Запрос в Минкомсвязь. Что такое база данных? Кто есть оператор ИСПДн?
В очередном запросе в Минкомсвязь России были заданы следующие вопросы:
Как видно из ответа, в части определения содержания термина "база данных" Минкомсвязь России ориентируется на ГК РФ. Если рассмотреть термин "база данных", утвержденный ГК РФ, то, по мнению автора, к базам данных будут, в том числе относится документы в электронной форме, хранящиеся в директориях файловой системы. Таким образом, компьютер в файловой системе которого в виде фалов (документы Word, таблицы Excel и т.п.) хранятся(как минимум) документы, содержащие ПДн, может быть отнесен к ИСПДн.
Комментарий автора.
Исходя из ответа, по мнению автора:
1) оператором ИСПДн является оператор ПДн, который:
а) является собственником информационной системы;
б) владеет информационной системой на праве аренды, безвозмезного пользования и т.п. (например: заключен договор аренды сервера).
2) оператором ИСПДн является собственник информационной системы, оказывающий услуги по обработке информации, в том числе в форме облачных вычислений (SaaS и т.п.), но при условии, что оператор ПДн поручил такому владельцу информационной системы обработку ПДн в форме документа (договор-поручения, доп.соглашение к договору и т.п.).
Комментарий автора.Согласно п. 10 ст. 3 Федерального закона «О персональных данных» информационная система персональных данных (далее – ИСПДн) — это совокупность содержащихся в базах данных персональных данных (далее – ПДн) и обеспечивающих их обработку информационных технологий и технических средств.Согласно ч. 2.1 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» база данных — это совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь.Согласно ч. 2.53 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» схема базы данных (database schema) — формальное описание данных в соответствии с конкретной схемой данных.Согласно ч. 2.54 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» схема данных (data schema) — логическое представление организации данных.Согласно п. 12 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.Исходя из вышеизложенного прошу разъяснить следующее:1) Следует ли относить к базам данных совокупность электронных файлов (в том числе текстовых), содержащих ПДн, организованных системой каталогов файловой системы, а информационные системы, в состав которых входит указанная совокупность данных, к ИСПДн.2) Следует ли относить к базам данных совокупность логических записей данных, содержащих ПДн, обрабатываемых в виде электронного файла с применением программного обеспечения типа «редактор таблиц» (например: MS Excel, LidreOffice Calc и т.п.), а информационные системы, в состав которых входит указанный электронный файл, к ИСПДн.3) В случае обработки ПДн с применением информационной системы, организованной в виде «облачного сервиса» (далее – ОИС), (например: «Сбербанк-ОнЛайн», Медицинская информационная система (МИС) «MEDODS» и т.п.) следует ли относить, обрабатываемую такой ОИС совокупность данных, содержащую ПДн, владельцем которых является оператор ПДн, к базе данных, оператором которой является оператор ПДн.4) Следует ли относить к ИСПДн ОИС, в условиях когда: оператор ПДн использует такую систему для обработки ПДн, а оператор и(или) владелец информационной системы не относит ее к ИСПДн. Кого следует считать оператором ИСПДн в таком случае.5) Следует ли рассматривать автоматизированное рабочее место, применяемое для подключения к ОСИ с целью ввода, передачи, и отображения ПДн, как:а) отдельную ИСПДн, оператором которой является оператор ПДн;б) часть ИСПДн, организованной в виде ОИС, оператором которой является оператор ОИС, и следует ли относить оператора ПДн к операторам такой ИСПДн.6) Следует ли относить оператора ОИС, в которой обрабатываются ПДн, к лицам, привлеченным оператором ПДн к обработке ПДн согласно ч. 3 ст. 6 Федерального закона «О персональных данных».Ответ (с небольшими комментариями от автора):
Как видно из ответа, в части определения содержания термина "база данных" Минкомсвязь России ориентируется на ГК РФ. Если рассмотреть термин "база данных", утвержденный ГК РФ, то, по мнению автора, к базам данных будут, в том числе относится документы в электронной форме, хранящиеся в директориях файловой системы. Таким образом, компьютер в файловой системе которого в виде фалов (документы Word, таблицы Excel и т.п.) хранятся(как минимум) документы, содержащие ПДн, может быть отнесен к ИСПДн.
Комментарий автора.
Исходя из ответа, по мнению автора:
1) оператором ИСПДн является оператор ПДн, который:
а) является собственником информационной системы;
б) владеет информационной системой на праве аренды, безвозмезного пользования и т.п. (например: заключен договор аренды сервера).
2) оператором ИСПДн является собственник информационной системы, оказывающий услуги по обработке информации, в том числе в форме облачных вычислений (SaaS и т.п.), но при условии, что оператор ПДн поручил такому владельцу информационной системы обработку ПДн в форме документа (договор-поручения, доп.соглашение к договору и т.п.).