Что считается обработкой ПДн по закону?

Под обработкой персональных данных Федеральный закон № 152-ФЗ понимает любое действие или совокупность действий, совершаемых с персональными данными. Это означает, что фактически любая работа с персональными данными — даже самая простая — уже считается обработкой и попадает под требования закона.

К обработке относятся:

• сбор (например, получение копий паспортов сотрудников, приём заявок на сайте);
• запись (занесение информации в базу, журнал или файл Excel);
• систематизация (структурирование данных по алфавиту, по датам, по группам);
• накопление (создание и хранение архива с документами или базой клиентов);
• хранение (бумажные дела в шкафу, база данных на сервере, записи в CRM);
• уточнение (обновление, изменение) (исправление данных, актуализация телефонов и адресов);
• извлечение (доступ к личному делу, выгрузка из базы);
• использование (применение данных для заключения договора, начисления зарплаты, доставки товара);
• передача (распространение, предоставление, доступ) — включая передачу третьим лицам, публикацию, отправку по e-mail или через интернет;
• обезличивание (удаление признаков, позволяющих идентифицировать человека);
• блокирование (временное прекращение доступа или обработки);
• удаление (полное уничтожение данных без возможности восстановления).

Даже если компания не передаёт данные третьим лицам, а только хранит их у себя, это тоже считается обработкой.

Обоснование по законодательству

• Ст. 3, п. 3 ФЗ-152 — обработка персональных данных включает любое действие (операцию) или совокупность действий, совершаемых с персональными данными, независимо от способов их осуществления (автоматизированный или неавтоматизированный).
• Ст. 5 ФЗ-152 — закрепляет принципы обработки: законность, минимизация, ограничение цели.
• Ст. 6 ФЗ-152 — определяет условия обработки персональных данных.

Практика Роскомнадзора

При проверках Роскомнадзор обращает внимание на весь цикл обработки: от момента получения персональных данных до их уничтожения.
Например:

• компания собирала резюме кандидатов на вакансии, но не разработала порядок их хранения и удаления после завершения конкурса — признано нарушением;
• интернет-магазин хранил контактные данные клиентов дольше необходимого срока без согласия — нарушение.

Почему это важно понимать

Многие организации ошибочно считают, что «обработка» — это только передача данных кому-то. На самом деле любая работа с персональными данными — даже простое хранение на рабочем столе в папке Word — это уже обработка. Соответственно, компания должна соблюдать требования ФЗ-152.

Рекомендации и выводы

Если в вашей организации есть сотрудники, клиенты, контрагенты или сайт, вы так или иначе обрабатываете персональные данные. Для законной работы необходимо:

1. Определить цели обработки и перечень обрабатываемых данных.
2. Подать уведомление в Роскомнадзор (если это требуется).
3. Разработать и внедрить комплект документов по защите ПДн (политика, согласия, приказы, инструкции).
4. Организовать порядок хранения, обновления и уничтожения данных.

Компания ICTech поможет вашей организации правильно оформить процессы обработки персональных данных и подготовить весь необходимый пакет документов по 152-ФЗ. Это снизит риски штрафов, обеспечит соответствие требованиям закона и готовность к проверкам Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге