Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Наличие доступа != обработка

Аватар пользователя Ригель
Автор: Хромов Михаил,
(0)
()
Каждая айтишная душонка норовит попутать доступ к персональным данным и их обработку – просто не мыслит в терминах обработки, подставляя вместо нее доступ. А вообще-то она, конечно, мыслит, когда мы не видим.

Это не проблема, если организация функционирует в стиле подводной лодки, и тем более проблема, чем более применен аутсорсинг. Что одна организация арендует помещения у другой, охраняется третьей, подметается четвертой, сервера стоят в пятой, "программисты" ходят из шестой, кадровый учет ведется в седьмой, юридическое сопровождение в восьмой, связь обеспечивает девятая, зарплата идет через десятую, а головным офисом является одиннадцатая – так это нормальное дело, не особо какая экзотика. А цена ошибки при определении, кто из них участвует в обработке персональных данных – это или десятки тысяч лишних согласий субъектов, или незаконная передача без оных.

Почему доступ и обработка - не одно и то же?

Во-первых, персональные данные можно обрабатывать, и не доступаясь. Когда админ наделяет пользователей правами на ресурс, содержащий персональные данные, он увеличивает круг лиц, которым они раскрыты – это предоставление персональных данных, операция по обработке. Можно осуществлять систематизацию персональных данных, выполняя операции с базой, а не непосредственно с данными. Еще проще пример: уничтожение (хранение, передача) носителя персональных данных, не заглядывая в содержимое – это все равно уничтожение (хранение, передача) персональных данных.

Во-вторых, техническая возможность что-то сделать с персональными данными еще не означает обработки персональных данных. Все зависит от наличия формального разрешения это делать. Если внешней уборщице санкционировано производить прекращение обработки персональных данных задеванием швабры за сетевой шнур – со всех субъектов нужны согласия на ее участие в обработке, если не санкционировано – никакие согласия не нужны, а уборщицу надо обрабатывать среди нарушителей (типа К1, если Вы не айтишная душонка). Если кто-то может ознакомиться с персональными данными в системе, имеет такую возможность, но положено ему только обновлять ось – в обработке он не участвует, а участвует в К4.

152ой ФЗ не сводит обработку персональных данных к доступу* и не называет ей возможность что-то осуществить.

Иногда помогает рассказывание анекдота, заканчивающегося на "тогда привлекай и за изнасилование – аппарат-то есть!", иногда ничего не помогает.

* исправлено - спасибо М.Ю.
Оцените материал:
Total votes: 96
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.