Есть целая категория клиентов, которые ищут возможность уйти с 781 постановления на 687. Формально это сделать можно, учитывая, пардон, глупое определение автоматизированной системы. Вопрос в том… а оправдано ли это?
Представим себе компанию, в которой есть CRM с данными на 1000 клиентов.
Давайте проанализируем два пункта из 687 постановления:
4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
Т.е. вы должны реализовать систему, в которой персональные данные КАЖДОГО субъекта должны храниться на отдельном материальном носителе (винчестере). Как реализовать ИСПДн с 1000 винчестеров? И это не считая данных о сотрудниках, посетителях и т.д. Пункт 5 вроде бы вносит поправку в неоднозначную формулировку пункта 4, но и тут немногим легче, как разделять материальные носители по целям обработки и категориям? Т.е. на моем рабочем компьютере есть данные о сотрудниках компании и о клиентах, цели обработки разные, а винчестер-то один, и сервер один.
Если брать во внимание бумажные носители, для которых и писалось 687 постановление, то можно найти очень много примечательные несуразицы. Например, классный журнал в школах противоречит этому пункту. Цель обработки персональных данных школьников в журналах – это учет успеваемости, а на последних страницах есть персональные данные родителей для возможности с ними связаться. Вот и получается обработка персональных данных с несовместимыми целями.
Непонятно как организовать? На примере того же CRM. Есть специальный раздел с наименованием организации в нем есть как персональные данные, так и не относящиеся к таковым (например, описание компании, почта info@название компании.ru и т.д.). Одним словом необходимо отделить "любую информацию, относящуюся к определенному или определяемому лицу" от информации, которая к нему не относится и не определяет его. Допускаю, что это можно реализовать,но как? Плюс 5 пункт остается в силе.
ОтветитьУдалить