Приказ о персональных данных - Komsindrom.ru

Приказ о персональных данных

Содержание

Приказ об утверждении положения о персональных данных

Работодатель издает приказ об утверждении положения о персональных данных. И этот документ является одной из гарантий защиты персональных данных работника. Фактически это обязанность работодателя. Которую устанавливает статья 87 Трудового кодекса РФ. Положение о персональных данных не что иное, как локальный акт, который устанавливает порядок хранения и использования такие сведений. А приказ вводит Положение в действие.

Пример документа

Акционерное общество “Праймериз”

Приказ № 24 об утверждении Положения о персональных данных

г. Бердск 19 марта 2022 г.

Во исполнение требований главы 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 152-ФЗ “О персональных данных”,

  1. Утвердить Положение о персональных данных работников АО “Праймериз” с 20 марта 2022 года.
  2. Назначить ответственным лицом за получение, обработку и хранение персональных данных сотрудников – начальника отдела кадров АО “Праймериз” Иванову Светлану Игоревну.
  3. Утвердить перечень должностей, допущенных к работе с персональными данными работников АО “Праймериз” (доступ без ограничений):
  • генеральный директор АО
  • заместитель генерального директора АО
  • коммерческий директор АО
  • начальник отдела кадров АО
  • ведущий специалист отдела кадров АО
  • главный бухгалтер АО

4. Ивановой Светлане Игоревне ознакомить всех работников АО с Положением о защите персональных данных работников, с лицами, замещающими должности с допуском к работе с персональными данными заключить Обязательство о неразглашении персональных данных работников.

  1. Положение о персональных данных

Генеральный директор Агонян Агонян В.Д.

Обязателен ли приказ об утверждении положения о персональных данных

На сайте мы разместили много образцов приказов. Как по кадровым вопросам (о приеме на работу, об увольнении), так и об утверждении локальных актов (например, приказ об учетной политике). В принципе, такой документ как приказ об утверждении положения о персональных данных составляется достаточно просто. В отличие от самого положения, которое должно содержать ряд сведений.

Положение о персональных данных – обязательный локальный акт, который должен быть в организации. Порядок обработки, хранения и использования таких данных работодатель устанавливает именно в Положении. Соответственно, отсутствие его в организации может стать основанием административной ответственности. И назначения штрафа трудовой инспекции.

Структура акта о персональных данных

Персональные данные работника работодатель обрабатывает исключительно в рамках трудового договора. Только в целях трудовой деятельности в связи с трудовыми отношениями. И работник в силу ст. 86, 68 ТК РФ обязательно должен быть знаком с Положением о персональных данных. Его работодатель составляет на основании Трудового кодекса и Закона о персональных данных.

Структура документа может выглядеть следующим образом:

  1. Общие положения. Или цель, нормативно-правовая основа документа. Все то, о чем мы говорили выше. Общие принципы (ст. 86 ТК РФ).
  2. Основные понятия. Состав персональных данных работников. Здесь можно указать, какие документы организации содержат персональные данные, общие понятия (Закон о персональных данных).
  3. Обработка персональных данных. Доступ к персональным данным. Здесь указываем условия, ограничиваем доступ к данным. Перечень лиц и уровень доступа лучше отдельно упомянуть в приказе об утверждении Положения. Или в отдельном приказе.
  4. Передача персональных данных. Как внутри организации, так и третьим лицам и государственным органам.
  5. Ответственность за нарушение Положения.

Все общие правила, которые входят в структуру Положения, на сайте рассмотрены с точки зрения актуального законодательства, в том числе трудового.

Как ввести в организации положение

Руководитель организации или лицо, уполномоченное им, издает приказ. Которым утверждает Положение о персональных данных. Именно так документ обретает юридическую силу в стенах организации. Если в организации есть представительный орган работника, учитывается его мнение.

Затем работодатель должен ознакомить каждого работника под роспись с указанным документом. Отсутствие самого Положения или подписи работника – основание привлечь работодателя по ст. 5.27 КоАП РФ.

Ознакомить можно путем получения подписи на отдельном листе, на самом Положении. Или указать в перечне документов, с которыми работник ознакомлен при подписании трудового договора. Возможно, в организации будет журнал ознакомления с локальными актами работодателя. А вот рассылать, например, по электронной почте, не стоит. Трудовой кодекс содержит требование ознакомить с документами под роспись.

Если при подготовке приказа об утверждении положения о персональных данных возникли трудности, можно задать вопросы дежурному юристу сайта.

Приказ об утверждении положения о персональных данных

Приказ об утверждении положения о персональных данных – относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках.

Читайте также:  Правильная корпоративная газета. Какая она?

Правовая основа

Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:

  • Ф.И.О.;
  • адрес регистрации и места проживания;
  • серию и номер паспорта;
  • номер свидетельства ИНН;
  • СНИЛС;
  • о количестве детей, датах их рождения;
  • о семейном положении;
  • о предыдущей работе, сроках, причинах увольнения.

Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:

  • обработки личной информации сотрудников;
  • хранения и пользования данными;
  • передачи личных данных работников.

На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:

  • какие сведения относятся к категории «персональных»;
  • кто имеет доступ к сведениям работников личного характера;
  • как осуществляется сохранность персональных данных (на каком носителе);
  • в каком порядке происходит обработка информации;
  • где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
  • на каких основаниях и кому могут передаваться данные о работнике;
  • как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
  • порядок его утверждения и изменения.

Приложение может включать образцы заявлений работников:

  • о согласии с обработкой своих личных данных;
  • о согласии получения дополнительных сведений в отношении работника.

Типовой вариант такого документа по указанию руководства может быть разработан:

  • специалистом по кадрам;
  • юристом компании;
  • помощником руководителя.

Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.

Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.

Содержание приказа

Приказ должен включать в себя следующие элементы:

  1. Вводную часть, в которой будет указываться:
    • наименование работодателя;
    • номер, название и дата приказа;
    • город места составления;
    • основания вынесения.
  2. Основную часть, в которой прописываются:
    • факт утверждения положения по личным данным работников;
    • срок, с которого положение вводится в действие;
    • должностное лицо, допущенное к работе с личной информацией;

  • степень полноты допуска должностных лиц к сведениям.
  • Заключительную часть, которая содержит:
    • указание ответственного за выполнение приказа лица;
    • обязанность довести до сведения работников положения о персональных данных, взять их согласие в письменной форме на обработку сведений;
    • подпись руководителя или надлежащим образом уполномоченного заместителя;
    • дату ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.
  • Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления. Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

    Ошибки

    При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

    1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
      • до 70 тысяч рублей (для юридического лица);
      • до 5 тысяч рублей (для ИП).

    Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

  • В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
    • обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
    • необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
    • производится с добровольного согласия работника, предоставленного в письменном виде.
  • Сроки хранения документов

    В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.

    Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.

    Составляем приказ о персональных данных работников

    К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

    Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

    Зачем нужен приказ о персональных данных

    Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

    Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

    Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

    • назначение ответственного за организацию процесса обработки данных;
    • определение перечня лиц, допущенных к сбору, хранению и обработке;
    • утверждение положения об обработке и защите конфиденциальных данных.

    Как правильно оформить приказ о персональных данных

    Хотя образец приказа о персональных данных работников 2019 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

    Читайте также:  Надо ли отправлять уведомление о приеме на работу бывшего работника МФЦ?

    В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

    Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

    Основная часть приказа о персональных данных должна содержать:

    • собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
    • указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
    • указание ответственному лицу ознакомить работников с распорядительным документом;
    • определить работника, который будет контролировать исполнение (может быть сам руководитель).

    Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

    Образец приказа об изменении персональных данных работника

    Как заполнять

    Приказ может состоять из следующих разделов:

    1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
    2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
    3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
    4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
    5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
    6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

    Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

    Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

    Ответственность за отсутствие

    Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

    В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

    Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

    За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

    Устанавливаем доступ к персональным данным

    Частая ошибка

    Работодатели назначают в приказе несколько сотрудников, ответственных за организацию обработки персональных данных. Такой работник в компании должен быть один – например, заместитель генерального директора или начальник службы безопасности

    Приказ о назначении ответственного за организацию обработки персональных данных

    Для чего нужен документ

    С 27 июля 2011 года работодатель обязан назначать ответственного за организацию обработки персональных данных в компании 1 . Для этого ему нужно издать приказ. Ответственный сотрудник получает в таком документе конкретные указания от исполнительного органа компании, которые он обязан выполнять (например, генерального директора, президента, правления, дирекции и др.).

    Внимание!

    Работодатель может назначить в качестве ответственного за организацию обработки персональных данных не только своего сотрудника, но и стороннее юридическое лицо

    В каком виде составляется

    В письменной. Унифицированной формы приказа нет, поэтому он составляется произвольно.

    Что обязательно должно быть в документе

    Дата, место составления, ссылка на положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (ст. 14, 18.1, 20, 21, 22.1), фамилия, имя, отчество ответственного за организацию обработки персональных данных, подпись, подтверждающая, что он ознакомлен с приказом.

    Совет

    Если вы составляете приказ и у вас возникли вопросы, задайте их специалисту Роскомнадзора по телефону. Номер можно уточнить на сайте

    Совет

    Подпишите дополнительное соглашение тем же числом, что и приказ. С правовой точки зрения эти документы лучше оформить одной датой

    Дополнительное соглашение к трудовому договору

    Для чего нужен документ

    В трудовом договоре указываются обязанности сотрудника. Если они изменяются, нужно подписать об этом дополнительное соглашение .

    В каком виде составляется

    В письменной произвольной форме.

    Что обязательно должно быть в документе

    Новые обязанности в соответствии с приказом о назначении ответственного лица за организацию обработки персональных данных.

    Совет

    Ознакомьте работника с приказом «О назначении ответственного лица за организацию обработки персональных данных», а также укажите в тексте дополнительного соглашения, что он получил на руки свой экземпляр

    Внимание!

    Нужно снять с работников ответственность за организацию обработки персональных данных, но не полномочия по их сбору, хранению, уточнению и др.

    Приказ о снятии с работников ответственности за организацию обработки персональных данных

    Для чего нужен документ

    Как было отмечено выше, ответственный за организацию обработки персональных данных в компании должен быть один . Специалисты Роскомнадзора рекомендуют снять его полномочия с работников, на которых они были возложены ранее (если такие есть в вашей организации).

    Совет

    Укажите, что издаете документ во исполнение приказа «О назначении ответственного лица за организацию обработки персональных данных»

    В каком виде составляется

    В письменной произвольной форме.

    Что обязательно должно быть в документе

    Дата, место составления, перечень работников, с которых снимается ответственность за организацию обработки персональных данных, подписи всех лиц, названных в приказе.

    Частая ошибка

    Многие работодатели считают, что работников не обязательно знакомить с приказом под роспись. Однако в этом документе должны поставить свою подпись все, кто указан в его тексте

    Совет

    Укажите в приказе условие о том, что от работников нужно получить обязательство о неразглашении персональных данных. Они могут отвечать только за то, что обещали не нарушать

    Читайте также:  Приказ о поощрении работника: образец заполненный

    Приказ об установлении перечня работников, которые имеют доступ к персональным данным сотрудников компании

    Для чего нужен документ

    Персональные данные работника могут храниться на бумажных носителях и (или) в электронной форме. При этом работодатель обязан определить список лиц, которым нужен к ним доступ, чтобы выполнять свои трудовые обязанности 2 .

    В каком виде составляется

    В письменной произвольной форме.

    Что обязательно должно быть в документе

    Дата, место составления, ссылка на законодательство, перечень работников, которым устанавливается доступ к персональным данным сотрудников организации, подписи всех лиц, названных в приказе.

    Внимание!

    К персональным данным должны быть допущены только те сотрудники, которым они необходимы, чтобы выполнять свою работу

    Совет

    Хотя обязательство составляется в произвольной форме, возьмите за образец примерную форму такого документа для госслужащих, например, на:

    Обязательство о неразглашении персональных данных

    Для чего нужен документ

    Если у вас будет обязательство, вы сможете привлечь работника к ответственности , если он раскроет персональные данные сотрудника, которые стали ему известны при исполнении своих обязанностей 3 .

    Совет

    Проследите, чтобы работник в обязательстве указал свои паспортные данные. Только так он будет стопроцентно идентифицирован

    В каком виде составляется

    В письменной произвольной форме.

    Что обязательно должно быть в документе

    Дата, фамилия, имя, отчество лица, который дает обязательство, его паспортные данные, предмет обязательства (что именно обещает не раскрывать), ссылка на законодательство об ответственности за разглашение персональных данных, подпись автора обязательства.

    Совет

    Работник может перечислить все персональные данные, которые он обязуется не разглашать, однако лучше использовать обобщенные формулировки, чтобы ни одного из таких сведений не упустить. Например, «обязуюсь не раскрывать все персональные данные сотрудников, к которым имею доступ»

    Образец приказа об обработке персональных данных работников

    Мировая тенденция развития законодательства в области защиты персональных данных демонстрирует ужесточение норм, регламентирующих наказание за незаконное использование личной информации. Российское право в этом вопросе не стоит особняком и также стремится к усилению контроля над утечкой данных. При организации защиты конфиденциальных сведений на предприятии необходимо опираться на главу 14 ТК РФ и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они помогут разобраться, как выглядит корректный образец приказа о положении о защите персональных данных.

    Какие данные относятся к персональным

    Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:

    • Ф.И.О.;
    • возраст (год рождения);
    • семейное положение;
    • образование;
    • профессия;
    • адрес проживания;
    • расовая и национальная принадлежность;
    • вероисповедание;
    • биометрические данные;
    • политические взгляды;
    • состояние здоровья.

    Исключение составляют, например, случаи, когда раскрытие этой информации необходимо для предотвращения угрозы безопасности самого человека или государства. Чтобы не нарушить эти правила, на предприятиях должна быть разработана локальная нормативная база. И все эти нюансы содержит образец приказа о допуске к персональным данным работников.

    Образец приказа о персональных данных работников 2019: с чего начать

    На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

    • положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2019 детально описан в специальном материале;
    • образец приказа о хранении персональных данных;
    • политика предприятия в отношении таких сведений;
    • перечень лиц, имеющих доступ к ним;
    • согласие на обработку;
    • соглашение о неразглашении;
    • журнал учета передачи данных.

    Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.

    Образец приказа об утверждении положения о защите персональных данных (2019)

    Учтите, что недостаточно утвердить такой приказ. Всех работников надо ознакомить с ним под подпись ( ст. 86 ТК РФ ).

    Ответственность за отсутствие документации

    Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере. Права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011. А с 23.02.2019 вступило в силу Постановление Правительства от 13.02.2019 № 146, которое описывает правила проведения проверок за соблюдением законодательства об обработке личных данных.

    Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:

    • дисциплинарная — на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ ;
    • административная — на основании ст. 13.11 КоАП РФ (штраф до 75 000 рублей);
    • уголовная — с учетом положений ст. 137 УК РФ (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).

    Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы.

    Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях. Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения.

    Образец

    На некоторых предприятиях на основании заявления издается приказ об изменении информации о сотруднике. Образец этого документа можно скачать ниже. Но для облегчения процедуры зачастую просто готовится дополнительное соглашение, вносятся изменения в личную карточку, трудовую книжку работника и другие документы при необходимости.

    Особое внимание уделяется конфиденциальности информации о пациентах медицинских учреждений. Прежде всего обязанность хранить молчание о состоянии пациентов лежит на самом враче. Но это не снимает с администрации лечебного учреждения необходимость издать приказ «Перечень персональных данных пациентов, подлежащих защите».

    Ссылка на основную публикацию
    Adblock
    detector