Приказ о лицах имеющих доступ к персональным данным

Приказ об утверждении списка лиц, имеющих доступ к персональных данным работников

Приказ об утверждении списка лиц, имеющих доступ к персональных данным работников – документ, содержащий перечень физических лиц, которые имеют доступ к обработке персональных данных работников на предприятии. Под «обработкой данных» принято понимать получение, комбинирование, хранение, передача, а так же иное использование персональных данных работников.

Независимо от того на каком носителе хранятся полученные персональные данные работников (бумажные или электронные), в обязательном порядке должен быть установлен конкретный перечень физических лиц, которые в силу своих должностных обязанностей должны иметь доступ к персональным данным. Это отображено в Федеральном законе № 152-ФЗ «О персональных данных», целью которого является обеспечение защиты свобод и прав работника при обработке его персональных данных, а так же защиты прав на неприкосновенность его частной жизни. Таким образом, утвержденный приказом руководителя предприятия перечень конкретных лиц, ограничивает доступ к персональным данным работников, что в точности следует вышеупомянутому Закону.

Помимо соответствующего приказа, на каждом предприятии должно быть разработано Положение о персональных данных, целью которого является защита персональных данных работников от неправомерного их использования, утраты, а так же несанкционированного доступа посторонних лиц.

Доступ к персональным данным

Подборка наиболее важных документов по запросу Доступ к персональным данным (нормативно-правовые акты, формы, статьи, консультации экспертов и многое другое).

Нормативные акты: Доступ к персональным данным

Статьи, комментарии, ответы на вопросы: Доступ к персональным данным

Формы документов: Доступ к персональным данным

Документ доступен: в коммерческой версии КонсультантПлюс

Документ доступен: в коммерческой версии КонсультантПлюс

10 Ошибок, которые не стоит допускать при оформлении документов, связанных с персональными данными

«Кадровая служба и управление персоналом предприятия», 2012, N 3

10 ОШИБОК, КОТОРЫЕ НЕ СТОИТ ДОПУСКАТЬ ПРИ ОФОРМЛЕНИИ ДОКУМЕНТОВ, СВЯЗАННЫХ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

По опросу знакомых и клиентов-работодателей, никто особо не «напрягается» из-за новых требований Закона о персональных данных . Действительно, «поймать» организацию за нарушение правил работы с персональными данными проверяющий может практически на любом аспекте, однако ответственность довольно невысока. Да и когда, в самом деле, Роскомнадзор обратит внимание на среднестатистическую компанию? Ведь в плане проверок, размещенном на сайте ведомства, обычно числятся крупные организации. Вместе с тем суммы штрафов расти будут, и безобидные на первый взгляд нарушения могут закончиться для работодателя весьма плачевно.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

Штрафы вырастут в цене

Практика показывает, что после недавнего ужесточения норм Закона о защите персональных данных проверяющие особенно активизировались, нещадно штрафуя нарушителей. Как отмечает Роскомнадзор в отчете за 2010 г. (http://www. rsoc. ru/docs/Otchet_2010.pdf), суды привлекли к административной ответственности в виде штрафа операторов персональных данных (все работодатели ими являются) на общую сумму 4480 тыс. руб. Для сравнения: в 2009 г. общая сумма наложенных штрафов составила в 60 раз меньше — всего 75 тыс. руб.!

В 2011 г. тенденция по увеличению суммы наложенных штрафов сохранилась, хотя статистика еще недоступна. Это говорит о том, что операторы персональных данных допускают многочисленные нарушения. И пусть максимальная сумма штрафа пока мало кого пугает. Напомним, что для организаций по ст. 13.11 КоАП РФ сейчас она составляет от 5000 до 10 000 руб., должностного лица — от 500 до 1000 руб., гражданина — 300 — 500 руб., но планы по значительному повышению штрафов за нарушение порядка обработки персональных данных, видимо, скоро претворят в жизнь.

