Автор: Тупень | 111247 | 09.12.2023 10:17 |
Люди добрые, ваши знания и ваша доброта помогут мне понять небольшой вопрос по прерсданным, за что я буду безмерно благодарен.
Есть сайт, ресурсы для размещение которого нам предоставляет другое ЮЛ. Ну что значит ресурсы? Они на своей виртуальной инфраструктуре создали ВМ и развернули гостевую ОС с базовыми параметрами, после чего управление гостевой машиной передали нам (полностью доступ к ОС, ее конфигурированию и т.д.). То есть разделение полномочий происходит по гостевой ОС, то есть админы этого юрлица, разумеется имеют доступ к железу и виртуальным машинам, но доступа к гостевой ОС (штатными средствами), в том числе к конфигурации ОС, они не имеют. И вопрос следующего характера: Можно ли это считать - поручением на обработку ПДн, согласно ст. 6 152-ФЗ или для такой ситуации применяются другие положения закона? Спасибо. |
Автор: oko | 111249 | 09.12.2023 15:01 |
Админы так-то сами ПДн не обрабатывают. И доступ к вашей ВМ и гостевой ОС у них есть всегда, то ли дело могут не пользоваться...
Если и стороннее юр.лицо в сборе, накоплении, систематизации, модификации (уточнении) и т.д. в контексте ПДн непосредственно не участвует, то и к 152-ФЗ оно (лицо) не имеет отношения. Спорный вопрос в части "хранения" ПДн (ресурсы-то хранилища ВМ и, соответственно, самих данных как раз это юр.лицо вам предоставляет). Также спорный вопрос в части защиты всей инфраструктуры и, следовательно, ПДн (вы защищаете на логическом уровне, но физический вам неподконтролен). Эти вопросы - и, соответственно, статус такого юр.лица как Оператора или нет в зависимости от возложенных функций и обязательств - должны быть однозначно решены в договорном/ином соглашении между вами и юр.лицом арендодателем мощностей. А также зафиксированы в вашей Политике обработки и защиты ПДн. Да и в Согласии для оконечных субъектов ПДн при любом раскладе я бы уточнил, что хранение и фактическая обработка ПДн (в электронном виде) ведутся на мощностях такого-то стороннего юр.лица. В противном случае, все риски как Оператор ПДн ложатся исключительно на вас... |
Автор: Тупень | 111250 | 11.12.2023 04:43 |
oko
То есть правильно ли я понимаю, что соглашение не может быть поручение на обработку ПДн? Обычно под соглашениями какие-либо правовые основания есть, вот что здесь можно использовать как правовое основание для заключения соглашения? Спасибо. |
Автор: oko | 111251 | 11.12.2023 05:34 |
to Тупень
Они же вам не по доброте душевной ВМ создали и "инфраструктуру" предоставили? Вот и основание для уточнения любых иных вопросов (в рамках первичного договора, в рамках отдельного соглашения). Хоть бы и соглашения о конфиденциальности и определения зон ответственности. Подведенное в том числе под выполнение требований об обеспечении безопасности персональных данных... Здесь вопрос юридический по взаимодействию двух организаций - обращаться по нему следует к юристам. Риски, в том числе правового характера, описаны и, думаю, понятны. Дальше только желание заниматься этим вопросом... ЗЫ Если это "другое ЮЛ" не осуществляет и не собирается осуществлять обработку ПДн или как услугу обеспечивать защиту ПДн, которыми уполномочены/обязаны заниматься вы, то "поручить" им что-либо в рамках ст. 6 152-ФЗ у вас не получится. Разумеется, если это "другое ЮЛ" не подписывает какие-либо бумаги "не глядя", ага... |
Автор: Тупень | 111261 | 20.12.2023 03:45 |
"Они же вам не по доброте душевной ВМ создали и "инфраструктуру" предоставили?"
Именно так, ну то есть почти. Они, по сути, наша головная организация, только юрлица разные. До того как на сайте появилась обработка ПДн оформления каких-либо взаимоотношений по предоставлению площадки для размещения сайта не было. фактически сейчас оформляем, да и то поскольку ПДн появились и сайт стал ИСПДн. Фактически обработку ПДн они конечно производить не будут - только место. Вот и возник вопрос - как это правильно оформить (юристы - дохлый номер, они при слова защита информации и ПДн делаю круглые глаза и говорят, что это они в этом не разбираются). |
Автор: oko | 111263 | 20.12.2023 20:57 |
to Тупень
Тогда совет только один - уволить некомпетентных/ленивых юристов и нанять новых, которые смогут разрулить и оформить взаимодействие между вами и вышестоящей организацией во всех вопросах, касающихся обработки ПДн. В противном случае, готовьтесь к геометрическому росту проблем, ага... |
Просмотров темы: 302