Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Назначение ответственного за персональные данные». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.
Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.
Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.
Приказ о назначении ответственного за обработку персональных данных
Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.
Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.
Чьи подписи должны стоять под приказом
Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.
Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.
Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.
Назначениe лица, ответственного за организацию обработки персональных данных
Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.
- В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
- Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
- Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
- Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
- В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.
Назначенный сотрудник имеет доступ к информации без дополнительного разрешения, так как в обязанности ответственного за обработку персональных данных входит (п. 4 ст. 22.1 ФЗ-152 в ред. от 31.12.2017):
- осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства РФ, требования к защите данных;
- доведение до сведения работников положения законодательства, локальных актов по вопросам обработки, защиты;
- прием, обработка обращений и запросов субъектов данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
ВАЖНО! Уполномоченный за ООПД работников может совмещать работу с данными иных физических лиц. Это удобно, поскольку перечень обязанностей такого лица не зависит от того, чьи данные обрабатываются — работников или, например, клиентов.
Существующие нормативные акты определяют, что издание приказа о назначении ответственного лица по персональным данным является обязательным для всех юридических лиц.
Именно в этом документе происходит обозначение всех лиц организации, которые имеют право работать с этими сведениями, начиная от рядовых сотрудников фирмы и заканчивая ответственным, кто организует и координирует защиту данной информации.
Закон определяет, что субъект бизнеса должен самостоятельно назначить лицо, которое будет отвечать за работу с персональными данными сотрудников. Это значит, что таким работником может быть любой человек, который трудится в компании.
Закон не устанавливает для него каких-либо требований — к должности, образованию, навыкам и т. д.
Однако, это лицо должно будет исполнять функции и обязанности, которые возлагаются на ответственного по защите персональных данных:
- Выполнять контроль внутри компании за соблюдением требований закона о персональных данных, в том числе требований по их защите;
- разъяснять работникам компании положения нормативных актов, связанных с обработкой и защитой персональных данных;
- Осуществлять прием и обработку запросов на персональные данные.
Кроме этого, исполнение этих обязанностей требует навыков по подготовке распорядительной документации, а также разбираться в законодательных актах. Самым оптимальным вариантом для этой должности будет сотрудник юридического отдела. Если такого нет, то такие обязанности можно возложить на кадровика или секретаря.
Допускается назначить ответственными целый отдел. Но в этой ситуации личную ответственность за работу с персональными данными будет нести руководитель этого отдела.
Внимание! В случае, если сотрудник, назначенный выполнять данные обязанности, увольняется, то необходимо выбрать и назначить нового ответственного. При этом первым пунктом нового приказа должно быть объявление недействительным предыдущего распоряжения.
В соответствии с требованиями Федерального закона 152 «О персональных данных» Оператор персональных данных, являющийся юридическим лицом, обязан назначить приказом лицо, ответственное за организацию обработки персональных данных. В GDPR имеются аналогичные требования.
У оператора есть несколько вариантов действий:
- Открыть штатную единицу и нанять на работу Ответственное лицо.
- Передать обязанности на аутсорсинг.
- Назначить в качестве ответственного лица имеющегося работника.
Чаще всего на роль ответственного назначают одного из следующий сотрудников:
- Юрист
- Специалист подразделения информационных технологий
- Специалист по защите информации
- Сотрудник отдела кадров
- Менеджер по рискам
- Административный директор
- Директор по работе с государственными органами
Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов. Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров. Специалист отдела ИТ или ИБ больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий.
Кроме этого, по мнению Роскомнадзора, ответственным лицом должен быть скорее сотрудник юридического отдела, чем специалист по информационной безопасности, так как в новых Правилах проверок Роскомнадзора определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
ПРИКАЗ
о назначении ответственного за организацию обработки персональных данных
№ _____.__.20__
В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:
- Назначить ответственным за организацию обработки персональных данных в Компании (указать наименование) (указать должность, ФИО).
- Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
- Возложить функции, полномочия и ответственность, предусмотренные локальными актами Оператора (здесь обычно перечисляются внутренние документы Оператора по вопросам обработки персональных данных), на ответственного за организацию обработки персональных данных.
- Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
«__» ______________ 20___г. ________________ ________________________________
ПРИКАЗ
о назначении ответственного за организацию обработки персональных данных
№ _____.__.20__
В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:
- Назначить ответственным за обеспечением безопасности персональных данных в информационных системах персональных данных в Компании (указать наименование) (указать должность, ФИО).
- Наделить ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующими правами:
- требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
- осуществление регулярного обнаружения уязвимостей и угроз безопасности персональных данных;
- участие в определении актуальных угроз безопасности персональных данных;
- участие в проведении работ по проработке технических решений по защите персональных данных, внедрению и эксплуатации программных и аппаратных средств защиты, а также инфраструктуры информационной системы персональных данных;
- участие в разработке и поддержании в актуальном состоянии организационно-распорядительной документации средств защиты персональных данных;
- участие в реализации разрешительной системы доступа к персональным данным;
- запрашивать и получать от иных работников Оператора информацию для исполнения своих обязанностей;
- вносить предложения руководителю Компании (указать наименование):
- о внесении изменений в технологические процессы, связанные с обработкой персональных данных, а также в информационные системы персональных данных, если это обусловлено необходимостью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
- необходимости проведения организационных и технических мероприятий с целью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
- поощрении или привлечении к ответственности работников Компании (указать наименование) в связи с исполнением ими обязанностей, связанных с обработкой персональных данных.
- требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
- Возложить на ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующие обязанности:
- участие в разработке Модели защиты персональных данных при их обработке в информационных системах персональных данных;
- определение типа актуальных угроз информационной безопасности персональных данных для каждой информационной системы персональных данных;
- определение необходимого уровня защищённости персональных данных при их обработке в информационных системах персональных данных;
- определение требований к созданию средств защиты персональных данных для информационных систем персональных данных;
- участие в выборе средств защиты информации для средств защиты персональных данных в соответствии с Приказом ФСТЭК № 21;
- участие в создании и вводе в эксплуатацию средств защиты персональных данных;
- учет применяемых для обеспечения безопасности персональных данных средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
- контроль выполнения мероприятий, предусмотренных Положением об организации обработки и обеспечении безопасности персональных данных в Компании (указать наименование).
Оператор персданных обязан не только установить ответственных за работу с личными сведениями лиц. Необходимо создать условия для организации безопасного доступа к персональным данным, исключения возможности их разглашения. Для этого возложить ответственность за сохранность сведений личного характера на бумаге и в информационных системах на уполномоченных сотрудников путем предоставления доступа.
Важно! Параметры допуска фиксируются в ЛНА — подробно расписывается кому какой доступ предоставляется и для каких целей, бывает полным и ограниченным. |
Вид и порядок доступа к персональным данным граждан устанавливается в зависимости от характера ПД, с которыми работает специалист и определяется его функциональными обязанностями. Законодательно обусловленного разделения персонала по видам допусков к личным сведениям нет, кто имеет доступ к конфиденциальной информации, решает сам работодатель.
Совет Полным доступом наделяются сотрудники, которым он необходим в силу выполняемых обязанностей. Это главный бухгалтер, начальник отдела кадров, первые лица организации, их заместители — перечень таких должностей определяется внутренним нормативным актом по персональным данным или отдельным приказом. |
В ЛНА закрепляется и перечень лиц с ограниченным допуском, по которому также может быть издан регламентирующий приказ. В нем указываются: должности; перечень конфиденциальной информации, допуск к которой открыт; список разрешенных операций. Ограничение доступа обуславливается спецификой личных сведений, нужных для выполнения трудовых функций конкретному специалисту.
Приказ о назначении ответственных за обработку персональных данных
Запрета о назначении каких-либо категорий лиц закон также не содержит. Однако эксперты не рекомендуют назначать ответственными сотрудников, должности которых не предполагают работу с частной информацией, например уборщиков, инженеров или бухгалтеров.
Общество с ограниченной ответственностью “ВасилькоВиКо”ИНН/КПП 468416546316341/6546316546юр. адрес: Россия, Ненецкий автономный округ, г. Амдерма, ул. Северная, 13
Законная обработка персональных данных – современные реалии. Государство и надзирающие органы уделяют все больше внимания указанной сфере. А в трудовой деятельности есть ряд строгих запретов. Есть требования о запрете обработке специальных категорий персональных данных. А также запрет получать персональные данные от иных, кроме работника, лиц. Передача персональных данных работника регламентируется также достаточно строго.Обязанность оформить приказ у работодателя прямо не предусмотрена законом. Но разработать и утвердить такой приказ – значит, назначить лицо, которое будет отвечать за организацию обработки данных. Как уже мы сказали выше, при отсутствии приказа, ответственность несет руководитель и само юридическое лицо.