Разговоры об ужесточении ответственности начались в прошлом году, сразу после упомянутых поправок, а недавно в прессе появилась информация, что Правительство РФ подготовило законопроект, увеличивающий наказание за разглашение персональных данных в разы. Работодатель-нарушитель может быть оштрафован от 200 тыс. до 500 тыс. руб., предприниматель без образования юридического лица — от 50 тыс. до 100 тыс. руб., должностное лицо — от 15 тыс. до 50 тыс., а гражданин — от 10 тыс. до 15 тыс. руб.

Если же нарушение происходит не в первый раз, то повторное наказание будет еще жестче. Организация может лишиться от 500 тыс. до 1 млн руб., предприниматель — от 100 тыс. до 300 тыс., должностное лицо — от 50 тыс. до 100 тыс. руб., а гражданин — от 15 тыс. до 30 тыс. руб. Причем деятельность юридического лица или предпринимателя может быть приостановлена на срок до 90 суток.

Эксперты отмечают, что если законопроект будет принят, то штрафы «обрушатся» на головы работодателей как снег на голову. А учитывая довольно непроработанные требования Закона, привлекать к административной ответственности операторов персональных данных можно будет поголовно, что, кстати, проверяющие из Роскомнадзора России делают и будут делать.

Сотрудники контролирующего ведомства уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных работников, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой, эти требования «размыты» по многочисленным нормативным актам, поэтому работодателям бывает довольно сложно в них сориентироваться.

Большинство замечаний сотрудников Роскомнадзора относится к тому, что необходимые документы, касающиеся персональных данных на предприятиях, часто носят формальный характер, повторяя содержание статей ТК РФ и Закона о персональных данных. В разъяснениях контролеры выделяют типичные ошибки, которые допускают работодатели при оформлении кадровых документов, регламентирующих обработку и защиту персональных данных. Чтобы избежать ответственности или хотя бы свести ее к минимуму, мы проанализировали замечания Роскомнадзора и предлагаем вам список из 10 ошибок, которые не стоит делать при составлении документов для защиты персональных данных ваших работников. А для наглядности приведем правильные формулировки и образцы заполнения необходимых на каждом предприятии документов.

Официальный сайт Роскомнадзора России www. rsoc. ru.

1. Не указываются конкретные нормы закона, на основании которых работодатель ведет обработку персональных данных. Обратите внимание: Роскомнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности компании и касающихся обработки персональных данных. Поэтому формальной отсылкой к ТК РФ или Закону о персональных данных явно не обойтись. Пример указания конкретной нормы Закона приведем в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1).

Пример 1. Согласие на получение персональных данных от третьих лиц.

ЗАО «Мир увлечений», расположенное

по адресу: г. Москва, ул. Академика

Загоушинского Александра Вениаминовича,

зарегистрированного по адресу:

г. Москва, Долгоруковская улица, д. 16,

паспорт серии 45 09 N 654321,

выдан п/с N 2 ОВД Тверского района

УВД ЦАО г. Москвы 29.04.2004

Я, Загоушинский Александр Вениаминович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» даю согласие на получение моих персональных данных о предыдущих местах работы, периодах трудовой деятельности, деловых качествах от третьих лиц.

Настоящее согласие действует в течение месяца (со дня его подписания по 30.03.2012) и в любой момент может быть отозвано в письменной форме.

01.03.2012 Загоушинский А. В. Загоушинский

2. Под целью обработки персональных данных работодатели ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и другие). Однако целью это никак назвать нельзя. Здесь следует перечислить, для чего вы собираете и обрабатываете указанную информацию.

Так, работодателю нужно указать, скажем, следующее: «Обработка персональных данных осуществляется для реализации трудовых взаимоотношений с работниками». Возможно, придется указать и другие основания, перечисленные в учредительных документах — уставе, учредительном договоре, положении: «для осуществления видов деятельности, перечисленных в уставе, а именно: . «. Ну и, безусловно, не стоит забывать о фактически осуществляемой оператором деятельности.

Указать цель обработки персональных данных потребуется в согласии работника на обработку и передачу персональных данных третьим лицом (см. пример 2).

Пример 2. Согласие на передачу и обработку персональных данных третьим лицом.

ЗАО «Мир увлечений», расположенное

Ознакомьтесь так же:  Как вернуть шубу в магазин надлежащего качества

по адресу: г. Москва, ул. Академика

Загоушинского Александра Вениаминовича,

зарегистрированного по адресу:

г. Москва, Долгоруковская улица, д. 16,

паспорт серии 45 09 N 654321,

выдан п/с N 2 ОВД Тверского района

УВД ЦАО г. Москвы 29.04.2004

Даю свое согласие на передачу следующих моих персональных данных:

1) фамилия, имя, отчество;

4) данные об изображении лица;

в целях исполнения заключенного между нами трудового договора в частное охранное предприятие «Железная защита» (г. Москва, ул. Александра Солженицына, д. 30) для любой их обработки в рамках договора об оказании охранных услуг от 14.02.2012 N 16.

Настоящее согласие действует с 05.03.2012 в течение всего срока действия трудового договора. В случае неправомерного использования предоставленных данных, а также по иным причинам согласие может быть отозвано в письменном виде.

05.03.2012 Загоушинский А. В. Загоушинский

Обратите внимание: помимо данных работника в согласии должны быть указаны наименование и адрес работодателя, цель передачи персональных данных, перечень информации, на передачу которой работник дает согласие, и срок, в течение которого оно действует, а также порядок его отзыва.

3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня работодатели пишут фразы «и др.», «и т. п.», «другая информация». Делать это ни в коем случае нельзя. Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть полным, поэтому, написав в положении о защите персональных данных работника, что к персональным данным относятся «анкетные данные», вы совершите ошибку.

Перечислить стандартные категории (Ф. И. О., дату и место рождения, адрес, образование и пр.) компании обычно не забывают. Хотя некоторые данные, например паспортные или данные из свидетельства о рождении, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона, банковские реквизиты работника, работодатели порой не указывают, считая, что «они нужны по закону» и перечислять их нет необходимости. А что говорить об особенных данных, скажем, росте, весе, группе крови или данных об изображении лица!

Надо отметить, что не стоит в кадровых документах перечислять обобщенные категории персональных данных (биометрические или специальные персональные данные), надо их подробно перечислить. Также следует иметь в виду, что под «категориями персональных данных» понимается «информация, относящаяся к физическому лицу» (ст. 3 Закона о персональных данных), поэтому документы, принадлежащие ему, не могут являться категориями персональных данных. Так что вместо «фотография» следует написать «данные об изображении лица», а вместо «паспорт» — «паспортные данные». Пример перечисления конкретных персональных данных можно посмотреть в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1) и согласии на обработку и передачу персональных данных третьим лицом (см. пример 2).

Добавим, что, несмотря на наличие, например, письменного соглашения о получении работодателем персональных данных о работнике от третьих лиц, в Положении о защите персональных данных работника следует указать на возможность и необходимость запроса подобной информации у третьих лиц. Так, в Положении можно сделать следующую пометку: «Работодатель имеет право проверять достоверность сведений, предоставленных работником. При необходимости затребования персональных данных работника у третьих лиц работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме».

4. Указываются не все категории субъектов, чьи персональные данные обрабатываются. По аналогии с категориями персональных данных пишутся фразы типа «и т. д.», «и пр.». Здесь следует четко уяснить, что «категории субъектов» — это определенные группы граждан, у которых обрабатываются одинаковые персональные данные. Скажем, личные дела всех сотрудников содержат одинаковый перечень данных и документов, поэтому у работников обрабатывается равное количество персональных данных, и если вы обрабатываете только данные своих работников, то будет достаточно указать лишь их.

