ГрамотаИБ ГрамотаИБ

Обработка персональных данных без средств автоматизации: требования ПП-687

22.06.2026

Как законно вести обработку ПДн без средств автоматизации (на бумаге и иных материальных носителях) по Положению, утверждённому Постановлением Правительства РФ №687, и статье 18.1 152-ФЗ: что считается неавтоматизированной обработкой, принципы обособления и хранения, требования к формам и бланкам, какие учёты и журналы вести и на что смотрит Роскомнадзор.

Когда говорят о защите персональных данных, обычно представляют серверы, антивирусы и СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.. Но значительная часть обработки в любой организации идёт без средств автоматизации — на бумаге: кадровые дела, заявления, согласия, бухгалтерские документы, картотеки, журналы. Эта обработка регулируется отдельным актом — Положением, утверждённым Постановлением Правительства РФ от 15 сентября 2008 г. №687. Роскомнадзор (РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн.) при проверке смотрит на бумажную обработку не меньше, чем на информационные системы, потому что нарушения здесь видны сразу.

Что считается обработкой без средств автоматизации

По пункту 1 Положения обработка ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). считается осуществляемой без использования средств автоматизации, если действия с персональными данными (использование, уточнение, распространение, уничтожение в отношении каждого из субъектов) производятся при непосредственном участии человека. Проще говоря, это работа с данными на материальных носителях: бумажных документах, журналах, карточках.

Важный нюанс: использование компьютера только для подготовки документа (например, набор и печать приказа) само по себе не превращает обработку в автоматизированную, если поиск и выборка данных не выполняются автоматически. Но как только данные систематизируются в базе с автоматическим поиском, обработка становится автоматизированной (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.) и подпадает уже под требования ПП-1119 и приказов ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ.. На практике у большинства операторов есть и та, и другая обработка одновременно.

Нормативная база

  • Статья 18.1 152-ФЗ — обязанность принимать организационные меры (политика, локальные акты, ознакомление работников, контроль).
  • ПП РФ №687 от 15.09.2008 — особенности обработки ПДн без средств автоматизации (обособление, формы, хранение, доступ).
  • ПП РФ №512 от 06.07.2008 — требования к носителям биометрических ПДн вне информационных систем.
  • Статьи 10 и 11 152-ФЗ — особенности специальных категорий и биометрических ПДн (в том числе на бумаге).

Основные принципы Положения №687

  • Обособление персональных данных (п. 3). ПДн должны быть обособлены от иной информации — например, зафиксированы на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Нельзя вперемешку с прочими сведениями.
  • Несовместимые цели — не на одном носителе (п. 4 и п. 16). Не допускается фиксация на одном носителе персональных данных, цели обработки которых заведомо несовместимы. Данные, обрабатываемые в разных целях, нужно хранить раздельно.
  • Требования к типовым формам (п. 7). Если используются типовые формы (анкеты, заявления, согласия), в них должны быть: цель обработки; наименование и адрес оператора; ФИО субъекта и источник получения данных; сроки обработки; перечень действий с ПДн и общее описание способов; поле для согласия или отметки об ознакомлении, когда это требуется. Форма должна исключать объединение полей разных субъектов так, чтобы данные одного раскрывались другим.
  • Ведение журналов и реестров с ПДн (п. 8). Если ведутся журналы, классификаторы, реестры или книги, содержащие персональные данные, должны соблюдаться условия: их ведение обусловлено конкретной целью, состав данных не избыточен, копирование не допускается без необходимости.
  • Места хранения и перечень допущенных лиц (п. 15). Обработка должна быть организована так, чтобы по каждой категории ПДн можно было определить места хранения материальных носителей и установить перечень лиц, осуществляющих обработку либо имеющих к данным доступ.
  • Уничтожение и обезличивание. Уничтожение или обезличивание части ПДн, если это допускает материальный носитель, выполняется способом, исключающим дальнейшую обработку этих данных, но сохраняющим возможность обработки иных сведений на носителе (например, вымарывание поля).

Биометрия и специальные категории на бумаге

Специальные категории (о здоровье, судимости и т. п.) и биометрические ПДн можно обрабатывать без автоматизации, но при повышенных требованиях. Для носителей биометрических данных вне информационных систем действует ПП РФ №512: носитель должен обеспечивать защиту от несанкционированного доступа, неизменность записи и возможность доступа только уполномоченных лиц. Хранить такие документы нужно с особым контролем доступа.

