Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 21.03.2019 N П11-3690-ОГ "О разъяснении норм федерального законодательства"

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - Министерство) в пределах своей компетенции рассмотрело Ваши обращения от 20.02.2019, зарегистрированное в Министерстве 21.02.2019 по вопросу разъяснения норм Федерального закона от 27.07.2006 N 152-ФЗ (с изменениями и дополнениями) "О персональных данных" (далее - Закон о персональных данных) и сообщает следующее.

В отношении необходимости подачи уведомления необходимо отметить следующее.

В соответствии с частью 1 статьи 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные частью 2 статьи 22 Закона о персональных данных, при обработке персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора http://pd.rkn.gov.ru/operators-registry/operators-registry-documents/ в информационно-телекоммуникационной сети "Интернет". Кроме того, на портале Персональные данные (http://pd.rkn.gov.ru/operators-registry/notification/) реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Исходя из вышеизложенного, в случае, если деятельность организации подпадает под указанные выше исключения, организация вправе обрабатывать персональные данные не подавая соответствующее уведомление. Одновременно обращаем внимание, что при принятии решения о "попадании" под исключения, предусмотренные частью 2 статьи 22 Закона о персональных данных, необходимо проанализировать деятельность организации в полном объеме.

В отношении информационной системы персональных данных необходимо отметить следующее.

Согласно пункту 10 статьи 3 Закона о персональных данных "информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств".

Базой данных, как это установлено абзацем 2 части 2 статьи 1260 Гражданского кодекса Российской Федерации, является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ.

Таким образом, информационные системы персональных данных (далее - ИСПДн) представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются:

- персональные данные, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;

- информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке персональных данных;

- технические средства, осуществляющие обработку персональных данных, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных;

- программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т.п.);

- средства защиты информации;

- вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки персональных данных, но размещенные в помещениях, в которых расположены ИСПДн.

Согласно пункту 12 статьи 2 Федерального закона от 27.07.2006 N 149-ФЗ (с изменениями и дополнениями) "Об информации. информационных технологиях и о защите информации" (далее - 149-ФЗ) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Вместе с тем согласно части 2 статьи 13 149-ФЗ если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Таким образом, у одной информационной системы может быть только один оператор.

Дополнительно сообщаем, что согласно части 3 статьи 6 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

В соответствии с пунктом 2 статьи 3 152-ФЗ "оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными".

Исходя из указанных определений, лицо, осуществляющее обработку персональных данных по поручению оператора, является оператором персональных данных, при условии соответствия требованиям, указанным в пункте 2 статьи 3 152-ФЗ.

Обращаем Ваше внимание, что исходя из закрепленного пунктом 6.6 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 02.06.2008 N 418 права "давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к сфере ведения Министерства", настоящее письмо не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом. Данное письмо носит информационно-разъяснительный характер по вопросам применения законодательства Российской Федерации в области персональных данных.

Директор Департамента развития отрасли ИТ

Д.С. Никитин