Персональные данные приказ

Содержание

Составляем приказ о персональных данных работников

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Зачем нужен приказ о персональных данных

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

  • назначение ответственного за организацию процесса обработки данных;
  • определение перечня лиц, допущенных к сбору, хранению и обработке;
  • утверждение положения об обработке и защите конфиденциальных данных.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2019 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

  • собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
  • указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
  • указание ответственному лицу ознакомить работников с распорядительным документом;
  • определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Образец приказа об изменении персональных данных работника

Как заполнять

Приказ может состоять из следующих разделов:

  1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
  2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
  3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
  4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
  5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
  6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Ответственность за отсутствие

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

Образец приказа об обработке персональных данных работников

Приказ об утверждении положения о защите персональных данных — обязательный документ для всех компаний и индивидуальных предпринимателей, которые собирают и каким-то образом используют в своей деятельности личную информацию граждан. Среди таких организаций и работодатели. Поэтому они обязаны предпринять меры для защиты сведений о своих сотрудниках. Предлагаем изучить и скачать положение о защите персональных данных работников 2019, тем самым избежав наказания со стороны проверяющих органов. КонсультантПлюс ПОПРОБУЙТЕ БЕСПЛАТНО Получить доступ

Мировая тенденция развития законодательства в области защиты персональных данных демонстрирует ужесточение норм, регламентирующих наказание за незаконное использование личной информации. Российское право в этом вопросе не стоит особняком и также стремится к усилению контроля над утечкой данных. При организации защиты конфиденциальных сведений на предприятии необходимо опираться на главу 14 ТК РФ и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они помогут разобраться, как выглядит корректный образец приказа о положении о защите персональных данных.

Какие данные относятся к персональным

Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:

  • Ф.И.О.;
  • возраст (год рождения);
  • семейное положение;
  • образование;
  • профессия;
  • адрес проживания;
  • расовая и национальная принадлежность;
  • вероисповедание;
  • биометрические данные;
  • политические взгляды;
  • состояние здоровья.

Этот список далеко не полный, в него могут быть включены многие другие типы информации о человеке. Однако все их нельзя разглашать и обрабатывать без разрешения того, к кому они относятся. Об этом говорит закон № 152-ФЗ от 27.07.2006.

Исключение составляют, например, случаи, когда раскрытие этой информации необходимо для предотвращения угрозы безопасности самого человека или государства. Чтобы не нарушить эти правила, на предприятиях должна быть разработана локальная нормативная база. И все эти нюансы содержит образец приказа о допуске к персональным данным работников.

Образец приказа о персональных данных работников 2019: с чего начать

На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

  • положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2019 детально описан в специальном материале;
  • образец приказа о хранении персональных данных;
  • политика предприятия в отношении таких сведений;
  • перечень лиц, имеющих доступ к ним;
  • согласие на обработку;
  • соглашение о неразглашении;
  • журнал учета передачи данных.

Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.

Образец приказа об утверждении положения о защите персональных данных (2019)

Учтите, что недостаточно утвердить такой приказ. Всех работников надо ознакомить с ним под подпись (ст. 86 ТК РФ).

Ответственность за отсутствие документации

Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере. Права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011. А с 23.02.2019 вступило в силу Постановление Правительства от 13.02.2019 № 146, которое описывает правила проведения проверок за соблюдением законодательства об обработке личных данных.

Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:

  • дисциплинарная — на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ;
  • административная — на основании ст. 13.11 КоАП РФ (штраф до 75 000 рублей);
  • уголовная — с учетом положений ст. 137 УК РФ (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).

Что еще стоит знать

Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы.

Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях. Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения.

Образец

На некоторых предприятиях на основании заявления издается приказ об изменении информации о сотруднике. Образец этого документа можно скачать ниже. Но для облегчения процедуры зачастую просто готовится дополнительное соглашение, вносятся изменения в личную карточку, трудовую книжку работника и другие документы при необходимости.

