Положение 687 об особенностях обработки персональных данных - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
ОФОРМИТЬ ЗАЯВКУ
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ОТРАСЛЕВЫЕ РЕШЕНИЯ
Информационная безопасность банков
Банковское мошенничество
Разглашение банковской тайны
Система противодействия мошенничеству в банковской сфере
Виды банковского мошенничества
Мошенничество в сфере кредитования
Мошенничество при оформлении кредита сотрудником банка
Мошенничество с банковскими карточками
Мошенничество с банковскими счетами
Статья 159 УК РФ. Мошенничество в сфере кредитования
Методика расследования мошенничества в сфере кредитования
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
БИЗНЕС-ЗАДАЧИ
Работа с конфиденциальной информацией
Закон о конфиденциальной информации
Классификация конфиденциальной информации
Организация хранения конфиденциальной информации
Защита персональных данных
Реестр операторов персональных данных
Кто является оператором ПДн
Обязанности оператора ПДн
Права оператора ПДн
Федеральный закон о персональных данных
Ответственность за нарушение закона о ПДн
Положение 687 об особенностях обработки ПДн
Кража ПДн: статья 152 УК РФ
Статья 7 ФЗ 152 о ПДн
Статья 9 ФЗ 152 о ПДн
Что является ПДн по закону
Разглашение коммерческой тайны
Разглашение коммерческой тайны после увольнения работника
Передача персональных данных третьим лицам
Согласие на передачу ПДн третьим лицам
Какие персональные данные являются общедоступными
Является ли ФИО ПДн
Является ли фотография ПДн
Защита коммерческой тайны
Вымогательство коммерческого подкупа
Как доказать коммерческий подкуп
Квалифицирующий признаки коммерческого подкупа
Коммерческий подкуп иностранных лиц
Коммерческий подкуп: российская проблема
Коммерческий подкуп:статистика
Мелкий коммерческий подкуп
Отличие взятки от коммерческого подкупа
Предмет коммерческого подкупа
История преступления коммерческого подкупа
Коммерческий подкуп: статья 204 УК РФ
Увольнение за разглашение коммерческой тайны
Увольнение по статье 81 ТК РФ разглашение коммерческой тайны
Уголовная ответственность за коммерческий подкуп
Уголовно-правовая характеристика коммерческого подкупа
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Конкурентная разведка
Противодействие коррупции
Предупреждение мошенничества
КОНТРОЛЬ ДОСТУПА К НЕСТРУКТУРИРОВАННЫМ ДАННЫМ
Контроль документов
Контроль версий документов
Контроль передачи документов
Контроль данных
Внутренний контроль обработки ПДн
Контроль за соответствием обработки ПДн
Правила внутреннего контроля обработки ПДн
Системы контроля качества данных
Контроль управления доступом
Аудит доступа
Дискреционное управление доступом
Доступ к конфиденциальной информации
Система контроля доступа ПО
Система управления доступам к информационным ресурсам
Способы несанкционированного доступа
Средства контроля доступа к информации
Средства контроля и управления доступом
Управление доступом к базе данных
Управление правами доступа
Анализ данных
Анализ действий с данными
Анализ метаданных
Анализ неструктурированных данных
Анализ использования данных
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяБизнес-задачиЗащита персональных данныхФедеральный закон о персональных данных Положение 687 об особенностях обработки персональных данных
ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Положение 687 об особенностях обработки персональных данных

Защита данных
на базе системы
СЁРЧИНФОРМ КИБ
ОТРАСЛЕВЫЕ РЕШЕНИЯ
Информационная безопасность банков
Банковское мошенничество
Разглашение банковской тайны
Система противодействия мошенничеству в банковской сфере
Виды банковского мошенничества
Мошенничество в сфере кредитования
Мошенничество при оформлении кредита сотрудником банка
Мошенничество с банковскими карточками
Мошенничество с банковскими счетами
Статья 159 УК РФ. Мошенничество в сфере кредитования
Методика расследования мошенничества в сфере кредитования
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
БИЗНЕС-ЗАДАЧИ
Работа с конфиденциальной информацией
Закон о конфиденциальной информации
Классификация конфиденциальной информации
Организация хранения конфиденциальной информации
Защита персональных данных
Реестр операторов персональных данных
Кто является оператором ПДн
Обязанности оператора ПДн
Права оператора ПДн
Федеральный закон о персональных данных
Ответственность за нарушение закона о ПДн
Положение 687 об особенностях обработки ПДн
Кража ПДн: статья 152 УК РФ
Статья 7 ФЗ 152 о ПДн
Статья 9 ФЗ 152 о ПДн
Что является ПДн по закону
Разглашение коммерческой тайны
Разглашение коммерческой тайны после увольнения работника
Передача персональных данных третьим лицам
Согласие на передачу ПДн третьим лицам
Какие персональные данные являются общедоступными
Является ли ФИО ПДн
Является ли фотография ПДн
Защита коммерческой тайны
Вымогательство коммерческого подкупа
Как доказать коммерческий подкуп
Квалифицирующий признаки коммерческого подкупа
Коммерческий подкуп иностранных лиц
Коммерческий подкуп: российская проблема
Коммерческий подкуп:статистика
Мелкий коммерческий подкуп
Отличие взятки от коммерческого подкупа
Предмет коммерческого подкупа
История преступления коммерческого подкупа
Коммерческий подкуп: статья 204 УК РФ
Увольнение за разглашение коммерческой тайны
Увольнение по статье 81 ТК РФ разглашение коммерческой тайны
Уголовная ответственность за коммерческий подкуп
Уголовно-правовая характеристика коммерческого подкупа
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Конкурентная разведка
Противодействие коррупции
Предупреждение мошенничества
КОНТРОЛЬ ДОСТУПА К НЕСТРУКТУРИРОВАННЫМ ДАННЫМ
Контроль документов
Контроль версий документов
Контроль передачи документов
Контроль данных
Внутренний контроль обработки ПДн
Контроль за соответствием обработки ПДн
Правила внутреннего контроля обработки ПДн
Системы контроля качества данных
Контроль управления доступом
Аудит доступа
Дискреционное управление доступом
Доступ к конфиденциальной информации
Система контроля доступа ПО
Система управления доступам к информационным ресурсам
Способы несанкционированного доступа
Средства контроля доступа к информации
Средства контроля и управления доступом
Управление доступом к базе данных
Управление правами доступа
Анализ данных
Анализ действий с данными
Анализ метаданных
Анализ неструктурированных данных
Анализ использования данных

Информация в современном мире оказывается наиболее востребованным товаром в даркнете, ее кража и перепродажа оказывается средством для успешного обогащения. Тема персональных данных стала обыденным явлением, Многие люди в обычной жизни регулярно сталкиваются с задачей подписать согласие на обработку или с запретом на публикации фотографий детей на школьных утренниках. Правила работы с ними регулируются законом «О персональных данных», исходя из него ряд полномочий по контролю работы организаций с ПД передан Правительству РФ, которое выпускает документы, описывающие требования к деятельности операторов.

Что поручено Правительству 

Обработка персональных данных обычно производится в локальных сетях компаний, иногда в облачных хранилищах и ключевые параметры архитектуры систем для защиты конфиденциальности устанавливаются ФСТЭК РФ. Но в случае, когда персональные данные анализируются не в рамках ИС, а фиксируются на бумаге – в анкетах, личных делах, опросных листах, применяются нормы Постановления Правительства № 687, принятого в 2008 году. Оно рассматривает основные моменты, связанные с ручным внесением сведений в документы. 

На практике работа с персональными данными без применения машинных способов только в документарном виде производится:

  • в образовании, при работе с личными делами учащихся;
  • в отделах кадров предприятий;
  • при оформлении пропусков на объекты с усиленным охранным режимом;
  • в учреждениях медицины при оформлении карт;
  • при работе с гостайной.

Документ уточняет, что обработка персональных данных без применения средств автоматизации всегда осуществляется вручную, их анализ или систематизация производится человеком, а не машиной. Факт, что персональные данные какое-то время хранились в ИС и позднее выгружались, не меняет ситуацию.

