Приложение 10. Инструкция по организации работы с материальными носителями персональных данных. Приказ Управления Алтайского края по развитию туристско-рекреационного и санаторно-курортного комплексов от 31.12.2014 N Пр-121 "Об организации работы с персональными данными"

Приложение 10
к приказу
от 31 декабря 2014 г. N Пр-121

Инструкция
по организации работы с материальными носителями персональных данных

I. Общие положения

1.1. Настоящая Инструкция устанавливает основные требования к организации работы сотрудников управления Алтайского края по развитию туристско-рекреационного и санаторно-курортного комплексов (далее - Управление) с материальными носителями персональных данных (далее - материальные носители).

1.2. К материальным носителям информации относятся любые неэлектронные носители информации: бумажные носители и т.п.

1.3. Ответственность за организацию работы с материальными носителями возлагается на администратора информационной безопасности.

1.4. Положения данной инструкции обязательны для выполнения всеми сотрудниками Управления, которые в ходе выполнения своих должностных обязанностей используют материальные носители персональных данных, а также имеющими допуск к обработке персональных данных.

II. Особенности организации обработки персональных данных с использованием материальных носителей

2.1. Персональные данные при их обработке должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях.

2.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

2.3. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Определяются следующие категории обрабатываемых в информационной системе персональных данных:

специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

общедоступные персональные данные - персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных";

иные категории персональных данных - персональные данные, не соответствующие категориям специальных, биометрических или общедоступных.

2.4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.5. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными. При этом старый материальный носитель должен быть уничтожен способом, исключающим его восстановление.

III. Меры по обеспечению безопасности персональных данных при их обработке с использованием материальных носителей

3.1. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

3.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

3.4. Сотрудникам, обрабатывающим персональные данные на материальных носителях, запрещается передавать данные носители лицам, не имеющим допуск к обработке персональных данных. Также запрещается передавать данные носители лицам, имеющим допуск к обработке персональных данных, но ознакомление с данной категорией персональных данных не входит в их должностные обязанности.

3.5. Уничтожение материальных носителей должно проводиться способом, исключающим восстановление данных носителей и дальнейшего ознакомления с записанной на них информацией (измельчение, вымарывание и т.п.)

3.6. По факту уничтожения материальных носителей комиссией из 3-х человек, в состав которой должен входить руководитель структурного подразделения, за которым числились данные носители, составляется Акт (Приложение N 1), в котором указываются данные о материальных носителях, характер записанной на них информации, причина уничтожения. Акт храниться у администратора информационной безопасности.

3.7. Уничтожение материальных носителей должно проводиться в пределах контролируемой зоны Управления в присутствии ответственных лиц.

3.8. При передаче в другие организации материальные носители должны быть упакованы в пакет/конверт, обеспечивающий сохранность (конфиденциальность) зафиксированной на них информации. Данное передвижение (передача) материальных носителей персональных данных регистрируется сотрудниками, которыми осуществляется передача материальных носителей, в "Журнале передачи материальных носителей персональных данных" (Приложение 2), где делается отметка об отправке (куда отправлен (реквизиты адресата), исходящий номер пакета/конверта, дата отправки, способ отправки (курьер, заказная почта и т.п.)) и отметка о получении (номер "Уведомления о вручении" или "Накладной"). В случае если передача материального носителей осуществляется лично сотрудником Управления, то у адресата необходимо взять расписку о получении носителя (Приложение 3).

3.9. Контроль за ведением "Журналов передачи материальных носителей персональных данных" возлагается на администратора информационной безопасности.