Составляем приказ о персональных данных работников

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Составляем приказ о персональных данных работников». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Закон не выдвигает особых требований к должности лица, назначенного ответственным за организацию обработки персональных данных. Напомним, что под «обработкой персональных данных» понимается любое действие или операция с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных», далее – Закон о персональных данных).

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

• фамилия, имя, отчество;
• пол, возраст;
• паспортные данные, СНИЛС, ИНН;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• номер телефона или электронная почта;
• прочие сведения, которые могут идентифицировать человека.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Приказ о защите персональных данных

Персональные данные (далее по тексту — ПД) работника — это любая информация, которая позволяет третьим лицам идентифицировать его личность. ПД должны быть надежно защищены от несанкционированного доступа — нарушение этого правила влечет за собой наложение на физическое или юридическое лицо, работающее с ними, административного взыскания.

Для обеспечения конфиденциальности данных необходимо разработать и внедрить на предприятии многоуровневую систему защиты информации, неотъемлемой частью которой является создание организационной документации, определяющей порядок работы с такими сведениями о работниках. Приказ о защите ПД определяет ключевые моменты политики руководства предприятия в области использования конфиденциальных сведений о личности работников, а также устанавливает перечень должностей и занимающих их лиц, в полномочия которых входит сбор, хранение и обработка данных.

Приказ о введении локально-нормативных актов

Очень важный приказ о введении локально-нормативных актов издается в первый день создания компании. Но до сих пор встречаются фирмы, в которых локально-нормативные акты не разработаны.

Тогда алгоритм действий будет таким:
Шаг 1. Приказ о том, что через 2 месяца (а если есть профсоюзная компания, то через 3 месяца) вступят в действие следующие локально-нормативные акты:

• Правила внутреннего трудового распорядка
• Положение о защите персональных данных
• Положение о заработной плате и премировании.

Материалы и документы о защите персональных данных

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций.

27 июля 2006 года был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Закон вступил в силу 1 июля 2011 года. Действие закона распространяется не только на бумажные носители, но и на электронные средства (такие как автоматизированные информационные системы и электронные базы данных).

Наше учреждение является оператором, осуществляющим обработку персональных данных сотрудников, воспитанников и их родителей (законных представителей), а также физических лиц, состоящих в иных договорных отношениях с учреждением. Для соблюдения требований закона «О персональных данных» (далее — ПДн) детский сад должен получить от сотрудников и родителей (законных представителей) каждого воспитанника СОГЛАСИЕ НА ОБРАБОТКУ ПДн (на основании статьи 6, п. 1 № 152-ФЗ «О персональных данных).

Учреждение обрабатывает и защищает сведения о сотрудниках, детях и их родителях (законных представителях) на правовом основании.

• Правовое основание защиты персональных данных:
• Конституция РФ;
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
• Федеральный закон от 30.12.2001 г. № 195-ФЗ «Кодекс Российской Федерации об административных правонарушениях» (ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»);
• Федеральный закон от 13.06.1996 г. № 63-ФЗ «Уголовный кодекс Российской Федерации» (ст. 137 «Нарушение неприкосновенности частной жизни»);
• Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ (ст. 85-90);
• Постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Совместный приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных»;
• Гражданский кодекс РФ;
• Налоговый кодекс РФ;
• Устав учреждения.
• Категории персональных данных сотрудников ДОУ, воспитанников и родителей (законных представителей) несовершеннолетних:
• фамилия, имя, отчество;
• пол;
• дата рождения;
• место рождения;
• документ удостоверяющий личность;
• адрес регистрации;
• фактический адрес места жительства;
• номер полиса обязательного медицинского страхования;
• сведения о состоянии здоровья, находящиеся в медицинской карте воспитанника;
• социальное положение;
• жилищные условия;
• документы при установлении опеки;
• контактные телефоны; сведения о гражданстве;
• паспортные данные;
• сведения о воинской обязанности;
• сведения о трудовом стаже;
• сведения о предыдущем месте работы;
• сведения о составе семьи;
• сведения о социальных льготах;
• информация об образовании;
• СНИЛС;
• ИНН;
• сведения об аттестации;
• сведения о повышении квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях, почетных званиях);
• личное фото и фотографии;
• видеоматериалы с личным участием;

Цель обработки персональных данных: обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании», а также иными нормативно-правовыми актами Российской Федерации в области образования.