Особое внимание уделяется конфиденциальности информации о пациентах медицинских учреждений. Прежде всего обязанность хранить молчание о состоянии пациентов лежит на самом враче. Но это не снимает с администрации лечебного учреждения необходимость издать приказ «Перечень персональных данных пациентов, подлежащих защите».

Кто в организации может быть ответственным за обработку персональных данных

Работодатель оперирует персональными данными своих сотрудников, клиентов и контрагентов. Это требует соблюдения норм закона. Чтобы правила выполнялись, компания должна решить, кому поручить контроль обработки персональных данных и сделать ответственным за выполнение правил.

Без каких сотрудников компании не обойтись, читайте в журнале «Трудовые споры».

Как назначить ответственного за организацию обработки персональных данных

Закон требует, чтобы работу с данными людей в компании контролировал специальный сотрудник. Потребуется выбрать сотрудника или группу и возложить на них дополнительные обязанности. Кто должен отвечать за организацию обработки персональных данных и как именно закрепить эти правила, компании решают по-разному. Нужно опираться на положения законов и локальных нормативных актов:

  1. ТК РФ требует установить в организации порядок хранения и использования таких данных (ст. 87 ТК РФ).
  2. Нужно назначить лицо, ответственное за организацию обработки персональных данных, однако специальных требований к сотруднику нет (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Регламентируйте работу сотрудника, который возьмет на себя эти обязанности. Разработайте специальную должностную инструкцию. Определите в ней порядок действий на тот или иной случай. Как правило, она раскрывает процесс участия в разработке, изменениях, утверждении соответствующих документов. Внутренний документ возлагает на сотрудника ответственность за соблюдение законодательства, мониторинг изменений и требования по своевременному принятию мер. В инструкции также указывают:

  • порядок ее пересмотра и обновления;
  • ответственность лица, которое подчиняется установленным правилам;
  • ссылки на закон и акты компании.

Скачайте вариант должностной инструкции для ответственного за организацию обработки персональных данныхИнформация о файле

Кого можно назначить ответственным за организацию обработки персональных данных

Компания самостоятельно определяет, кто может быть ответственным за обработку персональных данных. Организация может назначить секретаря (постановление Тюменского областного суда от 14.11.2017 № 4А-598/2017). Чаще всего, такие обязанности берут на себя работники отдела кадров. Но можно поручить и другому сотруднику.

Сотрудник должен:

  • контролировать в организации соблюдение соответствующих законов, в том числе требований к защите такой информации;
  • доводить до сведения работников положения законодательства, локальных актов по вопросам обработки данных, требований к их защите;
  • организовывать прием и обработку обращений и запросов владельцев данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов (ст. 22.1 закона № 152-ФЗ).

Подробный перечень пропишите в инструкции.

О назначении ответственного за обработку персональных данных издают приказ

Когда сотрудника выберут, издают приказ. Документ готовит кадровый работник. Ознакомьте ответственного с таким приказом под роспись. В документе укажите:

  • правовые основания назначения (закон № 152-ФЗ, постановления Правительства РФ от 01.11.2012 № 1119, от 15.09.2008 № 687);
  • должность, ФИО назначаемого лица;
  • доплату к должностному окладу в связи с исполнением дополнительной обязанности.

Скачайте образец приказаИнформация о файле

Работодатель и сотрудник вправе подписать дополнительное соглашение к трудовому договору. Сотрудник может получать надбавку в размере установленного процента от оклада на обработку и хранение персональных данных и за неразглашение сведений, касающихся персональных данных работников предприятия.

Срок действия соответствующего соглашения нужно продлевать или заключать на срок действия договора, если не меняется ответственное лицо (апелляционное определение Кировского областного суда от 07.08.2012 по делу № 33-2502).

Если компания не назначила сотрудника и соответствующий приказ отсутствует, бремя ответственности и обязанности ложатся на руководителя организации (ст. 273 ТК РФ).

