- Налоговое право

Персональные данные документы организации ответственные

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные документы организации ответственные». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно – ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1. Уведомление об обработке персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22. Уведомление об обработке персональных данных.

ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Изменения в уведомление об обработке персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22. Уведомление об обработке персональных данных.

ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Статья 25. Заключительные положения.

ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

3. Приказ Об организации обработки персональных данных.
4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

5. Согласие субъекта персональных данных на обработку его персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

6. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

7 Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 18. Обязанности оператора при сборе персональных данных.

ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

8. Документы, определяющие политику оператора в отношении обработки персональных данных.

Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

9. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.

До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.

Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.

Внутренние документы регулируют:

  • общие принципы работы;
  • порядок обработки на бумажных носителях;
  • правила работы в информационных системах;
  • особенности хранения;
  • порядок передачи;
  • инструкция для сотрудников;
  • другие моменты.

Хотелось бы разграничить ответственность. Но как это оформить в приказе, что технически за обработку и сохранность персональных данных отвечаю я, а за личные дела сотрудник отвечает непосредственно отдел кадров.

У нас вот как:

Есть Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в котором прописаны должности и их функционал (Администратор БД, Администратор ИСПДн, ответственный за организацию обработки ПДн, ответственный за выполнение работ по обеспечению безопасности ПДн и т.д.).

В приказе Об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:

1. Назначить ответственным за организацию обработки персональных данных. ФИО. Возложить на ФИО обязанности, предусмотренные Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее — Положение).

2. Назначить ответственным за выполнение работ по обеспечению безопасности персональных данных. ФИО. Возложить на ФИО обязанности, предусмотренные Положением.

и т.д.

Документы, в которых про ответственность речь, про обязанности и т.д. под роспись этим сотрудникам.

Также ещё есть инструкции для этих должностей, где всё подробно описано. И тоже под роспись.

Приказ о назначении ответственного за обработку персональных данных

Образцы по теме: Приказ. Труд

ОАО «Бегемот»

Во исполнение гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», других действующих нормативно-правовых актов РФ в целях обеспечения соблюдения трудового законодательства и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества

Приказываю:

1. Назначить ответственных за сбор и хранение персональных данных работников общества следующих сотрудников:

Водченко Светлану Анатольевну, начальника отдела кадров,

Принципкину Софию Федоровну, специалиста по кадрам.

2. Назначить ответственных за обработку персональных данных работников общества следующих сотрудников:

Водченко Светлану Анатольевну, начальника отдела кадров,

Принципкину Софию Федоровну, специалиста по кадрам,

Волонтерову Ольгу Ивановну, юрисконсульта,

Челобитько Анну Григорьевну, главного бухгалтера,

Свиридова Петра Александровича, бухгалтера по расчету заработной платы.

3. Настоящий приказ объявить руководителям структурных подразделений и должностным лицам, назначенным ответственными за обработку персональных данных.

4. Контроль исполнения приказа оставляю за собой.

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

В каком виде написать приказ

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.

Чьи подписи должны стоять под приказом

Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.

Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.

Документы необходимые организации для обработки ПДн

По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия. Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

  1. В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
  2. Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
  3. Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
  4. Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
  5. В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.

При трудоустройстве новый сотрудник предоставляет работодателю ПДн – ФИО, дату рождения, адрес, сведения об образовании, составе семьи, состоянии здоровья и т.п. Информация, которую работник передает отделу кадров, является конфиденциальной и должна быть защищена от доступа третьих лиц.

Работодатель обязан назначить ответственных за защиту персональных данных в организации и составить ряд документов:

  • положение о работе с ПДн работника;
  • согласие субъекта на обработку ПДн;
  • журнал учета обращений субъектов ПДн;
  • акт уничтожения съемных носителей ПДн.

Каждый сотрудник должен быть ознакомлен с порядком организации защиты данных под роспись. Как правило, персональные данные работника находятся в оперативной (постоянно используемой) базе данных работодателя на весь период трудовой деятельности. Документы, содержащие ПДн сотрудника после его увольнения, убираются в архив, как и личное дело работника.