Ответственное лицо должно обладать знаниями в области регулирования и процесса обработки. И законодательства в сфере персональных данных. Поэтому чаще всего это руководящий состав. Кадровики, юристы, бухгалтерия (последние – реже). Если организация имеет филиалы или обособленные подразделения, логично возложить такие обязанности на соответствующих руководителей.
Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:
- Ф.И.О.;
- возраст (год рождения);
- семейное положение;
- образование;
- профессия;
- адрес проживания;
- расовая и национальная принадлежность;
- вероисповедание;
- биометрические данные;
- политические взгляды;
- состояние здоровья.
Образец приказа об обработке персональных данных работников
На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:
- положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2020 детально описан в специальном материале;
- образец приказа о хранении персональных данных;
- политика предприятия в отношении таких сведений;
- перечень лиц, имеющих доступ к ним;
- согласие на обработку;
- соглашение о неразглашении;
- журнал учета передачи данных.
Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.
Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере. Права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011. А с 23.02.2019 вступило в силу Постановление Правительства от 13.02.2019 № 146, которое описывает правила проведения проверок за соблюдением законодательства об обработке личных данных.
Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:
- дисциплинарная — на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ;
- административная — на основании ст. 13.11 КоАП РФ (штраф до 75 000 рублей);
- уголовная — с учетом положений ст. 137 УК РФ (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).
Законодательный акт устанавливает, что составление и издание данного приказа по назначению ответственного лица является обязательным для каждого субъекта бизнеса.
Только в таком приказе устанавливаются лица, которые имеют право на предприятии работать с персональными данными, осуществлять их обработку и мероприятия по защите.
Важно: отсутствие такого приказа будет определяться как нарушение, с наложением ответственности согласно действующих норм КОАП.
Нормами законодательства предусматривается, что хозяйствующий субъект должен определять ответственных лиц для работы с персональными данными.
Чтобы выполнить данную обязанность, руководитель организации издает приказ, которым утверждается должностное лицо для работы с персональными данными.
В соответствии с нормами только это лицо должно вести работу с персональными данными, обеспечивать их защиту, ограничивать доступ к ним третьих лиц, не допускать несанкционированное их использование.
Важно: поэтому игнорировать составление приказа на ответственное лицо, считается нарушением законодательства о персональных данных.
За такое несоблюдение закона существует согласно КоАП ответственность в виде объявления предупреждения или установления штрафных санкций:
- в отношении физлиц — 300-500 рублей.
- в отношении ответственных лиц на предприятии — 500-1000 рублей.
- в отношении юридических лиц — 5000 — 10000 рублей.
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). К ним относятся:
- фамилия, имя, отчество;
- пол, возраст;
- изображение человека (фотография и видеозапись);
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение (например, информация о зарплате);
- деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения, которые могут идентифицировать человека.
Перечисленные персональные данные содержаться в различных документах, с которыми взаимодействует или издает работодатель.
Образец приказа о назначении ответственного за обработку персональных данных
Назначить ответственного работника на обработку персональных данных требует законодательство, а именно:
Статья 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Лица, ответственные за организацию обработки персональных данных в организациях
- Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
- Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
- Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
- Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Как правило, таким сотрудником является работник службы персонала (отдела кадров), поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников.
Федеральный закон №152-ФЗ, принятый 27 июля 2006 года, устанавливает понятие «персональные данные» как любые сведения, которые прямым или косвенным путем относятся к физическим лицам. В частности, об этом говорится в пункте 1 статьи 3 Федерального закона №152-ФЗ.
В частности, это касается:
- ФИО;
- даты и места рождения;
- адреса проживания или регистрации;
- пола;
- должности;
- семейного положения;
- заработной платы и других видов прибыли;
- возможного наличия какой-либо недвижимости или банковских вкладов и других материальных активов;
- квалификации, образования, профессиональной подготовки и аналогичных сведений;
- увлечений и привычек;
- факты биографии и ведения предыдущей трудовой деятельности;
- личные или деловые качества;
- уникальные физиологические особенности;
- другие данные.
Приказ о возложении ответственности по защите персональных данных – документ обязательный (ст. 85-90 ТК РФ, №152-ФЗ от 27.07.2006г.)
Подготовкой приказа о назначении ответственных по обработке и хранению ПДн может заниматься любое подразделение организации в соответствии с установленным порядком документооборота. Утверждает приказ руководитель или уполномоченное лицо.
Каждая компания, имеющая в штате хотя бы одного сотрудника, становится оператором персональных данных. ПД нуждаются в защите и могут использоваться только с согласия их субъекта – это законодательно определено. И стало быть, кто-то должен следить за тем, чтобы на предприятии не происходило случайной или преднамеренной утечки личных сведений и нести ответственность за их сохранность. Для этого руководитель издает приказ о назначении ответственного за персональные данные.
Унифицированной формы нет, распоряжение оформляется в вольном формате, с учетом всех правил делопроизводства.
Плохая новость: появятся два новых штрафа за нарушения в работе с персональными данными. Хорошая новость — в этой статье мы собрали все способы, как организовать работу с персданными так, чтобы было удобно вам и безопасно для компании. Как облегчить себе работу узнаете из статьи журнала “Справвочник кадровика”.
Шаг 1. Если есть фирменный бланк – оформляется приказ на нем, если таковой отсутствует – в шапке указывается полное название компании.
Приказ о назначении ответственного по работе с персональными данными
Трудоустраиваясь на предприятие, человек доверяет ему свою личную информацию, а оно, в свою очередь, обязуется сохранять ее, не допуская разглашения. При этом руководитель компании несет личную ответственность за сохранность персональных данных.
►Составляем Политику обработки персданных по новым требованиям Роскомнадзора
Однако, как это принято в организациях, директор часть своих обязанностей делегирует доверенным сотрудникам. Это касается и работы с ПД – посредством издания соответствующего распоряжения назначается ответственный работник. Он собирает сведения о персонале, получая с каждого согласие на их обработку, обеспечивает их надежное хранение и работу с ними в рамках законодательства.
В идеале доверить работу с ПД надо штатному юристу, но они есть далеко не во всех компаниях, поэтому чаще всего ответственность возлагается на кадровика или секретаря. Никаких особенных требований к назначаемому лицу не предъявляется, но, разумеется, он должен быть осведомлен с Положением о защите персональных данных и осознавать всю меру своей ответственности и серьезность порученной ему задачи.
Чаще всего достаточно после основного текста приказа на том же листе ниже подписи руководителя составить список лиц, упомянутых в документе, и предложить им поставить автограф напротив своей фамилии. Иногда удобно сделать это в виде таблички: номер п/п, ФИО, должность, дата, место для подписи. Когда приказ касается многих работников, целесообразно сформировать отдельный лист ознакомления с приказом в форме такой же таблицы.
►Инструкция по кадровому делопроизводству по новому ГОСТу
Крайне важно, чтобы работник действительно прочел распоряжение и понял, что ему поручено, а не просто расписался для галочки. Проставляя свою роспись, он соглашается с текстом приказа, принимает на себя ответственность и должен быть готов отвечать по закону, если нарушит указания руководства.
Изначально в организации должно применяться специализированное положение о персональных данных, в котором указывается точный порядок сбора такой информации (что может осуществляться в электронном или бумажном виде), а также методы ее обработки, хранения и обеспечения защиты.
Основываясь на данном положении, должны работать все лица, несущие ответственность за сбор персональной информации, причем все работники компании должны быть ознакомлены с текстом этого документа под роспись, а те лица, которые принимаются вновь, должны ознакомиться с документом до того, как подпишут трудовой договор.
Любая крупная компания должна иметь собственное положение, в соответствии с которым уполномоченные лица должны работать с персональными данными. При этом стоит отметить тот факт, что этим положением нужно охватывать все требования, связанные с получением, хранением, объединением и последующей передачей личных данных любому подразделению, а также обеспечение гарантий их защиты.
После этого в обязательном порядке в положении должна присутствовать соответствующая ссылка на нормативно-правовые и законодательные акты, в соответствии с которыми осуществлялась разработка данного положения.
Сообщение о создании обособленного подразделения
подается в федеральную налоговую службу.
Отсюда вы сможете узнать, для чего нужна форма ПМ-Торг.
Поводов для передачи персональных данных третьим лицам может быть масса — заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д. Если организация большая — несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге. Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?
По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.
Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся — и дело будет закрыто.
Меры по защите персональных данных сотрудников
Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.
Так, Девятый арбитражный апелляционный суд в своем постановлении от 25.06.09 г. по делу № А40-76345/08-122-112 указал, что сотрудник службы судебных приставов не имеет права запрашивать и получать сведения, содержащие личные данные граждан. В частности, суд отметил, что ни Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах», ни Федеральный закон от 02.01.2007 № 229-ФЗ «Об исполнительном производстве» не предоставляют судебным приставам-исполнителям права получать персональные данные без согласия их субъектов, не устанавливают условия получения таких данных, не определяют круг субъектов, персональные данные которых подлежат обработке, а также полномочия судебного приставаисполнителя по их обработке.
Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.
Что такое трансграничная передача данных? Это передача персональных данных оператором через государственную границу Российской Федерации органу власти, физическому или юридическому лицу иностранного государства. В Российской Федерации одним из критериев оценки государства с точки зрения организации им адекватного уровня защиты может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108.
До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.
Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.
Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.
Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки.
Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Итак, постановление Правительства РФ 2007 г. № 781 утратило силу. В новом постановлении № 1119 объединены два проекта, один из которых определяет уровни защищенности информации, содержащей персональные данные, а второй — требования к их безопасности.
По сути дела, мало что изменилось. Та же оценка соответствия, тот же непонятный электронный журнал, те же требования об утверждении списка допущенных лиц, установлении режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Постановление определяет, что набор средств защиты оператор должен выбирать самостоятельно, основываясь на ранее принятых нормативных актах ФСБ и ФСТЭК.
Согласно документу, актуальными угрозами для безопасности персональных данных являются условия и факторы, создающие потенциаль-ную опасность несанкционированного доступа к базам данных при их обработке, в результате которого данные могут быть уничтожены, изменены, заблокированы или предоставлены третьим лицам, не имеющим к ним права доступа. Кроме того, в постановлении определены три типа угроз информационным системам, содержащим пользовательские базы данных, а также четыре уровня защищенности информационных систем.
Пункт 13 постановления № 1119 требует, чтобы в помещениях, где производится обработка персональных данных, был обеспечен режим безопасности в соответствии с 4-м (минимальным) уровнем защищенности. При выполнении этой нормы документа становится практически невозможным использование мобильных устройств для обработки персональных данных за пределами помещения, где обеспечен режим безопасности. Следовательно, применение сотрудниками ГИБДД, таможенниками или врачами планшетов и смартфонов за пределами своих офисов оказывается также неправомерным.
Теперь подробной классификации угроз нет, поэтому проводим их оценку самостоятельно и устанавливаем соответствующий уровень защищенности в целях их нейтрализации. Для обеспечения нужного уровня защищенности необходимо реализовать ряд организационных и технических мероприятий по выбору средств защиты информации, причем сделать это надо, ориентируясь на документы ФСБ и ФСТЭК.
При назначении сотрудника ООПД, на него возлагаются дополнительные обязанности, за невыполнение или ненадлежащие выполнение которых работнику грозит административная ответственность. В таких случаях составление приказа и ознакомление с ним работника под роспись обязательно.
В небольших организациях ООПД может быть руководитель. Составление приказа о наделении его такими полномочиями обязательно.
Алгоритм следующий:
- Собрать и проанализировать информацию:
- Законодательную (не вносились ли в последнее время изменения в закон «О персональных данных» и в нормативные правовые акты, которые были изданы на его основе);
- Персональную (точное написание наименования должностей, фамилий, инициалов работников, которые будут упоминаться в приказе);
- Определиться с использованием бланка приказов.
- Оформить «шапку» приказа, если бланк приказа не используется.
- Оформить заголовок к тексту (ниже места издания документа, от левого поля без отступа).
- Оформить констатирующую часть приказа (с какой целью, на основании каких законодательных и нормативно-правовых документов издается приказ; без точки в конце констатирующей части).
