Является средство вычислительной техники без наличия базы данных персональных данных информационной системой персональных данных?
В соответствии с пунктом 10 статьи 3 Федерального закона от 27.07.2006г. №152-ФЗ "О персональных данных" под информационной системой персональных данных (ИСПДн) понимается совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
В соответствии с ГОСТ 20886-85 "Организация данных в системах обработки данных. Термины и определения" под базой данных понимается совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ.
Однако в соответствии с пунктом 2.1 ГОСТ 34.321-96 "Информационные технологии (ИТ). Система стандартов по базам данных. Эталонная модель управления данными" под базой данных понимается совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь. Также в соответствии с пунктом 4.77 ГОСТ 33707-2016 (ISO/IEC 2382:2015) "Информационные технологии (ИТ). Словарь" под базой данных понимается совокупность данных, хранимых в соответствии со схемой данных, манипулирование которыми выполняют в соответствии с правилами средств моделирования данных.
В соответствии с пунктом 2 статьи 2 Федерального закона от 27.07.2006г. №149-ФЗ "Об информации, информационных технологиях и о защите информации" под информационными технологиями понимаются процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
С учетом вышеизложенного, фактом эксплуатации оператором информационной системы персональных данных является наличие на технических средствах базы данных персональных данных, а именно совокупность взаимосвязанных персональных данных, организованных в соответствии со схемой данных таким образом, чтобы с ними мог работать пользователь. Где под схемой данных понимаются правила, предусматривающие общие принципы описания, хранения и манипулирования данными, независимые от прикладных программ.
В случае отсутствия на технических средствах базы данных персональных данных, но при этом осуществляется обработка персональных данных с помощью средств вычислительной техники (СВТ), то данные СВТ не будут являться информационными системами персональных данных.
В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006г. №152-ФЗ "О персональных данных" с учетом, что СВТ без базы данных персональных данных не является информационной системой персональных данных, обеспечение безопасности персональных данных на данном СВТ достигается, в частности:
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных.