Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как составить приказ об ответственном за обработку и защиту персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Закон не выдвигает особых требований к должности лица, назначенного ответственным за организацию обработки персональных данных. Напомним, что под «обработкой персональных данных» понимается любое действие или операция с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных).
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Каких-то особых условий оформления приказа нормативно не предусмотрено. При разработке документа можно использовать фирменный бланк компании. Для работодателя достаточно будет одного экземпляра, но при необходимости можно подготовить дополнительные копии.
Обычно текст документа набирают на компьютере и распечатывают на принтере. Далее приказ подписывает руководитель организации. Также свою подпись должен поставить сотрудник, на которого приказом возложена обязанность контроля исполнения данного распоряжения руководства. Наконец, приказ также подписывают остальные работники, которые в нем упоминаются.
Ставить печать на документе обязательно только в том случае, если требование об использование печати прописано в учетной политике компании.
Как правильно оформить приказ о персональных данных
Хотя образец приказа о персональных данных работников 2018 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.
В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.
Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)
Основная часть приказа о персональных данных должна содержать:
- собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
- указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
- указание ответственному лицу ознакомить работников с распорядительным документом;
- определить работника, который будет контролировать исполнение (может быть сам руководитель).
Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.
Обязателен ли документ, его значение
Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.
ФАЙЛЫ
В перечень обязанностей ответственного за обработку персональных данных сотрудника входит контроль за защитой личной информации работников организации, доведение до них соответствующих нормативно-правовых актов компании, сбор нужных подписей и проч.
Обязателен ли документ, его значение
Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.
- Бланк и образец
- Бесплатная загрузка
- Онлайн просмотр
- Проверено экспертом
Что относится к персональным данным
Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.
Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.
Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.
Строгая форма документа не установлена, указывается информация о защите данных работника:
- задачи и цели фирмы по охране личных данных;
- понятие личных данных и их структура;
- бумажные или электронные носители хранения информации;
- порядок сбора, обработка и использование сведений работников;
- обозначение должности сотрудника (в пределах предприятия), допускаемого к информации;
- защищенность от неразрешенного доступа;
- права сотрудника для защиты собственных данных;
- обязательства при разглашении конфиденциальных персональных данных.
Организация защиты (пакет документов)
Руководитель предприятия должен своим приказом назначить одного из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот их небольшой перечень:
- политика организации в отношении персональных данных (в данном случае будет составлен образец приказа об утверждении политики обработки персональных данных в целом по организации);
- положение об обработке и защите конфиденциальной информации (приказ на утверждение положения о защите персональных данных);
- перечень лиц, имеющих к ней доступ;
- согласие на обработку (в общем случае согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т. д.);
- соглашение о неразглашении;
- журнал учета передачи данных.
Распоряжение о назначении уполномоченного входит в перечень рекомендованных документов для формирования системы защиты индивидуальной информации в организации при ее обработке. Четкий перечень документов законом не регламентирован. Работодатель обязан назначить ответственного за обработку персональных данных в соответствии с п. 1 ст. 22.1 ФЗ-152 в ред. от 31.12.2017. После утверждения сотрудник:
- получает указания непосредственно от исполнительного органа, назначившего его;
- подотчетен организации, являющейся оператором.
Обработку специальной категории личных данных (ведение кадрового, бухгалтерского учета и пр.), с согласия работника, работодатель вправе поручить другому лицу (ч. 3 ст. 6 ФЗ-152, абз. 2 п. 5 Разъяснений Роскомнадзора).
ВАЖНО!
Ответственность перед работником за действия указанных лиц несет работодатель (ч. 5 ст. 6 ФЗ-152 в ред. от 31.12.2017).
Требования к должности трудовым законодательством не установлены. Это вытекает из следующего:
- порядок хранения данных устанавливается работодателем (ст. 87 ТК РФ);
- учреждения и предприятия самостоятельно разрабатывают и утверждают положение (описывают действия, связанные с обработкой хранением, использованием, перечисляют ответственных за обработку персональных данных — п. 2 ч. 1 ст. 18.1 ФЗ-152 в ред. от 31.12.2017);
- если приказ отсутствует, руководитель является лицом, ответственным за ООПД (государственный орган, муниципальный орган, организация любой формы собственности).
ВАЖНО!
Руководитель является единоличным исполнительным органом (ст. 273 ТК РФ) — законодательно не установлено дополнительно оформлять на руководителя приказы и отдельные соглашения к трудовому договору на обработку данных работающих.
Нет необходимости вносить в раздел те права работника, которые установлены Трудовым кодексом и трудовым договором. Здесь перечисляются дополнительные права специалиста, его полномочия. Это такие действия, например:
- знакомиться с проектами решений руководства организации, касающимися его деятельности;
- вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с выполнением конкретных обязанностей;
- подписывать документы в пределах своей компетенции;
- получать информацию и документы, необходимые для выполнения своих должностных обязанностей;
- вести переписку с организациями по вопросам, входящим в его компетенцию;
- требовать от руководства организации оказания содействия в исполнении своих должностных обязанностей и прав;
- повышать свою профессиональную квалификацию;
- другие права и социальные гарантии.
Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора?
В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.
Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.
При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:
ФИО;
дата рождения;
паспортные данные;
адрес места регистрации и/или проживания;
контактная информация;
номер ИНН;
номер СНИЛС;
номер банковской карты и/или лицевого счета.
Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- адрес;
- семейное положение;
- должность (профессия);
- зарплата, другие доходы;
- владение недвижимым имуществом, денежные вклады и др.;
- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- физиологические особенности, здоровье;
- деловые и иные личные качества;
- другие сведения.
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Таблица 1. Документы, в которых содержатся персональные данные работников
| N | Документ | Сведения |
| 1 | Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) |
Анкетные и биографические данные работника |
| 2 | Копия документа, удостоверяющего личность работника |
Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи |
| 3 | Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) |
Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность |
| 4 | Трудовая книжка | Сведения о трудовом стаже, предыдущих местах работы |
| 5 | Копии свидетельств о заключении брака, рождении детей |
Состав семьи, изменения в семейном положении |
| 6 | Документы воинского учета | Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников |
| 7 | Справка о доходах с предыдущего места работы |
Ф.И.О., данные о сумме дохода и удержанного НДФЛ |
| 8 | Документы об образовании | Подтверждают квалификацию работника, обосновывают занятие определенной должности |
| 9 | Документы обязательного пенсионного страхования |
Ф.И.О., личные данные |
| 10 | Трудовой договор | Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника |
| 11 | Приказы по личному составу | Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника |
Ознакомление работников с Положением
Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:
- в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
- — листе ознакомления с Положением (образец на с. 91);
- — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
Образец листа ознакомления с локальными нормативными актами
| N п/п |
Наименование локального нормативного акта | Дата | Подпись |
| 1 | Правила внутреннего трудового распорядка ООО «Черный лес» |
03.10.2011 | Евстахов |
| 2 | Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Черный лес» |
03.10.2011 | Евстахов |
| 3 | Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 |
03.10.2011 | Евстахов |
| 4 | Положение о персональных данных | 03.10.2011 | Евстахов |
| 5 | Положение о материальной ответственности работников за ущерб, причиненный ООО «Черный лес» |
03.10.2011 | Евстахов |
Как правильно оформить приказ о персональных данных
Хотя образец приказа о персональных данных работников 2021 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.
В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.
Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)
Основная часть приказа о персональных данных должна содержать:
- собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
- указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
- указание ответственному лицу ознакомить работников с распорядительным документом;
- определить работника, который будет контролировать исполнение (может быть сам руководитель).
Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.