1. Приведенная в Законе о персональных данных дефиниция воспроизводит аналогичное положение Директивы 1995 г. Данное определение отличается от понятия автоматизированной обработки, которое содержится в Конвенции 1981 г. и охватывает «следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение». Во многом это связано с тем, что сфера действия Директивы 1995 г. и Закона о персональных данных не ограничивается исключительно автоматизированной обработкой данных. Кроме того, развитие технологий привело к появлению новых способов обработки данных, что сделало нецелесообразным ограничение их видов каким-либо закрытым перечнем.

2. Первоначально в Законе о персональных данных обработка персональных данных понималась несколько иначе, а именно как «действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных». Последующие изменения в дефиницию конкретизировали ее посредством (1) прямого указания на то, что обработка представляет собой любое действие (в данном случае делается акцент на действии человека) или операцию (акцент на автоматизированной обработке) с персональными данными, и (2) пополнения перечня возможных способов обработки записью, извлечением, передачей данных в различных формах (распространение, предоставление, доступ).

В настоящее время под обработкой персональных данных понимается любое действие (операция), совершаемое с персональными данными, как с использованием средств автоматизации, так и без них. К таковым относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В принципе, невозможно придумать ни одного действия или операции с персональными данными, которые бы не могли быть охвачены понятием «обработка». Аналогичный и столь же широкий подход к данному понятию используется в Директиве 1995 г. и Регламенте 2016 г.

Таким образом, к обработке персональных данных в полной мере можно отнести любое действие, носящее волевой характер и сопряженное с воздействием на данные в период их жизненного цикла: обычное хранение персональных данных на жестком диске компьютерного устройства; использование компьютерных алгоритмов по глубинному анализу данных (data mining).

3. В отечественной судебной практике встречаются случаи, когда суды некорректно толкуют понятие «обработка персональных данных», стремясь тем самым решить вопрос о применимости к спорным отношениям законодательства о персональных данных.

Так, суды не признают обработкой персональных данных действия по размещению на информационных стендах официальных документов, в которых могут содержаться персональные данные (например, данные о результатах аудита ТСЖ с информацией о фамилии, имени и отчестве истца, замещении им ранее должности председателя ТСЖ и размере получаемого вознаграждения или предписание Ростехнадзора), такие действия не являются обработкой персональных данных лица по смыслу Закона о персональных данных (см. апелляционные определения Верховного суда Республики Коми от 13 марта 2014 г. по делу № 33-1148/2014; Липецкого областного суда от 6 июня 2012 г. по делу № 33-1235/2012).