться у разных операторов. Из того, что у двух юрлиц одинаковые базы ПДн не следует, что одно юрлицо оператор, а второе обрабатывает по поручению.

На мой взгляд, вы оператор, если не сможете доказать обратное - предоставить поручение на обработку.


(Александр Лагутин) #2

Обсуждение участников Telegram-чата КИИ 187-ФЗ (перенесено как нетематическое):

Polina, [30.08.18 16:29]
В случае с ГИС та же ситуация в отношении ЦОДа. Сам ЦОД ресурсов не имеет, однако имеет аттестаты для ГИС.

Pavel P, [30.08.18 16:30]
[In reply to Polina]
если оператор ПДн размещает свои ПДн в ЦОД - то ЦОД тоже становится оператором этих ПДн?)))

ExperT ExperT, [30.08.18 16:31]
опередили

Natalya, [30.08.18 16:31]
Оператор законодательно или же иным способом закреплён , цод в данном случае обрабатывает информацию и обязан ее защищать с рамках 17 или 21 приказов

Alexxiel, [30.08.18 16:31]
[In reply to Pavel P]
Да

ExperT ExperT, [30.08.18 16:32]
не обладает - если предоставляет услугу IaaS и PaaS

Natalya, [30.08.18 16:32]
А вопрос не в обладании, а обработке

ExperT ExperT, [30.08.18 16:32]
[In reply to Alexxiel]
Цод может и не знать что там обрабатывается

Polina, [30.08.18 16:33]
Может и не знать. Если субъект размещает свои системы где попало :blush: И не заботится о соблюдении требований :blush:

Natalya, [30.08.18 16:33]
[In reply to ExperT ExperT]
Цод чаще всего аттестован уже сразу по высшему классу, чтобы не заморачиваться на знание

Polina, [30.08.18 16:33]
[In reply to Natalya]
Согласна

Alexxiel, [30.08.18 16:34]
[In reply to ExperT ExperT]
Во-первых, оператор ПДн - это любой тот, кто обрабатывает ПДн (что такое обработка ПДн можно подсмотреть в 152-ФЗ), а, во-вторых, на ровно такой же вопрос постоянно отвечает РКН, например, на крайнем дне открытых дверей. Ответ - да.

Andrey, [30.08.18 16:35]
[In reply to Pavel P]
ЦОД становится лицом, осуществляющим обработку по поручению оператора (обработчиком)

ExperT ExperT, [30.08.18 16:35]
[In reply to Natalya]
Аттестация по КИИ не для клиентов ГИС не требуется, а аттестовывать весь цод под 1 категорию пустая трата денег

Pavel P, [30.08.18 16:35]
[In reply to Polina]
хорошо, напишу так, вы размещаете в ЦОД информацию, содержащую коммерческую тайну вашей компании, о режиме обработки которой ваши работники предупреждены и все последствия, ЦОД получается тоже обрабатывает вашу коммерческую тайну и все работники ЦОД обязаны знакомится с вашими внутренними документами по КТ?)

Andrey, [30.08.18 16:35]
[In reply to Alexxiel]
неверно, оператор определяет цели обработки

Polina, [30.08.18 16:36]
Коммерческая тайна тут ни при чем. Методы и сповобы ее защиты и передачи определяются владельцем и могут быть какие угодно. Если передали свою коммерческую тайну, то приняли все риски

ExperT ExperT, [30.08.18 16:36]
[In reply to Andrey]
не становится - так как может предоставлять только вычислительные мощности!

Ilia, [30.08.18 16:37]
Про защиту в цодах - вместе с цодом вы будете покупать услуги защиты информации, вы можете сказать какие вам надо, но платить за защиту будете вы

Ilia, [30.08.18 16:38]
Принцип как с каналами связи https://www.garant.ru/products/ipo/prime/doc/56634451/
См. п.15 и 16

Alexxiel, [30.08.18 16:39]
[In reply to Andrey]
Что неверно? Ответ РКН или определение понятия «обработка ПДн»?
Коллеги, не смогу продолжить спор о ПДн, так как группа этому не посвящена.

Andrey, [30.08.18 16:41]
[In reply to Alexxiel]
определение понятия «оператор ПДн»

Polina, [30.08.18 16:42]
Исходя из опыта и моего личного мнения, при размещении своей критической системы в облаках, нужно учитывать, что облака также являются такими системами и обеспечивают соответствующую защиту. Если размещаете в обычных коммерческих ЦОДах, это нарушение и отвечать придется вам, а не ЦОДам

Pavel P, [30.08.18 16:44]
[In reply to Polina]
исходя из опыта: размещение в обычных коммерческих ЦОД не составляет само по себе вообще никакого нарушения

Alexxiel, [30.08.18 16:44]
[In reply to Andrey]
Окей.
Но в целом РКН, повторюсь, настаивает, что ЦОД в рассматриваемом случае - оператор ПДН.

Polina, [30.08.18 16:45]
[In reply to Pavel P]
А как же требование к аттестованной инфраструктуре?

Pavel P, [30.08.18 16:46]
[In reply to Alexxiel]
а откуда ЦОД возьмет информацию необходимую для выполнения того же ПП1119?)

Pavel P, [30.08.18 16:46]
[In reply to Polina]
а в чем проблема аттестации ИС в облаке?

ExperT ExperT, [30.08.18 16:46]
[In reply to Polina]
С точки зрения субъекта всё просто - вопрос с точки зрения ЦОДа - какие услуги можно оказывать (SaaS Paas IaaS) не беспокоясь об ответственности по всем известной статье. хотя с SAAS боле менее понятно. А вот в остальном большой вопрос.

Alexxiel, [30.08.18 16:47]
[In reply to Pavel P]
Коллеги, группа не о защите ПДн.
Посещайте, пожалуйста, мероприятия РКН. Вопросы РКН также можно задавать через их сайт.

Polina, [30.08.18 16:48]
[In reply to Pavel P]
В аттестованной инфраструктуре

Pavel P, [30.08.18 16:50]
[In reply to Polina]
инфраструктура ЦОД не является частью ИС от слова вообще, в аттестации ИС не участвует соответственно