Если срок защиты персональных данных в организации не установлен (законом, договором), хранить сведения нужно не дольше, чем этого требуют цели обработки. После этого данные подлежат уничтожению или обезличиванию.

С этим шаблоном часто используют:

  • Реагирование на запрос субъекта персональных данных
  • Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)
  • Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
  • Согласие на передачу персональных данных третьим лицам
  • Перечень персональных данных, подлежащих защите в ИСПДн

Популярные документы и процедуры:

  • Доверенность на продажу гаража
  • Трудовой договор по гибкому (скользящему) графику работы
  • Приказ об отстранении работника от работы
  • Скачать договор ГПХ с бухгалтером
  • Скачать договор подряда на отделочные работы

— Акт уничтожения съемных носителей ПДн

— Журнал учета обращений органов с запросами ПДн работников

— Журнал учета обращений субъектов ПДн

— Ответ на запрос органов о предоставлении ПДн работников

Организация обработки и защиты персональных данных работников

  • 14.07.2020 В министерстве юстиции зарегистрированы изменения в приказ ФСТЭК N 21
  • 12.12.2019 Штрафы за нарушение 152-ФЗ достигли 18 млн. рублей
  • 21.02.2019 Закон об использовании обезличенных данных граждан должен быть принят к августу 2019 года
  • 29.05.2019 ПЕРСОНАЛЬНЫЕ ДАННЫЕ – ЭТО…
  • 04.03.2019 Небольшой обзор постановления правительства № 146 от 13.02.2019, регламентирующего проверки Роскомнадзора
  • 26.02.2019 Персональные данные. Строим процесс

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Приказ о назначении ответственных по работе с ПДн работников

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Итак, с ответственностью за нарушение правил работы с персональными данными мы разобрались. Давайте теперь посмотрим, что же надо сделать организации, дабы избежать штрафов.

Надо отметить, что правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», касаются не только тех организаций, которые имеют дело с клиентскими базами данных.

Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу.

А это значит, что организация обязана их защищать в полном соответствии с законом.

Отметим, что закон не делает каких-то различий между тем, на каких носителях в организации существуют документы, содержащие персональные данные.

Так что, и тот работодатель, который внедрил высокотехнологические информационные системы, и тот, который ведет работу с кадровыми документами на бумаге, обязаны принять ряд организационных и технических мер по защите персональных данных сотрудников.

Именно формальное выполнение этих мер в большинстве случаев и контролируют специалисты Роскомнадзора.

Первое, что захотят увидеть проверяющие, — это приказ руководителя о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (образец приказа можно скачать здесь), так и подразделение (образец приказа можно скачать здесь). В последнем случае личную ответственность несет руководитель такого подразделения.

Далее потребуется утвердить документ, содержащий перечень персональных данных (образец приказа можно скачать здесь), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Что же должно быть зафиксировано в Положении о персональных данных? На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных».

В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (образец согласия можно скачать здесь).

А значит, не лишним будет сразу разработать и утвердить форму такого заявления. На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.

Далее может следовать раздел «Доступ к персональным данным». В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций).

При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.

Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т.п.

В соответствии с требованиями Федерального закона 152 «О персональных данных» Оператор персональных данных, являющийся юридическим лицом, обязан назначить приказом лицо, ответственное за организацию обработки персональных данных. В GDPR имеются аналогичные требования.

У оператора есть несколько вариантов действий:

  1. Открыть штатную единицу и нанять на работу Ответственное лицо.
  2. Передать обязанности на аутсорсинг.
  3. Назначить в качестве ответственного лица имеющегося работника.

Чаще всего на роль ответственного назначают одного из следующий сотрудников:

  1. Юрист
  2. Специалист подразделения информационных технологий
  3. Специалист по защите информации
  4. Сотрудник отдела кадров
  5. Менеджер по рискам
  6. Административный директор
  7. Директор по работе с государственными органами

Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов. Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров. Специалист отдела ИТ или ИБ больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий.

