Автоматизированная и неавтоматизированная обработка персональных данных чем отличаются

 

Компания SearchInform – российский разработчик средств информационной безопасности и инструментов для защиты информации. Что значит обработка персональных данных, важно понимать гражданам и организациям, которые собирают и используют любую личную информацию о людях (Ф.И.О., e-mail, адрес проживания, телефон и т. д.), так как за нарушения в этой области могут налагаться административные штрафы. Что закон подразумевает

Разница между автоматизированной и неавтоматизированной

Неавтоматизированная (ручная) обработка осуществляется при непосредственном участии человека, согласно Постановлению правительства РФ «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации.»

Такая формулировка нередко приводит к ошибочной трактовке процессов компьютеризированной и ручной обработки. Оператор может предположить, что любая операция, в которой участвует человек является ручной – такой подход значительно сокращает перечень по-настоящему самостоятельных процессов, однако, отметим сразу, он в корне неправильный.

Предположим, человеку следует нажать на клавишу, чтобы сохранить папку с ПДн сотрудников на компьютере. Какой будет такая обработка? Автоматизированной, поскольку в процессе участвует компьютер? Или ручной в связи с тем, что оператор инициирует и контролирует процедуру сохранения? В данном случае более важно то, что компьютер будет «хранить» сведения без участия человека – процесс будет полностью автоматизированным.

Чтобы не путаться, скажем сразу, что компьютеры и другой софт, как правило, всегда способствуют переводу процесса обработки в класс компьютеризированной. Исключением из правила назовем только использование компьютера в роли печатной машинки.

Обработка с участием человека чаще всего происходит на бумажных носителях. Сортировка папок с документами, выписка пропусков сотрудников и многие другие действия относятся к обработке информации без средств автоматизации.

Справка: все сведения при неавтоматизированной работе с документами проходят только через человека, ответственного за ПДн.

Требования к неавтоматизированной обработке персональных данных Требования к ручной обработке личных данных

Требования к неавтоматизированной обработке персональных данных
Требования к ручной обработке личных данных

Несмотря на повсеместную автоматизацию, традиционная, бумажная обработка персональных данных все также остается актуальной. Основным правовым актом, устанавливающим требования к такой обработке, является Постановление Правительства РФ от № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Согласно Постановлению, обработка персональных данных, содержащихся в ИСПДн либо извлеченных из неё, считается неавтоматизированной, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов, осуществляются при непосредственном участии человека. Стоит отметить, что обработку нельзя признать автоматизированной только на том основании, что персональные данные содержатся в системе либо были извлечены из нее*.

Постановление регулирует вопросы, касающиеся формирования шаблонов документов, ведения журналов пропускного режима, а также нюансы уничтожения, уточнения и обезличивания персональных данных без средств автоматизации.

Так, в первую очередь, персональные данные при неавтоматизированной обработке, должны отделяться от другой информации, а также фиксироваться на разных носителях, в случае несовместимости целей обработки сведений, а также оператор должен обучить своих сотрудников правилам обработки и защиты персональных данных.

При создании шаблонов документов, характер которых предполагает включение в них персональных данных, должны соблюдаться следующие условия, а именно, форма должна:

  • содержать сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта, источник получения персональных данных, сроки их обработки, перечень действий, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки;
  • содержать поле, в котором субъект дает свое согласие на обработку персональных данных;
  • составлена так, чтобы любой субъект мог бы ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов.

В случае ведения журналов (реестров, книг), содержащих персональные данные, необходимых для осуществления пропускного режима, оператор должен обозначить правила ведения журналов, а также назначить ответственного за ведение журнала. Копирование информации из таких журналов не допускается, а персональные данные каждого субъекта могут заноситься в журнал не более одного раза в каждом случае пропуска субъекта.

При работе с материальном носителем, не позволяющем осуществлять раздельную обработку персональных данных или информации с несовместимыми целями обработки, оператор при необходимости использования или при уничтожении персональных данных* должен сделать копию только тех сведений, которые будут обрабатываться в дальнейшем. Уничтожение и обезличивание персональных данных должно производится способом, исключающим возможность обработки этих данных. В случаи уточнения данных оператор должен внести изменения на существующий носитель или создать новый с обновленными данными.

*Однако это определение частично противоречит определению из основного Закона. В 152-ФЗ под автоматизированной обработкой понимает обработка данных с помощью СВТ. Под обработкой же понимается любое действие или их совокупность, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Принципы обработки персональных данных

Принципы обработки персональных данных
  • Обработка персональных данных должна осуществляться на законной и справедливой основе.
  • Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
  • Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Персональные данные на работе

Чаще всего личную информацию предоставляют при трудоустройстве. Законом установлен перечень обязательных сведений о работнике, без которых приём на работу невозможен:

  • имя, отчество, фамилия;
  • дата рождения;
  • место жительства;
  • серия, номер, дата выдачи паспорта;
  • регистрационные налоговые и страховые номера;
  • семейное положение;
  • состояние здоровья и некоторые другие сведения.

С получением указанных данных закон связывает определённые правовые последствия по оплате труда, предоставлению отпусков, льгот и многим другим вопросам.

Разумеется, каждый гражданин может отказаться от разглашения сведений о себе, но в этом случае работодатель получает право отказать ему в приёме на работу — такова правовая взаимосвязь. Чаще всего проблем при оформлении не возникает, так как работник добровольно предоставляет нужную информацию.

Впрочем, следует помнить, что работодатель не имеет права на операции с данными работника о национальной или партийной принадлежности, религиозных взглядах и некоторых других.

Общие правила совершения операций с ПДн

Осуществляя сбор частных сведений, физическое или юридическое лицо должно придерживаться определенных требований вне зависимости о того, какой способ обработки персональных данных используется: автоматизированный или неавтоматизированный. Этого требует вступивший в силу в 2006 году закон № 152-ФЗ, согласно которому:

  • получение и последующие операции должны выполняться на законном основании с предварительным уведомлением субъекта и получением его согласия;
  • длительность хранения ПДн определяется временем, необходимым для достижения целей обработки, если иное не прописано в законодательных актах или подписанном сторонами соглашении;
  • при утрате необходимости в обработке персданные должны быть уничтожены;
  • использование личной информации может осуществляться четко в рамках легальных целей и предварительно определенных задач. Это значит, что автоматизированная или неавтоматизированная обработка ПДн не может осуществляться, если предполагает использование сведений, собранных для других целей;
  • запрещено объединение БД, где содержатся ПДн, собранные для выполнения несовместимых между собой задач;
  • оператору надлежит обеспечить достаточность и точность информации, а неточные и неполные ПДн уничтожать либо уточнять.

Источники

Использованные источники информации при написании статьи:

  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/avtomatizirovannaya.html
  • https://bcoll.ru/1978-neavtomatizirovannaya-obrabotka-personalnyh-dannyh/
  • https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/sposoby-obrabotki-personalnykh-dannykh/
  • https://data-sec.ru/personal-data/processing/
0 из 5. Оценок: 0.

Комментарии (0)

Поделитесь своим мнением о статье.

Ещё никто не оставил комментария, вы будете первым.


Написать комментарий