Обработка персональных данных может производиться автоматизированно либо без использования систем автоматизации. В свете последних изменений законодательства перед большим числом компаний встал вопрос о разграничении этих видов обработки данных. Что собой представляет автоматизированная обработка персданных, изложим в нашей статье.
Обработка персональных данных (ПДн) может производиться:
• с использованием систем автоматизации;
• без использования таких систем.
Под автоматизированной обработкой понимается обработка ПДн с помощью средств вычислительной техники (п. 4 ст. 3 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ). Под неавтоматизированной – обработка персданных, содержащихся в информационной системе либо извлеченных из такой системы, если такие действия с данными, как использование, уточнение, распространение, уничтожение в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п. 1 положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687).
Разграничить автоматизированную и неавтоматизированную обработку персданных с 01.09.2022 стало особенно важным. Дело в том, что с указанной даты все компании обязаны уведомлять Роскомнадзор о планах обрабатывать ПДн:
• своих сотрудников;
• физлиц – для однократного пропуска на территорию или в аналогичных целях;
• клиентов, когда данные о них нужны исключительно для заключения и исполнения договоров;
• граждан – только в части Ф.И.О.;
• физлиц, которые разрешили их распространять.
Без уведомления Роскомнадзора по-прежнему можно обрабатывать персданные (ч. 2 ст. 22 закона № 152-ФЗ):
• включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 закона № 152-ФЗ);
• обрабатываемые в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 закона № 152-ФЗ);
• обрабатываемые без использования средств автоматизации (п. 8 ч. 2 ст. 22 закона № 152-ФЗ).
Таким образом, компании осуществляющие (планирующие осуществлять) автоматизированную обработку пресданных своих сотрудников, посетителей и клиентов-физлиц, должны об этом уведомить Роскомнадзор. Фирмы, обрабатывающие такие сведения без использования средств автоматизации, от такой обязанности освобождены.
В качестве примера автоматизированной обработки персданых можно назвать различные программы, позволяющие переформатировать ПДн, в том числе из формата бухгалтерской программы в формат, например, программы пенсионного фонда и осуществляющие их автоматический ввод и дальнейшую передачу без обращения к каждой конкретной записи о работнике.
Другой пример, когда гражданин оплачивает товар с помощью банковской карты через Интернет и товар отгружается автоматически, например, предоставляется доступ к компьютерной игре или к тексту книги в электронном виде.
В этих случаях происходит автоматизированная обработка ПДн, осуществляемая без прямого участия человека.
В положении № 687 сформулированы критерии, при которых обработка персданных признается неавтоматизированной либо не признается таковой, то есть является автоматизированной.
Неавтоматизированной считается обработка ПДн, содержащихся в информационной системе персданных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Обработка данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 положения № 687).
Нужно отметить, что приведенные критерии недостаточно конкретны для разграничения случаев, в которых подача уведомления для обработки персональных данных с применением вычислительной техники требуется или не требуется. Поэтому при возникновении сложностей с определением того, нужно ли подавать уведомление при различных вариантах использования вычислительной техники в процессе обработки персданных, следует уточнять этот вопрос в Роскомнадзоре. Контактную информацию Роскомнадзора и его территориальных подразделений можно посмотреть на сайте http://pd.rkn.gov.ru.
У многих компаний возникает вопрос: нужно ли уведомлять Роскомнадзор, если персональные данные обрабатываются на компьютере?
С одной стороны – обработка производится с помощью средств вычислительной техники.
С другой стороны – в большинстве операций задействован человек, даже в наиболее распространенном бухгалтерском программном обеспечении. Ведь все лицевые карточки в этих системах вносятся и правятся в соответствующих окнах вручную. Для уничтожения лицевых карточек также необходимо их выделение в списке оператором и нажатие специальной клавиши для удаления данных. Для создания архивации данных требуется выбрать архивируемый каталог и нажать кнопку «Создание резервной копии».
Есть судебное решение, где к числу операций, обработка которых осуществляется с использованием средств автоматизации, относится обработка персональных данных работников, которая заключается в сборе, использовании, распространении этих данных, и осуществляется автоматизированно — путем использования информационной системы «1С:Зарплата и управление персоналом» (Постановление ФАС Восточно-Сибирского округа от 05.04.2011 по делу № А19-25289/09).
Официальной позиции госорганов по этому вопросу нет. Поэтому рекомендуем уточнять ответ на этот вопрос в Роскомнадзоре.
Напомним, что непредставление в Роскомнадзор уведомления об обработке ПДн, его несвоевременное представление либо представление уведомления, содержащего неполные или недостоверные сведения – это административное правонарушение. Ответственность за него установлена ст. 19.7 КоАП РФ в виде предупреждения или штрафа в размере:
• для компаний – от 3 до 5 тыс. рублей;
• ее должностных лиц — от 300 до 500 рублей.