• Оператор вправе:
• размещать обрабатываемые персональные данные в автоматизированных информационных системах и бумажных носителях, с целью предоставления доступа к ним ограниченному кругу лиц: воспитанникам, родителям (законным представителям), а также административным и педагогическим работникам детского сада;
• размещать фотографии сотрудника, родителя (законного представителя),воспитанника (фамилию, имя, отчество) на стендах в помещениях дошкольной организации и на официальном сайте ДОУ);
• предоставлять данные сотрудника, воспитанника для участия в дошкольных городских, окружных, всероссийских и международных конкурсах, олимпиадах, викторинах, выставках и т.д.;
• производить фото- и видеосъемки сотрудника, воспитанника для размещения на официальном сайте ДОУ и СМИ с целью формирования положительного имиджа детского сада;
• включать обрабатываемые персональные данные сотрудника, родителя (законного представителя), воспитанника в списки (реестры) и отчетные формы, предусмотренные нормативными документами окружного, муниципального и дошкольного уровней, регламентирующих предоставление отчетных данных.

Кого можно назначить ответственным

В Законе № 152-ФЗ нет специальных требований, которые предъявляются к такому лицу. Системный анализ законодательства о персональных данных и сложившейся практики позволяет предположить, что ответственным можно назначить (п. 7.1 ч. 3 ст. 22 Закона № 152-ФЗ, Методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059):

• сотрудника оператора, в том числе руководителя организации, если в штате нет подходящего для этой цели работника;
• иную организацию или ИП, специально привлеченных для этой цели.

Исключение — оператор, являющийся государственным или муниципальным органом, в котором ответственным может быть только (пп. «а» п. 1 Перечня, утв. Постановлением Правительства РФ от 21.03.2012 № 211):

• государственный или муниципальный служащий этого органа;
• сотрудник этого органа, с которым заключен трудовой договор и который замещает должность не из числа должностей ГГС РФ.

Должностная инструкция

Права, функции и обязанности этого специалиста, пределы его полномочий определяет и детализирует должностная инструкция ответственного за обработку персональных данных — особый организационно-распорядительный документ, в котором определен порядок действий при каждой операции с персональными данными. Четкая форма инструкции законодательно не установлена. Допускается просто перечислить в ней основные должностные обязанности. Но чем подробнее будут описаны все производственные процессы, тем меньше вероятность возникновения разногласий как с работниками, так и с законодательством.

Самый распространенный вид инструкции — документ, содержащий следующие разделы:

• общие положения;
• функции;
• обязанности;
• права;
• ответственность.

Также в документе прописывают положения о порядке его изменения, ссылки на законодательные акты.

Распоряжение о назначении уполномоченного входит в перечень рекомендованных документов для формирования системы защиты индивидуальной информации в организации при ее обработке. Четкий перечень документов законом не регламентирован. Работодатель обязан назначить ответственного за обработку персональных данных в соответствии с п. 1 ст. 22.1 ФЗ-152 в ред. от 31.12.2017. После утверждения сотрудник:

• получает указания непосредственно от исполнительного органа, назначившего его;
• подотчетен организации, являющейся оператором.

Обработку специальной категории личных данных (ведение кадрового, бухгалтерского учета и пр.), с согласия работника, работодатель вправе поручить другому лицу (ч. 3 ст. 6 ФЗ-152, абз. 2 п. 5 Разъяснений Роскомнадзора).

ВАЖНО!

Ответственность перед работником за действия указанных лиц несет работодатель (ч. 5 ст. 6 ФЗ-152 в ред. от 31.12.2017).

Требования к должности трудовым законодательством не установлены. Это вытекает из следующего:

• порядок хранения данных устанавливается работодателем (ст. 87 ТК РФ);
• учреждения и предприятия самостоятельно разрабатывают и утверждают положение (описывают действия, связанные с обработкой хранением, использованием, перечисляют ответственных за обработку персональных данных — п. 2 ч. 1 ст. 18.1 ФЗ-152 в ред. от 31.12.2017);
• если приказ отсутствует, руководитель является лицом, ответственным за ООПД (государственный орган, муниципальный орган, организация любой формы собственности).

ВАЖНО!

Руководитель является единоличным исполнительным органом (ст. 273 ТК РФ) — законодательно не установлено дополнительно оформлять на руководителя приказы и отдельные соглашения к трудовому договору на обработку данных работающих.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

Что относится к персональным данным

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

Структура акта о персональных данных

Персональные данные работника работодатель обрабатывает исключительно в рамках трудового договора. Только в целях трудовой деятельности в связи с трудовыми отношениями. И работник в силу ст. 86, 68 ТК РФ обязательно должен быть знаком с Положением о персональных данных. Его работодатель составляет на основании Трудового кодекса и Закона о персональных данных.

Структура документа может выглядеть следующим образом:

1. Общие положения. Или цель, нормативно-правовая основа документа. Все то, о чем мы говорили выше. Общие принципы (ст. 86 ТК РФ).
2. Основные понятия. Состав персональных данных работников. Здесь можно указать, какие документы организации содержат персональные данные, общие понятия (Закон о персональных данных).
3. Обработка персональных данных. Доступ к персональным данным. Здесь указываем условия, ограничиваем доступ к данным. Перечень лиц и уровень доступа лучше отдельно упомянуть в приказе об утверждении Положения. Или в отдельном приказе.
4. Передача персональных данных. Как внутри организации, так и третьим лицам и государственным органам.
5. Ответственность за нарушение Положения.

Все общие правила, которые входят в структуру Положения, на сайте рассмотрены с точки зрения актуального законодательства, в том числе трудового.

Образец приказа о персональных данных работников 2019: с чего начать

На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

• положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2019 детально описан в специальном материале;
• образец приказа о хранении персональных данных;
• политика предприятия в отношении таких сведений;
• перечень лиц, имеющих доступ к ним;
• согласие на обработку;
• соглашение о неразглашении;
• журнал учета передачи данных.

Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2019 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

• собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
• указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
• указание ответственному лицу ознакомить работников с распорядительным документом;
• определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Обязательство о неразглашении (нераспространении) персональных данных работников. Образец.

Чтобы оформленный сотрудником документ имел юридическую силу, а работодатель смог снять с себя ответственность за разглашение сведений о работнике, произошедшее не по его вине, данный документ должен включать в себя следующие обязательные сведения:

• Сведения об ответственном должностном лице – сотруднике, подписывающем обязательство: Ф.И.О., адрес места регистрации, паспортные данные, а также должность и структурное подразделение;
• Сведения о работодателе: название организации или Ф.И.О. индивидуального предпринимателя, ИНН, ОГРН / ОГРНИП;
• Перечисление обязательств, которые данное должностное лицо на себя принимает (в том числе не разглашать третьим лицам конфиденциальные сведения, которые ему доверены или будут доверены в будущем и так далее);
• Подпись сотрудника с расшифровкой;
• Дата составления документа.

Обязательство о нераспространении данных граждан является односторонним документом, поэтому составляться оно должно в одном экземпляре и храниться у работодателя. При желании, должностное лицо, давшее такое обязательство может потребовать для себя заверенной копии этого документа.

Что относится к персональным данным

Сведениями, имеющими персональное значение, является любая информация о работнике организации, включенная в его личные документы. В частности это: дата и место рождения, адрес проживания, образование и опыт работы, состояние здоровья. К личным данным также причисляются вероисповедание, национальность, внешние особенности, финансовое и семейное положение, отношения с законом (наличие или отсутствие судимостей), а также некоторые факты из биографии.

• Бланк и образец
• Бесплатная загрузка
• Онлайн просмотр
• Проверено экспертом

Кто должен расписаться в приказе

Свои подписи в приказе о защите персональных данных работников должны поставить несколько человек. Самый первый автограф: директора организации, поскольку именно от его лица выпускаются все распоряжения такого уровня.

Следующая подпись: работника, на которого возлагается контроль за исполнением приказа и, наконец, в нем должны расписаться сотрудники, в нем упомянутые (если только их подписи не будут собраны в отдельном акте об ознакомлении).

Печать в документе ставить в обязательном порядке не требуется, но она нужна в том случае, если условие о ее использование для визирования внутренней распорядительной документации есть в учетной политике компании.

Похожие записи:

• Как взыскать алименты на 3 детей
• Размер алиментов в твердой денежной сумме в 2023 году
• В России выплатят по 23 000 рублей на каждого ребенка в 2023 году — подробности