+7 (901) 499-39-49

Автоматизированная и неавтоматизированная обработка персональных данных: в чем отличие

Персональные данные

Персональные данные можно обрабатывать в CRM, на сайте, в 1С, Excel, бумажных анкетах, журналах и личных делах сотрудников. Ошибка в определении способа обработки приводит к неправильным документам, слабым мерам защиты и риску претензий Роскомнадзора.

Кратко: автоматизированная обработка персональных данных - это обработка с помощью средств вычислительной техники: сайта, CRM, базы данных, 1С, HRM-системы, личного кабинета, сервиса рассылок или другой программы. Неавтоматизированная обработка - это действия с персональными данными при непосредственном участии человека: бумажные анкеты, журналы посетителей, личные дела, заявления, согласия и другие материальные носители.

Для бизнеса важно различать эти режимы не ради терминологии. От способа обработки зависят документы, порядок доступа, меры защиты, правила хранения, уничтожения и проверки. На практике у большинства компаний обработка смешанная: часть данных хранится в электронных системах, а часть - на бумаге.

Что считается обработкой персональных данных

Обработка персональных данных - это не только хранение базы клиентов. К обработке относятся сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление и уничтожение данных.

Если компания принимает заявку с сайта, сохраняет номер телефона клиента, ведёт карточку сотрудника, отправляет рассылку, хранит договор с паспортными данными или складывает бумажные анкеты в папку - она уже обрабатывает персональные данные.

Главный вопрос не в том, есть ли у компании большая база данных. Важно понять, каким способом выполняются операции: через информационные системы или вручную на материальных носителях.

Что такое автоматизированная обработка

Автоматизированная обработка - это работа с персональными данными с помощью компьютеров, программ, серверов, облачных сервисов и других технических средств. При этом процесс не обязательно должен быть полностью автоматическим. Даже если сотрудник вручную вносит данные в CRM или Excel, обработка всё равно может считаться автоматизированной, потому что данные обрабатываются с помощью вычислительной техники.

Типичные примеры автоматизированной обработки:

  • Онлайн-форма на сайте, через которую клиент отправляет имя, телефон, email или комментарий.
  • CRM-система, где хранятся карточки клиентов, история сделок, звонки и переписка.
  • 1С, бухгалтерская или кадровая программа с данными сотрудников, подрядчиков и клиентов.
  • HRM-система, где ведутся резюме, личные данные кандидатов, графики отпусков и кадровые документы.
  • Личный кабинет пользователя, где отображаются профиль, заказы, обращения или история оплат.
  • Сервис email-рассылок или мессенджер-бот, если через него собираются и используются персональные данные.
  • Облачное хранилище, в котором размещаются договоры, сканы паспортов, анкеты или согласия.

Неавтоматизированная обработка - это работа с персональными данными без использования средств автоматизации, когда действия выполняются при непосредственном участии человека. Чаще всего это бумажные документы, журналы, заявления, карточки, анкеты, договоры, распечатки и архивы.

Важно: бумажный документ с персональными данными не выпадает из 152-ФЗ. Если в офисе лежат анкеты клиентов, согласия на обработку, личные дела сотрудников или журнал посетителей, компания всё равно обязана обеспечить сохранность этих данных и ограничить доступ к ним.

Примеры неавтоматизированной обработки:

  • Бумажные анкеты клиентов или пациентов.
  • Журнал посетителей на ресепшене.
  • Личные дела сотрудников в кадровом отделе.
  • Письменные согласия на обработку персональных данных.
  • Договоры с паспортными данными физических лиц.
  • Заявления, доверенности, акты и иные документы с ФИО, адресами, телефонами, паспортными данными.
  • Архив бумажных документов с персональными данными.


Почему важно различать эти способы обработки

Ошибка в классификации приводит к тому, что компания закрывает одни риски и не видит другие. Например, организация может настроить доступы в CRM, но оставить бумажные анкеты в открытом шкафу. Или наоборот: хранить согласия в папках, но не описать сайт и CRM как информационные системы персональных данных.

Различие важно минимум по пяти причинам:

  1. Для инвентаризации процессов. Нужно понимать, где именно появляются персональные данные: на сайте, в CRM, в бухгалтерии, в кадрах, в бумажных заявлениях или в архиве.
  2. Для подготовки документов. В политике, положении об обработке ПДн, перечне обрабатываемых данных и инструкциях нужно отражать реальные способы обработки, а не абстрактную схему.
  3. Для настройки доступа. В электронных системах доступ регулируется учетными записями, ролями, паролями и журналами событий. В бумажном архиве - ответственными лицами, помещениями, шкафами, сейфами и порядком выдачи документов.
  4. Для выбора мер защиты. Для ИСПДн применяются требования к защите информационных систем, а для бумажных носителей - правила хранения, раздельной обработки и ограничения доступа.
  5. Для проверки Роскомнадзора. Регулятор смотрит не только на наличие политики на сайте, но и на то, как компания фактически собирает, хранит, использует и уничтожает данные.

Какие требования действуют при автоматизированной обработке

Если персональные данные обрабатываются в информационной системе, компании нужно выстроить систему защиты. Набор мер зависит от состава данных, количества субъектов, угроз и используемых технологий.

Что обычно нужно проверить:

  • Определены ли все информационные системы, где есть персональные данные: сайт, CRM, 1С, телефония, сервис рассылок, облачное хранилище, HR-система.
  • Описаны ли цели обработки, категории персональных данных и категории субъектов.
  • Назначены ли ответственные за организацию обработки и обеспечение безопасности персональных данных.
  • Настроены ли права доступа: кто может просматривать, изменять, выгружать, передавать и удалять данные.
  • Есть ли правила паролей, блокировки учетных записей и увольнения сотрудников с прекращением доступа.
  • Определён ли уровень защищенности ИСПДн, если он требуется для конкретной системы.
  • Применяются ли организационные и технические меры защиты с учетом актуальных угроз.
  • Заключены ли договоры с подрядчиками, которые получают доступ к персональным данным или обрабатывают их по поручению оператора.
  • Проверено ли, где находятся базы данных и соблюдается ли требование о локализации при сборе персональных данных граждан РФ.
  • Есть ли порядок резервного копирования, восстановления, блокирования, удаления и уничтожения данных.


Автоматизированная обработка удобна для бизнеса: она ускоряет работу, снижает ручные ошибки и позволяет обрабатывать большие массивы данных. Но именно электронные системы чаще становятся источником утечек, несанкционированного доступа и претензий из-за неправильных настроек.

Какие требования действуют при неавтоматизированной обработке

При неавтоматизированной обработке главный риск - свободный доступ к бумажным документам. Ошибка часто выглядит просто: анкеты лежат на столе, журнал посетителей виден другим клиентам, личные дела сотрудников хранятся в шкафу без ограничения доступа, копии паспортов пересылаются без учета и потом не уничтожаются.

Для бумажных носителей нужно обеспечить порядок, при котором понятно:

  • где хранятся документы с персональными данными;
  • какие категории персональных данных находятся на каждом виде носителей;
  • кто имеет доступ к этим документам;
  • кто отвечает за сохранность носителей;
  • как документы выдаются сотрудникам и возвращаются обратно;
  • как исключается доступ посторонних лиц;
  • как разделяются данные, которые обрабатываются в разных целях;
  • как документы уничтожаются после достижения цели обработки или истечения срока хранения.


Отдельное внимание нужно уделить типовым формам: анкетам, журналам, заявлениям, бланкам согласий и карточкам. Они должны собирать только те данные, которые действительно нужны для конкретной цели. Нельзя включать в одну форму лишние поля «на всякий случай» или смешивать данные, которые используются для несовместимых целей.

Частая ошибка: «у нас всё на бумаге, значит 152-ФЗ не применяется»

Это неверно. 152-ФЗ применяется и к электронным базам, и к бумажным документам. Если в компании есть ФИО, телефон, адрес, паспортные данные, сведения о работе, здоровье, семейном положении, заказах или обращениях конкретного человека - это персональные данные, независимо от носителя.

Бумажный формат не освобождает от обязанности определить цель обработки, правовое основание, сроки хранения, ответственных лиц, порядок доступа и уничтожения. Более того, при проверке бумажные документы часто видны сразу: журналы, папки, заявления и архивы проще обнаружить, чем скрытые цифровые процессы.

Смешанная обработка: самый частый сценарий

На практике компании редко используют только один способ обработки. Обычно данные проходят несколько этапов:

  1. Клиент заполняет бумажную анкету или форму на сайте.
  2. Сотрудник переносит данные в CRM или таблицу.
  3. Договор распечатывается и подписывается на бумаге.
  4. Скан договора сохраняется в облаке или на сервере.
  5. Данные используются для оказания услуги, рассылки, учета или отчетности.
  6. После завершения отношений часть документов хранится в архиве, а часть данных остается в информационной системе.