Вместе с тем проверяющие отмечают, что при перечислении категорий физических лиц следует указывать и виды отношений с ними (в т. ч. трудовые, гражданско-правовые). Иными словами, если в вашей организации к отдельным работам привлекаются физические лица по гражданско-правовым договорам, то их тоже придется указывать. Так, нужно будет перечислить и тех и других. Например, в Положении о защите персональных данных сотрудников можно сделать следующую пометку: «Настоящее Положение определяет порядок обработки персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с ООО «Энигма» (далее по тексту — Общество)».

5. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Отметим, что общий перечень действий содержится в п. 3 ст. 3 Закона о персональных данных, однако работодателю следует выбрать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.

Кроме того, должны быть перечислены конкретные способы обработки с указанием порядка передачи. Скажем, информация передается по внутренней сети юридического лица и по сети Интернет. Здесь нелишним будет упомянуть два Постановления Правительства — от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее — Постановление N 687) и от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В документах вы найдете много волнующих вопросов, например, о том, что относится к обработке в информационных системах. В частности, полезно будет знать, что информация, хранящаяся на компьютере, но для использования распечатываемая на бумаге, относится к данным, осуществляемым без использования автоматизации (п. 1 Положения, утвержденного Постановлением N 687).

При составлении Положения о защите персональных данных работников и других локальных документов вы можете использовать отдельные формулировки из названных Постановлений.

6. Не указываются конкретные меры, которые работодатель обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности. К перечислению способов защиты информации проверяющие относятся очень серьезно и требуют указывать конкретные технические и организационные меры. Чтобы не запутаться, поясним: технические меры направлены на устранение самой возможности утечки информации и ее несанкционированного использования. Например, защита от несанкционированного физического доступа в помещения, где хранится информационная база, защита паролями и картами доступа компьютеров, где установлены и хранятся персональные данные, использование системы паролей в сети Интернет.

В свою очередь, организационные меры направлены на то, чтобы все заинтересованные лица и проверяющие органы были в курсе, как именно и в каких целях происходят защита и обработка персональных данных. Поэтому к организационным мерам относится принятие локальных нормативных актов и иных организационно-распорядительных документов организации (внутренних документов — приказов, положений, регламентов, перечней, сведений).

Средства обеспечения безопасности более конкретны. Это могут быть оборудование помещений охранной системой, наличие видеонаблюдения на этаже и в кабинете, пропускная система и карты доступа.

Проверяющие акцентируют внимание на том, что работодатель должен указать лицо, ответственное за общую организацию защиты персональных данных, например начальника отдела кадров. Для этого необходимо издать приказ (см. пример 3).

Пример 3. Образец приказа о назначении ответственного лица за организацию защиты персональных данных.

Закрытое акционерное общество «Мир увлечений»

(ЗАО «Мир увлечений»)

О назначении ответственного лица

за организацию защиты персональных данных

В соответствии с п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

1. Назначить начальника отдела кадров Авдотьеву И. С. ответственной за организацию защиты персональных данных работников.

2. В связи с новым назначением начальнику отдела кадров Авдотьевой И. С. внести соответствующие изменения в должностную инструкцию начальника отдела кадров, а также Положение о защите персональных данных работников до 12 марта 2012 г.

3. Установить ежемесячную доплату Авдотьевой И. С. в размере 5000 руб. к должностному окладу в связи с исполнением дополнительной обязанности по организации защиты персональных данных работников.

4. Начальнику канцелярии Перевертовой К. С. довести настоящий приказ до сведения главного бухгалтера Свободомыслова А. Н.; начальника отдела кадров Авдотьевой И. С. под личную подпись.

Генеральный директор Улиновский Н. Э. Улиновский

С приказом ознакомлены: Авдотьева И. С. Авдотьева ———-

Свободомыслов А. Н. Свободомыслов ———-

Обязанности ответственного сотрудника можно прописать, например, в Положении о защите персональных данных (см. Пример 4).

Пример 4. Выдержка из Положения о защите персональных данных работников.

4. Начальник отдела кадров:

— осуществляет общий контроль за соблюдением работниками мер по защите персональных данных;

— обеспечивает ознакомление сотрудников под личную подпись с локальными нормативными актами, содержащими нормы о защите персональных данных, в частности с настоящим Положением о защите персональных данных;

— истребует с работников письменное обязательство о соблюдении конфиденциальности персональных данных.

7. Не указываются меры ответственности за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников в локальных документах. Начнем с того, что в трудовом договоре должен быть пункт, устанавливающий ответственность работника за разглашение персональных данных (п. 8 ст. 86 ТК РФ).

Ознакомьтесь так же:  Приказ 1005 от 20122018

Если же мы говорим о лицах, ответственных за работу с персональными данными, то они должны быть предупреждены под личную подпись об ответственности за нарушение порядка обработки и защиты персональных данных. Это можно сделать либо в должностной инструкции, либо в Положении о защите персональных данных (см. пример 5).

Пример 5. Выдержка из Положения о защите персональных данных работников.

6.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания — выговора, увольнения.

6.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса РФ.

6.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 Уголовного кодекса РФ.

8. Отсутствие в договорах на обработку персональных данных третьим лицом положения об обеспечении конфиденциальности и безопасности персональных данных при их обработке. К третьим лицам здесь могут относиться: страховые, консалтинговые, охранные, аутсорсинговые компании, кредитные учреждения (банки), рекламные агентства и пр. Некоторые работодатели заключают отдельное соглашение о неразглашении персональной информации.

Для примера дадим формулировку пункта в Положении о защите персональных данных (см. пример 6).

Пример 6. Выдержка из Положения о защите персональных данных работников.

4.2. Если Работодателю оказывают услуги юридические и/или физические лица на основании заключенных гражданско-правовых договоров и в силу этих договоров они должны иметь доступ к персональным данным сотрудников Работодателя, то соответствующие данные предоставляются только после подписания с ними соглашения об их неразглашении.

9. Даты начала совершения действий с персональньми данными и прекращения обработки не указываются или указываются размыто. Как отмечают проверяющие из Роскомнадзора, писать следует фактические даты и конкретные основания. Каким образом? Если мы говорим об обработке данных только работников, то, как правило, за дату начала обработки берут дату регистрации юридического лица или дату, которая указана в свидетельстве о государственной регистрации юридического лица, а также дату заключения трудового договора. За дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных, как правило, берут «ликвидацию юридического лица» (см. примеры 1 и 2).

В качестве варианта предложенной в примере 2 формулировки можно указать: «Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме».

10. Отсутствует список лиц, имеющих доступ к персональньм данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом руководителя компании (см. пример 7). Сделать это необходимо еще и потому, чтобы понять, каким образом будут осуществляться доступ и передача персональных данных. Ведь очень важно, чтобы во время передачи рассматриваемой информации не произошла ее утечка или неправомерное использование. Порядок следует предусмотреть в Положении о защите персональных данных.

Например, можно предложить следующую формулировку: «Отдел кадров вправе передавать персональные данные сотрудников в бухгалтерию, службу безопасности и иные структурные подразделения только в случае необходимости исполнения работниками соответствующих подразделений трудовых обязанностей.

Любая передача персональных данных между структурными подразделениями возможна только между сотрудниками, имеющими доступ к персональным данным. При передаче персональных данных начальник отдела кадров предупреждает лиц, получающих доступ к персональным данным, о том, что эти данные могут быть использованы только в тех целях, для которых они сообщены.

Начальник отдела кадров обязан взять письменное обязательство о неразглашении и предупреждении об ответственности с лиц, получающих доступ к персональным данным».

Кроме того, некоторые работодатели прописывают в Положении пункт о том, кто имеет право доступа ко всем персональным данным, например генеральный директор, учредители или совет директоров.

Пример 7. Образец приказа об утверждении списка лиц, имеющих доступ к персональным данным работников.

Закрытое акционерное общество «Мир увлечений»

(ЗАО «Мир увлечений»)

Об установлении списка лиц, имеющих

доступ к персональным данным работников

В соответствии со ст. 88 Трудового кодекса РФ и п. 3.2 Положения о защите персональных данных работников ЗАО «Мир увлечений»

1. Установить следующий перечень сотрудников Общества, имеющих доступ к персональным данным работников:

— генеральный директор Улиновский Н. Э.;

— заместитель генерального директора Прушенинников К. С.;

— начальник отдела кадров Авдотьева И. С.;

— главный бухгалтер Свободомыслов А. Н.;

— начальник службы экономической безопасности Прутьев П. Е.;

— начальник отдела продаж Федоскин Н. З.

2. Возложить контроль за исполнением приказа на начальника отдела кадров Авдотьеву И. С.

Генеральный директор Улиновский Н. Э. Улиновский

С приказом ознакомлены:

заместитель генерального 05.03.2012

директора Прушенинников К. С. Прушенинников ———-

начальник отдела кадров Авдотьева И. С. Авдотьева ———-

главный бухгалтер Свободомыслов А. Н. Свободомыслов ———-

начальник службы экономической 05.03.2012

безопасности Прутьев П. Е. Прутьев ———-

начальник отдела продаж Федоскин Н. З. Федоскин ———-

Как правило, доступ к персональным данным имеют сотрудники работодателя, которым необходима эта информация в связи с исполнением ими трудовых обязанностей. В Положении о персональных данных работников можно предусмотреть порядок действий в случае, если лицо в списке не поименовано, но срочно требуется доступ к данным. Сформулировать пункт об этом можно следующим образом: «Доступ к персональным данным может быть предоставлен иному сотруднику Работодателя, должность которого не поименована в списке лиц, имеющих доступ к персональным данным работника, если этого требует производственная необходимость и выполняемая им трудовая функция. Для этого сотруднику следует составить докладную записку на имя генерального директора с визой непосредственного руководителя».

Это наиболее типичные ошибки работодателей, хотя Роскомнадзор России отмечает и иные. Например, отсутствие на предприятии листа ознакомления сотрудников под личную подпись с Положением о защите персональных данных работника, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.

Как видите, к оформлению перечисленных документов стоит подойти со всей серьезностью. И самое главное — соблюдать их требования, поскольку любое нарушение может привести к жалобе недовольного работника в Роскомнадзор. И тогда, несмотря на то что компания маленькая, проверяющие нагрянут в нее с внеплановой проверкой.

Образец приказа о персональных данных работников 2018

Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях. Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир. Есть случаи и помельче, на уровне организаций (например, использование сотрудницами отдела кадров страниц с личной информацией сотрудников в качестве черновиков-«обороток», размещение в открытом доступе сведений об учениках образовательных учреждений или пациентах клиник). Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных.

Отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей — нужно организовать защиту персональных данных так, как этого требует Глава 14 ТК РФ и Закон № ФЗ-152. В статье коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.

Организация защиты (пакет документов)

Руководитель предприятия должен своим приказом назначить кого-то из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот небольшой перечень:

  • политика организации в отношении персональных данных;
  • положение об обработке и защите конфиденциальной информации;
  • перечень лиц, имеющих к ней доступ;
  • согласие на обработку (в общем случае — согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т.д.);
  • соглашение о неразглашении;
  • журнал учета передачи данных.
Ознакомьтесь так же:  Как нанять коллекторы

Порядок разработки и утверждения

Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011 № 312. Для того чтобы у инспектора не было повода «принимать меры», нужно подготовить документы, перечисленные выше, и утвердить их приказами руководителя. Основополагающим станет распоряжение об утверждении Положения — смотрите образец приказа о персональных данных работников 2018.

Крайне важно соблюдать правило, сформулированное в ст. 86 ТК РФ : все, что мы знаем о работнике, мы должны узнать от него самого. В крайнем случае — можно обратиться к так называемой третьей стороне, если работник информацией не владеет (забыл, потерял. ) — но только с его ведома (например, запросить копию диплома в архиве вуза). Работника надо поставить об этом в известность и получить его согласие — это делается в форме заявления-согласия на получение сведений у третьей стороны.

Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию, или студент получает диплом о высшем образовании), — в этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника). Однако это распоряжение не относится к документам, наличие которых продикторовано ФЗ-152,— это один из стандартных приказов по кадрам.

Важно! Есть информация, которая является максимально конфиденциальной, и попытки выведать у сотрудника, в каких сообществах он состоит и какому богу поклоняется, как себя чувствует и каких политических взглядов придерживается, незаконны. Однако существует длинный перечень условий, при которых это все-таки возможно (ст. 10 ФЗ № 152-ФЗ). К таким исключениям (среди прочих) относятся, например, случаи получения мотивированных запросов (содержащих цель запроса, обоснование компетенции органа и правовые основы запроса) прокуратуры, органов МВД или Трудовой инспекции, а также информация медицинского характера, если она необходима для оказания помощи больному. Действительно, пациенты медицинских организаций очень чувствительны к соблюдению приватности — но их защищает обязанность медработника соблюдать врачебную тайну (ст. 73 ФЗ № 323-ФЗ).

Медицинская организация обязана особенно внимательно относиться к обработке данных и готовить свою, отраслевую документацию, например, приказ «Перечень персональных данных пациентов, подлежащих защите».

Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (образец заполнения)

Приказ об утверждении
списка лиц, имеющих
доступ к персональным
данным работников
(образец заполнения)

Об установлении списка лиц, имеющих доступ

к персональным данным работников ООО «Полигон-2»

В соответствии со ст. 88 ТК РФ и п. 4.1 Положения о персональных данных ООО «Полигон-2»

1. Определить следующий перечень работников Общества, имеющих доступ к персональным данным работников ООО «Полигон-2»:

— генеральный директор С.Н. Антонов;

— заместитель генерального директора по персоналу С.Л. Ефимов;

— начальник отдела кадров И.А. Литвинова;

— специалист по кадрам И.А. Перова;

— главный бухгалтер Т.В. Карасева;

— начальник юридического отдела Ю.В. Киселев;

— начальник производственного отдела А.Л. Кирилов (доступ к личным данным только работников своего подразделения);

— начальник строительного отдела Г.М. Анохин (доступ к личным данным только работников своего подразделения).

2. Контроль исполнения приказа возложить на заместителя генерального директора по персоналу С.Л. Ефимова.

Конфиденциальность персональных данных: оформление приказа об установлении списка лиц, имеющих доступ к ним

При трудоустройстве и в процессе дальнейшей трудовой деятельности работник передает работодателю свои персональные данные. Информация эта требует защиты, доступ к ней должен быть ограниченным.

Соответственно выделяются узкий круг лиц, которые имеют право работать с конфиденциальной информацией для выполнения своих служебных обязанностей. Они назначаются специальным приказом.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (495) 212-90-15 . Это быстро и бесплатно !

Приказ представляет собой правовой акт, который относится ко всему предприятию, определяет его деятельность и решает его основные задачи. Он издается единолично руководителем фирмы.

В перечень таких лиц могут войти руководитель, его заместители, работники отдела кадров, сотрудники бухгалтерии, служба безопасности, секретарь и иные работники, которым эти сведения нужны для выполнения трудовых обязанностей.

Доступ может быть и к информации, предоставленной клиентами организации или другими лицами. Все это требует отдельного уточнения при составлении документа.

Если допуск понадобится лицам, не обозначенным в приказе, для них издается отдельный документ. Допуск регистрируется в журнале.

Общие правила составления

  1. Приказ оформляется на бланке формата А4.
  2. Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
  3. Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты.

В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных. Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.

  • Распорядительная часть отделяется глаголом «ПРИКАЗЫВАЮ». Он пишется после констатирующей части с новой строки, без кавычек. В конце ставится двоеточие, а далее идут пункты, необходимые к выполнению. Они нумеруются арабскими цифрами. Могут быть и подпункты.
  • Последним пунктом указывается лицо, на которое возлагается контроль за исполнением приказа.
  • Перед подписанием документ проверяется на наличие орфографических и стилистических ошибок.
  • Внизу документа ставят подписи те лица, к которым он относится.
  • Утверждение перечня личных сведений

    Правовой акт включает в себя:

    1. Наименование организации. Например, МОУ СОШ №7.
    2. Название документа (ПРИКАЗ) и его номер.
    3. Дату создания. Например, 5 октября 2016 г.
    4. Место создания. Например, г. Пермь.
    5. Отсылку к законодательной базе, на основании которой он создается.

    Пример: В целях соблюдения закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и в целях защиты персональных данных сотрудников.
    Утверждение перечня и отсылку к нему. Перечень часто оформляется в виде приложения.

    Утвердить прилагаемый перечень данных МОУ СОШ №7.
    Назначение ответственного за исполнение.

    Например: Контроль за исполнением приказа оставляю за собой.
    Перечень персональных данных, оформленный в виде таблицы или иным способом. Столбцы таблицы составляются в зависимости от целей и задач компании.

    Установление списка лиц, имеющих доступ к такой информации

    В правовом акте должно присутствовать:

      Название организации (указывается сверху). Например, ООО «Родон».
    • Название документа (ПРИКАЗ), его номер.
    • Дата составления. Например, 4 августа 2017 г.
    • Место составления. Например, г . Москва.
    • Ссылка на законодательство, на основании которого он издается.

    Пример: В соответствии с Трудовым кодексом РФ и законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
    Перечень работников, допущенных к сведениям, с указанием их должности.

    Вот примерно как выглядит документ для утверждения списка лиц, имеющих доступ к личным сведениям работников:

    1. Генеральный директор Г. Е. Чуриков.
    2. Зам. генерального директора К. А. Голиков.
    3. Начальник отдела кадров И. Н. Дирина.
    4. Главный бухгалтер Е. Г. Листовская.

    Указание лица, ответственного за исполнение.

    Пример: Контроль за исполнением возложить на К. А. Голикова.

  • Подписи всех лиц, указанных в правовом акте, и подпись руководителя организации.
  • Каждый работник, получивший доступ, должен подписать соглашение о неразглашении персональных данных. Тогда в случае утечки информации и ее неправомерного использования можно наказать виновных. Если такое соглашение не было подписано, вся вина ложится на руководителя предприятия.

    Это могут быть дисциплинарные взыскания (увольнение, выговор, замечание), штрафы.

    Оформление готового документа

    1. Документ предпочтительно напечатать на компьютере.
    2. Оформление документа стандартное.
    3. Сверху указывается организация, далее ставится дата создания, номер и название.
    4. Сам текст состоит из отсылки к законодательным актам, потом следует перечень тех действий, которые необходимо выполнить работникам.
    5. Внизу приказа должны быть подписи лиц, указанных в правовом акте, а также подпись лица, издавшего приказ, т.е. руководителя компании или его заместителя.
    6. Если необходимо, к документу добавляется приложение.
    7. Приказ должен быть учтен в специальном журнале. Туда вносится наименование правового акта, его номер и дата составления.

    Наказания за нарушения в работе с персональными данными ужесточились. Поэтому к оформлению и содержанию приказов нужно подойти серьезно, чтобы избежать штрафов при проверке. Документы должны быть составлены в соответствии с требованиями законодательства.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (495) 212-90-15 (Москва)
    +7 (812) 332-54-12 (Санкт-Петербург)

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *