Является ли простое хранение файла с ПД на компьютере обработкой?

Да. По ФЗ-152 обработка — это любое действие, вплоть до простого хранения. Если на вашем ноутбуке есть файл с ПД клиентов — вы уже обрабатываете эти данные. Это означает, что должны соблюдаться требования по защите, ограничению доступа и срокам хранения.

Обработка персональных данных: что это и какие действия входят в определение

Q: Что считается автоматической обработкой?

Любая обработка, осуществляемая без участия человека или с его минимальным участием. Например: автоматическая email-рассылка, CRM-аналитика, профилирование клиентов, рекомендательные алгоритмы, cookie-аналитика и автоматическое принятие решений системой.

Q: Нужно ли согласие на каждый вид обработки?

Нет. Согласие оформляется на обработку в рамках конкретных целей, перечисленных в тексте согласия. Но если цели меняются или расширяются — необходимо получить новое согласие. Например, согласие на оформление заказа не даёт права использовать номер телефона для рекламных звонков.

Главное за 30 секунд

Обработка ПД — любое действие с данными: сбор, хранение, передача, изменение, удаление
Даже просмотр или хранение файла с ПД считается обработкой по ФЗ-152
Автоматическая обработка требует дополнительных мер контроля и оценки рисков
Все действия с ПД должны иметь законную цель и правовое основание
Трансграничная передача данных регулируется отдельно и требует дополнительных мер

Определение обработки персональных данных

По статье 3 ФЗ-152 обработка персональных данных — это любое действие (операция) с персональными данными, совершаемое с помощью средств автоматизации или без таких средств.

Ключевое слово — любое действие. Закон намеренно использует максимально широкую формулировку.

Даже просмотр — это обработка

Если вы открыли файл с персональными данными, посмотрели один контакт и закрыли файл — вы совершили обработку. Это чтение/просмотр персональных данных. Поэтому даже неправильное хранение данных на открытом месте — уже нарушение ФЗ-152.

Виды действий, входящих в определение обработки

Статья 3 ФЗ-152 приводит неполный перечень:

Действие	Пример	Регулируется ли ФЗ-152
Сбор	Заполнение формы на сайте, ввод в CRM	Да
Запись	Создание новой записи в базе данных	Да
Систематизация	Организация данных в таблицу, каталог	Да
Накопление	Сборка базы данных клиентов	Да
Хранение	Размещение на сервере, в облаке, на диске	Да
Уточнение	Исправление неправильного адреса	Да
Изменение	Обновление данных в базе	Да
Извлечение	Выгрузка данных из базы в отчёт	Да
Использование	Отправка рассылки по базе	Да
Передача	Отправка файла с данными партнёру	Да
Распространение	Публикация ПД в открытый доступ	Да
Обезличивание	Удаление идентификаторов из данных	Да
Блокирование	Ограничение доступа к данным	Да
Удаление	Стирание записи из базы	Да
Уничтожение	Форматирование диска с данными	Да

Риск

Вы собрали базу клиентов, но просто смотрите на неё без каких-либо действий — это уже обработка. Данные находятся под контролем оператора и требуют защиты по ФЗ-152 с первого момента сбора.

Автоматическая и неавтоматическая обработка

Автоматическая обработка

Обработка с помощью программных систем, без участия человека или с его минимальным участием:

Автоматическая рассылка по CRM
Система рекомендаций (вам показаны товары на основе истории)
Профилирование (система ставит тег «VIP» или «спам»)
Аналитика: Google Analytics собирает поведение автоматически
Автозаполнение формы по cookie

Требования к автоматической обработке усиленные:

Нужна оценка влияния на права субъектов
Нужно уведомление в РКН об использовании автоматизации
При обработке специальных категорий — запрет на полностью автоматическое принятие решений

Неавтоматическая обработка

Обработка вручную, когда человек совершает действия:

Менеджер открыл карточку клиента в CRM
Бухгалтер ввёл данные сотрудника в кадровую систему
Администратор сайта скачал базу клиентов
Юрист прочитал копию паспорта клиента для заключения договора

Требования менее строгие, чем для автоматической обработки, но ФЗ-152 всё равно применяется полностью.

Процессы обработки данных

Обработка в целях

Обработка всегда должна быть осуществлена в определённых целях. Цель устанавливается до начала сбора данных и указывается в согласии и политике конфиденциальности.

Цель	Примеры обработки
Исполнение договора	Сбор адреса для доставки товара
Маркетинг	Рассылка рекламных предложений
Аналитика	Отслеживание поведения на сайте
Кадровое обеспечение	Обработка резюме кандидатов
Соблюдение законов	Передача данных в налоговую

Расширение целей требует нового согласия

Если вы собрали данные для отправки счёта, но потом захотели использовать телефон для маркетинговых звонков — это расширение цели. Нужно получить отдельное согласие на новую цель.

Трансграничная передача как вид обработки

Когда данные передаются в другую страну — это отдельный вид обработки с дополнительными требованиями:

Оценка уровня защиты в принимающей стране
Уведомление РКН о трансграничной передаче
Письменное соглашение о защите данных с иностранным получателем
Проверка соблюдения требований по локализации ПД

Если данные граждан РФ сначала не записываются в базу на территории России — это нарушение требований локализации.

Статус обработки и права оператора

После начала обработки оператор может:

Продолжать обработку в рамках согласованной цели
Передавать данные третьим лицам (если это предусмотрено согласием)
Осуществлять аналитику и профилирование (если согласие даны)
Использовать подрядчиков и облачные сервисы по договору поручения

Оператор не вправе:

Обрабатывать данные вне указанных целей без нового согласия
Передавать данные если субъект этого не разрешил
Использовать автоматическое принятие решений без предупреждения
Хранить данные дольше установленных сроков обработки

Аудит видов обработки в вашем бизнесе

Составлен реестр всех видов обработки (сбор, хранение, передача, удаление)обязательно
Для каждого вида обработки определена правовая цель
Определены все получатели данных при передаче
Для автоматической обработки проведена оценка влияния
При трансграничной передаче оценен уровень защиты принимающей страны
Сроки обработки и удаления установлены для каждой категории данных

Вопросы об обработке персональных данных

Является ли простое хранение файла с ПД обработкой?

Да. Хранение — это уже обработка, требующая соблюдения ФЗ-152, наличия правового основания и мер защиты. Даже если файл просто лежит на компьютере и не используется активно — оператор обязан обеспечить его безопасность.

Что считается автоматической обработкой?

Любая обработка без участия или с минимальным участием человека. Автоматическая рассылка, алгоритмы рекомендаций, CRM-аналитика, профилирование клиентов, системы антифрода и cookie-аналитика относятся к автоматизированной обработке.

Нужно ли согласие на каждый вид обработки?

Согласие получается один раз на обработку в указанных целях. Но если появляются новые цели, категории данных или новые получатели — требуется новое согласие субъекта персональных данных.

Определите все виды обработки в вашей компании

Проверим сайт и документы — за 2 рабочих дня

Составить реестр

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.