Определение лица, являющегося оператором информационной системы персональных данных

В соответствии с п.3 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» (утв. постановлением Правительства РФ от 01.11.2012 № 1119) безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора.

Данное требование подчеркивает важность однозначного определения роли, обеспечивающей безопасность персональных данных, в сложных схемах правоотношений, существующих между организациями в настоящее время.

Согласно п.12 ст.2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»](далее – 149-ФЗ) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. В соответствии с ч.2 ст.13 149-ФЗ если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Таким образом, оператором информационной системы можно считать как лицо, являющееся собственником технических средств, используемых для обработки содержащейся в базах данных информации, так и лицо, осуществляющее эксплуатацию информационной системы на основании договора с собственником технических средств. Следовательно, одним из ключевых понятий в определении роли, обеспечивающей безопасность персональных данных в информационной системе, является понятие «осуществление эксплуатации информационной системы».

В федеральном законодательстве данное определение отсутствует. Однако в постановлении Правительства Москвы от 07.02.2012 № 26-ПП «Об утверждении Положения об эксплуатации автоматизированных информационных систем и ресурсов города Москвы» (далее - постановление Правительства Москвы № 22-П) установлены составные компоненты эксплуатации информационных систем и ресурсов (далее - ИСиР):

• системное и прикладное сопровождение;
• техническое сопровождение аппаратного обеспечения;
• системное сопровождение средств защиты информации;
• организация учебного процесса пользователей;
• выполнение работ по удаленному обслуживанию информационных систем и программно-технических комплексов;
• закупка комплектующих, запасных частей, носителей информации и расходных материалов для компьютерного оборудования, продление и/или расширение гарантийных обязательств на оборудование, входящее в состав ИСиР, и прочее компьютерное оборудование;
• модернизация ИСиР в части модернизации существующих функций (включая веб-сервисы) и элементов пользовательского интерфейса, а также в части разработки и/или модернизации отчетов, разработки/модернизации форматов обмена данными;
• сервисное обслуживание, обновление и адаптация используемых органами исполнительной власти города Москвы ИСиР, на которые приобретены неисключительные права на программное обеспечение;
• техническая поддержка аппаратного и программного обеспечения его производителем.

При этом наряду с лицами, осуществляющими эксплуатацию ИСиР, в постановлении Правительства Москвы № 22-П выделены следующие участники процесса эксплуатации:

• исполнители, привлекаемые в установленном порядке для осуществления эксплуатационного (технического и сервисного) обслуживания технических и программных средств ИСиР;
• обеспечивающие эксплуатацию и (или) разработку ИСиР;
• потребители информационных услуг.

Исходя из определения оператора информационной системы, данного в 149-ФЗ, нас интересуют только лица, осуществляющие деятельность по эксплуатации информационной системы.

В ГОСТе 34.003-90 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» содержится определение эксплуатационной документации на автоматизированную систему – это часть рабочей документации на АС, предназначенная для использования при эксплуатации системы, определяющая правила действия персонала и пользователей системы при ее функционировании, проверке и обеспечении ее работоспособности. Данное определение также дает основание понимать под эксплуатацией информационной системы не только процессы, связанные с ее функционированием, но и ее сопровождение.

Следовательно, оператором информационной системы, который обязан обеспечивать безопасность обрабатываемых в ней персональных данных, может являться:

1. организация-собственник технических средств, используемых для обработки содержащейся в ее базах данных информации, осуществляющая обработку персональных данных, а также техническое и сервисное обслуживание информационной системы;
2. организация, привлекаемая собственником технических средств на основании договора, для осуществления обработки персональных данных в информационной системе;
3. организация, привлекаемая собственником технических средств на основании договора, для осуществления технического и сервисного обслуживания информационной системы.