Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10 ноября 2022 г. № 08-99909 “О рассмотрении обращения”

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций рассмотрела Ваше обращение от 14.10.2022 N 02-11-38775 и сообщает, что проверка средств защиты информации осуществляется при проведении плановых и внеплановых контрольных (надзорных) мероприятий в отношении оператора в соответствии с постановлением Правительства Российской Федерации от 29.06.2021 N 1046, а также Федерального закона от 31.07.2020 N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" и не относятся к компетенции Роскомнадзора.

В части подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее - Уведомление), сообщаем, что согласно п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

На основании ч. 1 ст. 22 Закона обработка персональных данных должна осуществляться с уведомлением уполномоченного органа о таком намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 настоящего Закона.

На основании изложенного полагаем, что обязанность по направлению уведомления об обработке (намерении осуществлять обработку) персональных данных (далее - Уведомление) возлагается, в том числе на физическое лицо - инициатора общего собрания не зависимо от формы проведения общего собрания и при условии, что обработка персональных данных не подпадает под исключения, предусмотренные ч. 2 ст. 22 Закона о персональных данных.

В части заполнения Уведомления сообщаем, что согласно п. 3.1.7. Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (далее - Методические рекомендации) Уведомление предполагает указание описания мер, предусмотренных статьями 18.1 и 19 Закона о персональных данных.

Описание мер предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, представляются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).

Данную информацию рекомендуется представлять на основании приказа ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Согласно п. 3.1.12. Методических рекомендаций в Уведомлении указываются сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации (далее - база данных).

Таким образом в графе "Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации" необходимо указать сведения о наименование стран размещения базы данных, а также конкретные адреса местонахождения базы данных.

В части отнесения обработки персональных данных к автоматизированной обработке сообщаем, что согласно ст. 3 Закона о персональных данных автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Таким образом, в рассматриваемом случае обработка персональных данных в системе программ "Excel" и "Word" признаётся осуществляемой с использованием средств автоматизации.