Сфера действия 152-ФЗ

Сфера действия 152-ФЗ
Немножко истории...

name='more'>
Как мы знаем, причинами создания 152-ФЗ были не крупные утечки ПДн граждан через налоговую, ГИБДД, паспортные столы, а ратификация  Конвенции Совета Европы  о защите физических лиц при автоматизированной обработкеперсональных данных.
Третья статья евроконвенции даёт право участникам на выбор необязательных "бонусов": 
a) применять конвенцию к архивам;
b) применять конвенцию к ИП, акционерам, членам обществ и ассоциаций и т.д.;
c) применять конвенцию к неавтоматизированной обработке.
152-ФЗ архивы не рассматривает, а вот к неавтоматизированной обработке относится по-особому:
В 1 ст. 152-ФЗ была добавлена оговорка к последнему бонусу - подобная обработка должна соответствовать характеру действий с ПДн "как в электронной базе данных", т.е. ПДн должны быть систематизированыи должен существовать алгоритм поискаПДн. К такой неавтоматизированной обработке могут относится только картотеки.
Последнее уточнение появилось в 152-ФЗ в июльской поправке (261-ФЗ), что лишний раз подтверждает правильность рассуждений и указывает направление, в котором "течёт мысль законотворцев".
Существует, правда, ПП 687 , которое никак не выделяет картотеки, да и вообще непонятно на что конкретно распространяется, однако это ПП сделано во исполнение 152-ФЗ и нормы федерального закона, в этом случае, имеют большую силу, чем постановления правительства.

Так что же это всё значит?

Значит это то, что:
  • Если бумажные документы с перс.данными у вас сложены "стопочкой", то все требования федерального закона, включая согласия, уведомления, ответственных и мероприятия по защите, на вас не распространяются :);
  • Если у вас письма с перс.данными - они за рамками 152-ФЗ;
  • Если трудовые книжки, анкеты и ксерокопии вы храните не по алфавиту - забудьте о 152-ФЗ!
Закон (как и евроконвенция) написан, в первую очередь, про электронные базы данных. Именно неправомерная обработка перс.данных в информационных системах может привести к значительному ущербу для субъекта персональных данных . К сожалению, об этом часто забывают как  интеграторы, так и регуляторы. Последние обычно сразу идут в отдел кадров и смотрят на анкеты о приёме на работу и личные дела сотрудников, на которые, по большому счёту, закон "О персональных данных" не распространяется. 
Alt text

Артем Агеев

root@itsec.pro:~#