• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Нормативные материалы

Главная Специалистам Нормативные материалы Определение лица, являющегося оператором информационной системы персональных данных

Определение лица, являющегося оператором информационной системы персональных данных

Принявший орган
Государственная Дума Российской Федерации
Дата принятия документа
Идентификационный номер документа
ispdn
Категория документа
Документы
Редакция документа
Дата принятия данной редакции
Теги
Правовые институты
Персональные данные Аналитика

В соответствии с п.3 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» (утв. постановлением Правительства РФ от 01.11.2012 № 1119) безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора.

Данное требование подчеркивает важность однозначного определения роли, обеспечивающей безопасность персональных данных, в сложных схемах правоотношений, существующих между организациями в настоящее время.

Согласно п.12 ст.2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»](далее – 149-ФЗ) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. В соответствии с ч.2 ст.13 149-ФЗ если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Таким образом, оператором информационной системы можно считать как лицо, являющееся собственником технических средств, используемых для обработки содержащейся в базах данных информации, так и лицо, осуществляющее эксплуатацию информационной системы на основании договора с собственником технических средств. Следовательно, одним из ключевых понятий в определении роли, обеспечивающей безопасность персональных данных в информационной системе, является понятие «осуществление эксплуатации информационной системы».

В федеральном законодательстве данное определение отсутствует. Однако в постановлении Правительства Москвы от 07.02.2012 № 26-ПП «Об утверждении Положения об эксплуатации автоматизированных информационных систем и ресурсов города Москвы» (далее - постановление Правительства Москвы № 22-П) установлены составные компоненты эксплуатации информационных систем и ресурсов (далее - ИСиР):

  • системное и прикладное сопровождение;
  • техническое сопровождение аппаратного обеспечения;
  • системное сопровождение средств защиты информации;
  • организация учебного процесса пользователей;
  • выполнение работ по удаленному обслуживанию информационных систем и программно-технических комплексов;
  • закупка комплектующих, запасных частей, носителей информации и расходных материалов для компьютерного оборудования, продление и/или расширение гарантийных обязательств на оборудование, входящее в состав ИСиР, и прочее компьютерное оборудование;
  • модернизация ИСиР в части модернизации существующих функций (включая веб-сервисы) и элементов пользовательского интерфейса, а также в части разработки и/или модернизации отчетов, разработки/модернизации форматов обмена данными;
  • сервисное обслуживание, обновление и адаптация используемых органами исполнительной власти города Москвы ИСиР, на которые приобретены неисключительные права на программное обеспечение;
  • техническая поддержка аппаратного и программного обеспечения его производителем.

При этом наряду с лицами, осуществляющими эксплуатацию ИСиР, в постановлении Правительства Москвы № 22-П выделены следующие участники процесса эксплуатации:

  • исполнители, привлекаемые в установленном порядке для осуществления эксплуатационного (технического и сервисного) обслуживания технических и программных средств ИСиР;
  • обеспечивающие эксплуатацию и (или) разработку ИСиР;
  • потребители информационных услуг.

Исходя из определения оператора информационной системы, данного в 149-ФЗ, нас интересуют только лица, осуществляющие деятельность по эксплуатации информационной системы.

В ГОСТе 34.003-90 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» содержится определение эксплуатационной документации на автоматизированную систему – это часть рабочей документации на АС, предназначенная для использования при эксплуатации системы, определяющая правила действия персонала и пользователей системы при ее функционировании, проверке и обеспечении ее работоспособности. Данное определение также дает основание понимать под эксплуатацией информационной системы не только процессы, связанные с ее функционированием, но и ее сопровождение.

Следовательно, оператором информационной системы, который обязан обеспечивать безопасность обрабатываемых в ней персональных данных, может являться:

  1. организация-собственник технических средств, используемых для обработки содержащейся в ее базах данных информации, осуществляющая обработку персональных данных, а также техническое и сервисное обслуживание информационной системы;
  2. организация, привлекаемая собственником технических средств на основании договора, для осуществления обработки персональных данных в информационной системе;
  3. организация, привлекаемая собственником технических средств на основании договора, для осуществления технического и сервисного обслуживания информационной системы.