Сервер с ПДн на площадке другого юр лица - Форум по вопросам информационной безопасности

Люди добрые, ваши знания и ваша доброта помогут мне понять небольшой вопрос по прерсданным, за что я буду безмерно благодарен.


Есть сайт, ресурсы для размещение которого нам предоставляет другое ЮЛ. Ну что значит ресурсы?
Они на своей виртуальной инфраструктуре создали ВМ и развернули гостевую ОС с базовыми параметрами, после чего управление гостевой машиной передали нам (полностью доступ к ОС, ее конфигурированию и т.д.).
То есть разделение полномочий происходит по гостевой ОС, то есть админы этого юрлица, разумеется имеют доступ к железу и виртуальным машинам, но доступа к гостевой ОС (штатными средствами), в том числе к конфигурации ОС, они не имеют.

И вопрос следующего характера:
Можно ли это считать - поручением на обработку ПДн, согласно ст. 6 152-ФЗ или для такой ситуации применяются другие положения закона?

Спасибо.

Админы так-то сами ПДн не обрабатывают. И доступ к вашей ВМ и гостевой ОС у них есть всегда, то ли дело могут не пользоваться...
Если и стороннее юр.лицо в сборе, накоплении, систематизации, модификации (уточнении) и т.д. в контексте ПДн непосредственно не участвует, то и к 152-ФЗ оно (лицо) не имеет отношения. Спорный вопрос в части "хранения" ПДн (ресурсы-то хранилища ВМ и, соответственно, самих данных как раз это юр.лицо вам предоставляет). Также спорный вопрос в части защиты всей инфраструктуры и, следовательно, ПДн (вы защищаете на логическом уровне, но физический вам неподконтролен). Эти вопросы - и, соответственно, статус такого юр.лица как Оператора или нет в зависимости от возложенных функций и обязательств - должны быть однозначно решены в договорном/ином соглашении между вами и юр.лицом арендодателем мощностей. А также зафиксированы в вашей Политике обработки и защиты ПДн. Да и в Согласии для оконечных субъектов ПДн при любом раскладе я бы уточнил, что хранение и фактическая обработка ПДн (в электронном виде) ведутся на мощностях такого-то стороннего юр.лица. В противном случае, все риски как Оператор ПДн ложатся исключительно на вас...

oko

То есть правильно ли я понимаю, что соглашение не может быть поручение на обработку ПДн?

Обычно под соглашениями какие-либо правовые основания есть, вот что здесь можно использовать как правовое основание для заключения соглашения?

Спасибо.

to Тупень
Они же вам не по доброте душевной ВМ создали и "инфраструктуру" предоставили? Вот и основание для уточнения любых иных вопросов (в рамках первичного договора, в рамках отдельного соглашения). Хоть бы и соглашения о конфиденциальности и определения зон ответственности. Подведенное в том числе под выполнение требований об обеспечении безопасности персональных данных...
Здесь вопрос юридический по взаимодействию двух организаций - обращаться по нему следует к юристам. Риски, в том числе правового характера, описаны и, думаю, понятны. Дальше только желание заниматься этим вопросом...

ЗЫ Если это "другое ЮЛ" не осуществляет и не собирается осуществлять обработку ПДн или как услугу обеспечивать защиту ПДн, которыми уполномочены/обязаны заниматься вы, то "поручить" им что-либо в рамках ст. 6 152-ФЗ у вас не получится. Разумеется, если это "другое ЮЛ" не подписывает какие-либо бумаги "не глядя", ага...

"Они же вам не по доброте душевной ВМ создали и "инфраструктуру" предоставили?"
Именно так, ну то есть почти.
Они, по сути, наша головная организация, только юрлица разные.
До того как на сайте появилась обработка ПДн оформления каких-либо взаимоотношений по предоставлению площадки для размещения сайта не было.
фактически сейчас оформляем, да и то поскольку ПДн появились и сайт стал ИСПДн.
Фактически обработку ПДн они конечно производить не будут - только место.
Вот и возник вопрос - как это правильно оформить (юристы - дохлый номер, они при слова защита информации и ПДн делаю круглые глаза и говорят, что это они в этом не разбираются).

to Тупень
Тогда совет только один - уволить некомпетентных/ленивых юристов и нанять новых, которые смогут разрулить и оформить взаимодействие между вами и вышестоящей организацией во всех вопросах, касающихся обработки ПДн. В противном случае, готовьтесь к геометрическому росту проблем, ага...