Многие предприниматели, у которых бизнес построен только на «офлайн»-процессах, думают, что 152-ФЗ их не касается. Однако это далеко не так: закон распространяется на все процессы обработки, в том числе аналоговые, «офлайн», и возлагает дополнительные обязанности при обработке только на бумаге.
Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем, почему «бумажный» формат не освобождает от ответственности, а, наоборот, добавляет бизнесу специфических обязанностей.
Что такое обработка ПДн без средств автоматизации с точки зрения закона?
Закон предусматривает, что обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
При этом автоматизированная обработка — это обработка персональных данных с помощью средств вычислительной техники.
Постановление Правительства РФ № 687 предусматривает, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Что такое обработка без средств автоматизации простыми словами?
Обработка без средств автоматизации – это, проще говоря, работа с данными «вручную», вообще без участия компьютера, серверов или программ при их использовании, уточнении, распространении и уничтожении.
Например, у вас есть кадровая служба, и все дела сотрудников хранятся только в папках, без дублирования в базе на компьютере. Вы берете паспорт сотрудника, снимаете его копию и подшиваете в папку сотрудника — вы произвели запись. Вы взяли карточку сотрудника и позвонили ему по указанному номеру — вы произвели использование и т. д.
Закон 152-ФЗ регулирует такие «бумажные» базы данных ничуть не мягче, чем цифровые. Государству важно, чтобы и такие базы были надлежащим образом защищены.
Главные правила для «бумажной» обработки
Обработка без средств автоматизации дополнительно регулируется Постановлением Правительства РФ №687, которые устанавливает специальные правила:
1. Каждой цели — своя папка (п. 4, 5, 14)
Нельзя сваливать в одну кучу документы, которые вы собрали для разных задач. Каждая папка на полке должна отвечать за что-то одно.
Как на практике: Личные дела сотрудников — в одной папке, резюме кандидатов — в другой, договоры с клиентами — в третьей. Сшивать их вместе или ставить на одну полку вперемешку запрещено.
2. Под замком и с охраной (п. 13, 15)
Бумаги с данными не должны лежать на столах, где их может увидеть любой курьер или посетитель.
Как на практике: Все папки и журналы должны храниться в сейфах или запирающихся металлических шкафах. Директор обязан утвердить список сотрудников, у которых есть ключи и право открывать эти шкафы.
3. Инструктаж для сотрудников (п. 6)
Мало просто запереть шкаф, нужно, чтобы люди, которые работают с документами, понимали свои обязанности.
Как на практике: Кадровик, бухгалтер и секретарь должны под роспись ознакомиться с инструкцией. Они должны четко знать, какие данные они трогают и как правильно их прятать.
4. Особый режим для журналов на ресепшене (п. 8)
Журналы, куда охрана или секретарь записывают гостей для разового прохода, — под особым контролем Роскомнадзора.
Как на практике:
- Нельзя ксерокопировать или фотографировать страницы этого журнала.
- Нельзя записывать одного и того же человека несколько раз за один проход.
- В компании должен быть приказ, объясняющий, зачем ведется этот журнал и кто за него отвечает.
5. Правильные бланки и анкеты (п. 7)
Если вы даете клиенту или сотруднику бумажную анкету, её текст должен быть юридически чистым.
Как на практике: В самом бланке должно быть четко написано: кто вы, зачем собираете данные, сколько будете их хранить и где поставить галочку/подпись о согласии. При этом бланк нужно составить так, чтобы следующий клиент не видел, что написал предыдущий.
6. Секретность при просмотре и уничтожении (п. 9, 10, 12)
Если нужно показать документ или уничтожить его часть, другие данные пострадать не должны.
Как на практике:
- Если показываете клиенту общий приказ, чужие фамилии нужно закрыть «маской» (чистым листом).
- Если нужно исправить ошибку, её исправляют прямо на бланке или заменяют весь лист.
- Если нужно уничтожить часть данных на листе, их физически вымарывают (закрашивают черным маркером), чтобы их нельзя было прочитать.
Уведомление РКН о начале обработки
В случае, если вы обрабатываете данные только без средств автоматизации, то вы можете не уведомлять РКН о начале обработке.
Чек-лист: Кто в зоне риска?
Вы точно обрабатываете ПДн без автоматизации, если у вас есть:
- Кадровый учет (с личными делами, копиями паспортов в бумажных папках);
- Бумажные журналы учета посетителей на входе (ресепшен, охрана);
- Анкетирование клиентов в магазине, фитнес-клубе или салоне красоты (бумажные анкеты на скидочные карты);
- Договоры с физлицами, хранящиеся в архиве.
Заключение
Для Роскомнадзора нет разницы, где вы допустили утечку или нарушение — слили хакеры базу из облака или ваш менеджер выбросил пакет с анкетами клиентов на обычную помойку. Штрафы будут одинаково болезненными.
Если ваш бизнес работает с «бумагой», аудит безопасности нужно начинать не со строчек кода, а с проверки замков на архивных шкафах и правил заполнения журналов на ресепшене.
P.S. Хотите проверить, правильно ли у вас организовано хранение бумажных документов и кадровых дел, чтобы не получить штраф при первой же проверке? Напишите мне на kartashovdmitriyi@yandex.ru — помогу настроить «бумажный» комплаенс так, чтобы комар носа не подточил.