Кроме этого, по мнению Роскомнадзора, ответственным лицом должен быть скорее сотрудник юридического отдела, чем специалист по информационной безопасности, так как в новых Правилах проверок Роскомнадзора определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Инструкция лица, ответственного за организацию обработки персональных данных

ПРИКАЗ

о назначении ответственного за организацию обработки персональных данных

№ _____.__.20__

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

  1. Назначить ответственным за организацию обработки персональных данных в Компании (указать наименование) (указать должность, ФИО).
  2. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
  3. Возложить функции, полномочия и ответственность, предусмотренные локальными актами Оператора (здесь обычно перечисляются внутренние документы Оператора по вопросам обработки персональных данных), на ответственного за организацию обработки персональных данных.
  4. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.

«__» ______________ 20___г. ________________ ________________________________

ПРИКАЗ

о назначении ответственного за организацию обработки персональных данных

№ _____.__.20__

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

  1. Назначить ответственным за обеспечением безопасности персональных данных в информационных системах персональных данных в Компании (указать наименование) (указать должность, ФИО).
  2. Наделить ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующими правами:
    1. требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
      • осуществление регулярного обнаружения уязвимостей и угроз безопасности персональных данных;
      • участие в определении актуальных угроз безопасности персональных данных;
      • участие в проведении работ по проработке технических решений по защите персональных данных, внедрению и эксплуатации программных и аппаратных средств защиты, а также инфраструктуры информационной системы персональных данных;
      • участие в разработке и поддержании в актуальном состоянии организационно-распорядительной документации средств защиты персональных данных;
      • участие в реализации разрешительной системы доступа к персональным данным;
    2. запрашивать и получать от иных работников Оператора информацию для исполнения своих обязанностей;
    3. вносить предложения руководителю Компании (указать наименование):
      • о внесении изменений в технологические процессы, связанные с обработкой персональных данных, а также в информационные системы персональных данных, если это обусловлено необходимостью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
      • необходимости проведения организационных и технических мероприятий с целью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
      • поощрении или привлечении к ответственности работников Компании (указать наименование) в связи с исполнением ими обязанностей, связанных с обработкой персональных данных.
  3. Возложить на ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующие обязанности:
    1. участие в разработке Модели защиты персональных данных при их обработке в информационных системах персональных данных;
    2. определение типа актуальных угроз информационной безопасности персональных данных для каждой информационной системы персональных данных;
    3. определение необходимого уровня защищённости персональных данных при их обработке в информационных системах персональных данных;
    4. определение требований к созданию средств защиты персональных данных для информационных систем персональных данных;
    5. участие в выборе средств защиты информации для средств защиты персональных данных в соответствии с Приказом ФСТЭК № 21;
    6. участие в создании и вводе в эксплуатацию средств защиты персональных данных;
    7. учет применяемых для обеспечения безопасности персональных данных средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
    8. контроль выполнения мероприятий, предусмотренных Положением об организации обработки и обеспечении безопасности персональных данных в Компании (указать наименование).

Согласно требованиям статьи 22.1 закона «О персональных данных» от 27.07.2006 № 152-ФЗ, организация, которая осуществляет работу с личной информацией граждан (своих сотрудников, клиентов и иных лиц), обязана назначить лицо, ответственное за организацию обработки персональных данных. При этом точного указания на то, какое именно должностное лицо организации может быть назначено ответственным, нормы ФЗ № 152 не содержат. На практике чаще всего таковым назначается сотрудник, ведущий кадровое делопроизводство в организации либо работу с клиентами компании.

В силу части 2 статьи 22.1 ФЗ № 152 ответственный сотрудник подотчетен только руководству организации (директору или иному исполнительному органу). Это означает, что во избежание нарушений субординации в организации рекомендуется назначать ответственным сотрудника из числа руководящих лиц, а не из рядового состава.

Часть 4 статьи 22.1 ФЗ № 152 возлагает на ответственного за организацию обработки персональных данных следующие обязанности:

  1. Проводить инструктаж с работниками организации по вопросам соблюдения законодательства и внутренних документов компании в части обработки личных данных.
  2. Осуществлять контроль за соблюдением технических и административных мер, принимаемых в организации для защиты личных данных (проверять сохранность и порядок заполнения носителей личных данных, условия и порядок доступа к ним и т. д.).
  3. Организовать работу по приему и обработке обращений, получаемых организацией как от граждан, так и от контрольно-надзорных органов.

Назначение ответственного лица производится путем издания соответствующего приказа по организации. Важно подчеркнуть, что в приказе должна быть указана не только должность сотрудника, но и его инициалы. Соответственно, в случае замены такого сотрудника в приказ необходимо будет внести изменения либо подготовить новое распоряжение с данными нового сотрудника.

Лица, устраивающиеся на работу в организацию или к индивидуальному предпринимателю, раскрывают свою персональную информацию, предоставляя необходимые для трудоустройства документы. К ним, в частности, относятся (ст. 65 ТК РФ):

  • паспорт или иной документ, удостоверяющий личность человека;
  • трудовая книжка (если потенциальный работник не был трудоустроен до этого, книжка заводится работодателем);
  • свидетельство пенсионного страхования и т.д.

Действующее законодательство устанавливает обязанность для работодателей по защите персональных сведений сотрудников. Для методологического подхода к решению данной задачи на предприятии разрабатывается Положение о персональных данных. Обязательно нужно иметь этот документ. Без комплексного подхода надежное хранение и обработка персданных невозможна. К тому же необходимость составить и утвердить данный документ установлена законом.

Информация, составляющая персональные данные сотрудников хранится на предприятии. Для ее систематизации и хранения существуют специальные документы: личные карточки сотрудников и их личные дела. В этих формах содержатся сведения, полученные от сотрудников, в том числе, при трудоустройстве.

Остальная персональная информация собирается в ходе работы сотрудников. Например, к ней относятся сведения о заработной плате, содержащиеся в расчетных ведомостях.

Актуально на

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). К ним относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • изображение человека (фотография и видеозапись);
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение (например, информация о зарплате);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Перечисленные персональные данные содержаться в различных документах, с которыми взаимодействует или издает работодатель.

Назначить ответственного работника на обработку персональных данных требует законодательство, а именно:

Статья 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Лица, ответственные за организацию обработки персональных данных в организациях

  1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
  2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
  3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
  4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
    1. осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
    2. доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
    3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Как правило, таким сотрудником является работник службы персонала (отдела кадров), поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников.

Актуально на

Права, функции и обязанности этого специалиста, пределы его полномочий определяет и детализирует должностная инструкция ответственного за обработку персональных данных — особый организационно-распорядительный документ, в котором определен порядок действий при каждой операции с персональными данными. Четкая форма инструкции законодательно не установлена. Допускается просто перечислить в ней основные должностные обязанности. Но чем подробнее будут описаны все производственные процессы, тем меньше вероятность возникновения разногласий как с работниками, так и с законодательством.

Самый распространенный вид инструкции — документ, содержащий следующие разделы:

  • общие положения;
  • функции;
  • обязанности;
  • права;
  • ответственность.

Также в документе прописывают положения о порядке его изменения, ссылки на законодательные акты.

Назначениe лица, ответственного за организацию обработки персональных данных

В начальной части должностной инструкции ответственного за персональные данные перечисляются общие параметры профессиональной деятельности специалиста, базовые моменты. В этом разделе, как правило, определяются:

  • наименование должности, основные требования к работнику — наличие у него специального образования, квалификации, стажа, опыта работы;
  • лицо, назначающее на должность и освобождающее от должности;
  • документы, которыми работник обязан руководствоваться в своей деятельности;
  • порядок замещения работника, его субординация.

Особенно важны умения и навыки. Здесь указываются важные требования о знании законодательства в области персональных данных, организации труда, основ делопроизводства с использованием современных информационных технологий.

В этом разделе фиксируются задачи сотрудника. Они закреплены в ст. 22.1 закона № 152-ФЗ и обязывают ответственного:

  • контролировать соблюдение в организации соответствующих законов, в том числе требований к защите информации;
  • доводить до сведения работников положения законодательства, локальных актов по вопросам обработки данных;
  • организовывать прием и обработку обращений и запросов владельцев данных.

Более детальный перечень формулируется в следующем разделе документа.

В этой части инструкция ответственного за организацию обработки персональных данных описывает порядок действий по сбору, хранению, передаче, уничтожению и другому их использованию. Полный список не регламентирован.

Обязанности удобно разделить на 4 части:

  1. Профессиональные — одинаковые на разных предприятиях, независимо от их размеров, правовой формы и других факторов (например, контроль за соблюдением сохранности данных, ведение соответствующих журналов и т. д.).
  2. Специальные — характерные для конкретного работодателя (например, составление обучающих программ в своей компетенции).
  3. Обязательные для всех профессий (соблюдение внутреннего распорядка, сроков подготовки документации и пр.).
  4. Описывающие отношение к технике, инструментам, инвентарю, которые предоставлены работодателем (бережное отношение к оргтехнике, использование ее только в рабочих целях и т. д.).

Рекомендуется избегать дублирования обязанностей работника, указанных в трудовом договоре.

Нет необходимости вносить в раздел те права работника, которые установлены Трудовым кодексом и трудовым договором. Здесь перечисляются дополнительные права специалиста, его полномочия. Это такие действия, например:

  • знакомиться с проектами решений руководства организации, касающимися его деятельности;
  • вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с выполнением конкретных обязанностей;
  • подписывать документы в пределах своей компетенции;
  • получать информацию и документы, необходимые для выполнения своих должностных обязанностей;
  • вести переписку с организациями по вопросам, входящим в его компетенцию;
  • требовать от руководства организации оказания содействия в исполнении своих должностных обязанностей и прав;
  • повышать свою профессиональную квалификацию;
  • другие права и социальные гарантии.

Ответственный за организацию обработки персональных данных

Российское законодательство вот уже более 3 лет стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:

  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных),
  • Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 781),
  • Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687).

Справка Свернуть Показать

В декабре прошлого года на заседании Госдумы принят в третьем чтении законопроект № 284213-5 «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных». Из закона исключены требования об использовании криптографических средств защиты персональных данных. В соответствии со ст. 25 Федерального закона «О персональных данных» информационные системы персональных данных, созданные до дня вступления в силу данного закона, должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года. Законопроектом же предлагается продлить этот срок до 1 января 2011 года.

Но каким образом это относится к кадровой службе? Что нового содержится в данных постановлениях и Законе, чего нет в главе 14 ТК РФ? Эти документы в первую очередь определяют порядок работы с персональными данными, они расширяют и уточняют нормы права, приведенные в ТК РФ. Во-вторых, они определяют мероприятия по обеспечению безопасности работы с персональными данными.

Давайте разберемся подробнее. Ключевыми понятиями, от которых стоит отталкиваться при определении объема работ при использовании персональных данных работников, является само понятие «персональные данные» и понятие «обработка персональных данных».

Согласно ТК РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Закон «О персональных данных» расширяет и уточняет понятие. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • паспорте;
  • военном билете (у военнообязанных);
  • свидетельстве о присвоении ИНН;
  • страховом пенсионном свидетельстве;
  • документах об образовании (в том числе и дополнительного образования, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях);
  • в водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника;
  • медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.

Использование предприятием в своей деятельности вышеуказанных данных трактуется законодательством как «обработка персональных данных». В это понятие входят следующие действия: сбор, систематизация, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передача. Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.

Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений2. Так, собственник не имеет права:

  • сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
  • сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Итак, в организации для работы с персональными данными должны быть следующие документы:

  1. Положение о персональных данных.
  2. Приказ о назначении ответственных за работу с персональными данными.
  3. Приказ о назначении ответственных за обеспечение безопасности персональных данных.
  4. Заявления работников на обработку персональных данных.
  5. Договоры (допсоглашения) с работниками об обработке персональных данных.

Свернуть Показать

  1. Статья 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (принят ГД ФС РФ 08.07.2006 г.). Вернуться назад

  2. Статья 88 ТК РФ. Вернуться назад

  3. Статья 6 Закона «О персональных данных». Вернуться назад

  4. Часть 2 ст. 18 Закона «О персональных данных». Вернуться назад

В компетенцию детского образовательного учреждения входит создание необходимых условий для организации питания детей и работников. Отвечает за это прежде всего руководитель. Но объем работы настолько большой, что в помощь администрации назначается ответственный. Он обеспечивает качественную работу пищеблока, осуществляет контроль, ведет всю необходимую документацию по соответствующим вопросам, занимается разъяснительной деятельностью.

Выполнение этих обязанностей руководитель возлагает на работника в рамках совмещения с основным видом деятельности либо вводит самостоятельную штатную единицу. Основная документация на ответственного за питание в школе включает в себя:

  • приказ по образовательному учреждению о его назначении на учебный год;
  • приказ о создании контролирующей комиссии и положения о ее работе;
  • положение о порядке организации горячего питания;
  • положение о бракеражной комиссии;
  • программы, планы и графики работ по вопросам работы пищеблока.

Функциональные обязанности работника определяются в отдельном организационно-распорядительном документе.

В этом разделе обычно указываются:

  • наименование должности, основные требования к работнику — наличие у него специального образования, квалификации, стажа, опыта работы;
  • лицо, назначающее на должность и освобождающее от нее;
  • документы, которыми работник обязан руководствоваться в своей деятельности;
  • порядок замещения работника, его субординация.

В разделе «Квалификационные характеристики должностей работников образования» Единого квалификационного справочника должностей руководителей, специалистов и служащих не выделены отдельно ответственные за работу пищеблока, поэтому требования к ним разрабатываются в учреждении и включают знания работника законодательства в соответствующей сфере, СанПиНов, приказов и рекомендаций профильных ведомств, основ пищевых технологий.

Требования к специалисту, осуществляющему информационную деятельность по формированию культуры здорового питания, перечислены в проекте Государственного стандарта питания обучающихся и воспитанников образовательных учреждений. В некоторых субъектах РФ на его основе приняты региональные стандарты. Таким образом, работнику необходимо обладать обширной базой знаний, поэтому рекомендовано, чтобы должностная инструкция ответственного за питание в ДОУ или в школе содержала требования о специальном или смежном образовании специалиста, прохождении курсов повышения квалификации.

Функционал ответственного сводится к двум главным позициям:

  1. Организация качественной работы пищеблока.
  2. Разъяснительная работа по вопросам культуры питания.

Эти задачи детализируются в следующем разделе.

Обязанности

В этой части представлен перечень конкретных действий работника в рамках должностных обязанностей ответственного за питание в школе или детском саду. Он включает в себя:

  • организацию пищевого и питьевого режима обучающихся;
  • работу по приему и организации хранения продуктов;
  • контроль над объемом и качеством оказываемых услуг, за соблюдением санитарных норм;
  • осуществление установленного документооборота, ведение отчетности и соответствующих журналов;
  • взаимодействие с педагогами, детьми и родителями для ведения разъяснительной работы в пределах своих компетенций;
  • общие требования к соблюдению внутреннего трудового распорядка и техники безопасности;
  • другие обязанности, связанные с совершенствованием предоставления услуг пищеблока в учреждении.

В разделе перечислены права работника дополнительно к тем, которые предоставлены ему трудовым законодательством, и определены пределы его полномочий. Например, право знакомиться с проектами решений администрации учреждения, касающимися вопросов, входящих в его компетенцию, вносить предложения по улучшению организации работы пищеблока и т. п.

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *