2. Сбор ПДн можно организовывать сначала в картотеку
3. Из картотеки передавать ПДны можно напрямую заграницу
то есть подписываем бумажный договор с клиентом, складываем в стопочку, вбиваем ПДны клиента в иностранный SAP/Salesforce/кудаугодно.
Бонусом:
ПДны достаточно "локализовать" один раз. Если они локализованы в одной системе, в других их можно собирать сразу за рубежом.
Виолетта Зарипова: «Правомерно ли заключение о том, что база данных может быть в любой форме, в том числе бумажной, поэтому требование закона о локализации будет исполнено, если в РФ в бумажном виде хранятся персональные данные (например, личные дела сотрудников), которые затем в электронном виде вносятся в автоматизированные системы учета, которые располагаются на зарубежных серверах головной компании?»
ОтветитьУдалитьОтвет Минкомсвязи:
В связи с тем, что понятие «база данных» на уровне федерального закона раскрыто в абзаце втором части 2 статьи 1260 Гражданского кодекса Российской Федерации в виде «базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины», при применении вступающей в силу с 1 сентября 2015 года части 5 статьи 18 Федерального закона №152-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме.
Ссылка:
http://www.minsvyaz.ru/ru/personaldata/answers/#1440499587952
Первая часть ответа - ссылка
ОтветитьУдалитьhttp://pd-info.ru/questions/
"Что понимается под базой данных"
При определении понятия «база данных» следует учитывать, что в российском законодательстве определено множество понятий баз данных (не только в ГК РФ и ГОСТ Р 20886-85), тем не менее, все они сводятся к широкому пониманию данного термина. Более того, согласно Модельному закону о персональных данных, принятому в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, «база персональных данных» - это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).
Вторая часть ответа - ссылка
http://www.minsvyaz.ru/ru/personaldata/#1438548218895
"Распространяется ли требование локализации на случаи внесения персональных данных российских граждан в базы данных, которые расположены за пределами Российской Федерации, если такие персональные данные ранее уже были локализованы в соответствии с ФЗ-242?"
Актуальность данного вопроса обуславливается частым наличием в рамках одной организации множества баз данных, в которых может осуществляться обработка персональных данных. Также нередко сбор персональных данных первоначально осуществляется в «бумажной» форме (заполненные бланки заявлений, анкет и пр.), c последующим их занесением сотрудником организации в общекорпоративную электронную базу данных, расположенную за рубежом. Возложение на оператора обязанности по локализации каждой из таких баз данных приводит к существенному возрастанию затрат, не сопровождающихся усилением защиты субъектов персональных данных (поскольку их данные уже были локализованы на территории РФ). К тому же, в некоторых случаях особенности построения информационной инфраструктуры компании не позволяют осуществить локализацию всех баз данных без кардинальной перестройки своей глобальной инфраструктуры. Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России. В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.
Александр, вы что хотели сказать то?
УдалитьО противоречивых ответах минкомсвязи.
ОтветитьУдалитьПо сути тот же самый вопрос по бумажным архивам уже ранее задавала Виолетта Зарипова на сайте минкомсвязи, на что получила ответ:
"под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме".
И из этого ответа, как я пониманию, никак не выходит что можно организовывать сначала в картотеку, а потом передавать сведения в системы, расположенные за рубежом.
Противоречия тут нет. У Виолетты старый ответ, у меня новый. Они просто передумали :)
Удалить