Правила охраны персональных данных закрепляют в отдельном локальном акте

Также потребуется разработать специальный акт. В том числе определить, что информация относится к конфиденциальной, например:

«Персональные данные работников являются конфиденциальной, строго охраняемой информацией, передача которой по телефону, факсу, электронной почте без согласия работника запрещается. Подписант настоящим обязуется не разглашать сведения конфиденциального характера».

Сотрудник, который подписал акт, не должен нарушать правила компании. В противном случае работодатель вправе привлечь его к дисциплинарной ответственности и уволить. Оспорить такие действия не удастся, если работодатель установит нарушение и оформит документы надлежащим образом.

Например, компания установила факт несанкционированного распространения данных сотрудников. Провели проверку. Выяснили, что сведения, которые хранятся в виде базы данных на внутреннем ресурсе компании, распространялись с конкретного компьютера. Данное оборудование организация закрепила за сотрудником, который в момент нарушения находился на рабочем месте. Непричастности к инциденту он не доказал. Работодатель объявил выговор за нарушение условий договора и внутренних актов, позже уволил нарушителя. Суд посчитал действия работодателя правомерными (апелляционное определение Московского городского суда от 28.08.2012 № 11-18794).

К ответственности за нарушение законодательства могут привлечь генерального директора, который не принял надлежащие меры к недопущению нарушений (ст. 2.4 КоАП РФ).

Так, в отношении руководителя прокурор вынес постановление о возбуждении дела об административном правонарушении. Выявили, что руководитель не соблюдает порядок сбора, хранения, использования данных. В личных делах в листе кандидата отсутствовало поле, в котором владелец данных мог бы поставить отметку о согласии на обработку. Такое оформление противоречит установленному порядку (п. б. ч. 7 раздела II постановления № 687). Ответчик объяснял это тем, что в договорах с работниками согласие есть, и указывал на малозначительность нарушения. Но суд счел, что директор не контролировал действия подчиненных должным образом (постановление Самарского областного суда от 22.08.2016 № 4а-907/2016).

Разрабатывать необходимые документы может комиссия из нескольких сотрудников разных профессий.

Например, в одном деле положение о персональных данных разрабатывала комиссия с участием главного врача, его заместителей, бухгалтера и профсоюзной организацией (апелляционное определение ВС Р Северная Осетия-Алания от 22.09.2015 по делу № 33-1084/2015).

Если не составить документы, не оформить приказ на ответственного за обработку персональных данных компании грозит ответственность (ст. 13.11 КоАП). Если не подготовить инструкции ответственного за организацию обработки персональных данных и другие сведения, в отношении компании проверяющие могут вынести предупреждение или наказание в виде штрафа (постановление Вологодского областного суда от 31.07.2017 № 4А-407/2017).

Приказ о назначении ответственного за обработку персональных данных

Соблюдать требования Закона «О персональных данных» должны все компании и ИП, у которых есть работники (п. 2 ст. 3 Закона от 27.07.2006 N 152-ФЗ). Ведь даже при приеме на работу сотрудник предоставляет своему новому работодателю личную информацию о себе: паспортные данные, сведения об образовании, воинской обязанности и т.д. И в дальнейшем работодатель тоже постоянно работает с персональными данными своих работников (со сведениями об их доходах, о состоянии здоровья и т.п.).

В связи с этим у каждого работодателя должен быть внутренний документ, определяющий политику в сфере обработки и защиты персональных данных работников (п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 N 152-ФЗ, ст. 87 ТК РФ). Это может быть, к примеру, Положение о персональных данных, которое должно быть утверждено приказом руководителя. С положением работников необходимо ознакомить под роспись (ч. 1 ст. 18, ч. 7 ст. 14 Закона от 27.07.2006 N 152-ФЗ, п. 8 ст. 86, ст. 88 ТК РФ).

В Положении о персональных данных указывается: какие именно сведения подлежат обработке, цели обработки, возможные действия с данными (накопление, хранение, уточнение и т.д.), права и обязанности работников касательно персональных данных, порядок обработки данных. Кроме того, в организации должен быть работник, ответственный за получение, обработку и хранение персональных данных, лицо, которое при исполнении своих служебных обязанностей всегда имеет к ним доступ без дополнительного разрешения.

