Запрос в Минкомсвязь. Что такое база данных? Кто есть оператор ИСПДн?

В очередном запросе в Минкомсвязь России были заданы следующие вопросы:

Согласно п. 10 ст. 3 Федерального закона «О персональных данных» информационная система персональных данных (далее – ИСПДн) — это совокупность содержащихся в базах данных персональных данных (далее – ПДн) и обеспечивающих их обработку информационных технологий и технических средств.

Согласно ч. 2.1 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» база данных — это совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь.

Согласно ч. 2.53 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» схема базы данных (database schema) — формальное описание данных в соответствии с конкретной схемой данных.

Согласно ч. 2.54 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» схема данных (data schema) — логическое представление организации данных.

Согласно п. 12 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Исходя из вышеизложенного прошу разъяснить следующее:

1) Следует ли относить к базам данных совокупность электронных файлов (в том числе текстовых), содержащих ПДн, организованных системой каталогов файловой системы, а информационные системы, в состав которых входит указанная совокупность данных, к ИСПДн.

2) Следует ли относить к базам данных совокупность логических записей данных, содержащих ПДн, обрабатываемых в виде электронного файла с применением программного обеспечения типа «редактор таблиц» (например: MS Excel, LidreOffice Calc и т.п.), а информационные системы, в состав которых входит указанный электронный файл, к ИСПДн.

3) В случае обработки ПДн с применением информационной системы, организованной в виде «облачного сервиса» (далее – ОИС), (например: «Сбербанк-ОнЛайн», Медицинская информационная система (МИС) «MEDODS» и т.п.) следует ли относить, обрабатываемую такой ОИС совокупность данных, содержащую ПДн, владельцем которых является оператор ПДн, к базе данных, оператором которой является оператор ПДн.

4) Следует ли относить к ИСПДн ОИС, в условиях когда: оператор ПДн использует такую систему для обработки ПДн, а оператор и(или) владелец информационной системы не относит ее к ИСПДн. Кого следует считать оператором ИСПДн в таком случае.

5) Следует ли рассматривать автоматизированное рабочее место, применяемое для подключения к ОСИ с целью ввода, передачи, и отображения ПДн, как:

а) отдельную ИСПДн, оператором которой является оператор ПДн;

б) часть ИСПДн, организованной в виде ОИС, оператором которой является оператор ОИС, и следует ли относить оператора ПДн к операторам такой ИСПДн.

6) Следует ли относить оператора ОИС, в которой обрабатываются ПДн, к лицам, привлеченным оператором ПДн к обработке ПДн согласно ч. 3 ст. 6 Федерального закона «О персональных данных».

Ответ (с небольшими комментариями от автора):

Комментарий автора.
Как видно из ответа, в части определения содержания термина "база данных" Минкомсвязь России ориентируется на ГК РФ. Если рассмотреть термин "база данных", утвержденный ГК РФ, то, по мнению автора, к базам данных будут, в том числе относится документы в электронной форме, хранящиеся в директориях файловой системы. Таким образом, компьютер в файловой системе которого в виде фалов (документы Word, таблицы Excel  и т.п.) хранятся(как минимум) документы, содержащие ПДн, может быть отнесен к ИСПДн.

Комментарий автора.
Исходя из ответа, по мнению автора:
1) оператором ИСПДн является оператор ПДн, который:
а) является собственником информационной системы;
б) владеет информационной системой на праве аренды, безвозмезного пользования и т.п. (например: заключен договор аренды сервера).
2) оператором ИСПДн является собственник информационной системы, оказывающий услуги по обработке информации, в том числе в форме облачных вычислений (SaaS  и т.п.), но при условии, что оператор ПДн поручил такому владельцу информационной системы обработку ПДн в форме документа (договор-поручения, доп.соглашение к договору и т.п.).

ЖКХ. В каких случаях управляющая организация (компания) может не получать согласие на обработку ПДн.

Управляющая организация (компания) может не получать согласие на обработку ПДн в следующих случаях:
1. В случае обработки ПДн, необходимых для исполнения договора с нанимателем жилых помещений государственного и муниципального жилищных фондов и собственников жилых помещений на оказание коммунальных услуг.
Основание:
Согласно части 2 статьи 161 Жилищного Кодекса РФ (далее - ЖК РФ) собственники помещений в многоквартирном доме обязаны выбрать один из способов управления многоквартирным домом:
1) непосредственное управление собственниками помещений в многоквартирном доме, количество квартир в котором составляет не более чем тридцать;
(в ред. Федеральных законов от 21.07.2014 N 255-ФЗ, от 29.06.2015 N 176-ФЗ)
(см. текст в предыдущей редакции)
2) управление товариществом собственников жилья либо жилищным кооперативом или иным специализированным потребительским кооперативом;
3) управление управляющей организацией.
Согласно части 3 статьи 161 ЖК РФ способ управления многоквартирным домом выбирается на общем собрании собственников помещений в многоквартирном доме и может быть выбран и изменен в любое время на основании его решения. Решение общего собрания о выборе способа управления является обязательным для всех собственников помещений в многоквартирном доме.
Отношения между собственниками помещений и УО оформляются согласно ГК РФ и Постановления Правительства РФ от 06.05.2011 N 354 "О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов" (вместе с "Правилами предоставления коммунальных услуг...") в форме договора.
Таким образом, инициатором заключения договора с УО являются собственники помещений, а обработка ПДн собственников помещений УО подпадает под п. 5 ст. 6 ФЗ "О персональных данных", который определяет следующее разрешающее условие: "обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем".

2. Согласно части 11 статьи 161 ЖК РФ УО, в частности, обязана предоставлять ресурсоснабжающим организациям, региональному оператору по обращению с твердыми коммунальными отходами информацию, необходимую для начисления платы за коммунальные услуги.
Таким образом, передача ПДн собственников помещений УО ресурсоснабжающим организациям, региональному оператору по обращению с твердыми коммунальными отходами подпадает под п. 2 ст. 6 ФЗ "О персональных данных", который определяет следующее разрешающее условие: "обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей".

3. Согласно части 15 статьи 155 ЖК РФ управляющая организация, которым в соответствии с ЖК РФ вносится плата за жилое помещение и коммунальные услуги, а также ее представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов, осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов, осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности.
Согласно части 16 статьи 155 ЖК РФ  при привлечении управляющей компанией, представителей (платежных агентов, ком. автора) для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.

4. Согласно части 18 статьи 7 ФЗ "О государственной информационной системе жилищно-коммунального хозяйства" УО, как лицо, осуществляющее деятельность по оказанию услуг по управлению многоквартирными домами, по договорам оказания услуг по содержанию и (или) выполнению работ по ремонту общего имущества в многоквартирных домах, по предоставлению коммунальных услуг, размещает в государственной информационной системе жилищно-коммунального хозяйства (далее - ГИС ЖКХ) информацию о состоянии расчетов потребителей с лицами, осуществляющими деятельность по управлению многоквартирными домами, с лицами, осуществляющими предоставление коммунальных услуг, с лицами, осуществляющими поставки ресурсов, необходимых для предоставления коммунальных услуг, в многоквартирные дома, жилые дома.
Таким образом, передача ПДн собственников помещений УО в ГИС ЖКХ подпадает под п. 2 ст. 6 ФЗ "О персональных данных", который определяет следующее разрешающее условие: "обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей".

Запрос в Минкомсвязи РФ по вопросу формы отзыва согласия на обработку ПДн и ответ на него

Поскольку в работе приходится часто сталкиваться с вопросом отзыва согласия на обработку ПДн, решил уточнить позицию регулятора.

Текст обращения (выдержка по существу вопроса):

Согласно части 1 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного Постановлением Правительства Российской Федерации от 2 июня 2008 г. № 418, (далее – Положение) Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию, в частности, в сфере информационных технологий, обработки персональных данных.

Согласно части 6.6. Положения Минкомсвязь уполномочено давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к сфере ведения Министерства.

Согласно положениям части 2 статьи 9 Федерального закона "О персональных данных" в частности установлено, что согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Прошу разъяснить, означают ли  положения указанной статьи Федерального закона "О персональных данных" следующее:

1. Отзыв согласия представителем субъекта не предусмотрен.
2. Поскольку не установлена форма запроса и процедура на отзыв согласия его направления, то значит ли это, что:

• оператор ПДн имеет право самостоятельно определять форму отзыва согласия и порядок ее подачи;
• субъект ПДн может отозвать согласие только очно.

Текст ответа (выдержка по существу вопроса):

Особа важная, на взгляд автора, информация выделена подчеркивание.

Вывод автора следующий )может не совпадать с мнением иных лиц и(или) организаций:

При разработке формы согласия на обработку ПДн оператор должен разработать и утвердить порядок отзыва согласия и форму запроса на отзыв согласия, и включить их в состав согласия.

Очередной отзыв согласия, и вариант ответа на него

Продолжаем рассматривать тему "типовых" обращений граждан по вопросам отзыва согласия на обработку их ПДн медицинским учреждением.
Вероятно граждане находят такие формы в сети Интернет.

Рассмотрение первой, попавшейся автору такой формы, представлены здесь:
ФЗ “О персональных данных” и все, все, все... Отзыв согласия. Часть 1.
ФЗ “О персональных данных” и все, все, все... Отзыв согласия. Часть 2.

В данной форме обращения те же ошибки, что и в предыдущей, поэтому просто опубликую вариант ответа на такое обращение.

Собственно форма согласия.

Вариант ответа на такой запрос (мнение автора может не совпадать с мнениями иных лиц и(или) организаций):

Ваш запрос о подтверждении или опровержении факта автоматизированной обработки персональных данных (далее – ПДн) Ваших ПДн, а также ПДн иных(всех) членов Вашей семьи рассмотрен.

В части подтверждения или опровержении факта автоматизированной обработки Ваших ПДн сообщаем следующее.

Согласно части 1 статьи 14 Федерального закона «О персональных данных» субъект персональных данных имеет право на получение сведений, указанных в части 7 указанной статьи, за исключением случаев, предусмотренных частью 8 указанной статьи. Субъект персональных данных (далее – ПДн) вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Согласно части 3 статьи 14 Федерального закона «О персональных данных» сведения, касающиеся обработки ПДн субъекта персональных данных (далее – субъект ПДн), перечисленные в части 7 указанной статьи, в том числе, содержащие подтверждение факта обработки персональных данных оператором персональных данных (далее – оператор ПДн), предоставляются субъекту ПДн или его законному представителю на основании запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором ПДн, подпись субъекта ПДн или его представителя.

В направленном Вами в адрес медицинского учреждения «……» (далее – МУ «…..»  ) запросе отсутствуют следующие, обязательные для включения в запрос, сведения: номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе.

Предлагаем Вам направить повторный запрос, удовлетворяющий требованиям, установленным частью 3 статьи 14 Федерального закона «О персональных данных».

Согласно части 3 статьи 14 Федерального закона «О персональных данных» Вы имеете право направить запрос в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.

Согласно части 1 статьи 6 Федерального закона «Об электронной подписи» информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

В части отзыва Вами согласия на обработку «….» Ваших ПДн, сообщаем следующее.

  МУ «…..»  обрабатывает ПДн пациентов и их законных представителей исключительно с целью исполнения возложенных на МУ «…..»  полномочий и обязанностей законодательством в сфере охраны здоровья граждан в Российской Федерации, законодательством об обязательных видах страхования, со страховым законодательством.

Обязанность создания и ведения информационных систем в сфере здравоохранения, обеспечивающих в том числе персонифицированный учет при осуществлении медицинской деятельности, установлена, в частности пунктом 5 части 2 статьи 87, частями 1 и 2 статьи 91 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».

