Обработка персональных данных, осуществляемая без использования средств автоматизации
Это процесс работы с персональными данными, при котором все действия (использование, уточнение, распространение, уничтожение) выполняются человеком вручную, без применения компьютерных или других автоматизированных систем.
Данный вопрос регулируется постановлением Правительства РФ от 15 сентября 2008 г. N 687. Положение постановления регулирует ручную (неавтоматизированную) обработку персональных данных, где каждое действие (использование, уточнение, распространение, уничтожение) выполняется при непосредственном участии человека. Даже если данные извлечены из информационной системы, это не делает обработку автоматической.
Основные требования:
Журналы для однократного доступа (п.8):
- Ведение журналов (например, для пропуска на территорию) должно быть регламентировано внутренним актом оператора с указанием целей обработки, сроков, ответственных лиц.
- Запрещено копировать данные из таких журналов.
- Данные одного субъекта можно вносить в журнал только 1 раз за случай доступа.
Работа с несовместимыми данными на одном носителе (п.9-11):
- Если данные с разными целями нельзя разделить физически, требуется: скопировать только нужные данные (без «лишней» информации) и уничтожить/блокировать носитель с ненужной информацией.
- Уничтожение части данных должно сохранять остальную информацию (например, зачёркивание).
Уточнение данных (п.12):
- Исправления вносятся прямо на носитель. Если технически невозможно — фиксируются изменения или создаётся новый носитель.
Меры безопасности (п.13-15):
- Чёткое определение мест хранения и круга лиц с доступом.
- Раздельное хранение данных с разными целями.
- Условия хранения должны исключать утечки (например, сейфы, журналы учёта доступа).
- Данные должны фиксироваться на отдельных материальных носителях (например, бумага) или в специальных разделах форм.
- Запрещено смешивать на одном носителе данные с несовместимыми целями (например, медицинские и финансовые).
- Сотрудники, работающие с данными, обязаны знать правила обработки, категории данных и особенности процедур.
- Типовые формы документов должны включать информацию о целях обработки, согласии субъекта, а также исключать объединение несовместимых данных.
Действие:
Документ действует до 1 сентября 2030 года.
Интересные факты:
Запрет на копирование из журналов доступа: Даже если журнал бумажный, нельзя делать копии страниц с персональными данными, что снижает риски утечек.
Ручное обезличивание: Даже в бумажных документах можно зачёркивать или вырезать часть информации, чтобы сделать её нечитаемой, сохраняя остальные данные.
Ответственность за условия хранения: Оператор сам определяет, как хранить носители (например, сейф, закрытые шкафы), но должен формализовать эти меры во внутренних документах.
Права субъекта: Положение требует, чтобы даже в бумажных документах субъект мог ознакомиться со своими данными, не нарушая прав других лиц (например, если в одном документе данные нескольких людей, их нужно оформить так, чтобы информация о каждом была изолирована).