В чём разница между обработкой ПДн на бумаге и в электронной базе?

Разница заключается не в самом факте обработки — закон одинаково регулирует персональные данные и на бумаге, и в электронных системах, — а в мерах их защиты.

Обработка на бумаге

• Это хранение и использование персональных данных в бумажных носителях: личные дела сотрудников, трудовые договоры, приказы, анкеты клиентов, согласия.
• Основные риски: доступ посторонних лиц, утеря документов, неконтролируемое копирование.
• Основные меры защиты: хранение в закрытых шкафах и сейфах, ограничение доступа сотрудников по должностным обязанностям, ведение журналов учёта доступа и выдачи документов, уничтожение бумаг по установленным правилам (шредер, акты уничтожения).

Обработка в электронной базе

• Это хранение и использование персональных данных в информационных системах (ИСПДн): кадровые программы, CRM-системы, базы клиентов, бухгалтерские сервисы, корпоративные почты.
• Основные риски: несанкционированный доступ к системе, утечки через интернет, взломы, использование уязвимостей.
• Основные меры защиты: использование антивирусного ПО, шифрование, разграничение прав доступа, пароли и двухфакторная аутентификация, резервное копирование, применение средств защиты информации, сертифицированных ФСТЭК и ФСБ (при определённых уровнях).

Таким образом, различие в том, что для бумажных носителей применяются организационные меры (физическая охрана и контроль доступа), а для электронных — дополнительно требуются технические меры защиты.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — определяет понятие обработки персональных данных независимо от формы (бумажной или электронной).
• Ст. 19 ФЗ-152 — обязывает оператора принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
• Постановление Правительства РФ № 1119 от 01.11.2012 — устанавливает уровни защищённости информационных систем персональных данных и требования к их защите.
• Приказы ФСТЭК России № 21 и № 17, а также приказ ФСБ № 378 — определяют меры и средства защиты для ИС ПДн.

Практика проверок

Роскомнадзор при проверках уделяет внимание обоим форматам:

• у организаций часто находят нарушения при хранении бумажных дел (открытые шкафы, доступ у неуполномоченных сотрудников);
• в электронных базах выявляются слабые пароли, отсутствие журналов доступа, отсутствие антивирусной защиты или резервного копирования.

Почему это важно различать

Неправильное понимание может привести к тому, что компания подготовит документы только для бумажного оборота, но проигнорирует электронные базы — или наоборот. Однако надзорные органы проверяют всё: от архивных папок до CRM-системы.

Рекомендации и выводы

Любая организация, обрабатывающая персональные данные, должна:

1. Разделить процессы обработки на бумажные и электронные.
2. Для бумажных данных: внедрить локальные акты о порядке хранения, ограничить доступ, организовать журнал учёта, обеспечить уничтожение документов.
3. Для электронных систем: классифицировать ИС ПДн по уровням защищённости, внедрить антивирус, пароли, резервное копирование, разграничение прав доступа, при необходимости — сертифицированные средства защиты.
4. Подготовить комплект документов по 152-ФЗ, в котором будут прописаны меры защиты и для бумажных, и для электронных данных.

Компания ICTech поможет вам провести аудит и разработать пакет документов по защите персональных данных, учитывающий все способы их обработки. Это обеспечит готовность к проверкам Роскомнадзора и снизит риск штрафов за нарушения.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге