Многие предприниматели не понимают, что они обрабатывают персональные данные, когда просто «записывают телефон клиента в таблицу», «разместили фото и данные сотрудника на сайте» или «хранят данные клиентов в CRM», а ведь это всё — обработка данных.
Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем, почему «просто хранить» и «обрабатывать» — это для закона одно и то же.
Что такое обработка ПДн с точки зрения закона?
Согласно 152-ФЗ, обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Из определения следует, что обработка:
- это любые действия (операции) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- совершается с использованием средств автоматизации (с применением вычислительной техники) и без них.
Какие действия являются обработкой?
Сбор
Самый первый этап. Действие (физическое или цифровое) по получению данных от субъекта ПДн. Например, когда клиент диктует вам номер телефона.
Запись
Обычно происходит после сбора. Фиксация данных на любой носитель. Например, внесение номера телефона в базу или запись ФИО в бумажный журнал посетителей.
Систематизация
Расположение данных в определенной последовательности, сортировка данных по папкам, категориям, иным критериям. Например, сортировка папок с личными делами сотрудников по алфавиту или фильтрация базы клиентов на действующие и завершенные договоры.
Накопление
Продолжительное действие. Формирование базы данных. Процесс «складирования» информации в течение всего времени сбора базы. Например, сбор базы для рассылки в течение года.
Хранение
Пассивное действие. Данные просто лежат у вас в облаке, сейфе, таблице, журнале и т. д. Вы совершаете это действие, даже если не используете данные в базе.
Уточнение
Действия в виде обновления и (или) изменения, поддержание базы в актуальном и верном состоянии.
Обновление
Актуализация данных в базе. Например, клиент изменил номер телефона, и вы его обновили в базе.
Изменение
Модификация данных, исправление ошибок. Например, вы опечатались в фамилии клиента и исправили это.
Извлечение
Выборка данных из базы. Например, вам нужно найти в базе всех клиентов с именем «Дмитрий».
Использование
Активный этап деятельности. Применение данных в целях, ради которых они собирались.
Передача
Предоставление доступа к данным или самой базе иным лицам, не являющимся сотрудниками оператора.
Распространение
Предоставление доступа к данным неограниченному кругу лиц. Например, вы размещаете на сайте фото, ФИО и специализацию своих сотрудников.
Предоставление
Предоставление данных конкретному лицу или ограниченному кругу лиц. Например, вы передали список сотрудников в банк для выплаты заработной платы.
Доступ
Предоставление доступа к базе иным лицам. Например, ИТ-аутсорсеру для настройки сервера.
Обезличивание
Приведение данных к такому виду, который не позволяет без посторонних средств или иных данных определить субъекта ПДн. Например, ведение одновременно нескольких баз: в одной записаны ФИО клиентов и их номер, в другой — номер из первой базы, номер заказа и адрес доставки, в третьей — номер заказа и информация о заказе.
Блокирование
Приостановление обработки персональных данных, временная «заморозка» данных.
Удаление
Перемещение данных в «корзину», откуда при необходимости они могут быть восстановлены.
Уничтожение
Последний этап жизни ПДн. Действия, в результате которых данные уничтожаются так, что их нельзя больше восстановить.
Что такое обработка простыми словами?
Обработка персональных данных – это любые действия с информацией о человеке. Как только вы получили данные (телефон, ФИО или почту), записали их, сохранили в базу, открыли для просмотра или даже просто удалили в конце года — вы совершили обработку.
Но это не означает, что вам нужно совершить все вышеперечисленные действия для того, чтобы считаться обрабатывающим данные — достаточно совершить одно действие.
С точки зрения закона неважно, используете ли вы эти данные активно или они просто «пылятся» в Excel-таблице: если информация у вас есть, вы обязаны защищать её по всем правилам.
Почему важно это понимать?
Каждое ваше действие с данными должно быть обосновано целью:
- Если вы собираете данные для доставки товара, вы можете их собирать, хранить и передавать курьеру.
- Но вы не можете их продавать другой компании, потому что такая «обработка» не соответствует цели.
Заключение
Обработка персональных данных — это не сложный ИТ-процесс, это любая «жизнь» информации внутри вашего бизнеса. Если вы коснулись данных пальцем или курсором мышки — вы вступили в игру по правилам 152-ФЗ.
P.S. Не уверены, какие именно процессы в вашей компании считаются обработкой и как их легализовать? Присылайте описание вашего бизнес-процесса на почту kartashovdmitriyi@yandex.ru — разберем по шагам, где вы рискуете, а где всё чисто.