- Оформить слово «ПРИКАЗЫВАЮ» (может располагаться, а конце констатирующей части и оформляться вразрядку: п р и к а з ы в а ю: или в отдельной строке прописными буквами: ПРИКАЗЫВАЮ).
- Оформить распорядительную часть (для каждого предписываемого действия выделить отдельный пункт, пронумерованный арабскими цифрами; указать должность, фамилия и инициалы сотрудника, который назначается ООПД, и дата, начиная с которой он приступает к указанным обязанностям).
- Оформить отметку о приложении, если оно имеется (указать наименование приложения, количество экземпляров и количество листов в каждом экземпляре).
- Оформить подпись.
- Проверить правильность оформления приказа и отдать на подпись руководителю.
- Зарегистрировать приказ в регистрационном журнале, соответствующие дату и номер проставить на приказе.
- Ознакомить с приказом назначенного ООПД под роспись (ознакомляемый должен расписаться и проставить дату ознакомления).
- Поместить приказ в папку для хранения.
10 реквизитов приказа об ответственном за персональные данные
Кто может быть назначен ответственным за обработку персональных данных? Примеры приказов о назначении ответственных лиц
В соответствии с требованиями Федерального закона 152 «О персональных данных» Оператор персональных данных, являющийся юридическим лицом, обязан назначить приказом лицо, ответственное за организацию обработки персональных данных. В GDPR имеются аналогичные требования.
У оператора есть несколько вариантов действий:
- Открыть штатную единицу и нанять на работу Ответственное лицо.
- Передать обязанности на аутсорсинг.
- Назначить в качестве ответственного лица имеющегося работника.
Чаще всего на роль ответственного назначают одного из следующий сотрудников:
- Юрист
- Специалист подразделения информационных технологий
- Специалист по защите информации
- Сотрудник отдела кадров
- Менеджер по рискам
- Административный директор
- Директор по работе с государственными органами
Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов. Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров. Специалист отдела ИТ или ИБ больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий.
Кроме этого, по мнению Роскомнадзора, ответственным лицом должен быть скорее сотрудник юридического отдела, чем специалист по информационной безопасности, так как в новых Правилах проверок Роскомнадзора определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
о назначении ответственного за организацию обработки персональных данных
В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,
- Назначить ответственным за организацию обработки персональных данных в Компании (указать наименование) (указать должность, ФИО).
- Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
- Возложить функции, полномочия и ответственность, предусмотренные локальными актами Оператора (здесь обычно перечисляются внутренние документы Оператора по вопросам обработки персональных данных), на ответственного за организацию обработки персональных данных.
- Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
«__» ______________ 20___г. ________________ ________________________________
о назначении ответственного за организацию обработки персональных данных
В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,
«__» ______________ 20___г. ________________ ________________________________
Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.
Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.
Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.
Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.
Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.
Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.
Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.
В перечень обязанностей ответственного за обработку персональных данных сотрудника входит контроль за защитой личной информации работников организации, доведение до них соответствующих нормативно-правовых актов компании, сбор нужных подписей и проч.
Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011 № 312. Для того чтобы у инспектора не было повода «принимать меры», нужно подготовить документы, перечисленные выше, и утвердить их приказами руководителя. Основополагающим станет распоряжение об утверждении Положения — смотрите образец приказа об утверждении положения о персональных данных (2020 год).
Персональные данные работников — это, образно говоря, «золото и бриллианты», доступ к которым ограничен даже для сотрудников организации. Кто будет иметь к ним доступ — решает директор. Общие требования по работе в данном направлении прописываются в положении (образец приказа об утверждении положения о защите персональных данных 2020 году можно сделать в свободной форме, унифицированной формы данного документа не существует). В то же время отдельным нормативным документом пишут, кто, когда и с какой целью имеет доступ к тем или иным персональным данным. Полный допуск, как правило, имеют:
- генеральный директор и его заместитель по безопасности;
- начальник отдела кадров.
Остальные специалисты, в том числе и бухгалтеры, могут иметь доступ только к той информации, которая им необходима для выполнения своих должностных обязанностей.
Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию или студент получает диплом о высшем образовании). В этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника). Однако это распоряжение не относится к документам, наличие которых продиктовано ФЗ-152, — это один из стандартных приказов по кадрам.