Кто хочет выполнять требования Постановления правительства №687?

Есть целая категория клиентов, которые ищут возможность уйти с 781 постановления на 687. Формально это сделать можно, учитывая, пардон, глупое определение автоматизированной системы. Вопрос в том… а оправдано ли это?

Представим себе компанию, в которой есть CRM с данными на 1000 клиентов.

Давайте проанализируем два пункта из 687 постановления:

4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Т.е. вы должны реализовать систему, в которой персональные данные КАЖДОГО субъекта должны храниться на отдельном материальном носителе (винчестере). Как реализовать ИСПДн с 1000 винчестеров? И это не считая данных о сотрудниках, посетителях и т.д. Пункт 5 вроде бы вносит поправку в неоднозначную формулировку пункта 4, но и тут немногим легче, как разделять материальные носители по целям обработки и категориям? Т.е. на моем рабочем компьютере есть данные о сотрудниках компании и о клиентах, цели обработки разные, а винчестер-то один, и сервер один.

Если брать во внимание бумажные носители, для которых и писалось 687 постановление, то можно найти очень много примечательные несуразицы. Например, классный журнал в школах противоречит этому пункту. Цель обработки персональных данных школьников в журналах – это учет успеваемости, а на последних страницах есть персональные данные родителей для возможности с ними связаться. Вот и получается обработка персональных данных с несовместимыми целями.

2 Comments

А меня «фиксация» не пугает. В процессе обработки действия, определяемые как «закрепление чего-либо в определенном положении» выражены только как вывод на печать и(или) сохранение в архив. Хранение файла на жестком диске не есть фиксация.

[Ответить]

  • «Цель обработки персональных данных школьников в журналах – это учет успеваемости». Почему только так? Сначала цель потом процесс обработки, если добавить в цель «оперативный контроль успеваемости», то становиться понятно зачем там ФИО родителей.

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *