Приложение 4. Инструкция по организации работы с материальными носителями персональных данных при осуществлении неавтоматизированной обработки персональных данных в комитете по финансам, налоговой и кредитной политике города Барнаула. Приказ комитета по финансам, налоговой и кредитной политике города Барнаула от 25.08.2021 N 134 "Об утверждении документов, определяющих политику комитета по финансам, налоговой и кредитной политике города Барнаула в отношении обработки персональных данных" (с изменениями и дополнениями)

Приложение 4
к приказу комитета
от 25.08.2021 N 134

Инструкция
по организации работы с материальными носителями персональных данных при осуществлении неавтоматизированной обработки персональных данных в комитете по финансам, налоговой и кредитной политике города Барнаула

1. Общие положения

1.1. Инструкция по организации работы с материальными носителями персональных данных при осуществлении неавтоматизированной обработки персональных данных в комитете по финансам, налоговой и кредитной политике города Барнаула (далее - Инструкция) разработана в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", в целях регламентации действий муниципальных служащих и лиц, не являющихся муниципальными служащими, комитета по финансам, налоговой и кредитной политике города Барнаула (далее - работники комитета), осуществляющих работу с материальными носителями персональных данных при неавтоматизированной обработке персональных данных в комитете (далее - материальные носители), и устанавливает требования к организации учета, использования, хранения и уничтожения материальных носителей в комитете по финансам, налоговой и кредитной политике города Барнаула (далее - комитет).

1.2. Для целей Инструкции используются понятия, значение которых указано в Инструкции. Иные используемые в Инструкции понятия применяются в значениях, определенных в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.3. В рамках Инструкции под обработкой персональных данных, осуществляемой без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных), понимается обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

1.4. Материальными носителями персональных данных являются:

1.4.1. Бумажные носители персональных данных (например, распечатки текстовой, графической и иной информации на бумажной основе) (далее - бумажные носители);

1.4.2. Машинные носители персональных данных (далее - машинные носители):

несъемные магнитные носители (например, жесткие диски);

съемные магнитные носители (например, дискеты, диски);

съемные оптические носители (например, оптические компакт-диски);

съемные и несъемные носители на основе флеш-памяти (например, флеш-карты);

портативные вычислительные устройства, имеющие встроенные машинные носители информации (например, ноутбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства);

электронные средства аутентификации (например, токены, пластиковые карты).

1.5. Каждый работник комитета, участвующий в рамках своих должностных (служебных) обязанностей в процессах неавтоматизированной обработки персональных данных, несет персональную ответственность за сохранность и обеспечение конфиденциальности обрабатываемых персональных данных.

1.6. Работники комитета при неавтоматизированной обработке персональных данных руководствуются требованиями законодательства Российской Федерации в области персональных данных, Инструкцией, Правилами обработки персональных данных в комитете, утвержденными приложением 1 к настоящему приказу комитета, и иными муниципальными правовыми актами.

2. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

2.1. Персональные данные при неавтоматизированной обработке персональных данных должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

2.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных при неавтоматизированной обработке персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.3. Работники комитета, осуществляющие неавтоматизированную обработку персональных данных, должны быть проинформированы комитетом о факте обработки ими персональных данных, обработка которых осуществляется комитетом без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также муниципальными правовыми актами.

2.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора и лиц, которым оператором поручена обработка персональных данных, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных при необходимости получения письменного согласия на обработку персональных данных;

типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

2.5. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном машинном носителе, если машинный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же машинном носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же машинном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется машинный носитель с предварительным копированием персональных данных, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

2.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.7. Правила, предусмотренные пунктами 2.5, 2.6 Инструкции, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

3. Учет, использование, хранение и уничтожение материальных носителей

3.1. Учет бумажных носителей в комитете осуществляется в рамках делопроизводства в комитете, с учетом требований законодательства Российской Федерации в области персональных данных и об архивном деле, муниципальных правовых актов.

3.2. Ответственность за организацию учета и использования бумажных носителей в комитете возлагается на руководителей структурных подразделений комитета, в которых используются бумажные носители.

3.3. Машинные носители учитываются администратором информационной безопасности комитета (далее - АИБ), назначаемым приказом комитета, в Журнале учета машинных носителей персональных данных в комитете по форме согласно приложению 1 к Инструкции (далее - Журнал учета).

На каждый машинный носитель разрешается отводить отдельную страницу в Журнале учета.

Каждый экземпляр машинного носителя с одним учетным номером записывается в Журнале учета отдельной строкой.

Местом хранения Журнала учета в комитете является отдел внедрения автоматизированных систем финансовых расчетов комитета (далее - отдел ВАСФР).

Лицом, ответственным за ведение Журнала учета в комитете, является АИБ.

3.4. Несъемные машинные носители закрепляются АИБ за работником комитета, ответственным за средство вычислительной техники (далее - СВТ), в котором они установлены.

3.5. Машинные носители после удаления с них персональных данных с учета АИБ не снимаются и хранятся в порядке, предусмотренном действующим законодательством Российской Федерации для прочих машинных носителей.

3.6. В последующем машинные носители, указанные в пункте 3.5 Инструкции, могут использоваться в комитете для записи персональных данных.

3.7. Ответственность за организацию учета и использования машинных носителей, используемых в комитете при работе с СВТ для обработки и хранения персональных данных, возлагается на АИБ.

3.8. Хранение материальных носителей в комитете должно осуществляться:

в условиях, исключающих возможность их хищения, бесконтрольного доступа, приведения в негодность или уничтожения содержащейся на них информации;

в структурных подразделениях комитета, в которых они используются, если иное не установлено приказами комитета;

работниками комитета, которые имеют право доступа к персональным данным, в порядке, исключающем доступ к ним третьих лиц.

3.9. Отдел правового и документационного обеспечения комитета, хранящий персональные данные на бумажных носителях в архиве комитета, обязан обеспечивать доступ к указанным данным только тех работников комитета, должностные (служебные) обязанности которых непосредственно связаны с обработкой категории персональных данных, хранящихся в архиве комитета.

3.10. Персональные данные субъектов персональных данных, персональные данные которых обрабатываются в комитете, хранятся также в комитете в электронном виде в автоматизированных информационных системах, оператором которых является комитет, используемых комитетом для обработки персональных данных.

Доступ к электронным базам данных субъектов персональных данных, хранимым в электронном виде в автоматизированных информационных системах, оператором которых является комитет, обеспечивается комитетом с применением организационных и технических мер по защите персональных данных, предусмотренных действующим законодательством Российской Федерации.

3.11. Работникам комитета, имеющим доступ к персональным данным и ведущим обработку персональных данных без использования средств автоматизации:

необходимо: обеспечивать хранение материальных носителей в порядке, исключающем доступ к ним третьих лиц; хранить съемные машинные носители в запирающихся на ключ помещениях комитета, металлических шкафах, сейфах, иных шкафах, имеющих запираемые блок-секции;

запрещается: передавать материальные носители работникам комитета, не имеющим доступ к персональным данным и не ведущим обработку персональных данных без использования средств автоматизации; передавать материальные носители работникам комитета, имеющим доступ к персональным данным и ведущим обработку персональных данных без использования средств автоматизации, но ознакомление с данной категорией персональных данных не входит в должностные (служебные) обязанности которых; выносить материальные носители из здания комитета для работы с ними на дому, в гостиницах и т.п.

3.12. В отсутствие работников комитета, указанных в абзаце 1 пункта 3.11 Инструкции, на рабочем месте материальные носители не должны находиться в открытом доступе.

3.13. Персональную ответственность за сохранность полученных из бумажных носителей персональных данных и предотвращение несанкционированного доступа к содержащейся в них информации несет работник комитета, работающий с бумажными носителями в целях исполнения должностных (служебных) обязанностей.

3.14. Персональную ответственность за сохранность полученных из машинных носителей персональных данных и предотвращение несанкционированного доступа к записанной на них информации несет работник комитета, получивший машинные носители в целях исполнения должностных (служебных) обязанностей.

3.15. Копирование персональных данных с бумажных носителей осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации в области персональных данных, об архивном деле и иных правоотношений, муниципальными правовыми актами, в зависимости от содержания бумажного носителя.

3.16. Копирование персональных данных с машинных носителей производится с письменного разрешения АИБ и осуществляется только на тех СВТ, на которых разрешена обработка персональных данных.

3.17. Уточнение персональных данных при осуществлении их неавтоматизированной обработки производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3.18. О факте утраты материального носителя работник комитета, использовавший бумажный носитель или получивший машинный носитель в целях исполнения должностных (служебных) обязанностей, незамедлительно, но не позднее одного рабочего дня со дня утраты материального носителя, в письменной форме в виде служебной записки докладывает руководителю структурного подразделения комитета, в котором он осуществляет трудовую деятельность, АИБ, а также лицу, ответственному за организацию обработки персональных данных в комитете.

3.19. О факте утраты материального носителя работником комитета, указанным в пункте 3.18 Инструкции, в срок не позднее одного рабочего дня со дня утраты материального носителя составляется акт об утрате материального носителя персональных данных в комитете по форме согласно приложению 2 к Инструкции, который утверждается председателем комитета в срок не позднее трех рабочих дней с даты его представления на утверждение председателя комитета.

Акт об утрате материального носителя в комитете составляется в трех экземплярах: один экземпляр хранится в структурном подразделении комитета, работник которого составлял данный акт, второй - у АИБ, третий - у лица, ответственного за организацию обработки персональных данных в комитете.

3.20. Отметка об утрате машинного носителя в срок не позднее одного рабочего дня со дня утверждения акта об утрате материального носителя в комитете вносится АИБ в Журнал учета.

3.21. Акты об утрате материального носителя на утраченные дела постоянного срока хранения после их утверждения передаются в архив для включения в дело фонда в порядке и сроки, установленные законодательством Российской Федерации об архивном деле.

3.22. По факту утраты материального носителя в срок не позднее трех рабочих дней с даты утверждения акта об утрате материального носителя в комитете приказом комитета создается комиссия комитета для расследования обстоятельств утраты материальных носителей или разглашения персональных данных (далее - комиссия), порядок и сроки работы которой определяются приказом комитета.

Результаты расследования комиссии докладываются председателем комиссии председателю комитета в порядке и сроки, устанавливаемые приказом комитета, регулирующим порядок и сроки работы комиссии.

3.23. Уничтожение бумажных носителей по достижению целей обработки персональных данных, в случае утраты необходимости в достижении этих целей или при наступлении иных законных оснований производится по акту о выделении документов к уничтожению архивных документов, не подлежащих хранению, составляемому работником комитета, ответственным за архив комитета, в порядке и сроки, установленные частью 7 статьи 5, частью 4 статьи 21 ФЗ N 152-ФЗ, приказом Министерства культуры России от 31.03.2015 N 526 "Об утверждении правил организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в органах государственной власти, органах местного самоуправления и организациях", постановлением администрации города Барнаула от 16.04.2018 N 700 "Об утверждении Инструкции по делопроизводству в администрации города и иных органах местного самоуправления города".

3.24. Подлежащие уничтожению бумажные носители измельчаются на бумагорезательной машине в здании комитета или сжигаются на территории комитета.

Не допускается неполное уничтожение бумажных носителей, позволяющее восстановить их содержание.

3.25. Уничтожение машинных носителей по достижению целей обработки персональных данных, в случае утраты необходимости в достижении этих целей или при наступлении иных законных оснований проводится работником комитета, получившим данные машинные носители в целях исполнения должностных (служебных) обязанностей, в порядке и сроки, установленные 7 статьи 5, частью 4 статьи 21 ФЗ N 152-ФЗ, в присутствии АИБ и руководителя структурного подразделения комитета, в котором числятся данные носители, путем их физического разрушения.

Уничтожение машинных носителей должно производиться в здании комитета.

3.26. Перед уничтожением машинного носителя персональные данные с него должны быть стерты (уничтожены), если это позволяют физические принципы работы машинного носителя.

3.27. По факту уничтожения машинного носителя в день его уничтожения работником комитета, указанным в пункте 3.25 Инструкции, составляется акт об уничтожении машинных носителей персональных данных в комитете по форме согласно приложению 3 к Инструкции.

Акт об уничтожении машинных носителей персональных данных в комитете составляется в двух экземплярах: один экземпляр хранится в структурном подразделении комитета, работник которого составлял данный акт, второй - у АИБ.

3.28. После уничтожения машинного носителя, в срок не позднее одного рабочего дня со дня составления акта об уничтожении машинных носителей персональных данных в комитете АИБ вносит отметку об уничтожении машинного носителя в Журнал учета.

3.29. Передача материальных носителей третьим лицам (включая контрольные (надзорные) органы) возможна только в случаях, прямо предусмотренных действующим законодательством Российской Федерации, либо в случае согласия субъекта персональных данных.

3.30. По факту передачи материальных носителей третьим лицам работником комитета, уполномоченным на передачу материальных носителей, в день передачи материальных носителей составляется акт приема-передачи материальных носителей персональных данных комитета по форме согласно приложению 4 к Инструкции.

Акт приема-передачи материальных носителей персональных данных комитета составляется в трех экземплярах: один экземпляр для третьего лица, которому передаются материальные носители, второй - хранится в структурном подразделении комитета, работник которого составлял данный акт, третий - у АИБ.

3.31. При передаче комитетом материальных носителей третьим лицам работником комитета, уполномоченным на передачу материальных носителей, материальные носители должны быть упакованы в пакет (конверт), обеспечивающий сохранность (конфиденциальность) зафиксированной на них информации.

3.32. В срок не позднее одного рабочего дня с даты составления акта приема-передачи материальных носителей персональных данных комитета передача материальных носителей регистрируется работником комитета, осуществившим передачу материальных носителей, в Журнале передачи материальных носителей персональных данных в комитете (далее - Журнал передачи) по форме согласно приложению 5 к Инструкции.

Местом хранения Журнала передачи в комитете является отдел ВАСФР.

Контроль за ведением Журнала передачи в комитете возлагается на АИБ.

3.33. В случае передачи машинного носителя в срок не позднее одного рабочего дня с даты составления акта приема-передачи материальных носителей персональных данных комитета АИБ вносит отметку о передаче (отправке) машинного носителя в Журнал учета.

3.34. При уходе в отпуск, служебной командировке и в иных случаях длительного отсутствия работника комитета на рабочем месте в комитете, при его увольнении он обязан передать бумажные носители руководителю структурного подразделения комитета, съемные машинные носители - АИБ.

3.35. В срок не позднее одного рабочего дня со дня получения съемного машинного носителя от работника комитета АИБ вносит отметку о сдаче машинного носителя в Журнал учета.

4. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

4.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

4.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

4.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Список лиц, ответственных за организацию защиты конфиденциальной информации, персональных данных и за разработку, проведение мероприятий, направленных на выполнение требований законодательства и других нормативных документов в области персональных данных в комитете, утверждается приказом комитета.