Кто из работников может быть назначен ответственным за обработку персональных данных

В каждой организации должен быть работник, ответственный за персональные данные (у ИП-работодателя такого сотрудника может не быть). Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому, в общем-то, для выполнения функций по обработке персональных данных подойдет любой сотрудник: специалист отдела кадров, бухгалтер, секретарь.

Приказ о назначении ответственного за организацию обработки персональных данных составляется в произвольной форме. В нем указывается сам ответственный работник и распоряжение о том, чтобы сведения о вменяемых ему обязанностях были внесены в его должностную инструкцию. Поскольку за нарушение требований к обработке и защите персональных данных возможно привлечение к дисциплинарной, материальной, административной и даже уголовной ответственности (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27.07.2006 N 152-ФЗ), сотрудник, работающий с личными данными, должен быть предупрежден об этом.

Приказ об ответственных за обработку персональных данных

Пред. / След. Образец приказа о назначении ответственного лица за обработку персональных данных Скачивать формы документов могут только подписчики журнала «Главная книга».

  • Я подписчик: электронного журнала печатного журнала
  • Я не подписчик, но хочу им стать
  • Хочу скачивать формы документов бесплатно и попробовать все возможности подписчика

Приказ об утверждении положения о персональных данных

Работодатель издает приказ об утверждении положения о персональных данных. И этот документ является одной из гарантий защиты персональных данных работника. Фактически это обязанность работодателя. Которую устанавливает статья 87 Трудового кодекса РФ. Положение о персональных данных не что иное, как локальный акт, который устанавливает порядок хранения и использования такие сведений. А приказ вводит Положение в действие.

Пример документа

Акционерное общество “Праймериз”

Приказ № 24 об утверждении Положения о персональных данных

г. Бердск 19 марта 2022 г.

Во исполнение требований главы 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 152-ФЗ “О персональных данных”,

ПРИКАЗЫВАЮ:

  1. Утвердить Положение о персональных данных работников АО “Праймериз” с 20 марта 2022 года.
  2. Назначить ответственным лицом за получение, обработку и хранение персональных данных сотрудников – начальника отдела кадров АО “Праймериз” Иванову Светлану Игоревну.
  3. Утвердить перечень должностей, допущенных к работе с персональными данными работников АО “Праймериз” (доступ без ограничений):
  • генеральный директор АО
  • заместитель генерального директора АО
  • коммерческий директор АО
  • начальник отдела кадров АО
  • ведущий специалист отдела кадров АО
  • главный бухгалтер АО

4. Ивановой Светлане Игоревне ознакомить всех работников АО с Положением о защите персональных данных работников, с лицами, замещающими должности с допуском к работе с персональными данными заключить Обязательство о неразглашении персональных данных работников.

Приложение:

  1. Положение о персональных данных

Генеральный директор Агонян Агонян В.Д.

Обязателен ли приказ об утверждении положения о персональных данных

На сайте мы разместили много образцов приказов. Как по кадровым вопросам (о приеме на работу, об увольнении), так и об утверждении локальных актов (например, приказ об учетной политике). В принципе, такой документ как приказ об утверждении положения о персональных данных составляется достаточно просто. В отличие от самого положения, которое должно содержать ряд сведений.

Положение о персональных данных – обязательный локальный акт, который должен быть в организации. Порядок обработки, хранения и использования таких данных работодатель устанавливает именно в Положении. Соответственно, отсутствие его в организации может стать основанием административной ответственности. И назначения штрафа трудовой инспекции.

Структура акта о персональных данных

Персональные данные работника работодатель обрабатывает исключительно в рамках трудового договора. Только в целях трудовой деятельности в связи с трудовыми отношениями. И работник в силу ст. 86, 68 ТК РФ обязательно должен быть знаком с Положением о персональных данных. Его работодатель составляет на основании Трудового кодекса и Закона о персональных данных.

Структура документа может выглядеть следующим образом:

  1. Общие положения. Или цель, нормативно-правовая основа документа. Все то, о чем мы говорили выше. Общие принципы (ст. 86 ТК РФ).
  2. Основные понятия. Состав персональных данных работников. Здесь можно указать, какие документы организации содержат персональные данные, общие понятия (Закон о персональных данных).
  3. Обработка персональных данных. Доступ к персональным данным. Здесь указываем условия, ограничиваем доступ к данным. Перечень лиц и уровень доступа лучше отдельно упомянуть в приказе об утверждении Положения. Или в отдельном приказе.
  4. Передача персональных данных. Как внутри организации, так и третьим лицам и государственным органам.
  5. Ответственность за нарушение Положения.

Все общие правила, которые входят в структуру Положения, на сайте рассмотрены с точки зрения актуального законодательства, в том числе трудового.

Как ввести в организации положение

Руководитель организации или лицо, уполномоченное им, издает приказ. Которым утверждает Положение о персональных данных. Именно так документ обретает юридическую силу в стенах организации. Если в организации есть представительный орган работника, учитывается его мнение.

Затем работодатель должен ознакомить каждого работника под роспись с указанным документом. Отсутствие самого Положения или подписи работника – основание привлечь работодателя по ст. 5.27 КоАП РФ.

Ознакомить можно путем получения подписи на отдельном листе, на самом Положении. Или указать в перечне документов, с которыми работник ознакомлен при подписании трудового договора. Возможно, в организации будет журнал ознакомления с локальными актами работодателя. А вот рассылать, например, по электронной почте, не стоит. Трудовой кодекс содержит требование ознакомить с документами под роспись.

Если при подготовке приказа об утверждении положения о персональных данных возникли трудности, можно задать вопросы дежурному юристу сайта.

> Что такое приказ о персональных данных и каких видов бывает? Образцы документа

Что это такое?

Приказ в области обеспечения безопасности персональной информации представляет собой документ, утверждающий порядок обработки, а также работы со сведениями о сотрудниках организации, требующими неразглашения.

Кроме того, этим документом закрепляется обязанность ответственных лиц соблюдать секретность полученной информации. Также в приказе о персональных данных фиксируется перечень должностных лиц, допущенных к работе с личными данными.

Справка! Согласно статье 3 ФЗ РФ от 27 июня 2006 года № 152-ФЗ «О персональных данных», под личными сведениями подразумевается любая информация напрямую или косвенно относящаяся к конкретному физическому лицу.

Виды

Следует отметить, что для обеспечения на предприятии конфиденциальности, должна быть внедрена многоуровневая система защиты информации. При этом главной ее составляющей является создание внутренней документации, которая бы регулировала порядок работы с персональными данными.

Итак, с целью обеспечения безопасности личных сведений о сотрудниках, в организации необходимо издать следующие виды документов.

Об утверждении положения об обработке и защите личных сведений

Является основополагающим и призван регулировать общий порядок работы с личными сведениями сотрудников организации, а также их обработку.

Как правило, в Положении отражается следующая информация:

  1. цели, задачи и понятие защиты данных;
  2. список документов, содержащих личную информацию;
  3. порядок получения конфиденциальных сведений о сотрудниках;
  4. порядок работы;
  5. правила обработки, хранения и передачи и т.д.

В формах для скачивания приведен приказ об утверждении положения об обработке персональных данных, образец положения об обработке персональных данных, а также согласие о неразглашении персональных данных:

О назначении ответственного лица

В рамках этого документа закрепляется конкретный специалист, который несет ответственность за правильную обработку конфиденциальной информации, а также обеспечение ее секретности.

Следует отметить, что согласно 9 статье ФЗ РФ «О персональных данных» обработка личных сведений о сотруднике, допускается только в том случае, если он дал на это свое согласие. Только в этом случае личные данные могут быть внесены в базу и быть обработаны уполномоченным лицом.

Об установлении списка лиц, имеющих доступ к конфиденциальным сведениям

Тут указываются конкретные люди, которые имеют право работать с конфиденциальными сведениями о работниках организации.

Важно! В соответствии со статьей 7 ФЗ РФ «О персональных данных» лица, имеющие доступ к работе с личными сведениями, в обязательном порядке должны соблюдать ее конфиденциальность. В противном случае можно оказаться привлеченным к ответственности, вплоть до уголовной.

О защите

Как правило, этот документ содержит ключевые моменты политики руководства организации в части работы с конфиденциальной информацией, и включает в себя все перечисленные выше вопросы (положение о защите, ответственные, список специалистов, допущенных к работе с личной информацией).

  • Кем и когда издаются?

    Как правило, данные виды приказов издаются отделом кадров по указанию высшего руководства. После подготовки документа, он утверждается подписью руководителя организации.

    Согласно статье 1 ФЗ РФ «О персональных данных» необходимость в разработке приказов по работе с персональными данными, возникает в следующих случаях:

    • при обработке личных сведений государственными органами;
    • при обработке конфиденциальной информации юридическими или физическими лицами.

    Общее содержание документа

    В общем виде содержание приказов в области защиты персональных сведений, включает в себя следующие элементы:

    1. Шапку.
    2. Название документа, а также дату и номер его регистрации.
    3. «Тело» приказа.
    4. Подписи и печать.

    Пошаговая инструкция по составлению

    Порядок составления распоряжения о персональных сведениях можно представить в виде следующей пошаговой инструкции:

    1. Шапка документа. Тут указывается наименование организации, а также ее реквизиты.

      Если документ составляется на фирменном бланке, то, как правило, он уже содержит наименование организации и все ее реквизиты.

    2. Далее необходимо указать название документа(«ПРИКАЗ»), тему (Например, «О назначении ответственных лиц за обработку персональных данных»), а также дату и номер регистрации.

      Все, изданные в организации приказы в обязательном порядке должны пройти процедуру регистрации. Как правило, для их учета ведется отдельный журнал, куда записывается название документа, его номер и дата издания.

    3. Составление «тела» распоряжения. В общем виде содержание текста должно включать следующее:
      • ссылку на нормативно-правовой акт, в соответствии с которым издается документ;
      • конкретное указание (Например, «Утвердить список должностных лиц, допущенных к обработке персональных данных»);
      • имя сотрудника, на которого возлагается обязанность по ознакомлению всех работников организации с приказом;
      • лицо, ответственное за исполнение.
    4. В документе должны стоять следующие подписи:
      • руководителя организации;
      • должностного лица, которому поручено ознакомить всех работников предприятия с распоряжением;
      • должностного лица, являющегося ответственным за исполнение.
    5. В завершение, на приказе необходимо поставить печать юридического лица.

    Срок хранения

    В соответствии с Приказом Минкультуры России от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» для приказов, издаваемых в области защиты личных сведений о сотрудниках, предусмотрен постоянный срок хранения (вплоть до ликвидации компании).

    Таким образом, руководство организации в обязательном порядке должно побеспокоиться о создании внутренней документации, которая бы регламентировала работу с конфиденциальной информацией сотрудников. В противном случае, при возникновении утечки сведений, пострадавшие сотрудники без проблем смогут доказать в суде вину работодателя, что повлечет за собой неприятные последствия.

    УТВЕРЖДАЮ

    ____________ (фамилия и инициалы)

    «___» ______________ 201_ г.

    ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ № ____

    ответственного за организацию обработки персональных данных

    1. Общие положения

    1.1. Настоящая должностная инструкция (далее – Инструкция) определяет ответственность, права и обязанности ответственного за организацию обработки персональных данных (далее – Ответственного) в _______________________________________________________________ (далее – __________________).

    1.2. Настоящая инструкция разработана в соответствии со статьями 18.1, 22, 22.1 и 24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и с пунктом 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.

    1.3. Ответственный назначается на должность из числа штатных сотрудников __________________ приказом ____________.

