Неавтоматизированная обработка

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Ниже приведены основные мероприятия по защите документов, содержащих персональные данные.

Документы (как в бумажном так и в электронном виде), содержащие персональные данные, должны храниться отдельно от остальных документов. Кроме того, нельзя хранить в одном месте персональные данные цели обработки которых различны. Например, в медучреждениях нельзя хранить в одном сейфе личные дела сотрудников и медицинские карты пациентов.

Доступ в места хранения документов, содержащие персональные данные должен быть ограничен (помещение должно запираться на ключ, быть оснащено техническими средствами охраны). Сотрудники, обрабатывающие персональные данные должны быть ознакомлены с порядком физической защиты носителей ПДн (документов). Для этого разрабатывается «Инструкция о порядке физической охраны помещений, содержащих носители персональных данных».

Должен быть разработан и утвержден руководителем перечень лиц, имеющих доступ к документам, содержащим персональные данные. Он может быть определен в «Положении о разграничении прав доступа к персональным данным».

Сотрудники, работающие с документами, содержащими персональные данные должны быть ознакомлены с порядком обработки ПДн. Для этого разрабатывается «Инструкция по обработке персональных данных без использования средств автоматизации». Необходимо ознакомить с ней работников под роспись.

Для того, чтобы правильно уничтожить документы, содержащие персональные данные необходимо в организации создать комиссию по уничтожению. Она создается приказом руководителя. Уничтожение производится комиссионно. По результатам оформляется «Акт об уничтожении носителей, содержащих персональные данные».

Если при пропуске на территорию организации посетители регистрируются в журнале (в журнал записываются их персональные данные), то необходимо выполнить ряд требований приведенных ниже. Порядок пропуска и регистрации в журнале должен быть закреплен приказом руководителя («Приказ о пропуске на территорию организации»). В этом приказе должны быть указаны: цель ведения такого журнала; состав персональных данных, запрашиваемых у посетителя; способ ведения журнала (бумажный или в электронном виде); перечень лиц (поименно или по должностям), имеющих доступ к журналу, и ответственных за его заполнение и хранение; сроки хранения журнала; порядок пропуска на территорию организации.