ГрамотаИБ ГрамотаИБ

Таблица Excel с персональными данными — это ИСПДн?

Список клиентов или сотрудников в Excel — это уже информационная система персональных данных (ИСПДн) со всеми требованиями 152-ФЗ или просто файл? Короткий ответ: чаще всего да, это ИСПДн, потому что Excel автоматизированно обрабатывает данные (поиск, сортировка, фильтры). Разбираем, когда таблица считается автоматизированной обработкой, какой нужен уровень защищённости и меры, почему пугаться не стоит, чем особенно рискован Excel (почта, облако, общий доступ) и что делать на практике.

Один из самых частых вопросов малого бизнеса: «У нас всего лишь список клиентов (или сотрудников) в Excel — это уже ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. со всеми требованиями или просто файл?» Вопрос важный, потому что от ответа зависит, нужно ли определять уровень защищённости, принимать меры и оформлять документы. Короткий ответ: чаще всего да, таблица Excel с персональными данными — это ИСПДн. Разберём почему и что с этим делать без паники.

Что такое ИСПДн

Информационная система персональных данных — это база данных с ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). плюс средства её обработки. Ключевой признак — обработка с использованием средств автоматизации: когда поиск, выборка, сортировка и иные действия с данными выполняются программой, а не только вручную. Excel — это именно программа, которая умеет фильтровать, сортировать, искать и считать. Как только вы держите в ней данные людей и пользуетесь этими возможностями, обработка становится автоматизированной. Подробнее — в статье «Обработка ПДн с использованием средств автоматизации».

Когда таблица — автоматизированная обработка

По Положению (ПП РФ №687) обработка считается без средств автоматизации, если действия с данными каждого субъекта совершаются при непосредственном участии человека, без автоматического поиска и выборки. Теоретически, если использовать Excel как электронную пишущую машинку (набрать и распечатать, не ведя поиск и фильтрацию), это можно отнести к неавтоматизированной обработке. Но на практике в Excel почти всегда сортируют, фильтруют, ищут по фамилии, считают формулами — а значит, это автоматизированная обработка, и таблица подпадает под требования к ИСПДн. О бумажном режиме — в статье «Обработка ПДн без средств автоматизации».

Значит, нужно всё как для большой системы?

Нет — и это главное, чтобы не пугаться. Объём требований зависит от уровня защищённости (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер. 1–4), который определяется по ПП-1119 исходя из категорий и объёма данных и типа угроз. Для типичного малого бизнеса (обычные данные клиентов или сотрудников, небольшой объём, без специальных категорий) это, как правило, самый низкий уровень УЗ-4 — с компактным набором мер, который всё же определяется по модели угроз и приказу ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21, а не отсутствует вовсе. Как определить свой уровень — в статье «Уровни защищённости ПДн». То есть «таблица — это ИСПДн» не означает «нужна дорогая сертифицированная система»; означает — нужно навести базовый порядок.

Где лежит файл — половина вопроса

Риск и требования сильно зависят от того, где хранится таблица:

  • На рабочем компьютере или сервере в офисе — обычная ИСПДн, защищаете доступ и носитель.
  • В сетевой папке с общим доступом — частый источник утечек: файл видят все, кто угодно копирует.
  • В облаке — критично, где физически серверы. Данные граждан РФ при сборе должны записываться и храниться в базах на территории России (часть 5 статьи 18 152-ФЗ); зарубежное облако дополнительно требует проверки локализации и правил трансграничной передачи (статья 12). О тонкостях внешних хранилищ — в статье «Политика ПДн для сайта на внешнем хранилище».
  • Пересылается по почте и в мессенджерах — копия уходит из-под контроля; так терять данные проще всего.

Чем особенно рискован Excel

Excel-таблица — слабо защищённая ИСПДн по своей природе: в ней трудно разграничить доступ (обычно её видит каждый, у кого есть файл), она легко копируется и пересылается, не ведёт журнал действий, а парольная защита файла ограничена (часто используют слабый или общий пароль). Поэтому именно таблицы чаще всего фигурируют в утечках. Как снизить риск — в статье «Как не допустить утечку ПДн».

Что делать на практике

  • Признайте, что таблица с ПДн — это ИСПДн, и внесите её в перечень своих информационных систем.
  • Определите уровень защищённости и примите меры под него (для большинства это УЗ-4 и базовый набор).
  • Ограничьте доступ: файл — на защищённом ресурсе в России, вход по учётным записям и паролю, без общего доступа всем подряд.
  • Не пересылайте таблицу с ПДн по открытой почте и в мессенджерах; делайте резервные копии.
  • Оформите базовые документы и согласия — общий комплект см. в обзоре «Документы по защите информации».
  • При росте числа записей и пользователей задумайтесь о переходе в нормальную систему (CRM, учётную программу) с разграничением доступа — см. «Как хранить ПДн в приложении» и «Персональные данные в 1С».

Типичные ошибки

  • «Это просто файл, а не система». Автоматизированная обработка в Excel — это ИСПДн, со своими требованиями.
  • Таблица в зарубежном облаке. Хранение данных россиян на зарубежных серверах конфликтует с требованием о локализации.
  • Общий доступ для всех. Файл лежит в открытой сетевой папке или расшарен ссылкой без ограничений.
  • Специальные категории в Excel. Сведения о здоровье и подобные данные в незащищённой таблице — повышенный риск и более строгие требования.
  • Рассылка таблицы по почте. Полную базу пересылают контрагентам или между сотрудниками без защиты.

Главное

Таблица Excel с персональными данными почти всегда является ИСПДн, потому что Excel обрабатывает данные автоматизированно (поиск, сортировка, фильтры). Но это не повод пугаться: для типичного малого бизнеса достаточно низкого уровня защищённости и базовых мер — ограничить доступ, хранить файл на защищённом ресурсе в России, не пересылать его открыто и оформить документы. Главные риски Excel — общий доступ, почта и зарубежные облака. ГрамотаИБ помогает определить уровень защищённости вашей таблицы или системы и собрать нужные меры и документы — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Как самозанятому соблюсти требования по персональным данным

Касаются ли самозанятого требования 152-ФЗ по защите персональных данных? Если вы ведёте базу клиентов для своей деятельности — да, вы оператор персональных данных, и формальное «я просто самозанятый» не освобождает. Но объём требований небольшой и соразмерный: у самозанятого нет работников, нет ГИС и КИИ, обычно нет сложной информационной системы. Разбираем минимальный набор: правовое основание, уведомление Роскомнадзора, политика и согласие на сайте, базовая защита данных и чего точно делать не нужно.

Проводит ли Роскомнадзор автоматический мониторинг сайтов и сверяет ли обработку с политикой?

Да, Роскомнадзор ведёт дистанционный контроль сайтов без взаимодействия с оператором (по 248-ФЗ) — в том числе автоматизированными средствами, и оператор может даже не узнать о такой проверке. Разбираем, как это работает, что автоматика реально может выявить (опубликована ли политика, корректны ли формы и согласия, есть ли оператор в реестре, куда уходят данные), сверяет ли она соответствие обработки заявленной политике и где проходит граница между автоматическим наблюдением и полноценной проверкой.

Персональные данные в 1С: кто оператор, облако или свой сервер и как не попасть на штраф

В 1С почти всегда есть персональные данные — зарплата и кадры, клиенты, контрагенты-физлица. Значит, это ИСПДн со своими требованиями 152-ФЗ. Разбираем, кто здесь оператор (вы, а не фирма 1С и не хостер), чем с точки зрения закона отличается локальная 1С на своём сервере от облачной аренды (1С в облаке, хостинг, 1С:Фреш), почему облачный провайдер — это обработчик и нужно поручение на обработку с локализацией данных в России, какие документы оформить и на чём экономия превращается в штраф.

Уведомление в Роскомнадзор об обработке персональных данных: кому обязательно и как подать

Уведомление об обработке персональных данных — первый и самый дешёвый шаг к соответствию 152-ФЗ. После реформы 2022 года почти все операторы обязаны подавать его, включая ИП и работодателей, обрабатывающих данные своих сотрудников. Разбираем, кто обязан уведомлять и какие исключения статьи 22 ещё остались, как подать уведомление бесплатно через сайт Роскомнадзора или Госуслуги, что в нём указать и какой штраф грозит за неподачу (статья 13.11 КоАП РФ).