Персональные данные можно обрабатывать в CRM, на сайте, в 1С, Excel, бумажных анкетах, журналах и личных делах сотрудников. Ошибка в определении способа обработки приводит к неправильным документам, слабым мерам защиты и риску претензий Роскомнадзора.
Кратко: автоматизированная обработка персональных данных - это обработка с помощью средств вычислительной техники: сайта, CRM, базы данных, 1С, HRM-системы, личного кабинета, сервиса рассылок или другой программы. Неавтоматизированная обработка - это действия с персональными данными при непосредственном участии человека: бумажные анкеты, журналы посетителей, личные дела, заявления, согласия и другие материальные носители.
Для бизнеса важно различать эти режимы не ради терминологии. От способа обработки зависят документы, порядок доступа, меры защиты, правила хранения, уничтожения и проверки. На практике у большинства компаний обработка смешанная: часть данных хранится в электронных системах, а часть - на бумаге.
Обработка персональных данных - это не только хранение базы клиентов. К обработке относятся сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление и уничтожение данных.
Если компания принимает заявку с сайта, сохраняет номер телефона клиента, ведёт карточку сотрудника, отправляет рассылку, хранит договор с паспортными данными или складывает бумажные анкеты в папку - она уже обрабатывает персональные данные.
Главный вопрос не в том, есть ли у компании большая база данных. Важно понять, каким способом выполняются операции: через информационные системы или вручную на материальных носителях.
Автоматизированная обработка - это работа с персональными данными с помощью компьютеров, программ, серверов, облачных сервисов и других технических средств. При этом процесс не обязательно должен быть полностью автоматическим. Даже если сотрудник вручную вносит данные в CRM или Excel, обработка всё равно может считаться автоматизированной, потому что данные обрабатываются с помощью вычислительной техники.
Типичные примеры автоматизированной обработки:
Неавтоматизированная обработка - это работа с персональными данными без использования средств автоматизации, когда действия выполняются при непосредственном участии человека. Чаще всего это бумажные документы, журналы, заявления, карточки, анкеты, договоры, распечатки и архивы.
Важно: бумажный документ с персональными данными не выпадает из 152-ФЗ. Если в офисе лежат анкеты клиентов, согласия на обработку, личные дела сотрудников или журнал посетителей, компания всё равно обязана обеспечить сохранность этих данных и ограничить доступ к ним.
Почему важно различать эти способы обработки
Ошибка в классификации приводит к тому, что компания закрывает одни риски и не видит другие. Например, организация может настроить доступы в CRM, но оставить бумажные анкеты в открытом шкафу. Или наоборот: хранить согласия в папках, но не описать сайт и CRM как информационные системы персональных данных.
Если персональные данные обрабатываются в информационной системе, компании нужно выстроить систему защиты. Набор мер зависит от состава данных, количества субъектов, угроз и используемых технологий.
Что обычно нужно проверить:
Автоматизированная обработка удобна для бизнеса: она ускоряет работу, снижает ручные ошибки и позволяет обрабатывать большие массивы данных. Но именно электронные системы чаще становятся источником утечек, несанкционированного доступа и претензий из-за неправильных настроек.
При неавтоматизированной обработке главный риск - свободный доступ к бумажным документам. Ошибка часто выглядит просто: анкеты лежат на столе, журнал посетителей виден другим клиентам, личные дела сотрудников хранятся в шкафу без ограничения доступа, копии паспортов пересылаются без учета и потом не уничтожаются.
Для бумажных носителей нужно обеспечить порядок, при котором понятно:
Отдельное внимание нужно уделить типовым формам: анкетам, журналам, заявлениям, бланкам согласий и карточкам. Они должны собирать только те данные, которые действительно нужны для конкретной цели. Нельзя включать в одну форму лишние поля «на всякий случай» или смешивать данные, которые используются для несовместимых целей.
Это неверно. 152-ФЗ применяется и к электронным базам, и к бумажным документам. Если в компании есть ФИО, телефон, адрес, паспортные данные, сведения о работе, здоровье, семейном положении, заказах или обращениях конкретного человека - это персональные данные, независимо от носителя.
Бумажный формат не освобождает от обязанности определить цель обработки, правовое основание, сроки хранения, ответственных лиц, порядок доступа и уничтожения. Более того, при проверке бумажные документы часто видны сразу: журналы, папки, заявления и архивы проще обнаружить, чем скрытые цифровые процессы.
На практике компании редко используют только один способ обработки. Обычно данные проходят несколько этапов:
В такой ситуации нельзя выбрать один режим и забыть про второй. Нужно описать весь маршрут персональных данных: от момента сбора до удаления или уничтожения. Именно этот маршрут показывает, какие документы и меры защиты нужны компании.
Неправильное определение способа обработки само по себе редко является единственной проблемой. Но оно тянет за собой другие нарушения: неполные документы, отсутствие мер защиты, незаконный доступ сотрудников, хранение лишних данных, отсутствие порядка уничтожения и некорректное уведомление Роскомнадзора.
Возможные последствия:
Лучший способ снизить риск - не спорить о терминах, а описать реальные процессы. Нужно посмотреть, как персональные данные фактически проходят через компанию: кто их получает, куда вносит, где хранит, кому передает и когда удаляет.
После этого можно корректно разделить обработку на автоматизированную, неавтоматизированную и смешанную, обновить документы, настроить доступы и закрыть слабые места. Такой подход помогает не только подготовиться к проверке, но и снизить вероятность утечки.
Автоматизированная обработка - это работа с персональными данными через электронные системы. Неавтоматизированная - работа с данными на бумажных и иных материальных носителях при непосредственном участии человека. Оба режима требуют соблюдения 152-ФЗ.
Для бизнеса ключевой вывод простой: если персональные данные есть в компании, нужно защищать и электронные базы, и бумажные документы. Нельзя ограничиться политикой на сайте или папкой с согласиями. Документы, процессы, доступы и меры защиты должны совпадать с тем, как компания реально работает с данными.
Если персональные данные сначала собираются на бумаге, а потом переносятся в CRM, 1С или таблицу, у компании возникает смешанная обработка. В этом случае нужно закрывать требования и к бумажным носителям, и к информационным системам.