См. Документы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

ПИСЬМО
от 14 июля 2023 г. N 08ВМ-59834

О РАССМОТРЕНИИ ОБРАЩЕНИЯ АССОЦИАЦИИ РОССИЙСКИХ БАНКОВ

Рассмотрели обращение Ассоциации российских банков и сообщаем следующее.

Относительно перечня документов, содержание которых должно соответствовать требованиям п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), сообщаем, что исходя из положений Закона оператору необходимо издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных с учетом требований установленных указанной нормой.

По существу вопроса об условиях размещения документа, определяющего политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, сообщаем, что согласно ч. 2 ст. 18.1 Закона оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

С учетом требований вышеуказанной нормы размещение документа, определяющего политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, осуществляется на интернет-страницах сайта в сети "Интернет", принадлежащего оператору, посредством которых оператор осуществляет сбор персональных данных.

Относительно возможности привлечения лицом, осуществляющим обработку персональных данных по поручению оператора, третьих лиц (субобработчика) для исполнения поручения оператора сообщаем, что в соответствии с ч. 3 ст. 6 Закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 указанного Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 указанного Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 указанного Федерального закона.

При этом полагаем, что лицо, осуществляющее обработку по договору-поручения вправе привлекать третье лицо (субобработчика) исключительно в случае, если указанное право предусмотрено в поручении оператора, а также в согласии субъекта персональных данных.

По существу вопроса о порядке соблюдения требований ч. 5 ст. 18.1 Закона сообщаем, что в соответствии ч. 5 ст. 18 Закона операторы, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

При реализации мероприятий, направленных на выполнение указанной нормы Закона, последующая трансграничная передача на территорию иностранного государства должна осуществляться с соблюдением требований ст. 12 Закона.

Обработка персональных данных, содержащихся в базе данных, ранее переданной за пределы территории Российской Федерации с соблюдением вышеуказанных требований Закона, должна осуществляться с учетом принципов целеполагания, определенных ст. 5 Закона, при этом любые действия, связанные с изменением состава обрабатываемых персональных данных, подлежат первоначальной реализации с использованием баз данных, находящихся на территории Российской Федерации, с последующей актуализацией персональных данных, содержащихся в копии базы данных, находящейся за пределами Российской Федерации.

Подтверждением соблюдения вышеуказанных требований со стороны оператора является предоставление таких документов как:

- заверенная блок-схема размещения рабочих мест, на которых осуществляется хранение персональных данных российских пользователей;

- справка о постановке на балансовый учет организации приобретенных серверных мощностей;

- договор купли-продажи серверных мощностей.

В случае аренды оператором технических площадок (ЦОД, серверные мощности) на территории Российской Федерации необходимо представить копию договора аренды, заключенного с компанией, предоставляющей соответствующие услуги.

М.Э.ВАГНЕР