Заголовок вопроса: "СВТ без БД с ПДн - это ИСПДн?" указывает на ключевое несоответствие между распространенным пониманием информационных систем персональных данных (ИСПДн) и реальностью работы с персональными данными вне традиционных баз данных (БД). Ответ однозначен: нет, система обработки данных (СВТ) без базы данных, содержащая персональные данные (ПДн), не является ИСПДн в строгом соответствии с законодательством и общепринятыми определениями. Однако, такое утверждение требует детального разбора, учитывающего эволюцию терминологии и современных реалий обработки информации.
В основе вопроса лежит фундаментальное понимание ИСПДн. Согласно действующему законодательству, ИСПДн – это информационная система, предназначенная для обработки персональных данных. Ключевым элементом этого определения является наличие автоматизированной обработки. Традиционно это подразумевает использование баз данных как организованного хранилища и средства управления персональными данными. Определение ИСПДн часто ассоциируется с наличием структурированной БД, позволяющей осуществлять поиск, сортировку, фильтрацию и другие операции с ПДн.
Однако, современные технологии позволяют обрабатывать персональные данные без использования классических реляционных или NoSQL баз данных. Например, персональные данные могут храниться и обрабатываться в файлах, облачных хранилищах, распределенных системах, или даже в оперативной памяти без явного структурирования в виде БД. Это вызывает вопросы о классификации таких систем с точки зрения законодательства о защите персональных данных.
Давайте более детально разберем понятие базы данных, опираясь на указанные ГОСТы. ГОСТ 20886-85 дает достаточно широкое определение, акцентируя внимание на организованности данных и независимости от прикладных программ. Это определение охватывает широкий спектр способов хранения данных, включая и те, которые не обязательно соответствуют современным представлениям о структурированных БД.
ГОСТ 34.321-96 и ГОСТ 33707-2016 уже более конкретно описывают базу данных как совокупность взаимосвязанных данных, организованных согласно схеме и предназначенных для работы пользователя. Эти определения более тесно связаны с классическими системами управления базами данных (СУБД), предоставляющими интерфейсы и средства для управления данными.
Таким образом, хотя наличие БД часто ассоциируется с ИСПДн, это не является обязательным условием. Если СВТ, не использующая структурированную БД в традиционном понимании, осуществляет автоматизированную обработку персональных данных, она, по сути, может являться ИСПДн. Ключевым фактором является автоматизированная обработка ПДн, а не наличие формализованной базы данных.
Поэтому, если СВТ без БД в традиционном понимании, но использующая автоматизированные инструменты для обработки (например, скрипты, программы, автоматизированные рабочие процессы) персональных данных, она попадает под действие законодательства об ИСПДн и требует соблюдения всех соответствующих мер защиты. Отсутствие "классической" БД не освобождает от ответственности за обработку ПДн. Важно понимать, что любая автоматизированная система, обрабатывающая ПДн, должна соответствовать требованиям законодательства, независимо от способа хранения этих данных. Критерий – автоматизированная обработка, а не наличие отдельного компонента, называемого "база данных". Более того, многие современные системы управления персональными данными используют распределенные хранилища данных, не соответствующие традиционному представлению о централизованной БД, но при этом безусловно относятся к ИСПДн.