Добрый день.
По первому вопросу- это неавтоматизированная обработка.
По второму вопросу: можно относить это к архивному делу.
Позиция ФСТЭК по этому вопросу не известна, поэтому как они будут смотреть на этот вопрос не ясно.
Управление Роскомнадзора по Вологодской области
(8172)54-89-20
rsockanc35@rsoc.ru
________________________________________
От: Kostik
Отправлено: 5 августа 2010 г. 16:41
Кому: Канцелярия ТУ_ВологодскаяОбл_35
Тема: Неавтоматизированная обработка ПДн и архивное дело

Здравствуйте,

Не могли бы вы пролить свет, на несколько вопросов, связанных с защитой
персональных данных:

1. Можно ли признать распечатку договоров и отчетов на ПК не
автоматизированной обработкой ссылаясь на определение закона:

Обработка персональных данных без использования средств
автоматизации (неавтоматизированная) - обработка персональных
данных, содержащихся в информационной системе персональных
данных либо извлеченных из такой системы, если такие действия
с персональными данными, как использование, уточнение,
распространение, уничтожение персональных данных в отношении
каждого из субъектов персональных данных, осуществляются
при непосредственном участии человека.

P.S. Сведения заносятся в документ формата *.doc, который
впоследствии распечатывается (без использования БД).
Все действия выполняются на изолированном от локальной сети ПК.

2. Вопрос по архивному делу:
В администрации имеется архивный отдел.
Действие 125-ФЗ не распространяется на "отношения, возникающие при:
организации хранения, комплектования, учета и использования
содержащих персональные данные документов Архивного фонда
Российской Федерации и других архивных документов в соответствии
с законодательством об архивном деле в Российской Федерации";

но в архивном отделе есть база, в которой есть ПДн граждан
обратившихся в архив за справкой Архивные запросы, т.е. регистрируются
все запросы и ответы в архиве.

нужно ли оформлять все документы на эту ИСПДн? или закон на нее не распространяется?

Заранее спасибо.

--
С уважением,
Kostik

Если необходимо что-то уточнить - спрашивайте пока они отвечают

а maila ФСТЭК случайно нет, может ответят...

Костя, ты о чем вообще? ИСПДн - это ВСЕ. Только бумажная часть ИСПДн попадает под 687-е, автоматизированная - под 781-е. Классификация, модель угроз и т.д. вытекает только из 781-го. Учите матчасть, товарищи!

этот же вопрос на форуме РОСКОМНАДЗОРА, ответ другой-
http://pd.rsoc.ru/inter-services/forum/dep46/topic2114/

Кто сказал, что бумажный архив - это не база данных, в которой обработка ПДн осуществляется без использования средств автоматизации? РКНу тоже матчасть не мешало бы поучить...

http://anvolkov.blogspot.com/2010/08/blog-post_06.html

Закон РФ N 3523-1 от 23 сентября 1992 года "О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ"

"база данных - это объективная форма представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ;"

Законодательное определение базы данных дается в абз. 2 п. 2 ст. 1260 ГК, согласно которому базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

Если провести анализ обработки ПДн у операторов, то как правило они осуществляют смешанную обработку. Если присутствует бумажный архив в чистом виде и сам по себе - то это относится к архивному делу и из области ЗоПД может исключаться. Во всех остальных случаях архив является частью общей ИСПДн: туда складываются бумажные документы на хранение - например личные карточки сотрудников, т.е. ПДн продолжают обработку именно там. Такой архив нельзя рассматривать как самостоятельную ИСПДн, это - часть ИСПДн "персонал".

Именно это я и имел в виду что ИСПДн это "все" - может выразился не так...

базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

Вот именно поэтому ФСТЭК до недавнего времени считала, что если нет средств гарантированного уничтожения данных с жесткого диска сразу после распечатки файла, то это уже совокупность статей - а значит БД - и следовательно ИСПДн - автоматизированная

а на такую ситему нужна Частная модель угроз? и классифицировать такую систему нужно? вот в управлении строительства и ЖКХ куча ПДн береться с человека и категория скорее К2 плюс более 1000 субъектов, получаетсся ИСПДн К2 но неавтоматизированная.... приэтом она только печатают договора и отчеты...