Суть норм

Постановление регулирует узкую область обращения с персональными данными – их ручную обработку без применения машинной техники, без внесения в ИС или после выгрузки из них. 

Среди основных правил работы с персональными данными в ручном режиме:

  • материальные носители персональных данных (формы, учетные регистры, журналы) должны хранится отдельно от материальных носителей с иной информацией. Для таких документов оформляются свои регистры учета и ведутся записи лиц, способных ознакомиться или скопировать их;
  • запрещена фиксация на одном носителе персональных данных, цели обработки которых противоречат друг другу;
  • сотрудники, выполняющие работу с персональными данными, должны быть извещены о сути выполняемой ими работы, ответственности за утечку или распространение иным способом. Информирование осуществляется путем обучения и знакомства с внутренней нормативной базой компании.
  • 687-ПП вводит свои требования к созданию форм документации:
  • каждая типовая форма, созданная для занесения в нее данных – анкета, личное дело, медицинская карта – должна содержать информацию о целях запроса персональных данных, идентифицирующие признаки оператора (ФИО или фирменное наименование), данные о правообладателе персональных данных, сроки хранения, перечень операций с персональными данными, описание способов работы с документами, содержащими персональные данные;
  • типовая форма обязательно включает поле для подписи гражданина, согласного с условиями обработки его персональных данных. В одном стандартном формате объединяются два документа – непосредственно форма и согласие;
  • формат структурируется так, что обладатель персональных данных мог бы ознакомиться с собственными, не видя сведений о других лицах;
  • форма исключает объединение в одном поле данных, цели обработки которых несовместимы.

Отдельным моментом становится оформление пропусков на режимные объекты. 

Нормативный акт выдвигает следующие требования:

  • если организация или охранная структура ведет журнал учета посетителей, принятые форматы, правила ведения журнала учета и ответственность за их нарушение должны быть описаны во внутренних документах. Нужно обязательно оговорить состав информации, запрашиваемой у посетителей, способы ее фиксации, перечень сотрудников организации и охранных структур, допущенных к ознакомлению с информацией, порядок подтверждения подлинности персональных данных или отказа от такого подтверждения;
  • не разрешается копирование и распространение иным способом персональных данных, содержащихся в книгах учета;
  • не допускается дублирование записей, заносимых в книгу учета.

Если персональные данные учитываются на материальных носителях, необходимо придерживаться следующих требований, которые снижают риски, связанные с тем, что персональные данные одного лица окажутся доступны другому:

  • сведения, относящиеся к одному лицу или одной цели обработки ПД, копируются из оригинала документа на отдельный носитель, и оператор работает с персональными данными, имея на руках скопированную информацию;
  • если содержащиеся на материальном носителе персональные данные должны быть частично уничтожены, оставшаяся часть копируется на другой носитель способом, исключающим возможность одновременного копирования информации, относящейся к другим лицам или иным целям.

Нормативный акт также говорит о необходимости придерживаться правил безопасности, при работе с персональными данными ручным способом. Необходимо обеспечить закрытый режим их хранения, ограничить к ним доступ, вести учет материальных носителей. При допуске к информации субъекта персональных данных вне обычной ситуации, а, например, при запросе гражданина об ознакомлении с его личным делом, информация должна также фиксироваться в специальных регистрах.

Правила защиты персональных данных

Нормативный акт обращает внимание операторов на следующие моменты работы с информацией вне информационных систем персональных данных:

  • если работа с персональными данными производится без использования материальных носителей, то для каждой категории информации внутренние документы организации должны позволять точно определять место ее хранения и перечень лиц, которым разрешена ее ручная обработка;
  • если обработка персональных данных, находящихся на материальных носителях, осуществляется в разных целях, носители должны храниться отдельно;
  • хранение материальных носителей должно быть организовано таким образом, чтобы исключить несанкционированный доступ к ним.

На практике нормы 687 соблюдаются не всегда. Проверки Роскомнадзора должны подтвердить сохранность информации и защиту персональных данных, обрабатываемых ручным способом.