В такой ситуации нельзя выбрать один режим и забыть про второй. Нужно описать весь маршрут персональных данных: от момента сбора до удаления или уничтожения. Именно этот маршрут показывает, какие документы и меры защиты нужны компании.

Что проверить компании

  • Проведите инвентаризацию. Выпишите все места, где компания получает и хранит персональные данные: сайт, CRM, почта, мессенджеры, 1С, кадровые папки, договоры, журналы, архивы.
  • Разделите процессы по способу обработки. Отдельно отметьте автоматизированные системы и бумажные носители.
  • Проверьте цели и основания обработки. Для каждого процесса должно быть понятно, зачем нужны данные и на каком основании компания их обрабатывает.
  • Обновите документы по 152-ФЗ. Политика, положение об обработке ПДн, согласия, поручения на обработку, инструкции и перечни должны соответствовать фактическим процессам.
  • Настройте доступы. У сотрудников должен быть доступ только к тем данным, которые нужны им для работы.
  • Проверьте бумажные документы. Уберите анкеты, журналы и личные дела из открытого доступа, назначьте ответственных, определите места хранения.
  • Проверьте электронные системы. Убедитесь, что в CRM, 1С, облаках и других сервисах настроены роли, пароли, журналирование и порядок удаления данных.
  • Опишите уничтожение данных. Для бумажных документов и электронных записей должен быть понятный порядок уничтожения после достижения цели обработки или окончания срока хранения.
  • Проверьте подрядчиков. Если данные передаются внешним сервисам, бухгалтерам, маркетологам, колл-центрам или IT-подрядчикам, нужны договоры и поручения на обработку.
  • Убедитесь, что уведомление в Роскомнадзор и локальные документы не противоречат реальности. Частая проблема - документы описывают одно, а фактические процессы устроены иначе.

Какие последствия возможны

Неправильное определение способа обработки само по себе редко является единственной проблемой. Но оно тянет за собой другие нарушения: неполные документы, отсутствие мер защиты, незаконный доступ сотрудников, хранение лишних данных, отсутствие порядка уничтожения и некорректное уведомление Роскомнадзора.

Возможные последствия:

  • предписание Роскомнадзора об устранении нарушений;
  • штраф по статье 13.11 КоАП РФ за нарушение порядка обработки персональных данных;
  • претензии субъектов персональных данных;
  • риск утечки из-за слабого контроля доступа;
  • невозможность подтвердить законность обработки при проверке;
  • необходимость срочно переделывать документы и процессы уже после запроса регулятора.

Как снизить риск

Лучший способ снизить риск - не спорить о терминах, а описать реальные процессы. Нужно посмотреть, как персональные данные фактически проходят через компанию: кто их получает, куда вносит, где хранит, кому передает и когда удаляет.

После этого можно корректно разделить обработку на автоматизированную, неавтоматизированную и смешанную, обновить документы, настроить доступы и закрыть слабые места. Такой подход помогает не только подготовиться к проверке, но и снизить вероятность утечки.

Вывод

Автоматизированная обработка - это работа с персональными данными через электронные системы. Неавтоматизированная - работа с данными на бумажных и иных материальных носителях при непосредственном участии человека. Оба режима требуют соблюдения 152-ФЗ.

Для бизнеса ключевой вывод простой: если персональные данные есть в компании, нужно защищать и электронные базы, и бумажные документы. Нельзя ограничиться политикой на сайте или папкой с согласиями. Документы, процессы, доступы и меры защиты должны совпадать с тем, как компания реально работает с данными.

Важно

Если персональные данные сначала собираются на бумаге, а потом переносятся в CRM, 1С или таблицу, у компании возникает смешанная обработка. В этом случае нужно закрывать требования и к бумажным носителям, и к информационным системам.

Услуги к статье
Персональные данные
Аудит сайта по 152-ФЗ
Персональные данные
Комплекс 152-ФЗ под ключ
Персональные данные
Регистрация оператора ПДн в Роскомнадзор
Персональные данные
Комплект документов 152-ФЗ
Персональные данные
Шаблоны документов по 152-ФЗ 2026

Возврат к списку