Операторы персональных данных сталкиваются в работе с необходимостью описывать методы обработки ПД во внутренних положениях и инструкциях. Для удобства работы и описания методы могут быть классифицированы по определенным признакам. 

Определение

Под обработкой Закон «О персональных данных» понимает любое однократно совершаемое действие с ПД или совокупность таких действий, которые производит оператор. Их перечень строго ограничен и включает:

• сбор (копирование документов, анкетирование, запрос по электронным каналам связи);
• запись в документарные или бумажные регистры;
• систематизацию любого типа, в том числе в рамках СУБД или в бумажных регистрах;
• накопление, этот термин законодателем не раскрывается;
• хранение в электронном или бумажном виде;
• уточнение, самостоятельно или по заявлению правообладателя, включая любые виды изменения или обновления при смене гражданином каких-то параметров ПД;
• извлечение (распечатывание, копирование на съемные носители);
• использование в любых специально оговоренных целях, передачу другим лицам, распространение среди неограниченного круга пользователей, предоставление доступа к ПД третьим лицам;
• обезличивание;
• блокирование;
• удаление по требованию субъекта и уничтожение по истечении срока хранения.

«СёрчИнформ FileAuditor» позволяет провести классификацию данных в автоматизированном режиме и узнать, сколько в компании данных, содержащих конфиденциальные сведения.  

Типы классификации

Классификация действий из этого перечня поможет понять, какие виды обработки данных в организации нужно регламентировать особенно строго. Это поможет избежать административной ответственности при нарушении закона.

Операторы могут классифицировать обработку ПД: 

По используемому инструментарию:

• ручная (работа с бумажными документами);
• автоматизированная (ПД обрабатываются в ИС предприятия).

По месту протекания процессов:

• внешняя, связанная со взаимодействием с третьими лицами, например, сбор, распространение;
• внутренняя, выполняемая только персоналом компании, например, хранение, уточнение.

По необходимости взаимодействия непосредственно с субъектом ПД:

• происходящая при его участии или по его заявлению – сбор, обновление, блокировка, удаление;
• не учитывающая активность субъекта.

Первые должны быть регламентированы более подробно, так как нарушение прав субъекта ПД нередко приводит к жалобе в Роскомнадзор, внеплановой проверке, предписаниям и штрафам.

По мерам ответственности:

• методы обработки данных, нарушение правил проведения которых не влечет ответственности, например, накопление;
• методы, нарушение правил проведения которых приводит к привлечению к административной ответственности, например, сбор, хранение;
• методы работы с данными, нарушение правил проведения которых приводит к привлечению к уголовной ответственности, например, распространение.

Классификация методов обработки данных должна помочь организации выделить те процессы, работа с которыми должна быть очень четко регламентирована во внутренней документации и в программном коде.

20.11.2020