В целях реа­ли­за­ции Феде­раль­но­го зако­на “О пер­со­наль­ных дан­ных” Пра­ви­тель­ство Рос­сий­ской Феде­ра­ции­по­ста­нов­ля­ет:

1. Утвер­дить при­ла­га­е­мое Поло­же­ние об осо­бен­но­стях обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции.

2. Феде­раль­ным орга­нам испол­ни­тель­ной вла­сти в месяч­ный срок при­ве­сти свои акты по вопро­сам обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции, в соот­вет­ствие с насто­я­щим поста­нов­ле­ни­ем.

3. Насто­я­щее поста­нов­ле­ние всту­па­ет в силу по исте­че­нии одно­го меся­ца со дня его офи­ци­аль­но­го опуб­ли­ко­ва­ния.

Пред­се­да­тель Пра­ви­тель­ства
Рос­сий­ской Феде­ра­ции
В. Путин

Поло­же­ние об осо­бен­но­стях обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции

I. Общие поло­же­ния

1. Обра­бот­ка пер­со­наль­ных дан­ных, содер­жа­щих­ся в инфор­ма­ци­он­ной систе­ме пер­со­наль­ных дан­ных либо извле­чен­ных из такой систе­мы (далее — пер­со­наль­ные дан­ные), счи­та­ет­ся осу­ществ­лен­ной без исполь­зо­ва­ния средств авто­ма­ти­за­ции (неав­то­ма­ти­зи­ро­ван­ной), если такие дей­ствия с пер­со­наль­ны­ми дан­ны­ми, как исполь­зо­ва­ние, уточ­не­ние, рас­про­стра­не­ние, уни­что­же­ние пер­со­наль­ных дан­ных в отно­ше­нии каж­до­го из субъ­ек­тов пер­со­наль­ных дан­ных, осу­ществ­ля­ют­ся при непо­сред­ствен­ном уча­стии чело­ве­ка.

2. Обра­бот­ка пер­со­наль­ных дан­ных не может быть при­зна­на осу­ществ­ля­е­мой с исполь­зо­ва­ни­ем средств авто­ма­ти­за­ции толь­ко на том осно­ва­нии, что пер­со­наль­ные дан­ные содер­жат­ся в инфор­ма­ци­он­ной систе­ме пер­со­наль­ных дан­ных либо были извле­че­ны из нее.

3. Пра­ви­ла обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции, уста­нов­лен­ные нор­ма­тив­ны­ми пра­во­вы­ми акта­ми феде­раль­ных орга­нов испол­ни­тель­ной вла­сти, орга­нов испол­ни­тель­ной вла­сти субъ­ек­тов Рос­сий­ской Феде­ра­ции, а так­же локаль­ны­ми пра­во­вы­ми акта­ми орга­ни­за­ции, долж­ны при­ме­нять­ся с уче­том тре­бо­ва­ний насто­я­ще­го Поло­же­ния.

II. Осо­бен­но­сти орга­ни­за­ции обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции

4. Пер­со­наль­ные дан­ные при их обра­бот­ке, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции, долж­ны обособ­лять­ся от иной инфор­ма­ции, в част­но­сти путем фик­са­ции их на отдель­ных мате­ри­аль­ных носи­те­лях пер­со­наль­ных дан­ных (далее — мате­ри­аль­ные носи­те­ли), в спе­ци­аль­ных раз­де­лах или на полях форм (блан­ков).

5. При фик­са­ции пер­со­наль­ных дан­ных на мате­ри­аль­ных носи­те­лях не допус­ка­ет­ся фик­са­ция на одном мате­ри­аль­ном носи­те­ле пер­со­наль­ных дан­ных, цели обра­бот­ки кото­рых заве­до­мо не сов­ме­сти­мы. Для обра­бот­ки раз­лич­ных кате­го­рий пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции, для каж­дой кате­го­рии пер­со­наль­ных дан­ных дол­жен исполь­зо­вать­ся отдель­ный мате­ри­аль­ный носи­тель.

6. Лица, осу­ществ­ля­ю­щие обра­бот­ку пер­со­наль­ных дан­ных без исполь­зо­ва­ния средств авто­ма­ти­за­ции (в том чис­ле сотруд­ни­ки орга­ни­за­ции-опе­ра­то­ра или лица, осу­ществ­ля­ю­щие такую обра­бот­ку по дого­во­ру с опе­ра­то­ром), долж­ны быть про­ин­фор­ми­ро­ва­ны о фак­те обра­бот­ки ими пер­со­наль­ных дан­ных, обра­бот­ка кото­рых осу­ществ­ля­ет­ся опе­ра­то­ром без исполь­зо­ва­ния средств авто­ма­ти­за­ции, кате­го­ри­ях обра­ба­ты­ва­е­мых пер­со­наль­ных дан­ных, а так­же об осо­бен­но­стях и пра­ви­лах осу­ществ­ле­ния такой обра­бот­ки, уста­нов­лен­ных нор­ма­тив­ны­ми пра­во­вы­ми акта­ми феде­раль­ных орга­нов испол­ни­тель­ной вла­сти, орга­нов испол­ни­тель­ной вла­сти субъ­ек­тов Рос­сий­ской Феде­ра­ции, а так­же локаль­ны­ми пра­во­вы­ми акта­ми орга­ни­за­ции (при их нали­чии).

7. При исполь­зо­ва­нии типо­вых форм доку­мен­тов, харак­тер инфор­ма­ции в кото­рых пред­по­ла­га­ет или допус­ка­ет вклю­че­ние в них пер­со­наль­ных дан­ных (далее — типо­вая фор­ма), долж­ны соблю­дать­ся сле­ду­ю­щие усло­вия:

а) типо­вая фор­ма или свя­зан­ные с ней доку­мен­ты (инструк­ция по ее запол­не­нию, кар­точ­ки, реест­ры и жур­на­лы) долж­ны содер­жать све­де­ния о цели обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции, имя (наиме­но­ва­ние) и адрес опе­ра­то­ра, фами­лию, имя, отче­ство и адрес субъ­ек­та пер­со­наль­ных дан­ных, источ­ник полу­че­ния пер­со­наль­ных дан­ных, сро­ки обра­бот­ки пер­со­наль­ных дан­ных, пере­чень дей­ствий с пер­со­наль­ны­ми дан­ны­ми, кото­рые будут совер­шать­ся в про­цес­се их обра­бот­ки, общее опи­са­ние исполь­зу­е­мых опе­ра­то­ром спо­со­бов обра­бот­ки пер­со­наль­ных дан­ных;

б) типо­вая фор­ма долж­на преду­смат­ри­вать поле, в кото­ром субъ­ект пер­со­наль­ных дан­ных может поста­вить отмет­ку о сво­ем согла­сии на обра­бот­ку пер­со­наль­ных дан­ных, осу­ществ­ля­е­мую без исполь­зо­ва­ния средств авто­ма­ти­за­ции, — при необ­хо­ди­мо­сти полу­че­ния пись­мен­но­го согла­сия на обра­бот­ку пер­со­наль­ных дан­ных;

в) типо­вая фор­ма долж­на быть состав­ле­на таким обра­зом, что­бы каж­дый из субъ­ек­тов пер­со­наль­ных дан­ных, содер­жа­щих­ся в доку­мен­те, имел воз­мож­ность озна­ко­мить­ся со сво­и­ми пер­со­наль­ны­ми дан­ны­ми, содер­жа­щи­ми­ся в доку­мен­те, не нару­шая прав и закон­ных инте­ре­сов иных субъ­ек­тов пер­со­наль­ных дан­ных;

г) типо­вая фор­ма долж­на исклю­чать объ­еди­не­ние полей, пред­на­зна­чен­ных для вне­се­ния пер­со­наль­ных дан­ных, цели обра­бот­ки кото­рых заве­до­мо не сов­ме­сти­мы.

8. При веде­нии жур­на­лов (реест­ров, книг), содер­жа­щих пер­со­наль­ные дан­ные, необ­хо­ди­мые для одно­крат­но­го про­пус­ка субъ­ек­та пер­со­наль­ных дан­ных на тер­ри­то­рию, на кото­рой нахо­дит­ся опе­ра­тор, или в иных ана­ло­гич­ных целях, долж­ны соблю­дать­ся сле­ду­ю­щие усло­вия:

а) необ­хо­ди­мость веде­ния тако­го жур­на­ла (реест­ра, кни­ги) долж­на быть преду­смот­ре­на актом опе­ра­то­ра, содер­жа­щим све­де­ния о цели обра­бот­ки пер­со­наль­ных дан­ных, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции, спо­со­бы фик­са­ции и состав инфор­ма­ции, запра­ши­ва­е­мой у субъ­ек­тов пер­со­наль­ных дан­ных, пере­чень лиц (поимен­но или по долж­но­стям), име­ю­щих доступ к мате­ри­аль­ным носи­те­лям и ответ­ствен­ных за веде­ние и сохран­ность жур­на­ла (реест­ра, кни­ги), сро­ки обра­бот­ки пер­со­наль­ных дан­ных, а так­же све­де­ния о поряд­ке про­пус­ка субъ­ек­та пер­со­наль­ных дан­ных на тер­ри­то­рию, на кото­рой нахо­дит­ся опе­ра­тор, без под­твер­жде­ния под­лин­но­сти пер­со­наль­ных дан­ных, сооб­щен­ных субъ­ек­том пер­со­наль­ных дан­ных;

б) копи­ро­ва­ние содер­жа­щей­ся в таких жур­на­лах (реест­рах, кни­гах) инфор­ма­ции не допус­ка­ет­ся;

в) пер­со­наль­ные дан­ные каж­до­го субъ­ек­та пер­со­наль­ных дан­ных могут зано­сить­ся в такой жур­нал (кни­гу, реестр) не более одно­го раза в каж­дом слу­чае про­пус­ка субъ­ек­та пер­со­наль­ных дан­ных на тер­ри­то­рию, на кото­рой нахо­дит­ся опе­ра­тор.

9. При несов­ме­сти­мо­сти целей обра­бот­ки пер­со­наль­ных дан­ных, зафик­си­ро­ван­ных на одном мате­ри­аль­ном носи­те­ле, если мате­ри­аль­ный носи­тель не поз­во­ля­ет осу­ществ­лять обра­бот­ку пер­со­наль­ных дан­ных отдель­но от дру­гих зафик­си­ро­ван­ных на том же носи­те­ле пер­со­наль­ных дан­ных, долж­ны быть при­ня­ты меры по обес­пе­че­нию раз­дель­ной обра­бот­ки пер­со­наль­ных дан­ных, в част­но­сти:

а) при необ­хо­ди­мо­сти исполь­зо­ва­ния или рас­про­стра­не­ния опре­де­лен­ных пер­со­наль­ных дан­ных отдель­но от нахо­дя­щих­ся на том же мате­ри­аль­ном носи­те­ле дру­гих пер­со­наль­ных дан­ных осу­ществ­ля­ет­ся копи­ро­ва­ние пер­со­наль­ных дан­ных, под­ле­жа­щих рас­про­стра­не­нию или исполь­зо­ва­нию, спо­со­бом, исклю­ча­ю­щим одно­вре­мен­ное копи­ро­ва­ние пер­со­наль­ных дан­ных, не под­ле­жа­щих рас­про­стра­не­нию и исполь­зо­ва­нию, и исполь­зу­ет­ся (рас­про­стра­ня­ет­ся) копия пер­со­наль­ных дан­ных;

б) при необ­хо­ди­мо­сти уни­что­же­ния или бло­ки­ро­ва­ния части пер­со­наль­ных дан­ных уни­что­жа­ет­ся или бло­ки­ру­ет­ся мате­ри­аль­ный носи­тель с пред­ва­ри­тель­ным копи­ро­ва­ни­ем све­де­ний, не под­ле­жа­щих уни­что­же­нию или бло­ки­ро­ва­нию, спо­со­бом, исклю­ча­ю­щим одно­вре­мен­ное копи­ро­ва­ние пер­со­наль­ных дан­ных, под­ле­жа­щих уни­что­же­нию или бло­ки­ро­ва­нию.

10. Уни­что­же­ние или обез­ли­чи­ва­ние части пер­со­наль­ных дан­ных, если это допус­ка­ет­ся мате­ри­аль­ным носи­те­лем, может про­из­во­дить­ся спо­со­бом, исклю­ча­ю­щим даль­ней­шую обра­бот­ку этих пер­со­наль­ных дан­ных с сохра­не­ни­ем воз­мож­но­сти обра­бот­ки иных дан­ных, зафик­си­ро­ван­ных на мате­ри­аль­ном носи­те­ле (уда­ле­ние, выма­ры­ва­ние).

11. Пра­ви­ла, преду­смот­рен­ные пунк­та­ми 9 и 10 насто­я­ще­го Поло­же­ния, при­ме­ня­ют­ся так­же в слу­чае, если необ­хо­ди­мо обес­пе­чить раз­дель­ную обра­бот­ку зафик­си­ро­ван­ных на одном мате­ри­аль­ном носи­те­ле пер­со­наль­ных дан­ных и инфор­ма­ции, не явля­ю­щей­ся пер­со­наль­ны­ми дан­ны­ми.

12. Уточ­не­ние пер­со­наль­ных дан­ных при осу­ществ­ле­нии их обра­бот­ки без исполь­зо­ва­ния средств авто­ма­ти­за­ции про­из­во­дит­ся путем обнов­ле­ния или изме­не­ния дан­ных на мате­ри­аль­ном носи­те­ле, а если это не допус­ка­ет­ся тех­ни­че­ски­ми осо­бен­но­стя­ми мате­ри­аль­но­го носи­те­ля, — путем фик­са­ции на том же мате­ри­аль­ном носи­те­ле све­де­ний о вно­си­мых в них изме­не­ни­ях либо путем изго­тов­ле­ния ново­го мате­ри­аль­но­го носи­те­ля с уточ­нен­ны­ми пер­со­наль­ны­ми дан­ны­ми.

III. Меры по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке, осу­ществ­ля­е­мой без исполь­зо­ва­ния средств авто­ма­ти­за­ции

13. Обра­бот­ка пер­со­наль­ных дан­ных, осу­ществ­ля­е­мая без исполь­зо­ва­ния средств авто­ма­ти­за­ции, долж­на осу­ществ­лять­ся таким обра­зом, что­бы в отно­ше­нии каж­дой кате­го­рии пер­со­наль­ных дан­ных мож­но было опре­де­лить места хра­не­ния пер­со­наль­ных дан­ных (мате­ри­аль­ных носи­те­лей) и уста­но­вить пере­чень лиц, осу­ществ­ля­ю­щих обра­бот­ку пер­со­наль­ных дан­ных либо име­ю­щих к ним доступ.

14. Необ­хо­ди­мо обес­пе­чи­вать раз­дель­ное хра­не­ние пер­со­наль­ных дан­ных (мате­ри­аль­ных носи­те­лей), обра­бот­ка кото­рых осу­ществ­ля­ет­ся в раз­лич­ных целях.

15. При хра­не­нии мате­ри­аль­ных носи­те­лей долж­ны соблю­дать­ся усло­вия, обес­пе­чи­ва­ю­щие сохран­ность пер­со­наль­ных дан­ных и исклю­ча­ю­щие несанк­ци­о­ни­ро­ван­ный к ним доступ. Пере­чень мер, необ­хо­ди­мых для обес­пе­че­ния таких усло­вий, поря­док их при­ня­тия, а так­же пере­чень лиц, ответ­ствен­ных за реа­ли­за­цию ука­зан­ных мер, уста­нав­ли­ва­ют­ся опе­ра­то­ром.