Об утверждении

Правил обработки персональных данных,

осуществляемой без использования средств автоматизации,

в Исполнительном комитете Спасского муниципального района

Во исполнение Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки, персональных данных, осуществляемой без использования средств автоматизации»:

1. Утвердить:

1.  Правила обработки персональных данных, осуществляемой без
   использования средств автоматизации в Исполнительном комитете Спасского муниципального района  (Приложение № 1);
2.  Порядок доступа в помещения, в которых ведётся обработка персональных данных (приложение № 2);
3.  Перечень должностей в Исполнительном комитете Спасского муниципального района, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным для исполнения своих служебных обязанностей  (приложение № 3).

2. Контроль за исполнением настоящего распоряжения возложить на Кобенячкину Е.А.

Руководитель исполнительного комитета

         Спасского муниципального района РТ                                      В.А. Осокин

Приложение №1

к распоряжению руководителя

Исполнительного комитета

Спасского муниципального района РТ

№ 19_от 05.02.2019

ПРАВИЛА

обработки персональных данных, осуществляемой

без использования средств автоматизации, в Исполнительном комитете Спасского муниципального района

1. Общие положения

1. Настоящие Правила обработки персональных данных, осуществляемой без использования средств автоматизации в Исполнительном комитете Спасского муниципального района разработаны на основании требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» и устанавливают порядок обработки, распространения и использования персо­нальных данных в Исполнительном комитете Спасского муниципального рай­она.
2. Правила обработки персональных данных, осуществляемой без исполь­зования средств автоматизации, в Исполнительном комитете Спасского муни­ципального района (далее - Правила) осуществляются с учетом требований По­ложения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Прави­тельства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положе­ния об особенностях обработки персональных данных, осуществляемой без ис­пользования средств автоматизации».
3. Обработка персональных данных, содержащихся в информацион­ной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (не­автоматизированной), если такие действия с персональными данными, как ис­пользование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

1. Персональные данные при их обработке, осуществляемой без использо­вания средств автоматизации, должны обособляться от иной информации, в част­ности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
2. При фиксации персональных данных на материальных носителях не до­пускается фиксация на одном материальном носителе персональных данных, це­ли, обработки которых заведомо не совместимы. Для обработки различных кате­горий персональных данных, осуществляемой без использования средств автома­тизации, для каждой категории персональных данных должен использоваться от­дельный материальный носитель.
3. Лица, осуществляющие обработку персональных данных без использо­вания средств автоматизации, должны быть проинформированы о факте обра­ботки ими персональных данных без использования средств автоматизации, кате­гориях обрабатываемых персональных данных, а также об особенностях и пра­вилах осуществления такой обработки, установленных нормативными право­выми актами федеральных органов исполнительной власти, органов исполни­тельной власти субъектов Российской Федерации, а также локальными правовы­ми актами Исполнительного комитета Спасского муниципального района.
4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (да­лее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее за­полнению, карточки, реестры и журналы) должны содержать сведения о цели об­работки персональных данных, осуществляемой без использования средств авто­матизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и ад­рес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными дан­ными, которые будут совершаться в процессе их обработки; общее описание ис­пользуемых оператором способов обработки персональных данных;

- типовая форма должна предусматривать поле, в котором субъект пер­сональных данных может поставить отметку о своем согласии на обработку пер­сональных данных, осуществляемую без использования средств автоматизации, -при необходимости получения письменного согласия на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возмож­ность ознакомиться со своими персональными данными, содержащимися в доку­менте, не нарушая прав и законных интересов иных субъектов персональных дан­ных;

-  типовая форма должна исключать объединение полей, предназначен­ных для внесения персональных данных, цели, обработки которых заведомо не совместимы.

5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

5.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носите­ле других персональных данных осуществляется копирование персональных дан­ных, подлежащих распространению или использованию, способом, исключаю­щим одновременное копирование персональных данных, не подлежащих распро­странению и использованию, и используется (распространяется) копия персо­нальных данных;

5.2. при необходимости уничтожения или блокирования части персональ­ных данных уничтожается или блокируется материальный носитель с предвари­тельным копированием сведений, не подлежащих уничтожению или блокирова­нию, способом, исключающим одновременное копирование персональных дан­ных, подлежащих уничтожению или блокированию.

6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исклю­чающим дальнейшую обработку этих персональных данных с сохранением воз­можности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7. Требования, предусмотренные пунктами 5.1 и 5.2 настоящих Правил, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и ин­формации, не являющейся персональными данными.

8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изме­нения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материаль­ном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отноше­нии каждой категории персональных данных можно было определить места хра­нения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных це­лях.
3. Учет документов по обработке персональных данных без использова­ния автоматизированных систем должен производиться отдельным делопроиз­водством. На документах должна указываться пометка «Персональные данные». Документы должны храниться в надежно запираемых шкафах и сейфах. Ключи от них, а также от помещений должны находиться у ответственных за данную рабо­ту лиц.
4. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:

к работе допускаются только лица, назначенные соответствующим распо­ряжением;

на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентифи­каторы);

на период обработки защищаемой информации в помещении могут нахо­диться лица, допущенные в установленном порядке к обрабатываемой информа­ции; допуск других лиц может осуществляться с разрешения представителя нани­мателя (работодателя);

в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный про­смотр выводимой на них информации;

по окончании обработки информации оператор обязан произвести стирание остаточной информации на жестком диске и в оперативной памяти;

при увольнении или перемещении оператора автоматизированной системы представитель нанимателя (работодатель) должен принять организационные меры по оперативному изменению паролей (идентификаторов);

учет съемных носителей информации с персональными данными допуска­ется учитывать совместно с другими документами по установленным для этого учетным формам; при этом работникам, ответственным за их учет, на этих носи­телях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка «Персональные данные», подпись этого работника;

носители информации должны храниться в местах, недоступных для посто­ронних лиц.

5. Запрещаются обработка и хранение сведений о персональных данных на ПЭВМ, подключенной к сети, имеющей доступ к Интернету без межсетевого экрана, а также их передача по незащищенным каналам связи.

 Приложение № 2

к распоряжению руководителя

Исполнительного комитета

Спасского муниципального района РТ

№ 19_от 05.02.2019

ПОРЯДОК

доступа работников в помещения, в которых ведётся

обработка персональных данных

1.  Настоящий Порядок доступа в помещения, в которых ведется обработка персональных данных (далее - Порядок), устанавливает единые требования к доступу в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых в Исполнительном
комитете Спасского муниципального района, и обеспечения соблюдения
требований законодательства о персональных данных.

2. Настоящий Порядок обязателен для применения и исполнения всеми работниками Исполнительного комитета Спасского муниципального района.

3.   Помещения, в которых ведется обработка персональных данных,
должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.

4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.

5. Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в металлических шкафах, оборудованных опечатывающими устройствами.
6. Помещения, в которых ведется обработка персональных данных, за­пираются на ключ,  в нерабочее время тубус с ключами сдается в службу охраны здания.
7. Вскрытие и закрытие (опечатывание) помещений, в которых ведется обработка персональных данных, производится работниками, имеющими право доступа в данные помещения.

8.   Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании рабочего времени работники, имеющие право доступа в помещения, обязаны:'

убрать бумажные носители персональных данных и электронные но­сители персональных данных (диски, флеш-карты) в шкафы, закрыть и опеча­тать шкафы;

отключить   технические   средства  (кроме   постоянно   действующей тех­ники) и электроприборы от сети, выключить освещение; закрыть окна;

9.   Перед открытием помещений, в которых ведется обработка персональных данных, работники, имеющие право доступа в помещения, обязаны:

провести внешний осмотр с целью установления целостности двери и замка;

открыть дверь и осмотреть помещение, проверить наличие и це­лостность печатей на шкафах.

 10. При обнаружении неисправности двери и запирающих устройств работники обязаны:

- не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному руководителю;

- в присутствии не менее двух иных работников, включая не­посредственного руководителя, вскрыть помещение и осмотреть его;

- составить акт о выявленных нарушениях и передать его руководителю Исполнительного комитета Спасского муниципального района для организации служебного расследования.

11. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только работники, непосредственно работающие в
данном помещении.

Иные работники имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии работников, непосредственно работающих в данных помещениях.

12. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.

Присутствие иных лиц, не имеющих права доступа к персональным дан­ным, должно быть исключено.

1. Техническое обслуживание компьютерной и организационной тех­ники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии работника, работающего в данном помещении.
2. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.
3. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на Руководителей отделов, обрабатывающих персональные данные.

 Приложение № 3

к распоряжению руководителя

Исполнительного комитета

Спасского муниципального района РТ

№_19_от 05.02.2019

Перечень должностей в Исполнительном комитете Спасского муниципального района, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным для исполнения своих служебных обязанностей