Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. N 08-95490 "О рассмотрении обращения"
Вопрос: Я являюсь собственником квартиры в многоквартирном доме (я простой гражданин, без статуса ИП), и я хочу провести общее собрание собственников в моем доме по различным вопросам. Как инициатор собрания и член счетной комиссии, я буду обрабатывать персональные данные собственников помещений в доме, обрабатывать предполагаю с помощью средств ЭВМ. Я полагаю, что должна предуведомить Роскомнадзор о намерении обрабатывать персданные (письмом Роскомнадзора от 16.09.2022 N 08-84259 было указано на данную обязанность). Однако корректное заполнение формы такого Уведомления из Методических рекомендаций 2017 года вызвало у меня затруднения.
В связи с этим прошу разъяснить:
- можно ли указать в графе "цель обработки" слова "проведение ОСС",
- что именно следует указать в графе "категории персональных данных" применительно к тем данным, которые нужны для проведения ОСС (ФИО, адрес/метраж помещения, номер записи в ЕГРН),
- что именно следует указать в графе "категории субъектов персональных данных" применительно к собственникам помещений в МКД,
- что именно следует указать в графе "перечень действий с персональными данными, общее описание используемых способов" применительно к указанной ситуации,
- что именно следует указать в графе "меры безопасности" применительно к указанной ситуации?
Кроме того, обязана ли я как оператор разработать политику в отношении обработки персданных?
Ответ: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций рассмотрела обращение от 30.09.2022 и сообщает следующее.
Согласно п. 3.1.2 Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (далее - Методические рекомендации) уведомление об обработке (намерении осуществлять обработку) персональных данных (далее - Уведомление) предполагает указание цели обработки персональных данных.
В графе "цель обработки" Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.
Таким образом указание проведения общего собрания собственников как цель обработки персональных данных не противоречит требованиям Методических рекомендаций.
В соответствии с п. 3.1.3 Методических рекомендаций в графе "категории персональных данных" Уведомления рекомендуется учитывать категории персональных данных, подлежащих обработке Оператором.
Согласно п. 3.1.4 Методических рекомендаций в графе "категории субъектов персональных данных" Уведомления рекомендуется указывать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).
В соответствии с п. 3.1.6 Методических рекомендаций в графе "перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных" Уведомления следует указать перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
Предполагаемые действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных.
Обращаем внимание, что при автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.
Согласно п. 3.1.7. Методических рекомендаций Уведомление предполагает указание описания мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
Описание мер предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, представляются следующие сведения:
а) наименование используемых криптографических средств;
б) класс средств криптографической защиты информации (СКЗИ).
Данную информацию рекомендуется представлять на основании приказа ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
По существу доводов о разработки политики в отношении обработки персональных данных сообщаем, что согласно ч. 2 ст. 18.1 Закона о персональных данных оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Таким образом при осуществлении обработки персональных данных посредством сети "Интернет" Вы, как оператор, обязаны опубликовать документ, определяющий его политику в отношении обработки персональных данных.
|
Начальник Управления по защите |
Ю.Е. Контемиров |
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Уведомление уполномоченного органа об обработке (намерении осуществлять обработку) персональных данных должно содержать цель обработки. Таковой может являться проведение общего собрания собственников помещений в многоквартирном доме.
Разъяснено, как заполнять графы "категории персональных данных", "категории субъектов персональных данных" и "перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных".
Отмечено, что при обработке персональных данных через Интернет оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных.
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. N 08-95490 "О рассмотрении обращения"
Опубликование:
-