Требования к составу ПДн пациентов (субъектов ПДн) обрабатываемых при осуществлении персонифицированного учета установлены статьей 94 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации», а также нормативными правовыми актами, определяющими обязательный состав и сроки обработки ПДн, содержащихся в типовых формах медицинской документации. В частности, согласно положениям Приказа № 834н ряд медицинской документации формируется в форме электронного документа, подписанного с использованием усиленной квалифицированной электронной подписи врача… и (или) на бумажном носителе, подписываемом врачом. При этом отдельных сроков хранения такой медицинской документации в форме электронного документа не установлено, а правила ведения медицинской документации в форме электронных документов приравниваются к правилам ведения медицинской документации на бумажных носителях. Таким образом, срок обработки ряда ПДн пациентов (субъектов ПДн), в форме электронного документа, входящего в состав медицинской документации, устанавливается равным сроку хранения медицинской документации в виде бумажных документов.

Обязанность предоставления сведений в единую государственную информационную систему в сфере здравоохранения установлена пунктом 6 части 6 статьи 91.1. Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».

Согласно части 2 статьи 9 Федерального закона «О персональных данных», в случае отзыва субъектом ПДн согласия на обработку ПДн  оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в части 2 статьи 10. К таким основаниям, в частности, относятся случаи когда:

1)           обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

2)           обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Согласно части 4 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» допускается предоставление сведений, составляющих врачебную тайну, без согласия пациента (субъекта ПДн) или его законного представителя, в частности:

1)           при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

2)           в целях осуществления учета и контроля в системе обязательного социального страхования;

3)           в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации».

Исходя из вышеизложенного обработка ПДн пациентов (субъектов ПДн), в том числе хранение и передача, будут продолжены МУ «…..»  в случаях и порядке установленных законодательством Российской Федерации.

В части подтверждения или опровержении факта автоматизированной обработки ПДн всех членов Вашей семьи и отзыва Вами согласия на обработку МУ «…..» ПДн всех членов Вашей семьи, сообщаем следующее.

В функции, полномочия и обязанности МУ «…..»  не входит ведение реестров состава семей пациентов, в связи с чем определить полный состав Вашей семьи (всех ее членов) не представляется возможным.

Согласно положениям Федерального закона «О персональных данных» и Гражданского Кодекса Российской Федерации представлять интересы субъекта ПДн (гражданина) может его законный представитель.

Согласно положениям части 1 статьи 182 Гражданского Кодекса Российской Федерации одно физическое лицо может представлять интересы другого физического лица в силу полномочия, основанного на доверенности, указании закона либо акте уполномоченного на то государственного органа или органа местного самоуправления.

В случае представления интересов дееспособного физического лица должна быть представлена нотариально заверенная доверенность, если иное не установлено федеральным законом.

Согласно части 1 статьи 64 Семейного кодекса РФ родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий.

Согласно статье 47 Семейного кодекса РФ права и обязанности родителей и детей основываются на происхождении детей, удостоверенном в установленном законом порядке.

Согласно положениям Федерального закона от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния» документом, удостоверяющем происхождение детей, является свидетельство о рождении.

Таким образом, для подтверждения законного права представлять интересы несовершеннолетнего(их) необходимо предоставить свидетельство о рождении несовершеннолетнего(их) или заверенную(ые) в установленном законом порядке копию(ии) свидетельства о рождении.

В случае усыновления несовершеннолетнего или опекунства над несовершеннолетним, документами, подтверждающими право представлять интересы несовершеннолетнего, могут служить документы, выданные в установленном законом порядке, органами опеки и попечительства.

Исходя из вышеизложенного при направлении отзыва согласия на обработку ПДн от имени другого субъекта ПДн Вы должны подтвердить свои полномочия путем приложения к отзыву согласия документов, подтверждающих Ваши полномочия и заверенных в установленном законодательством РФ порядке. При отсутствии указанных документов МУ «…..» не имеет право осуществлять действия в отношении ПДн иных субъектов ПДн.

Согласно положениям части 3 статьи 182 Гражданского Кодекса Российской Федерации представитель не может совершать сделки от имени представляемого в отношении себя лично, а также в отношении другого лица, представителем которого он одновременно является, за исключением случаев, предусмотренных законом. Таким образом, при направлении в МУ «…..» отзыва согласия на обработку ПДн, отзыв должен направляться отдельно в отношении Ваших ПДн, и отдельно в отношении ПДн представляемых Вами лиц.