Политика работы с персональными данными

Большинство требований Постановления основывается на необходимости уточнить некоторые механизмы в локальных нормативных актах организации. Чтобы не создавать отдельный регламент каждый раз на одну операцию обработки персональных данных неавтоматизированным способом, можно описать все в одном документе о процедуре обработки ПД. При этом необходимо выделить в самостоятельные главы ручную обработку и обеспечение пропускного режима с учетом необходимости фиксации данных. 

Нужно переработать традиционную структуру политики:

  • в разделе «Термины и определения» отдельно рассмотреть обработку ПД в информационных системах и ручным способом;
  • в теме, посвященной законодательной основе Политики, отдельно дать ссылку на 687-е;
  • в главе, посвященной понятию и составу персональных данных, ввести определение персональных данных, обрабатываемых в целях обеспечения пропускного режима;
  • в разделе, посвященном целям и случаям обработки персональных данных, отдельно выделить все ситуации, связанные с неавтоматизированной работой, со ссылкой на статьи нормативного акта;
  • в формате согласия на предоставление персональных данных отметить особые цели, связанные с организацией пропускного режима;
  • отдельно описать автоматизированную, неавтоматизированную и смешанную обработку ПД с указанием особенностей каждого типа;
  • в принципах работы с персональными данными осветить, как именно происходит обезличение и уничтожение персональных данных, если они обрабатываются в неавтоматизированных системах;
  • в разделе, связанном с защитой информации, отдельно осветить принципы их защиты при обработке с участием человека, ручным способом. Указать меры по обеспечению раздельного хранения документов с несовместимыми целями обработки, по физической защите помещений;
  • в главе, посвященной правам субъектов персональных данных, осветить право на доступ носителя персональных данных к неавтоматизированным носителям информации, условия на реализацию права, ограничения, связанные с невозможностью предоставить право на ознакомление, если на том же носителе есть ПД;
  • в разделе, посвященном обязанностям оператора, отдельно рассмотреть все обязанности, предусмотренные Постановлением. В разделе, посвященном правам и обязанностям сотрудников оператора, отдельно прописать все действия, вытекающие из неавтоматизированной обработки данных – копирование, передачу на ознакомление, производство выписок, уничтожение, внесение изменений.

Кроме того, необходимо добавить раздел, посвященный ведению журнала учета посетителей, оформлению пропусков, хранению учетных регистров и обработке, содержащейся в них информации.

Ответственность за невыполнение норм закона 

Нормативный акт не содержит каких-либо специальных мер ответственности за невыполнение его требований. Если проверка Роскомнадзора выявит нарушения, будут применяться нормы, предусмотренные ст. 13.11 КоАП, говорящие о видах неправомерных действий:

  • проведение обработки персональных данных в незаявленных целях или целях, не совместимых с требованиями законодательства и нормами Постановления Правительства;
  • обработка персональных без согласия субъекта с учетом того, что согласие должно предоставляться на случаи неавтоматизированной или смешанной обработки;
  • неучет механизмов ручного оформления ПД в политике компании и отказ от ее публикации на сайте;
  • отказ от разработки других локальных нормативных актов организации, предусмотренных законодательством;
  • невыполнение требований по предоставлению субъекту персональных данных доступа к обрабатываемым сведениям;
  • отказ от выполнения требования субъекта персональных данных откорректировать или стереть их;
  • невыполнение требования по учету и хранению материальных носителей ПД, в том числе по отдельному хранителю персональных данных, обрабатываемых во взаимоисключающих целях;
  • отказ от обезличивания, если оно требуется.

Нарушение норм выявляется в ходе документарных или выездных проверок. Если проверка внеочередная и проводится по заявлению носителя ПД, она может быть только выездной, с проверкой на месте требований по хранению ПД и ведению книг учета. 
Выполнение требований Постановления позволит избежать административных штрафов, размер которых существенно повысился в 2017 году, а с учетом повторности нарушения они могут оказаться некомфортными для бизнеса.

03.03.2020

Закажите бесплатный 30-дневный триал
Полнофункциональное ПО без ограничений по
пользователям и функциональности
ЗАКАЗАТЬ
Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.