Пока все ждут новых документов от ФСТЭК и ФСБ, в обсуждении существующего законодательства на просторах рунета наступило некоторое затишье. Но отсутствие нового - это не повод не пересматривать старое. Очередной раз пробежав глазами по 152-ФЗ, я увидел, что он не дает определения неавтоматизированной обработки ПДн. Ну и ничего, есть же ПП-687, которое как раз нам его и дает. Но понятие это достаточно размыто. И мне захотелось разобраться. Особенно в свете темы на портале ПДн:http://www.pd.rsoc.ru/inter-services/forum/dep46/topic2911/
Ну что, ж приступим. Хочу сразу сказать, что я позволил себе некоторую вольность и взгляд на ситуацию с другой стороны. Иногда это бывает полезным.
Для начала я выделил определения из 152-ФЗ, ПП-687. Плюс к этому взял определение вычислительной техники. В ГОСТах определения ВТ я не нашел, поэтому, посоветовавшись с юристами, взял определение из общедоступных словарей. В моем случае это Большой Энциклопедический Словарь.
| Источник | Термин | Определение |
| 152 ФЗ | обработка персональных данных | любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; |
| 152 ФЗ | автоматизированная обработка персональных данных | обработка персональных данных с помощью средств вычислительной техники; |
| ПП-687 | неавтоматизированная обработка персональных данных | Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. |
| ПП-687 | Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. | |
| Большой Энциклопедический Словарь | вычислительная техника | совокупность технических и математических средств (вычислительные машины, устройства, приборы, программы и пр.), используемых для механизации и автоматизации процессов вычислений и обработки информации. Применяется при решении научных и инженерных задач, связанных с большим объемом вычислений, в системах автоматического и автоматизированного управления, при учете, планировании, прогнозировании и экономической оценке, для принятия научно обоснованных решений, обработки экспериментальных данных, в информационно-поисковых системах и т. д. |
Исходя из вышесказанного можно, для начала, заключить:
1. Принтеры, сканеры тоже являются вычислительной техникой. Это, на мой взгляд, вытекает из определения "вычислительная техника" в Большом Энциклопедическом Словаре:совокупность технических и математических средств (вычислительные машины, устройства, приборы, программы и пр.), используемых для механизации и автоматизации процессов вычислений и обработки информации.
Стоит отметить, что, вероятно, они попадают сюда только в комплекте с системным блоком и монитором. Но обратное-то, в принципе, нас и не интересует.
2. Исходя из определения автоматизированной обработки ПДн можно заключить, что автоматизированная = с помощью средств вычислительной техники. Конечно, в рамках данных понятий:
Автоматизированная обработка ПДн=Обработка ПДн с помощью средств вычислительной техники.
Автоматизированная = с помощью средств вычислительной техники.
И также, логически, получается что в нашем случае средства автоматизации - это средства вычислительной техники.
Теперь рассмотрим определения обработки ПДн, автоматизированной обработки ПДн и неавтоматизированной обработки ПДн в виде таблицы:
| 1 | 2 | 3 | 4 | 5 |
| Действие | Обработка ПДн | Автом-я | Неавтом-я (СВТ) | Неавтом-я (Без СВТ) |
| Сбор | + | + | + | |
| Запись | + | + | + | |
| Систематизация | + | + | + | |
| Накопление | + | + | + | |
| Хранение | + | + | + | |
| Уточнение | + | + | + | |
| Извлечение | + | + | + | |
| Использование | + | + | + | |
| Передача (152-ФЗ) | + | + | ||
| Распространение (ПП-687) | + | + | + | |
| Обезличивание | + | + | + | |
| Блокирование | + | + | + | |
| Удаление (152-ФЗ) | + | + | ||
| Уничтожение (152-ФЗ, ПП-687) | + | + | + |
Обратимся к неавтоматизированной обработке. Из определения вытекает, что для того, чтобы считать обработку ПДн неавтоматизированной, достаточно использовать, уточнять, распространять и уничтожать ПДн в отношении каждого субъекта при непосредственном участии человека. Следовательно остальные действия (Таблица, столбец 4) можно проводить и средствами СВТ.
А вот теперь можно ставить вопросы:
1. Допустим, ситуация когда мы храним скан-копии на ПК, вносим их туда через сканер, извлекаем через принтер. Все остальные действия с бумажными носителями и при непосредственном участии человека. На первый взгляд - неавтоматизированно. Ведь такие действия как
-Уточнение (дописали на листе бумаги и пересканировали заново);
-Использование (здесь все понятно, пользуемся распечатанными бумажными экземплярами);
-Распространение (опять таки, бумажные копии);
-Уничтожение (тоже все понятно, уничтожаем бумажные копии)
производятся при непосредственном участии человека и в отношении каждого субъекта ПДн отдельно.
-Уточнение (дописали на листе бумаги и пересканировали заново);
-Использование (здесь все понятно, пользуемся распечатанными бумажными экземплярами);
-Распространение (опять таки, бумажные копии);
-Уничтожение (тоже все понятно, уничтожаем бумажные копии)
производятся при непосредственном участии человека и в отношении каждого субъекта ПДн отдельно.
Но:
В процесс уточнения входит также и сканирование. А это уже делает обработку ПДн автоматизированной.
И здесь никаким образом, на мой взгляд, нет противоречий ПП-687:
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
2. Автоматизированная = с помощью средств вычислительной техники.
И также, логически, получается что в нашем случае средства автоматизации - это средства вычислительной техники.
Так ли это?
3. Что же все-таки считать непосредственным участием человека?
Резюмируя вышесказанное, скажу, что на мой взгляд нужно исключать подобное свободомыслие, включая в законы и подзаконные акты понятия, используемые в этих документах. По крайней мере, если они не заложены в ГОСТах. А определений "Средство(а) автоматизации" и "Вычислительная техника" я не нашел...
Комментариев нет:
Отправить комментарий