Первое, что нужно сделать, это получить согласие субъекта на размещение его ПДн в таких ИСПДн. Это может быть ФИО, адрес работы, рабочий телефон, электронная почта и другие реквизиты, характерные для адресной книги.

После этого данные, размещенные в таких источниках, можно считать общедоступными - 4 категория. Конечно, субъект может в любой момент отозвать согласие, но в этом случае, в согласии необходимо указать последствия такого отзыва, например, удаление учетной записи из Active Directory (что означает прекращение доступа в домен предприятия, например).

Затем ОБЯЗАТЕЛЬНО включить эти данные в перечень ПДн, обрабатываемых в организации, с примечанием "Общедоступные" (на основании согласия).

ОБЯЗАТЕЛЬНО включить ИСПДн (Active Directory в нашем примере) в перечень ИСПДн организации.

ОБЯЗАТЕЛЬНО составить акт классификации ИСПДн с присвоением ей 4 класса.

И только после этого про нее можно забыть... Однако следует всегда помнить о том, что обязанность доказательства того, что данные, размещенные в ИСПДн, являются общедоступными, лежит НА ОПЕРАТОРЕ, так что ухо надо держать востро.

С уважением, А.Волков.