Неавтоматизированная обработка персональных данных

Сегодня мы раскроем тему: "Неавтоматизированная обработка персональных данных", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства РФ от 15 сентября 2008 г. N 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

В целях реализации Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

2. Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим постановлением.

3. Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования.

Председатель Правительства
Российской Федерации

15 сентября 2008 г.

Положение
об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
(утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)

I. Общие положения

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).

5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

Читайте так же:  Гпк рф подсудность гражданских дел мировому судье

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Любые сведения о гражданине (фамилия, имя, отчество, дата и место рождения, адрес, семейное положение и т.п.) составляют персональные данные о нем. Законодательством РФ допускается их обработка, в том числе сбор, хранение, уточнение, использование и уничтожение.

Определены особенности обработки персональных данных, осуществляемой без использования средств автоматизации. При этом действия с такими сведениями в отношении каждого из лиц производятся при непосредственном участии человека. Предусмотрено, что в таком случае данные должны отделяться от другой информации (путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм). При использовании типовых форм документов, в которые может быть включена информация о лице, необходимо соблюдать определенные условия. Так, если нужно письменное согласие гражданина на работу с его данными, типовая форма должна иметь поле, в котором он может поставить отметку о своем согласии на обработку его сведений без применения автоматизации.

Лица, работающие со сведениями без использования автоматизированных средств, должны знать о способе и особенностях их обработки, категориях данных. При этом в отношении каждой категории следует определить место хранения материальных носителей и установить перечень лиц, причастных к обработке.

Постановление вступает в силу по истечении 1 месяца со дня его официального опубликования.

Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования

Текст постановления опубликован в «Российской газете» от 24 сентября 2008 г. N 200, в Собрании законодательства Российской Федерации от 22 сентября 2008 г. N 38 ст. 4320

Источник: http://base.garant.ru/193875/

Закон об обработке персональных данных в организации

В век новых технологий и интернета любая информация распространяется с огромной скоростью. Социальные сети здорово «помогают» процессу, делая общедоступными персональные данные гражданина. Чаще всего личную информацию предоставляют при устройстве на работу. Для этого существует закон об обработке персональных данных в организации. Этот закон и обсудим в статье.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь через онлайн-консультант справа или звоните по телефонам бесплатной консультации :

Что значит обработка?

Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении должностных обязанностей, так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.

Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях.

Относится ли заработная плата к персональным данным читайте в нашей статье.

Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.

Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.

Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.

Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные, если известно заранее, что цели их обработки несовместимы.

Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.

Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:

  • Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
  • Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.
Читайте так же:  Заявление в суд по уголовным делам

Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.

Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств: применение математических операций с этими показателями, а также их корректировка и избавление от них.

Обработкой личных данных называется любое действие, которое осуществляется с предоставленной информацией. Обработкой личных данных считаются следующие действия:

  • сбор;
  • фиксирование;
  • использование;
  • уничтожение.

к содержанию ↑

Правила и порядок работы

Личные данные трудящегося, которые необходимы руководителю, состоят из нескольких пунктов:

  • Информация об образовании.
  • Информация о трудовом опыте, а также месте работы, где гражданин прежде трудился и какую должность занимал.
  • Краткая информация о членах семьи и их рабочих местах.
  • Информация об имеющихся заболеваниях и о здоровье в целом.

В ходе обработки данных трудящегося организации (получении, передачи, и прочем применении) работники кадрового отдела должны придерживаться определенных правил:

  1. Обрабатывать личную информацию сотрудника организации только с учетом регламентов законодательства, помогать трудящимся с устройством на работу. А также оказывать помощь с обучением и повышением по карьерной лестнице, и следить за качеством выполняемых поручений. Помимо этого необходимо обеспечить сохранность имущества.
  2. Всю личную информацию должен предоставлять сам сотрудник. Если в какой-то момент эту информацию нельзя получить непосредственно у сотрудника, а только у третьего лица, то нужно предварительно получить от гражданина согласие в письменной форме о том, что он не против разглашения сведений.

  • Работник кадрового отдела не может самостоятельно пользоваться информацией о религиозной направленности, либо профсоюзной деятельности сотрудника, если это не имеет отношения к работе. Если эти данные напрямую касаются рабочих отношений, то необходимо согласие сотрудника в письменной форме.
  • Контроль над работниками кадрового отдела и соблюдение настоящего регламента несет их непосредственный руководитель.
  • Все работники должны поставить свои подписи в качестве подтверждения, что они ознакомлены с регламентом.
  • к содержанию ↑

    Зачем нужно согласие?

    Согласие на обработку личной информации – это новшество законодательства, которое защищает персональные данные гражданина от нежелательного использования.

    Данное согласие необходимо при устройстве на работу, оформления счета в банке, и прочих важных обстоятельствах. Конкретной формы согласия не существует. Его можно оформить в произвольной форме на бланке, который использует предприятие.

    Срок, в течение которого согласие будет действительно, указывается непосредственно в самом документе.

    Ответственный за персональные данные в организации

    Сотрудника, который будет отвечать за получение, обработку и хранение личной информации назначает директор организации.

    Также он может назначить определенных лиц, которые будут иметь доступ к персональным данным. Этот документ лучше всего оформить отдельным приказом. Обычно, за всю работу от начала до конца с персональными данными (сбор, обработку и хранение) отвечают следующие лица:

    Образец приказа об ответственных лицах за персональные данные в организации можете скачать здесь.

  • Руководитель кадрового отдела.
  • Кадровый инспектор.
  • Руководитель по персоналу.
  • Заместитель руководителя по персоналу.
  • Специалист по работе с персоналом.
  • Либо допускается введение иной должности.
  • Учитывая законодательство (Закон №152) сотрудник, который собирает и обрабатывает личные сведения, считается оператором. В данном случае оператором считается руководитель.

    Передача и хранение

    Хранение важных бумаг, в которых содержатся личные сведения о сотрудниках, происходит в огнеупорных шкафах, т.е. сейфах. Ключи от сейфа должны находиться все время у директора кадрового отдела. Если директор в какой-то из дней отсутствует, то ключи должны быть у его заместителя.
    Видео (кликните для воспроизведения).

    Если необходимо передать личные данные трудящегося, то работник кадрового отдела обязан придерживаться определенных правил:

      Нельзя предоставлять третьему лицу личную информацию о трудящемся без его согласия в письменном виде.

    Исключения могут быть в случае, когда информация нужна для предотвращения вреда для здоровья сотрудника и в случаях, которые закреплены законодательством. Кроме этого нельзя разглашать персональные данные сотрудника в коммерческих целях без его разрешения.

  • Если приходится передавать личные сведения сотрудников, то нужно сообщить тем, для кого предназначается эта информация, что данные сведения можно применять только в тех целях, для которых давался запрос.
  • Работник кадрового отдела имеет право доступа исключительно к той информации, которая нужна, чтобы выполнять рабочие обязанности.
  • Работник кадрового отдела не имеет таких полномочий, чтобы выяснять информацию о состоянии здоровья сотрудника.
  • Исключением могут быть такие обстоятельства, которые имеют отношение к вопросу о выполнении трудящимся своих должностных обязанностей.

    Если какие-либо работники будут уличены в нарушениях порядка сбора, обработки и выдачи личных данных работника организации, то данные лица понесут дисциплинарную и уголовную ответственность согласно Федеральному законодательству.

    В статье 5 ФЗ говорится что, личные данные, которые собирают для их обработки принципами автоматизации, либо с использованием других средств, необходимо производить в таком виде, чтобы благодаря ему можно было вычислить субъекта этих данных.

    При этом определение субъекта не должно быть продолжительнее, чем это нужно для обработки. И, если обработка была произведена, то уничтожению персональные данные не подлежат определенное время.

    Руководитель должен знать об определенных сроках, которые требуются для сохранности некоторой информации. А персональные данные сотрудника необходимо хранить в течение 75 лет.

    Узнайте общий порядок организации и перечень действий обработки персональных данных на предприятии из ролика:

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:


    Это быстро и бесплатно !

    Источник: http://bizakon.ru/kadry/zakon-ob-obrabotke-personalnyh-dannyh.html

    Неавтоматизированная обработка персональных данных

    08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

    Читайте так же:  Постановление кассационной инстанции по гражданским делам

    Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

    Обучение

    Реклама

    Партнеры

    Форум

    В «Общих положениях» Постановлении № 687 есть такие пункты:

    «1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
    2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.»

    Честно говоря, несколько ставит в тупик, поэтому могу только предполагать, какой смысл в это вкладывается… И что такое при «непосредственном участии человека»? Вроде как практически вся информация заносится, так сказать, «вручную», т.е. при непосредственном участии человека…
    Вот к примеру, ежегодно пополняемая база данных выданных дипломов в ОУ может считаться ПДн без использования средств автоматизации или нет?
    Если этот вопрос уже обсуждался, то прошу меня перенаправить в нужную ветку форума. Заранее благодарна за разъяснения.

    этот вопрос где-то обсуждался. ПОИСК рулит.

    Могу сказать своими словами:
    обработка персональных данных, а точнее даже не обработка, а только часть обработки, т.е. некоторые действия, а именно: использование, уточнение, распространение, уничтожение ПДн
    осуществляются при непосредственном участии человека, даже если это производится на компьютере то это — НЕавтоматизированная обработка.

    Обратите внимание понятие обработка ПДн — более широкое понятие чем перечисленные в этом пункте действия.

    т.е. если к вам например приходят данные и вы используете эти данные только для распечатывания на принтере, а потом обрабатываете их в бумажном виде, то здесь использование компьютера в качестве печатной машинки и это есть НЕавтоматизированная система.
    а если к вам например пришли данные или БД, с которыми вы производите какие либо манипуляции (применяете скрипты, формулы, делаете выборки, применяете какие либо фильтры для удаления например не нужных (лишних) на ваш взгляд столбцов категорий ПДн, сохраняете и уже потом распечатываете) то это уже автоматизированная система.

    Цитата

    Бронислав пишет:
    этот вопрос где-то обсуждался. ПОИСК рулит.

    Могу сказать своими словами:
    обработка персональных данных, а точнее даже не обработка, а только часть обработки, т.е. некоторые действия, а именно: использование, уточнение, распространение, уничтожение ПДн
    осуществляются при непосредственном участии человека, даже если это производится на компьютере то это — НЕавтоматизированная обработка.

    Обратите внимание понятие обработка ПДн — более широкое понятие чем перечисленные в этом пункте действия.

    Не согласен.
    В ПП 687 ясно сказано, «считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.»

    тоесть если использование, уточнение, распространение, уничтожение при непосредственном участии человека, то обработка неавтоматизированная.
    Тут не сказано, что только эти действия могут быть при неавтоматизированной обработке) Просто другие (не указанные выше) видимо не важны для определения автоматизированная она или нет.

    Цитата
    Kils пишет:
    Просто другие (не указанные выше) видимо не важны для определения автоматизированная она или нет.

    У меня такое же мнение.
    А самый интересный момент, если взять старшинство законов, то ПП687 бьет ПП781. И разумность требований четверокнижия этим можно оправдать. То есть, я хотел сказать, что если ПП781 относить к полностью автоматической обработки без участия человека (банкоматы, платежные и биллинговые системы и т.д.) то эти чрезмерные требования уже не кажутся чрезмерными. Действительно такие системы хуже контролируются человеком и очень чувствительны к различным угрозам. А вот системы с участием человека, человеком контролируются. Я хотел казать, что в этом случае появляется разумность всех требований и теряется чрезмерность. Но это имхо, хотя при проверке можно подискутировать с регуляторами на эту тему.

    Цитата
    Анатолий М пишет:
    То есть, я хотел сказать, что если ПП781 относить к полностью автоматической обработки без участия человека (банкоматы, платежные и биллинговые системы и т.д.) то эти чрезмерные требования уже не кажутся чрезмерными. Действительно такие системы хуже контролируются человеком и очень чувствительны к различным угрозам. А вот системы с участием человека, человеком контролируются. Я хотел казать, что в этом случае появляется разумность всех требований и теряется чрезмерность.

    Тоже согласен с этим.

    Цитата
    Не согласен.
    В ПП 687 ясно сказано,

    Вот именно, что в Статье 1, ясно сказано:
    «. , если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных . при участии человека»,
    значит здесь имеются ввиду именно такие действия как использование, уточнение, распространение, уничтожение при участии человека.

    Извините, а про остальные действия ни чего не сказано, остальное это только домыслы и догадки (за исключением содержания (очевидно это хранение) и извлечения (очевидно это сбор) из ИСПДн), Статья2.

    А про действия — систематизация, накопление, обезличивание, блокирование НИ ЧЕГО не сказано.

    Очевидно если эти действия автоматизировать то ИСПДн будет всёравно НЕавтоматизированная.

    Спасибо всем за высказанные мнения!
    Не претендуя на истину, но проблему такого разного подхода вижу как раз в текстовой формулировке ст.1 ПП 687.
    Если предполагалось донести до народа, что обработка любых ПДн при непосредственном участии человека – вещь неавтоматизированная, то вполне можно было обойтись без указания на ИСПОЛЬЗОВАНИЕ, УТОЧНЕНИЕ, РАСПРОСТРАНЕНИЕ, УНИЧТОЖЕНИЕ — хотя бы для исключения поиска в этих словах какого-то скрытого смысла или видимости некой подсказки для определения способа обработки. ИМХО

    Читайте так же:  Удовлетворение судебных расходов пропорционально

    Если же предположить, что выделяя именно эти действия, законодатель сознательно хотел обратить внимание операторов на эти процедуры в целях обозначения границ перехода неавтоматизированной обработки в автоматизированную (как многие, впрочем, и считают), то тогда уже возникают совсем иного плана вопросы к непосредственной формулировке статьи.

    Но как бы там ни было, боюсь что очень многим из нас (операторов) вполне может быть не до смеха, если вдруг выяснится, что проделана совершенно не та работа и категория обработки многих наших ПДн определена неверно.…
    Ведь насколько я знаю, у большинства установка такая– раз ПДн (неважно какие) занесены в ПК, значит всё – обработка автоматизированная .
    Вот поэтому и хочется конкретики … Хотя бы для того, чтобы не заниматься никому ненужной работой…

    Цитата
    Виктория пишет:
    Если предполагалось донести до народа, что обработка любых ПДн при непосредственном участии человека – вещь неавтоматизированная

    Если.
    Но регуляторы тоже люди и тоже имеют свое субъективное мнение. Судьи тоже имеют свое субъективное мнение. Вот надо исходить из этого. А также рассматривать проблему намного глубже. Защита информации это достаточно сложная проблема, чтобы следовать только букве закона, нужно еще много чего. И инуиция, и опыт, и знания, и законы и т.д.
    Если Ваша цель только та, чтобы отвязались регуляторы — тогда вопросов нет. Но если Вы реально желаете защищать информацию, то надо рассматривать проблему полностью, в комплексе со всеми остальными аспектами.
    В наше время информация это еще то оружие. Обладающий информацией вооружен и очень опасен. В частности, за последнее время, Россия только один раз выиграла информационную войну, да и то, бросила на половине дороги. Я говорю о конфликте с грузией. А сейчас штаты стали формировать из хакеров атакующие команды на уровне государства. Это Вам о чем-то говорит? Информация подлежит защите, даже та, которую мы сегодня не считаем важной, завтра может оказаться роковой для нас.

    Благодарю Гостя 1 и Анатолия за комментарии.

    Источник: http://ispdn.ru/forum/forum1/topic343/

    № 4. Автоматизированная и неавтоматизированная обработка персональных данных

    Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. С автоматизированной обработкой персональных данных всё понятно, но вопрос о том, что же является неавтоматизированной обработкой остается открытым.

    В соответствии с пунктом первым Положения, утвержденного Постановлением Правительства РФ № 687, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

    Указанные понятия при первом прочтении сбивают с толка, но при тщательном изучении всё становится более-менее понятным. Так, видимо, наши нормотворцы подразумевали, что использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.

    Данная статья отредактирована с учетом изменений Федерального закона «О персональных данных», вступивших в силу 27 июля 2011 года.


    Источник: http://data-sec.ru/personal-data/processing/

    Неавтоматизированная обработка персональных данных

    08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

    Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

    Обучение

    Реклама

    Партнеры

    Форум

    Уважаемые форумчане, объясните, пожалуйста, в чем разница между АО и НАО персональных данных?

    Для меня, человека не из IT, НАО — это, например, ведение бумажного реестра, картотека и пр. А АО — это обработка данных в электронном виде при помощи ЭВМ.
    Однако в п. 2 Пост-ия Прав-ва 687 от 15 сентября 2008 г. указано, что обработка ПД не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе или были извлечены из нее.
    Непонятным для меня остается и п. 1 того же постановления: «обработка. считается осуществленной без использования средств автоматизации, если такие действия, как использование, уточнение, распространение персональных данных в отношении каждого из субъектов, осуществляются при непосредственном участии человека».

    Мне кажется, что использование, уточнение, уничтожение персональных данных всегда осуществляются с участием человека, разве не так?

    Т.е. если персональные данные изменяются, используются исключительно человеком за его рабочим ПК, то выполнять требования Постановления № 781 от 17 ноября 2007 года и всех этих методических рекомендаций ФСТЭК и ФСБ?

    Цитата
    Гость пишет:
    Уважаемые форумчане, объясните, пожалуйста, в чем разница между АО и НАО персональных данных?

    А вот это вопрос сложный. К тому же, судя по всему, в законодательстве о ПД он намеренно или случайно запутан. Исходя из здравого смысла понимаешь, что когда речь заходит в ФЗ об автоматизированной обработке, подразумевается автоматическая, без участия человека, а когда речь идет о неавтоматизированной обработке, то подразумевается что обработка осуществляется, в том числе, и с помощью средств автоматизации, но с непосредственным участием человека.
    Вообще же смысл этих понятий несколько иной. Автоматизированная обработка — осуществляемая с помощью средств автоматизации, неавтоматизированная, соответственно, без использования этих средств. Но. это по здравому размышлению, а законодательство, судя по всему, писали люди несколько далекие от этих понятий и смешали в кучу понятия автоматизированная и автоматическая.
    Если исходить из презумпции старшинства законов, то постановление 687 должно быть старше постановления 781, а значит это последнее постановление регламентирует организацию защиты информационных систем, в которых осуществляется АВТОМАТИЧЕСКАЯ обработка ПД без непосредственного участия человека, и тогда большинство ИСПД должны подпадать под требования ПП 687.
    Это такая ситуация, но вот как к этому относятся регуляторы — сказать сложно. Там тоже работают люди, у которых своя соображалка на плечах и которые также как и все имеют свое собственное субъективное мнение. Но на мой взгляд надо использовать старшинство законодательства и тогда все встанет на свои места. Для автоматической обработки действительно необходимо будет применять жесткие меры технической защиты информации и не учитывать человеческий фактор, так как робота организационными мерами не проймешь. А вот для автоматизированной (при непосредственном участии человека с использованием средств автоматизации) большее значение как раз будут иметь именно организационные меры, а технические будут больше помехой, чем реальной защитой. Но это ИМХО.

    Читайте так же:  Положение о ревизионной комиссии гск

    Цитата
    Евгений Родыгин пишет:
    Автоматизированная обработка — обработка с использованием средств автоматизации.
    Вообще хотели перевести правильно как «автоматическая обработка» — без участия человека. но побоялись.

    Вот если бы не побоялись, сейчас бы и путаницы не было бы

    Цитата
    Анатолий М пишет:
    Вот если бы не побоялись, сейчас бы и путаницы не было бы

    ++1

    Все это длинно и сложно обсуждалось здесь

    Для меня итоговый вывод такой:

    По обсуждаемой в ветке теме..
    Если вы хотите именно решать проблему перс.данных, а не рассуждать о
    невыполнимости требований фстэк, и о том, что и без этого закона мы хорошо защищаем перс.данные и т.п.
    То:
    Cтоило бы исходить из того, что «проблема персональных данных» – это не проблема «защиты» персональных данных. Это проблема обеспечения фундаментальных прав и свобод т.н. «субъектов персональных данных», т.е. граждан, к которым эти персональные данные относятся.

    Предположим вам неясны какие то из основных понятий ФЗ 152.. тогда положения статьи 4 Закона предоставляют возможность правоприменителям (в широком смысле – всем сторонам правоотношений) непосредственно опираться на дух и букву Евроконвенции (что многие и делают, когда им это удобно;-)):
    4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

    Вспомним основные международные документы:
    -Конвенция Совета Европы от 28 января 1981 года о защите личности в связи с автоматической обработкой персональных данных;
    — Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза 1995 года о защите прав частных лиц применительно к обработке персональных данных и о
    свободном движении таких данных.

    В их основу заложены принципы:
    — Презумпция свободы распространения персональных данных должна быть заменена презумпцией обеспечения прав и свобод субъектов персональных данных.
    — Должны быть сформулированы принципы работы с персональными данными, равно относящиеся:
    — к любым персональным данным;
    — к любым субъектам, действующим в рамках правового поля, относящегося к обеспечению фундаментальных прав и свобод граждан;
    — к любой ситуации, вне зависимости от того, в какой ипостаси персональные данные находятся.
    — Должны быть обозначены правовые основы для разрешение конфликтов:
    — для различных типов этих конфликтов;
    — для различных категорий персональных данных.

    Далее… Российская Федерация подписала Евроконвенцию в 2001 году, а в 2006 году, приняв закон «О персональных данных» и соответствующий закон о ратификации Евроконвенции, завершила процесс присоединения к ней.
    Принятие же соответствующего национального закона (ФЗ №152 в нашем случае) является в соответствии со статьей 4 Евроконвенции строго необходимым условием ее ратификации!

    К чему все это.. именно эти документы являются первоисточником.. цели этих документов пытается реализовать ФЗ 152. Таким образом, как бы мы ни понимали тезисы ФЗ 152 целесообразно было бы проверять это понимание и на формулировках европейских документов…и вразрез с ними это понимание идти не должно!

    Одновременно, Евродиректива ограничивает сферу применения содержащихся в ней норм:
    2.Настоящая Директива не применяется к обработке персональных данных:
    (..),в случае к операциям по обработке, касающимся общественной безопасности, обороны, государственной безопасности (включая экономическое благосостояние государства, если операции по обработке относятся с вопросам государственной безопасности) и деятельности государства в сферах уголовного права, физическим лицом в ходе чисто личной или бытовой деятельности.
    В соответствии с этим Евродиректива определяет основной объект, связанный с персональными данными:
    “картотека персональных данных” (“картотека”) означает любой структурированный набор личных данных, являющихся доступными в соответствии с определенными критериями, централизованный, децентрализованный или распределенный на функциональной или географической основе;
    Евродиректива выводит также из под сферы регулирования законами о персональных данных работу с персональными данными, осуществляемую физическим лицом в ходе чисто личной или бытовой деятельности.

    Таким образом, становится понятно, что должно относиться к обработке с использованием средств автоматизации, а что без использования.
    При этом, не нарушается конечная и главная цель — проблема обеспечения фундаментальных прав и свобод т.н. «субъектов персональных данных», т.е. граждан, к которым эти персональные данные относятся.

    2.
    Также можно привести как пример требования формулой Евродирективы явности цели.

    И как следствие, сделать вывод, что финансово-хозяйственная деятельность как цель не подходит на все случаи жизни.. требованиям Евродирективы к явности не соответствует.

    Итог – проверяйте свое понимание национального закона на формулировках европейских документов…вразрез с ними это понимание идти не должно и многое станет понятнее.

    Видео (кликните для воспроизведения).

    Источник: http://ispdn.ru/forum/forum2/topic304/

    Неавтоматизированная обработка персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here