Каждая айтишная душонка норовит попутать доступ к персональным данным и их обработку – просто не мыслит в терминах обработки, подставляя вместо нее доступ. А вообще-то она, конечно, мыслит, когда мы не видим.
Это не проблема, если организация функционирует в стиле подводной лодки, и тем более проблема, чем более применен аутсорсинг. Что одна организация арендует помещения у другой, охраняется третьей, подметается четвертой, сервера стоят в пятой, "программисты" ходят из шестой, кадровый учет ведется в седьмой, юридическое сопровождение в восьмой, связь обеспечивает девятая, зарплата идет через десятую, а головным офисом является одиннадцатая – так это нормальное дело, не особо какая экзотика. А цена ошибки при определении, кто из них участвует в обработке персональных данных – это или десятки тысяч лишних согласий субъектов, или незаконная передача без оных.
Во-первых, персональные данные можно обрабатывать, и не доступаясь. Когда админ наделяет пользователей правами на ресурс, содержащий персональные данные, он увеличивает круг лиц, которым они раскрыты – это предоставление персональных данных, операция по обработке. Можно осуществлять систематизацию персональных данных, выполняя операции с базой, а не непосредственно с данными. Еще проще пример: уничтожение (хранение, передача) носителя персональных данных, не заглядывая в содержимое – это все равно уничтожение (хранение, передача) персональных данных.
Во-вторых, техническая возможность что-то сделать с персональными данными еще не означает обработки персональных данных. Все зависит от наличия формального разрешения это делать. Если внешней уборщице санкционировано производить прекращение обработки персональных данных задеванием швабры за сетевой шнур – со всех субъектов нужны согласия на ее участие в обработке, если не санкционировано – никакие согласия не нужны, а уборщицу надо обрабатывать среди нарушителей (типа К1, если Вы не айтишная душонка). Если кто-то может ознакомиться с персональными данными в системе, имеет такую возможность, но положено ему только обновлять ось – в обработке он не участвует, а участвует в К4.
В вопросе обработки персональных данных 152ой ФЗ не оперирует ни доступом к персональным данным, ни возможностью что-то осуществить.
Иногда помогает рассказывание анекдота, заканчивающегося на "тогда привлекай и за изнасилование – аппарат-то есть!", иногда ничего не помогает.
Это не проблема, если организация функционирует в стиле подводной лодки, и тем более проблема, чем более применен аутсорсинг. Что одна организация арендует помещения у другой, охраняется третьей, подметается четвертой, сервера стоят в пятой, "программисты" ходят из шестой, кадровый учет ведется в седьмой, юридическое сопровождение в восьмой, связь обеспечивает девятая, зарплата идет через десятую, а головным офисом является одиннадцатая – так это нормальное дело, не особо какая экзотика. А цена ошибки при определении, кто из них участвует в обработке персональных данных – это или десятки тысяч лишних согласий субъектов, или незаконная передача без оных.
Во-первых, персональные данные можно обрабатывать, и не доступаясь. Когда админ наделяет пользователей правами на ресурс, содержащий персональные данные, он увеличивает круг лиц, которым они раскрыты – это предоставление персональных данных, операция по обработке. Можно осуществлять систематизацию персональных данных, выполняя операции с базой, а не непосредственно с данными. Еще проще пример: уничтожение (хранение, передача) носителя персональных данных, не заглядывая в содержимое – это все равно уничтожение (хранение, передача) персональных данных.
Во-вторых, техническая возможность что-то сделать с персональными данными еще не означает обработки персональных данных. Все зависит от наличия формального разрешения это делать. Если внешней уборщице санкционировано производить прекращение обработки персональных данных задеванием швабры за сетевой шнур – со всех субъектов нужны согласия на ее участие в обработке, если не санкционировано – никакие согласия не нужны, а уборщицу надо обрабатывать среди нарушителей (типа К1, если Вы не айтишная душонка). Если кто-то может ознакомиться с персональными данными в системе, имеет такую возможность, но положено ему только обновлять ось – в обработке он не участвует, а участвует в К4.
В вопросе обработки персональных данных 152ой ФЗ не оперирует ни доступом к персональным данным, ни возможностью что-то осуществить.
Иногда помогает рассказывание анекдота, заканчивающегося на "тогда привлекай и за изнасилование – аппарат-то есть!", иногда ничего не помогает.
