Важные нюансы оформления приказа о назначении ответственного за обработку и другие действия с персональными данными

С чего начать подготовку документов по персональным данным?

В первую очередь стоит обратить внимание на создание политики конфиденциальности.  Как правило, ее закрепляют приказом об утверждении персональных данных в локальном документе. Документ носит название «Положение о персональных данных»

Положение обязательно содержит следующие сведения:

    • перечень обрабатываемых ПДн;
    • цели их обработки;
    • список действий с ПДн;
    • перечень действий с ними;
    • права и обязанности сотрудников при работе с ПДн;
    • порядок обработки ПДн, в том числе хранения, использования и передачи;
    • возможная ответственность сотрудников за несоблюдения порядка работы с персональными данными.

Политика

Основные принципы, задачи и условия работы с персональными данными в организациях и предприятиях всех форм собственности (являющихся Оператором по защите информации) определяются Политикой по защите персональных данных, которая, по сути, является главным документом, регламентирующим весь порядок работы с личными данными.

Политика составляется в соответствии с законодательными, нормативными правовыми актами о персональных данных, и, кроме общего положения, она содержит такие разделы:

  • о составе данных (перечисляются все сведения);
  • регламент работы с данными, с подробным изложением порядка их сбора и систематизации, передачи;
  • порядок и особенности Доступа к данным, пофамильный состав с доступом;
  • алгоритм защиты всех видов данных (с подробным изложением внутренней/внешней защиты);
  • права, ответственность, обязанности всех сторон;
  • прочие разделы на усмотрение Оператора.

С Политикой под роспись ознакамливают всех сотрудников. Кроме этого, работники дают свое согласие на обработку в письменном виде, а сотрудники с доступом к сведениям, — подписывают обязательство о неразглашении вверенной им информации.

Порядок получения автомобиля

Чтобы получить субсидию по программе «Семейный автомобиль» нужно:

Таким образом, процедура оформления льготного автокредита в 2020 году не претерпела существенных изменений.

Приказ № _____о назначении ответственногоза организацию обработки персональных данных

Обработка персональных данных немыслима без их защиты. Люди, устраивающиеся на работу по трудовому договору или являющиеся исполнителями по гражданско-правовым договорам, сообщают работодателю (заказчику) конфиденциальную информацию.

Работодатель, получив доступ к персональной информации сотрудников, должен обеспечить ее защиту. Во-первых, нужно разработать и утвердить специальное Положение о персональных данных, в котором будет предусмотрен порядок обработки персданных, оказавшихся в распоряжении компании.

Подробнее об этом см. «Образец Положения о работе с персональными данными работников 2019».

Меры по защите персональных данных регламентируются законодательством РФ. В частности, на каждом предприятии, которое нанимает работников, а, значит, имеет дело с их личными сведениями, должен быть сотрудник, который несет за них ответственность.

В случае разглашения персональной информации именно с него и будет спрос. Если такового работника нет, то ответственность автоматически перекладывается на директора компании. Кроме того, в организации должны быть разработаны регулирующие нормативно-правовые акты, в том числе соответствующие положение и приказ.

Роль приказа о защите персональных данных достаточно проста, но вместе с тем значима: при помощи него руководитель дает указание кому-либо из подчиненных о принятии мер по охране личной информации сотрудников. Без этого документа при возникновении утечки пострадавшие работники смогут с легкостью доказать виновность организации, вследствие чего на руководящий состав и само предприятие будут наложены административные санкции (в виде достаточно кружных штрафов, а то и чего покруче).

При необходимости составить приказ о защите персональных данных, который вы ранее никогда не делали, посмотрите приведенный здесь пример и ознакомьтесь с комментариями к нему. С их помощью вы наверняка без особых усилий сделаете нужное вам распоряжение.

  1. В начале документа все шаблонно: напишите тут наименование организации, название приказа, его номер, дату и место формирования. После этого переходите к сути.
  2. Первым делом обозначьте здесь основание, т.е. дайте ссылку на статью закона, в соответствии с которой пишете распоряжение, а также обоснуйте его, т.е. отметьте реальную причину его создания (например, необходимость внедрения правил и норм по защите персональных сведений).
  3. Далее внесите собственно указание на защиту личной информации работников компании, а также впишите нормативно-правовые бумаги, которые это регулируют, обозначьте требование об ознакомлении с ними персонала под роспись.
  4. Назначьте ответственное лицо.
  5. Отдельным пунктом включите информацию о сотруднике, который будет следить за выполнением данного распоряжения (это может быть сам директор предприятия, кто-либо из его заместителей или же начальник отдела кадров, в ведении которого обычно и находится весь объем персональных данных).
  6. В завершении не забудьте поставить в бланк все нужные подписи.

На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

  • положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2019 детально описан в специальном материале;
  • образец приказа о хранении персональных данных;
  • политика предприятия в отношении таких сведений;
  • перечень лиц, имеющих доступ к ним;
  • согласие на обработку;
  • соглашение о неразглашении;
  • журнал учета передачи данных.

Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.

Формат документа

На сегодня формат приказа может быть произвольным: это обозначает, что его можно писать в свободном виде. Но если руководство предприятия разработало и утвердило свой стандарт документа, обязательный к применению, то руководствоваться, конечно, следует именно им. При этом форма приказа должна быть обозначена в нормативно-правовых бумагах компании.

Приказ нужно обязательно зарегистрировать и учесть. Для этого следует воспользоваться отдельным журналом учета, в котором фиксируются сведения обо всех выпущенных в организации распоряжениях. В журнал достаточно включить номер, дату и краткую суть приказа. После этого документ нужно вложить в папку с другими подобными бумагами.

Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере. Права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011. А с 23.02.

Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:

  • дисциплинарная — на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ;
  • административная — на основании ст. 13.11 КоАП РФ (штраф до 75 000 рублей);
  • уголовная — с учетом положений ст. 137 УК РФ (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).

Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы.

Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях. Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения.

Образец

За подготовкой Положения следует издание приказа о назначении ответственного лица по работе с персональными данными. Единой унифицированной формы это документа не установлено, поэтому приказ можно составить в произвольной форме. Главное – наличие в готовом документе всех реквизитов первичного документа.

Остановимся на важных моментах:

  • название компании должно соответствовать наименованию в учредительных документах;
  • если у компании есть сокращенное название, то оно указывается в скобках (п. 5.5 ГОСТ Р 7.0.97-2016);
  • после строчки с датой документа указывается место составления приказа;
  • заголовок «о назначении ответственного по работе с персональными данными» указывается слева, начиная от границы поля (п. 5.17 ГОСТ Р 7.0.97-2016);
  • кроме фамилии ответственного сотрудника нужно указать его должность и сферу ответственности.

Руководствуясь данными правилами, можно составить приказ о назначении ответственного по работе с персональными данными. В ДОУ, коммерческой организации или на промышленном предприятии форма документа будет единой.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)? Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)? У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е

вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно – ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Чем регулируется

Федеральное законодательство:

  • «Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
  • 149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
  • «О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
    Особенно интересны цитаты:
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 — в документе описаны правила определения уровней защищённости ПДн и основные требования по защите ПДн.
  • Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512 — содержит требования, которые должны применяться при использовании материальных носителей, на которые осуществляется запись биометрических ПДн, а также при хранении биометрических ПДн вне информационных систем персональных данных. Документ хоть и старый, но учитывать его требования нужно.
  • Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 — всё понятно из названия: требования по обработке и защите ПДн, которые обрабатываются в бумажном виде.

Основные документы регуляторов:

  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
  • «Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 “Об утверждении требований и методов по обезличиванию персональных данных”» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.

25.rsoc.ru

См. также

Есть ли ответственность за отсутствие приказа

Закон о персональных данных требует, чтобы субъект бизнеса выбрал работника, который будет отвечать за работу с персональными данными. Это требование выполняется путем оформления приказа. Только это лицо должно иметь полный доступ к персональным данным, разграничивать доступ к ним и защищать от несанкционированного использования.

Внимание! Если данного приказа в компании нет, то это будет расценено, как прямое нарушение закона о персональных данных.

КОАП за данные нарушения предусматривает вынесение предупреждения, либо наложение денежного штрафа:

  • на обычных граждан — 300-500 рублей;
  • на должностных лиц — 500-1000 рублей;
  • на организации — 5-10 тысяч руб.

Виды проверок

Выездные проверки

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

случилась

Пошаговая инструкция по написанию документа

Утвержденной формы приказа не существует. Коммерческой организации, у которых не разработаны внутренние формы документов, при подготовке приказа следует руководствоваться правовыми нормами, действующими на момент его создания.

Государственные учреждения традиционно используют готовыми формулярами. Учетной политикой предприятия должны быть предусмотрены образцы распорядительных актов. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Обязательными реквизитами приказа ФЗ №402 от 06.12.2011 являются:

  • наименование организации;
  • вид документа;
  • дата и место издания приказа;
  • регистрационный номер;
  • заголовок – текст приказа;
  • информация о приложениях (если есть);
  • подписи.

На обработку ПДн

Приказ на обработку ПДн:

  1. Наименование организации с организационно-правовой формой вписать в верней строке бланка.
  2. Строкой ниже по центру – наименование документа в данном случае – приказ, его номер и заголовок . Заголовок отражает тему распоряжения.
  3. Дата и место составления документа.
  4. Подпись руководителя и лиц, которым даются указания, обязательно должны быть оригинальными.

Предлагаем ознакомиться: Гражданский иск в уголовном процессе в 2019 году

Текст приказа состоит из двух частей:

  • Обоснование содержит ссылки на законодательные акты или нормативные внутренние положения, являющиеся основанием для данного распоряжения: ФЗ-152 от 27.07.2016г.
  • Распоряжение содержит одно или несколько указаний и назначения ответственных лиц за их исполнение. Распорядительная часть начинается словом «Приказываю:» в отдельной строке слева.

Действия и указание на исполнителей этих действий производится следующим образом, например:

  1. Назначить ответственным за подготовку и передачу Уведомления о намерении заниматься обработкой персональных данных (ч.1 ст.22 ФЗ №152 от 27.07.2006) в уполномоченные органы (Россвязькомнадзор) директора по персоналу Иванову Марию Петровну.
  2. Утвердить Положение о защите персональных данных и ввести его в действие с 01.09.2017.
  3. Утвердить перечень лиц, имеющих право на работу с персональными данными работников, а также определить полноту предоставляемого допуска …
  4. Утвердить «Инструкцию ответственного лица за обработку персональных…
  5. Возложить на руководителя отдела кадров Умнову А.П. следующие обязанности.

На хранение

Приказ на хранение информации:

  1. Верхней строке документа указывается наименование организации, его организационно-правовая форма.
  2. Наименование документа его номер и заголовок размещаются под наименованием. Заголовок отвечает на вопрос «о чем?» и может быть таким: «О назначении ответственных лиц за организацию хранения персональных данных».
  3. Дата и место распорядительного акта.

Текст приказа содержит:

  1. Перечень оснований для организации процесса хранения информации – ФЗ-152 от 27.07.2016г и решения организации о способах хранения персональных данных, структуре документооборота, закрепленные Положением о порядке обработки, хранения и защите индивидуальных сведений.
  2. Распорядительную часть, в которой перечислены решения о действиях, связанных с хранением информации и должностных лицах, организующих и контролирующих процесс хранения ПДн. Пункты указаний нумеруются арабскими цифрами . Каждый пункт отвечает на один из вопросов «Кому?», «Что?», «Когда сделать?». Приказ, определяющий порядок хранения, будет указывать на руководителей кадровой службы, службы информационных технологий, как на ответственных должностных лиц, обеспечивающих исполнение законодательства в вопросах хранения личных данных сотрудников.
  3. Проследить за выполнением распоряжений необходимо на конкретное должностное лицо, например, возможен такой вариант: «Контроль за исполнением настоящего приказа оставляю за собой».
  4. Последней строкой приказа всегда остается подпись руководителя.

Ответственность

Соответствует ли защита персональных данных действующему законодательству контролируется Роскомнадзором, Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю.

Несоблюдение порядка защиты личных данных может повлечь ответственность:

  • дисциплинарную;
  • гражданско-правовую;
  • материальную;
  • административную;
  • уголовную.

Дисциплинарная ответственность наиболее распространенный вид наказания, к которому привлекаются сотрудники, имеющие полный доступ к персональным данным, как правило, за разглашение каких-либо сведений.

Решение о наказании принимает работодатель. Нарушителю могут быть вынесены замечание, предупреждение, выговор и даже применено отстранение от должности – в зависимости от тяжести причиненного вреда.

Гражданско-правовая ответственность напрямую связана с нанесением морального вреда (уместно говорить про честь, достоинство и деловую репутацию), в связи с разглашением его персональных данных.

Если данный факт подтверждается в судебном порядке, пострадавшей стороне нарушитель, например, выплачивает компенсацию.

Статья 243 Трудового Кодекса предусматривает материальную ответственность (штрафные санкции) за нарушение порядка работы с персональными данными.

Административная ответственность как за нарушение порядка сбора, анализа, а также хранения персональных данных, так и разглашение информации.

В соответствии со статьей 13.11 Кодекса об административных правонарушениях первое влечет за собой наложением следующих штрафов:

  • на физических лиц – триста-пятьсот руб.;
  • на должностных лиц – пятьсот-тысяча руб.;
  • на юридических лиц – пять-десять тысяч рублей.

За разглашение информации физические лица штрафуются на пятьсот-тысячу руб., должностные – четыре-пять тысяч руб. (статья 13.14 Кодекса об административных правонарушениях).

Уголовная ответственность наступает за нарушение неприкосновенности частной жизни, в том числе при использовании служебного положения.

Мера наказания может быть в виде штрафа, обязательных работ, отстранения от занимаемой должности, лишения свободы на 4- месяцев.

Кто ответственный?

Оператор самостоятельно определяет круг лиц, которые будут нести ответственность за работу с персональными данными. Основная ответственность ложится на работодателя.

В группу допуска к данным в обязательном порядке включаются сотрудники, которые по роду деятельности сталкиваются с персональными данными – например, сотрудники кадровой службы, бухгалтерии, сектора делопроизводства.

Что такое служба защиты персональных данных?

Операторы (крупные холдинги) все чаще создают служебные подразделения, деятельность которых направлена исключительно на работу с личными сведениями сотрудников, так называемые службы защиты персональных данных.

Работа с личными сведениями сотрудников – процесс трудоемкий и сложный, несмотря на свою кажущуюся простоту.

Часто сотрудникам с доступом к персональным данным не хватает времени и знаний для того, чтобы организовать работу в полном соответствии с актуальным законодательством, именно тогда на помощь приходит Служба защиты персональных данных.

В ее обязанности входят разработка необходимых нормативно-правовых актов, контроль за осуществлением сбора, обработки, хранения и передачи личных сведений работников, за соблюдением безопасной защиты сведений.

Также Служба ведет обучение сотрудников, работающих с персональными данными, осуществляет автоматическое и программное сопровождение для соблюдения норм законодательства в части персональных данных.

Личные сведения человека представляют сегодня высокую ценность. Это наиболее актуально в условиях конкуренции между Операторами, в политической среде и экономической безопасности, а разглашение личной информации и распространение персональных данных чаще всего происходит с целью умышленного или скрытого вреда человеку.

Неудивительно, что законодательная ответственность за несоблюдение регламента защиты персональных данных крайне велика. И, несмотря на то, что в нашей стране работа в этом направлении начата сравнительно недавно, прогресс уже ощущается.

Ответственность за разглашение персональных данных

C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

  • Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц — 5-10 тыс. р., для предприятий — 30-50 тыс. р.
  • Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц — 10-20 тыс. р., на организации — 15-75 тыс. р.
  • Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц — 3-6 тыс. р., на предпринимателя — 5-10 тыс. р., на организацию — 15-30 тыс. р.
  • Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц — 4-6 тыс. р., на предпринимателей — 10-15 тыс. р, на компании — 25-40 тыс. р.

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

  • «Воинский учет в организации — пошаговая инструкция»;
  •  «Какой срок хранения документов в архиве организации?».

Полный и бесплатный доступ к системе на 2 дня.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий