Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 08-95490 “О рассмотрении обращения”

Вопрос: Я являюсь собственником квартиры в многоквартирном доме (я простой гражданин, без статуса ИП), и я хочу провести общее собрание собственников в моем доме по различным вопросам. Как инициатор собрания и член счетной комиссии, я буду обрабатывать персональные данные собственников помещений в доме, обрабатывать предполагаю с помощью средств ЭВМ. Я полагаю, что должна предуведомить Роскомнадзор о намерении обрабатывать персданные (письмом Роскомнадзора от 16.09.2022 N 08-84259 было указано на данную обязанность). Однако корректное заполнение формы такого Уведомления из Методических рекомендаций 2017 года вызвало у меня затруднения.

В связи с этим прошу разъяснить:

- можно ли указать в графе "цель обработки" слова "проведение ОСС",

- что именно следует указать в графе "категории персональных данных" применительно к тем данным, которые нужны для проведения ОСС (ФИО, адрес/метраж помещения, номер записи в ЕГРН),

- что именно следует указать в графе "категории субъектов персональных данных" применительно к собственникам помещений в МКД,

- что именно следует указать в графе "перечень действий с персональными данными, общее описание используемых способов" применительно к указанной ситуации,

- что именно следует указать в графе "меры безопасности" применительно к указанной ситуации?

Кроме того, обязана ли я как оператор разработать политику в отношении обработки персданных?

Ответ: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций рассмотрела обращение от 30.09.2022 и сообщает следующее.

Согласно п. 3.1.2 Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (далее - Методические рекомендации) уведомление об обработке (намерении осуществлять обработку) персональных данных (далее - Уведомление) предполагает указание цели обработки персональных данных.

В графе "цель обработки" Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.

Таким образом указание проведения общего собрания собственников как цель обработки персональных данных не противоречит требованиям Методических рекомендаций.

В соответствии с п. 3.1.3 Методических рекомендаций в графе "категории персональных данных" Уведомления рекомендуется учитывать категории персональных данных, подлежащих обработке Оператором.

Согласно п. 3.1.4 Методических рекомендаций в графе "категории субъектов персональных данных" Уведомления рекомендуется указывать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).

В соответствии с п. 3.1.6 Методических рекомендаций в графе "перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных" Уведомления следует указать перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.

Предполагаемые действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

- неавтоматизированная обработка персональных данных;

- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

- смешанная обработка персональных данных.

Обращаем внимание, что при автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.

Согласно п. 3.1.7. Методических рекомендаций Уведомление предполагает указание описания мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

Описание мер предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, представляются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).

Данную информацию рекомендуется представлять на основании приказа ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

По существу доводов о разработки политики в отношении обработки персональных данных сообщаем, что согласно ч. 2 ст. 18.1 Закона о персональных данных оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Таким образом при осуществлении обработки персональных данных посредством сети "Интернет" Вы, как оператор, обязаны опубликовать документ, определяющий его политику в отношении обработки персональных данных.