1. Определение обработки персональных данных
Согласно пункту 3 статьи 4 Федерального закона №152-ФЗ "О персональных данных", обработка персональных данных представляет собой любое действие или совокупность действий, осуществляемых с использованием средств автоматизации. Эти действия включают в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение персональных данных.
В соответствии с пунктом 4 статьи 3 того же закона, автоматизированная обработка персональных данных подразумевает обработку, выполняемую с помощью средств вычислительной техники (СВТ).
2. Текстовый процессор Microsoft Word
Microsoft Word - это текстовый процессор, созданный корпорацией Microsoft для создания, просмотра, редактирования и форматирования текстов статей, деловых бумаг и других документов с использованием таблично-матричных алгоритмов. Он входит в состав пакета Microsoft Office. Однако следует отметить, что MS Word не является системой управления базами данных.
С файлами с расширениями .doc или .docx в MS Word доступны следующие операции:
- Запись
- Хранение
- Уточнение (обновление, изменение)
- Передача (распространение, предоставление, доступ)
- Удаление
3. Руководящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности"
Руководящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности", утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года, определяет СВТ как совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Исходя из этого, MS Word можно считать программным элементом системы обработки данных СВТ.
4. ГОСТ 20886-85 "Организация данных в системах обработки данных. Термины и определения"
Согласно ГОСТ 20886-85, файл представляет собой идентифицированную совокупность экземпляров полностью описанного в конкретной программе типа данных, которые хранятся вне программы во внешней памяти и доступны для программы посредством специальных операций. База данных (БД) определяется как совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ. Таким образом, в MS Word объектом управления являются файлы с расширениями .doc или .docx, которые не являются БД.
5. Автоматизированная обработка персональных данных на основе MS Word
Исходя из вышесказанного, можно сделать вывод, что автоматизированная обработка персональных данных на СВТ с использованием MS Word осуществляется при выполнении действий с файлами (письмами) с расширениями .doc или .docx. К таким действиям относятся запись, хранение, уточнение (обновление, изменение), передача (распространение, предоставление, доступ) и удаление.
Однако следует отметить, что поскольку MS Word не является системой управления БД, а файлы с расширениями .doc и .docx не являются БД, то СВТ без БД не может считаться информационной системой персональных данных в соответствии с пунктом 10 статьи 3 Федерального закона №152-ФЗ.
Определение автоматизированной обработки персональных данных в Word
Работа с персональными данными (ПДн) в Microsoft Word может быть автоматизированной в соответствии с Федеральным законом №152-ФЗ, но это зависит от контекста использования программы. Ключевым фактором является систематичность обработки данных. Разовый ввод информации о клиенте в отдельный документ, даже если он содержит ПДн (ФИО, адрес, телефон и т.д.), скорее всего, не будет квалифицироваться как автоматизированная обработка. Такая обработка считается ручной и не требует оформления локальных актов по защите персональных данных. Однако даже при ручном вводе необходимо соблюдать общие принципы обработки ПДн, установленные 152-ФЗ.
Ситуация кардинально меняется, если работа с персональными данными в Word приобретает систематический характер и используются автоматизированные инструменты. Например, применение макросов для автоматической обработки данных, использование шаблонов документов с заранее заданными полями для ПДн или проведение массовых рассылок с использованием списков адресатов - все это указывает на автоматизированную обработку данных. В этом случае, независимо от наличия или отсутствия явной базы данных, обработка ПДн в Word подпадает под действие 152-ФЗ как обработка, осуществляемая с использованием средств автоматизации. Масштаб и организация процессов играют важную роль в определении степени применения закона.
Рассмотрим несколько примеров:
- Ручная обработка: Внесение информации о клиенте в отдельный Word-документ вручную, без использования каких-либо автоматизированных средств. Это, как правило, не подпадает под определение автоматизированной обработки. Однако необходимо соблюдать принципы обработки ПДН, определенные 152-ФЗ (например, принцип целевого назначения, принцип соответствия законности).
- Автоматизированная обработка: Создание макроса в Word, который автоматически заполняет данные из электронного файла Excel (содержащего ПДн) в шаблон документа. Этот процесс является автоматизированной обработкой, и организация обязана соблюдать все требования 152-ФЗ, включая назначение ответственного за обработку ПДн, разработку локальных актов по защите ПДн, обеспечение конфиденциальности, а также выполнение других требований, предусмотренных законодательством.
- Автоматизированная обработка (массовая рассылка): Использование функции "почтовая рассылка" в Word для отправки писем с персональными данными большому количеству получателей. Это явный пример автоматизированной обработки, требующий строгого соблюдения 152-ФЗ.
- Автоматизированная обработка (шаблоны): Использование шаблона Word-документа с полями для ввода ПДн. Хотя непосредственная обработка может осуществляться вручную, использование шаблона упрощает и систематизирует процесс, что может квалифицироваться как автоматизированная обработка в зависимости от частоты и масштаба использования.
Ключевым вопросом остается систематичность обработки. Единичный случай ввода данных вряд ли будет квалифицироваться как автоматизированная обработка. Однако повторяющиеся действия, использование автоматизированных инструментов и обработка значительного количества ПДн несомненно подпадают под действие 152-ФЗ. Поэтому перед началом работы с персональными данными в Microsoft Word необходимо тщательно проанализировать характер обработки, чтобы обеспечить соблюдение всех требований законодательства в области защиты персональных данных. В случае сомнений рекомендуется обратиться к специалистам в области защиты персональных данных.