На что обращать внимание

  • Сначала честно определите, какая бумажная обработка у вас есть: кадры, заявления, согласия, договоры, бухгалтерия, картотеки, пропускной режим.
  • Закрепите приказом или положением места хранения носителей (запираемые шкафы, сейфы, помещения) и перечень лиц, имеющих доступ.
  • Обеспечьте обособление ПДн — отдельные дела и разделы, а не смешанные папки.
  • Приведите типовые формы (анкеты, согласия, заявления) в соответствие с пунктом 7 Положения.
  • Организуйте хранение, исключающее несанкционированный доступ посторонних, и контроль доступа в помещения.
  • Соблюдайте сроки хранения и своевременно уничтожайте документы, надобность в которых отпала (например, по истечении срока согласия), оформляя уничтожение актом.
  • Ознакомьте под роспись работников, обрабатывающих ПДн, с локальными актами и правилами обращения с носителями.

Какие учёты необходимо вести

Учёты — главное доказательство того, что меры реально выполняются, и первое, что запрашивает Роскомнадзор. Для бумажной обработки обычно ведут:

  • Журнал учёта материальных носителей ПДн — дела, журналы, картотеки, места хранения и движение носителей.
  • Перечень мест хранения материальных носителей и перечень лиц, допущенных к обработке ПДн без автоматизации (или имеющих доступ к местам хранения).
  • Журнал ознакомления работников с документами по обработке ПДн.
  • Журнал учёта согласий субъектов (когда согласия оформляются на бумаге).
  • Журнал учёта передачи ПДн третьим лицам — кому, какие данные и на каком основании.
  • Акты уничтожения материальных носителей и документов с ПДн.

Подробнее о том, какие журналы инспектор смотрит в первую очередь, — в статье «Какие журналы проверяет Роскомнадзор».

Какие документы оформить

  • Правила (положение) обработки ПДн без использования средств автоматизации — отдельным актом или разделом общего положения об обработке ПДн.
  • Приказ об определении мест хранения материальных носителей и перечня лиц, имеющих доступ.
  • Типовые формы согласий и иных документов, соответствующие пункту 7 Положения.

Бумажная обработка — это и есть та самая организационная (бумажная) безопасность, без которой техническая защита не закрывает требования. Виды согласий разобраны в статье «Согласие на обработку персональных данных», а подготовка к визиту регулятора — в материале «Как подготовиться к проверке Роскомнадзора».

Главное

Обработка ПДн без средств автоматизации — не второстепенная формальность, а отдельный блок требований ПП-687: обособление данных, корректные формы, контролируемое хранение, понятный перечень допущенных лиц и фактически ведущиеся учёты. ГрамотаИБ помогает вести реестр носителей, формировать журналы и нужные документы под профиль оператора и проверить готовность к проверке — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Какие журналы проверяет Роскомнадзор

Какие журналы учёта смотрит Роскомнадзор при проверке соблюдения 152-ФЗ: журнал обращений субъектов ПДн, передачи данных третьим лицам, учёта материальных носителей, ознакомления работников, согласий и инцидентов. Что они подтверждают и какие ещё документы запрашивает РКН.

Нужно ли ИП и компании регистрироваться оператором персональных данных

Когда индивидуальный предприниматель или организация обязаны подать уведомление в Роскомнадзор и встать в реестр операторов ПДн, какие остались исключения (ст. 22 152-ФЗ), какая ответственность по ст. 13.11 КоАП и что делать в зависимости от видов обработки.

Что изменилось в работе с персональными данными в 2025–2026 годах

Обзор ключевых изменений: оборотные штрафы за утечки (Закон 420-ФЗ, с 30 мая 2025), уголовная ответственность по ст. 272.1 УК, обязательное уведомление Роскомнадзора об утечке за 24/72 часа, расширение круга операторов. Выводы и практические рекомендации.

Согласие на обработку персональных данных: когда и какое нужно

Виды согласий на обработку ПДн, когда требуется письменное согласие, что в нём указать (ст. 9 152-ФЗ) и как сформировать согласие по категориям субъектов.