    1.4. По вопросам обработки и защиты персональных данных Ответственный подчиняется непосредственно _____________ __________________.

    1.5. На время отсутствия Ответственного (отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке, которое приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

    1.6. Ответственный в своей работе руководствуется настоящей Инструкцией, Концепцией информационной безопасности, Политикой информационной безопасности, другими регламентирующими документами __________________, руководящими и нормативными документами регуляторов Российской Федерации в области обеспечения безопасности персональных данных.

    1. Должностные обязанности

    Ответственный должен:

    2.1. Соблюдать требования законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, Правил обработки персональных данных и других нормативных документов __________________ в области обработки и защиты персональных данных.

    2.2. Доводить до сведения сотрудников __________________ положения законодательства Российской Федерации о персональных данных, Правил обработки персональных данных и других нормативных документов __________________ по вопросам обработки и требований к защите персональных данных.

    2.3. Проводить инструктажи и занятия по изучению правовой базы по защите персональных данных с сотрудниками __________________, имеющими доступ к персональным данным, и вести Журнал проведения инструктажей по информационной безопасности.

    2.4. Оказывать консультационную помощь сотрудникам по применению средств защиты персональных данных.

    2.5. Осуществлять контроль соблюдения в __________________ законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, и Правил обработки персональных данных согласно Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

    2.6. Проводить регулярные внутренние проверки, согласно Плану внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных.

    2.7. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений Правил обработки персональных данных.

    2.8. Составлять и предлагать на утверждение директору __________________ перечень лиц и объема их полномочий, которым разрешен доступ к персональным данным.

    2.9. Не допускать к работе с персональными данными лиц, не обладающих для этого соответствующими правами.

    2.10. Осуществлять регистрацию обращений и запросов субъектов персональных данных или их представителей в Журнале учёта обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных о выполнении их законных прав.

    2.11. Осуществлять методическое руководство работой администраторов безопасности и администраторов информационных систем персональных данных в области защиты персональных данных.

    2.12. Предлагать руководству мероприятия по совершенствованию работы по защите персональных данных.

    1. Права

    Ответственный имеет право.

    3.1. Требовать от сотрудников __________________ соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, Правил обработки персональных данных и других нормативных документов __________________ в области обработки и защиты персональных данных.

    3.2. Запрещать сотрудникам __________________ доступ к персональным данным с целью предотвращения несанкционированного доступа к охраняемой информации.

    3.3. Проводить расследование по случаям несанкционированного доступа к персональным данным и другим случаям нарушения режима обработки персональных данных.

    3.4. Вносить предложения по применению дисциплинарных взысканий к сотрудникам __________________, нарушившим требования Правил обработки персональных данных и других нормативных документов __________________ в области обработки и защиты персональных данных.

    3.5. Знакомиться с проектными решениями руководства, касающимися его деятельности.

    3.6. Вносить предложения по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями.

    3.7. В пределах своей компетенции сообщать директору __________________ о недостатках, выявленных в процессе исполнения должностных обязанностей, и вносить предложения по их устранению.

    3.8. Требовать от директора __________________ оказания содействия в исполнении своих должностных обязанностей и прав.

    3.9. Привлекать с разрешения директора __________________ сотрудников всех структурных подразделений к решению задач, возложенных на него.

    3.10. Запрашивать лично или через директора __________________ информацию и документы, необходимые для выполнения своих должностных обязанностей.

    1. Ответственность

    Ответственный за организацию обработки персональных данных несет ответственность:

    4.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, в пределах, определенных действующим трудовым законодательством Российской Федерации.

    4.2. За правонарушения, совершенные в процессе осуществления своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.

    4.3. За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.

    1. Порядок пересмотра должностной инструкции

    5.1. Настоящая Инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в пять лет.

    5.2. С приказом о внесении изменений (дополнений) в настоящую Инструкцию знакомятся под расписку все сотрудники __________________, на которых распространяется действие этой инструкции.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *