Бесплатная горячая линия

8 800 301 63 12
Главная - Другое - Организация обработки персональных данных в организации необходимые мероприятия и документы

Организация обработки персональных данных в организации необходимые мероприятия и документы

Организация обработки персональных данных в организации необходимые мероприятия и документы

Документальное обеспечение при организации защиты персональных данных на предприятии

Автор:Иван Иванов

При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.

Содержание статьи Главным документом в области использования информации о физических лицах, является. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.

Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных.

Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила. , которое утверждает свои требования к организации защиты:

  1. журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
  2. электронный журнал обращений (п. 15, 16);
  3. инструкцию пользователя конфиденциальной информации (п. 13);
  4. инструкцию администратора данных (п. 13);
  5. приказ с перечнем мест хранения (п. 13).
  6. список (перечень) лиц, которые допущены к обработке (п. 13 (в));
  7. частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);

До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор.

Законодатель не называет, сколько локальных актов должно быть у организаций. Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.

Внутренние документы регулируют:

  1. правила работы в информационных системах;
  2. общие принципы работы;
  3. особенности хранения;
  4. инструкция для сотрудников;
  5. порядок передачи;
  6. порядок обработки на бумажных носителях;
  7. другие моменты.

Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований могут быть введены в действие следующие документы:

  1. положение об обработке персональных данных ();
  2. формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении ( и ).
  3. форма согласия на обработку персональных данных ( и );
  4. распорядительный акт о назначении ответственных ();
  5. внесение дополнений в должностные инструкции ();
  6. план мероприятий для проведения контроля ();
  7. форма запроса на доступ ();

Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

Документы для скачивания (бесплатно) Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа.

Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно. Процесс принятия и внедрения локального акта состоит из нескольких этапов:

  1. введение в действие путем подписания приказа;
  2. получение согласования от компетентных специалистов компании;
  3. доведение документа до сотрудников, которые знакомятся с ним под роспись.
  4. создание проекта;

В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба.

Приказ о внедрении локального акта в работу составляется в свободном виде. Положение разбивается на смысловые разделы с учетом требований . Рекомендуется включить в документ следующие разделы:

  1. права и обязанности субъекта;
  2. защита конфиденциальной информации;
  3. ответственность должностных лиц и компании.
  4. способы и виды работы с информацией о гражданах;
  5. оформление доступа к сведениям;
  6. процедура предоставления личных сведений;
  7. обязательства нанимателя;
  8. список информации и документов, содержащих данные о гражданах;
  9. общие сведения;

(, , ) разделяет данные о физических лицах на:

  1. биометрические – физиология и биология.
  2. обезличенные – по ним нельзя определить конкретное лицо;
  3. специальные – здоровье, религия, раса, нация и т.д.;
  4. общие – первичные и основные;

Персональные данные – это любые сведения, относящиеся к физическому лицу.

В перечень входит:

  1. фамилия, имя, отчество;
  2. информация о документе, удостоверяющем личность;
  3. другое.
  4. сведения о дипломах;
  5. число и населенный пункт рождения;
  6. СНИЛС;
  7. семейный статус;
  8. адрес проживания;
  9. информация о полученных доходах и оплате труда;
  10. ИНН;

Компания получает информацию для конкретных целей. Они должны быть отражены в положении и бланке информированного согласия. Собрать информацию можно автоматизированными и неавтоматизированными способами.

В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных.

Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д. Согласно фирма обязана:

  1. контролировать процесс работы с информацией;
  2. знакомить с правилами работы граждан, принимаемых по трудовому договору.
  3. предотвращать вред, если будет нарушено законодательство;
  4. обеспечивать безопасное применение и использование;
  5. определить, кто будет отвечать за организацию процесса обработки личных данных;
  6. ввести в работу внутренние документы;

называет методы защиты:

  1. запись резервных копий.
  2. пресечение неразрешенного доступа;
  3. реализация правил конфиденциальности;
  4. выявление фактов незаконного доступа и устранение вреда;
  5. организация защиты технических средств;

Фирма назначает лиц, которые отвечают за обработку и хранение личных данных ().

Доступ к информации оформляется приказом с перечислением конкретных работников.

Обычно ответственными сотрудниками являются:

  1. начальник кадрового отдела;
  2. специалисты отдела информатизации.
  3. инспекторы отдела по работе с персоналом;
  4. работники бухгалтерии;

раскрывает условия обработки персональных данных:

  1. взятие у гражданина согласия;
  2. согласованность с поставленными задачами и целями.

В процессе обработки информации оператор выполняет следующие действия:

  1. хранит.
  2. использует;
  3. систематизирует;
  4. удаляет;
  5. собирает;
  6. уточняет;

Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания.

Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.

Административная ответственность (КоАП РФ):

  1. – нарушение порядка работы с информацией;
  2. – несоблюдение правил защиты;
  3. – невыполнение предписания контролирующего органа.
  4. – разглашение сведений;

В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.

Уголовная ответственность предусмотрена , которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.
Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.

устанавливает ответственность сотрудников, которые получили доступ к конфиденциальным сведениям.

Провинившегося можно уволить по решению работодателя. Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.

В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах.

Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем.

Документ включает в себя правила:

  1. работы с носителями;
  2. безопасного использования различных программ и технических средств;
  3. применения логинов и паролей;
  4. другие моменты.
  5. предоставления доступа;
  6. антивирусной защиты;

Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.

О том, как организовать защиту информации на предприятии, рассказано в видео ниже.

Документы по персональным данным в организации

Последнее обновление: 27.02.2018 Ужесточились требования и штрафы в связи с изменениями к закону о защите персональных данных.

Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована, оформлена и приведена в соответствие. Каждая организация или индивидуальный предприниматель будут проверяться на предмет соответствия их деятельности законодательству. В проверку войдут и подавшие информацию в Роскомнадзор и те, кто не подал еще.

Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Пакет документов и мероприятий по организации защиты персональных данных для любой организации очень большой, требует кропотливой работы и больших временных затрат. В среднем найм подрядчика по ведению этой деятельности, которая проведет полную подготовку Вашего предприятия к возможным проверкам обойдется Вам в 200 — 250 тыс.

рублей. Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации — это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.

Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса, существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:

  1. телефонных номеров,
  2. электронных и почтовых адресов.
  3. собираете и храните данные паспортов Ваших клиентов,
  4. кредитных карт,

Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 27 500 руб.

  1. Регламент резервного копирования персональных данных
  2. Политика оператора в отношении обработки персональных данных
  3. Положение об обеспечении безопасности персональных данных
  4. Протокол определения ущерба Компании
  5. Регламент трансграничной передачи персональных данных
  6. Модель угроз мобильного приложения
  7. Протокол определения ущерба мобильного приложения
  8. Перечень информационных систем персональных данных
  9. Приказ об утверждении внутренних регламентов и Инструкции пользователя информационных систем персональных данных
  10. Техническое задание на систему защиты персональных данных программного обеспечения
  11. Инструкция администратора безопасности информационных систем персональных данных
  12. Технический паспорт информационных систем персональных данных
  13. Регламент учёта, хранения и уничтожения носителей персональных данных
  14. Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
  15. Акт определения уровня защищенности персональных данных рассылок
  16. Протокол определения ущерба программного обеспечения
  17. Техническое задание на систему защиты персональных данных 1С Бухгалтерия
  18. Протокол определения ущерба сервиса рассылок
  19. Перечень применяемых средств защиты информации
  20. Согласие на обработку персональных данных (кандидаты на работу)
  21. Приказ о назначении лиц, ответственных за обработку и защиту персональных данных
  22. План мероприятий
  23. Приказ о назначении комиссии
  24. Регламент определения уровня защищенности персональных данных
  25. Акт определения уровня защищенности персональных данных программного обеспечения
  26. Техническое задание на систему защиты персональных данных мобильного приложения
  27. Приказ об утверждении документов
  28. Положение об обработке персональных данных
  29. Акт определения уровня защищенности персональных данных Компании
  30. Перечень помещений для обработки персональных данных
  31. Техническое задание на систему защиты персональных данных Компании
  32. Регламент проведения контрольных мероприятий и реагирования на инциденты информационной безопасности
  33. Уведомление в РосКомНадзор
  34. Соглашение об обеспечении безопасности персональных данных
  35. Модель угроз программного обеспечения
  36. Инструкция лица, ответственного за организацию обработки персональных данных
  37. Регламент реагирования на запросы субъектов персональных данных
  38. Техническое задание на систему защиты персональных данных рассылок
  39. Инструкция пользователя информационных систем персональных данных
  40. Обязательство о неразглашении персональных данных
  41. Модель угроз сервиса рассылок
  42. Акт определения уровня защищенности персональных данных мобильного приложения
  43. Модель угроз Компании
  44. Перечень обрабатываемых персональных данных
  45. Протокол определения ущерба 1С Бухгалтерия
  46. Регламент допуска сотрудников и третьих лиц к обработке персональных данных
  47. Акт определения уровня защищенности персональных данных 1С Бухгалтерия
  48. Положение о комиссии
  49. Типовое Соглашение
  50. Перечень должностей и третьих лиц, допущенных к обработке персональных данных
  51. Модель угроз 1С Бухгалтерия
  52. Типовая форма согласия на обработку персональных данных
Рекомендуем прочесть:  Господин рабыня ошейник на колени

Главный документ, регламентирующий деятельность организации в данной сфере — положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.

На основе Положения должны быть сделаны все остальные документы по защите персональных данных.

В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами.

И по каждому прописывается, с какими именно документами, они могут работать.

Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись. Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления. Далее должна быть разработана инструкция по защите персональных данных.

В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных. Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.

Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных.

Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных.

В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности.

Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства.

  1. Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14 декабря 2012 года.
  2. Указ Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».
  3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008 г. ФСТЭК).
  4. Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  5. Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  6. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ в редакции 142-ФЗ от 04.06.2014.
  7. Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
  8. Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных»
  9. Постановление Правительства РФ от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
  10. Трудовой кодекс РФ
  11. Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»
  12. Конституция РФ
  13. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  14. Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Нарушения: 1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных.

Например, интернет-магазин запрашивает избыточную информацию о потребителе — требует скан паспорта, водительских прав, свидетельства ИНН. 2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись.

Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу. Привлекут к ответственности по части 1, только когда действия не подпадают: • под часть 2 или • состав преступления Наказание: Предупреждение или штраф:• гражданам — от 1 тыс.

до 3 тыс. руб.;• должностному лицу и предпринимателю — от 5 тыс.

до 10 тыс. руб.;• организации — от 30 тыс.

до 50 тыс. руб. Судебная практика: Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32 Что делать, чтобы избежать штрафа: Обрабатывать данные только:• в случаях, которые предусмотрел закон;• в целях, которые заявлялись Нарушения: 1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон.

Например, собирает и хранит специальные персональные данные — информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.2.

Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных.

Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:• к документу, который определяет политику оператора в отношении обработки персональных данных, или • к сведениям о реализуемых требованиях к защите персональных данных Наказание: Штраф: • гражданам — от 3 тыс. до 5 тыс. руб.; • должностному лицу и предпринимателю — от 10 тыс.

до 20 тыс. руб.;• организации — от 15 тыс. до 75 тыс. руб. Предупреждение или штраф:• гражданам — от 700 руб. до 1,5 тыс. руб.;• должностному лицу — от 3 тыс.

до 6 тыс. руб.;• предпринимателю — от 5 тыс. до 10 тыс. руб.;• организации — от 15 тыс. до 30 тыс. руб. Судебная практика: Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г.

№ 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г.

по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016. Что делать, чтобы избежать штрафа: 1.

Получить согласие субъекта персональных данных на обработку его персональных данных.2. Включить в согласие необходимые сведения Опубликовать на сайте общедоступные ссылки:• на Политику организации в отношении обработки персональных данных и• иные сведения о требованиях к защите персональных данных. Нарушения: 1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:• к документу, который определяет политику оператора в отношении обработки персональных данных, или• к сведениям о реализуемых требованиях к защите персональных данных.

Наказание: Предупреждение или штраф:• гражданам — от 700 руб.

до 1,5 тыс. руб.;• должностному лицу — от 3 тыс.

до 6 тыс. руб.;• предпринимателю — от 5 тыс. до 10 тыс. руб.;• организации — от 15 тыс. до 30 тыс. руб. Судебная практика: Постановление Тамбовского областного суда от 4 октября 2016 г.

по делу № 4А-288/2016 Что делать, чтобы избежать штрафа: Опубликовать на сайте общедоступные ссылки:• на Политику организации в отношении обработки персональных данных и• иные сведения о требованиях к защите персональных данных

Организация работы с персональными данными

Вы здесь Опубликовано 2012-02-19 13:43 пользователем Valeratal С конца лета Закон о персональных данных действует в новой редакции.

Изменились правила получения и защиты информации.

Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Речь идет о таких данных, как:

  1. факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  2. образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  3. зарплата, другие доходы;
  4. привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  5. деловые и иные личные качества;
  6. дата и место рождения;
  7. другие сведения.
  8. фамилия, имя, отчество;
  9. пол;
  10. адрес;
  11. семейное положение;
  12. должность (профессия);
  13. физиологические особенности, здоровье;
  14. владение недвижимым имуществом, денежные вклады и др.;

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл.

1 на с. 76. Таблица 1. Документы, в которых содержатся персональные данные работников N Документ Сведения 1 Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) Анкетные и биографические данные работника 2 Копия документа, удостоверяющего личность работника Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи 3 Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность 4 Трудовая книжка Сведения о трудовом стаже, предыдущих местах работы 5 Копии свидетельств о заключении брака, рождении детей Состав семьи, изменения в семейном положении 6 Документы воинского учета Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников 7 Справка о доходах с предыдущего места работы Ф.И.О., данные о сумме дохода и удержанного НДФЛ 8 Документы об образовании Подтверждают квалификацию работника, обосновывают занятие определенной должности 9 Документы обязательного пенсионного страхования Ф.И.О., личные данные 10 Трудовой договор Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника 11 Приказы по личному составу Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  1. извлечение;
  2. уничтожение персональных данных.
  3. систематизация;
  4. обезличивание;
  5. использование;
  6. сбор;
  7. хранение;
  8. блокирование;
  9. удаление;
  10. передача (распространение, предоставление, доступ);
  11. накопление;
  12. запись;
  13. уточнение (обновление, изменение);

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение).

Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80. Таблица 2. Структура Положения о персональных данных работников N Обязанность Содержание раздела 1 Общие положения Цель принятия Положения Вопросы, которые регулирует Положение Ссылки на нормативные акты.

Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ

«О государственной гражданской службе Российской Федерации»

; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ 2 Основные понятия. Состав персональных данных работников Основные понятия.

Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) Перечень документов организации, которые содержат персональные данные 3 Получение персональных данных работников Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника.

Указываются случаи, когда согласие не нужно 4 Использование персональных данных Цели использования личной информации сотрудников 5 Обработка персональных данных Условия, соблюдаемые при обработке персональных данных работника 6 Передача персональных данных (доступ к персональным данным) Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ) 7 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных Введение Положения в действие Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с.

90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов. Образец приказа Если в компании есть профсоюз, с ним нужно согласовать Положение.

Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода.

Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза.

Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса. Работники должны быть ознакомлены с Положением под роспись (п.

8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  1. в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  2. — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
  3. — листе ознакомления с Положением (образец на с. 91);

Образец листа ознакомления с локальными нормативными актами N п/п Наименование локального нормативного акта Дата Подпись 1 Правила внутреннего трудового распорядка ООО «Черный лес» 03.10.2011 Евстахов 2 Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Черный лес» 03.10.2011 Евстахов 3 Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 03.10.2011 Евстахов 4 Положение о персональных данных 03.10.2011 Евстахов 5 Положение о материальной ответственности работников за ущерб, причиненный ООО «Черный лес» 03.10.2011 Евстахов Фрагмент журнала ознакомления с Положением о персональных данных N п/п Ф.И.О. работника Дата ознакомления Подпись 1 Алексеева Диана Николаевна 15.08.2011 Алексеева 2 . . . 6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов 7 .

. . 8 . . . 9 . . . Примечание. Срок хранения персональных данных Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно.

Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет.

Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558. Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл.

3. Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников Нарушение Ответственность Норма законодательства Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Для должностных лиц: от 500 до 1000 руб.; для юридических лиц: от 5000 до 10 000 руб.

Статья 13.11 КоАП РФ Разглашение информации, доступ к которой ограничен (персональных данных), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей Для должностных лиц: от 4000 до 5000 руб. Статья 13.14 КоАП РФ Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с.

92). Образец приказа Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя. Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  1. директора по персоналу;
  2. начальника отдела кадров;
  3. заместителя начальника отдела (директора по персоналу);
  4. (старшего) инспектора по кадрам;
  5. специалиста по работе с персоналом.

Может быть введена и новая должность.

Автор: А.Ю.Тьевар, старший научный редактор журнала «Зарплата» Рубрика: Ключевые слова: Оцените публикацию +1 0 -1

Защита персональных данных в организациях

Copyright: фотобанк Лори Система защиты персональных данных в организации – это комплекс различных мероприятий, необходимых для сохранения от несанкционированного доступа личных данных сотрудников, о которых стало известно работодателю в связи с их трудоустройством.

Компания или ИП-работодатель считается оператором персональных данных, так как занимается их обработкой, хранением, определяет состав предоставляемой информации и может совершать с ней определенные действия, например, передавать в банк ( закона «О персональных данных» № 152-ФЗ от 27.07.2006).

Неисполнение обязанности юрлица по защите персональных данных влечет административную, материальную и дисциплинарную ответственность. Должностное лицо, умышленно занимающееся незаконным сбором и распространением конфиденциальной информации, может понести уголовное наказание в соответствии со ст. УК РФ «Нарушение неприкосновенности частной жизни».

Многие организации собирают, обрабатывают и хранят персональные сведения не только о своих работниках. Например, банки требуют их от клиентов, интернет-магазины – от покупателей, государственные ведомства – от заявителей. И в любых случаях персональные данные (сокращенно – ПД) нуждаются в защите.

Но ПД работников собирают и обрабатывают все организации, где есть хотя бы один сотрудник, независимо от того, чем занимается фирма.

Защита конфиденциальной информации о работниках регулируется следующими нормативными актами:

  1. Приказом ФСТЭК (аббревиатура Федеральной службы по техническому и экспортному контролю) № от 18.02.2013 – в документе перечислены технические и управленческие средства для защиты персональных данных в организации, содержащихся в информационных системах.
  2. Трудовым кодексом РФ – ст. -90;
  3. Законом № 152-ФЗ «О персональных данных» от 27.07.2006 – ст. , 19, 22.1;
  4. Правительственным постановлением № 1119 от 01.11.2012 – содержит требования к защите ПД при их обработке в информационной системе;

Административная ответственность предусмотрена за различные правонарушения, связанные с несоблюдением законодательства о персональных данных. В частности, она может наступить за обработку ПД гражданина без его согласия, или обработку данных, несовместимую с целями их сбора, либо проводимую в случаях, не предусмотренных российским законодательством ( КоАП РФ).

Читайте также: Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов:

  1. Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.
  2. Приказ о допуске работников к персональным данным – со списком уполномоченных подчиненных, где указывается их ФИО и должность;
  3. Положение о персональных данных (в нем должен быть раздел, посвященный их защите от посторонних лиц – с перечислением мер по ее обеспечению);
  4. Расписки о неразглашении ПД – заранее разрабатывается их форма и дается на подпись сотрудникам (другой вариант – включать пункт о неразглашении ПД в трудовой договор с работником);
  5. Приказ о назначении сотрудника, ответственного за работу с ПД — на него возлагается обязанность обеспечивать и их защиту (это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено);

Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям. Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства.

В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно (ст. закона «О персональных данных»). Но оно обязательно, если юридическое лицо обрабатывает ПД сторонних лиц – покупателей, клиентов, получателей государственных услуг и т.д.

Читайте также: Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна:

  1. Назначить сотрудника, который будет отвечать за работу с ПД.
  2. Реализовать мероприятия, способные защитить персональные данные – установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.д.
  3. Подготовить образцы расписок о неразглашении ПД.
  4. Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД.
  5. Разработать Положение о персональных данных, включив раздел об их защите.
  6. Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц. Всего существуют 3 типа угрозы. Условия их присвоения определены Правительственного Постановления № 1119 от 01.11.2012.
  7. Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации. Например, обработка биометрии человека относится к первому (высшему) уровню защищенности, а обработка персональных данных сотрудников – это обычно 3-й уровень.

Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе. Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в Рубрики: Tags: Понравилась статья?

Подпишитесь на рассылку Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство | 13:50 19 июня 2021 Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство | 15:02 23 января 2017 Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство | 14:30 8 мая 2018 Кадровое делопроизводство Пенсионеры УСН | 12:20 29 сентября 2021 УСН Прием на работу Бухгалтерская отчетность Экономика и бизнес Бухгалтерская отчетность Пенсионеры, Транспортный налог Страховые взносы ФСС Декретный отпуск Бухгалтерский учет Штрафы Кадровое делопроизводство Кадровое делопроизводство Выплаты персоналу Современный предприниматель Налоги и учет для малого бизнеса © 2006 — 2021 Все права защищены.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+