Законность записи паспортных данных в журналы и тетради - требования к защите персональных данных.

Артем,

Постановление Правительства РФ от 15 сентября 2008 г. № 687 предусматривает особенности обработки персональных данных, осуществляемой без использования средств автоматизации. Речь идет о тех случаях, когда действия с ПДн (их использование, уточнение, распространение, уничтожение) в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека – например, когда на пункте пропуска посетители диктуют необходимую информацию сотруднику организации, осуществляющему контроль входа-выхода, или же сами заполняют специальные формы (бланки), отражая в них свои паспортные данные. Поскольку посетитель добровольно предоставляет информацию о себе в определенном объеме, тем самым выражая свое волеизъявление на ее обработку (в виде конклюдентных действий), то формально требование Закона № 152-ФЗ считается исполненным.

Но и здесь существует ряд условий. Так, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, должны соблюдаться следующие правила:

необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию (п. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Несмотря на то, что обработка персональных данных в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, может быть осуществлена без уведомления Роскомнадзора, организация пропускного режима в данном случае требует легализации – в частности, необходимо издание соответствующего локального акта, инструкции, положения и иных документов, регламентирующих порядок пропуска на территорию организации. Целесообразно урегулировать и порядок хранения персональных данных.

Например, в отношении каждой категории персональных данных должны быть определены места хранения персональных данных (материальных носителей). Кроме того, необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, а при хранении материальных носителей – соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним (перечень конкретных мер по обеспечению условий хранения устанавливает сам оператор) (п. 13-15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687).