Тема: Обработка ПД или нет?

Компьютерная фирма предлагает услуги по ремонту компьютеров. Обработка ПД (персональных данных) не происходит (клиенту выдается номерной жетон и даже его имя никуда не записывается). Но на сданном компьютере содержатся ПД (телефонные книги, заметки о днях рождения друзей, сканы собственных документов, фотографии).
Естественно эти данные никто не обрабатывает, не каталогизирует и т.д. Но факт в том, что на время ремонта компьютера фирма становится заложником наличия на её территории электронного документа, содержащего ПД.

Вопрос 1. Распространяется ли закон 152-ФЗ "О персональных данных" на данную фирму?

Можно предположить, что ремонтируемый компьютер не подключается к локальной сети сервис-центра, а работник осуществляющий ремонт не подключает к компьютеру никакие носители, что будет являться условным гарантом (ведь работник будет иметь возможность перепечатать сведения с экрана клиентского компьютера) невозможности вести обработку ПД. Но на следущий день после получения компьютера из ремонта клиент выйдет в интернет, откроет страницу содержащую код собирающий ПД (ключ платежной системы, например). Угадайте, на кого он подаст в суд?

Вопрос 2. Как себя обезопасить?

А как быть фирме, занимающейся восстановлением данных? Данная деятельность прямо подразумевает копирование данных (файлов, в том числе содержащих ПД) с поврежденного носителя клиента на сторонний носитель. И в этом случае, специалист по восстановлению данных не будет искать в файлах персональные данные и каталогизировать их. Но фактически фирма будет иметь доступ к ПД, и более того - хранение ПД (по закону) относится к обработке персональных данных.

Вопрос 3. Распространяется ли закон 152-ФЗ "О персональных данных" на данный вид деятельности? Если да, то по какой категории? Ведь на компьютере клиента могут оказаться любые сведения, в том числе биометрические, информация о здоровье, национальности, доходах и прочее.

2

Re: Обработка ПД или нет?

Дмитрий Ли

Вопрос понятен и он очень правильный. Предлагаю сначала разобраться с терминами:



ст. 3 152-ФЗ
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц
(передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

ст. 6, п. 4, 152-ФЗ
В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Можно ли говорить о том, что хранение информации на ПК, который находится в ремонте, является обработкой ПДн? Да, это так.

Можно ли говорить о том, что ваш случай является распространением ПДн? Думаю, что скорее да, чем нет. Передавая компьютер, вы передаете вместе с ним и персональные данные.  Закон не дает уточнений по поводу того, что такое "передача". Но мы будем исходить из буквального понимания, особенно учитывая то, что отдавая компьютер, вы подвергаете данные потенциальному риску, а цель закона - защита конституционных прав граждан.

Можно ли говорить о том, что пункт 4 статьи 6, позволяет нам думать о том, что распространение данных непременно сопровождается договором. И, следовательно, если нет договора, то нет и распространения. Я думаю, что нет. В данном случае подразумевается, что если существует договор, то в нем должны быть определенные положения.

По итогу, я думаю, что вам нужно рассматривать данную ситуацию как обработку персональных данных и, как минимум, вписать в договор пункт об обеспечении конфиденциальности получаемых персональных данных.

Ну и самое главное - ждать судебной практики. Подобных нюансов - тысяча и одна штука.

Отредактировано tuxedo (2011-07-04 09:24:19)

Re: Обработка ПД или нет?

Спасибо. Проясню ситуацию. В своём вопросе я представляю интерес компьютерной фирмы...

Теперь по терминам.
Обработка ПД -  имеет место в компьютерной фирме в части хранения данных. Понятно.
Распространение персональных данных (действия, направленные на передачу персональных данных определенному кругу лиц) - имеет место для клиента фирмы. Тоже понятно.

Значит ответ на Вопрос 1 - твёрдое "Да".

Остаются непонятки с категорией. На компьютере может быть что угодно.
Неужели каждая компьютерная фирма должна регистрироваться в качестве оператора по высшей категории???

4

Re: Обработка ПД или нет?

Дмитрий Ли пишет:

Спасибо. Проясню ситуацию. В своём вопросе я представляю интерес компьютерной фирмы...

Теперь по терминам.
Обработка ПД -  имеет место в компьютерной фирме в части хранения данных. Понятно.
Распространение персональных данных (действия, направленные на передачу персональных данных определенному кругу лиц) - имеет место для клиента фирмы. Тоже понятно.

Значит ответ на Вопрос 1 - твёрдое "Да".

Остаются непонятки с категорией. На компьютере может быть что угодно.
Неужели каждая компьютерная фирма должна регистрироваться в качестве оператора по высшей категории???

Боюсь, что на этот вопрос сегодня не получится найти ответ. Дмитрий, я вот что подумал, а что если вам в договоре прописать обязательство клиента не передавать вам ПДн на компьютере. Что-то вроде: "Заказчик обязуется предоставить оборудование, не содержащее персональные данные....". Мне кажется, что вариант.