Приказ о назначении ответственного по работе с персональными данными

Приказ о назначении ответственного за обработку персональных данных

Соблюдать требования Закона «О персональных данных» должны все компании и ИП, у которых есть работники (п. 2 ст. 3 Закона от 27.07.2006 N 152-ФЗ ). Ведь даже при приеме на работу сотрудник предоставляет своему новому работодателю личную информацию о себе: паспортные данные, сведения об образовании, воинской обязанности и т.д. И в дальнейшем работодатель тоже постоянно работает с персональными данными своих работников (со сведениями об их доходах, о состоянии здоровья и т.п.).

В связи с этим у каждого работодателя должен быть внутренний документ, определяющий политику в сфере обработки и защиты персональных данных работников (п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 N 152-ФЗ , ст. 87 ТК РФ). Это может быть, к примеру, Положение о персональных данных, которое должно быть утверждено приказом руководителя. С положением работников необходимо ознакомить под роспись (ч. 1 ст. 18, ч. 7 ст. 14 Закона от 27.07.2006 N 152-ФЗ , п. 8 ст. 86, ст. 88 ТК РФ).

В Положении о персональных данных указывается: какие именно сведения подлежат обработке, цели обработки, возможные действия с данными (накопление, хранение, уточнение и т.д.), права и обязанности работников касательно персональных данных, порядок обработки данных. Кроме того, в организации должен быть работник, ответственный за получение, обработку и хранение персональных данных, лицо, которое при исполнении своих служебных обязанностей всегда имеет к ним доступ без дополнительного разрешения.

Кто из работников может быть назначен ответственным за обработку персональных данных

В каждой организации должен быть работник, ответственный за персональные данные (у ИП-работодателя такого сотрудника может не быть). Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому, в общем-то, для выполнения функций по обработке персональных данных подойдет любой сотрудник: специалист отдела кадров, бухгалтер, секретарь.

Приказ о назначении ответственного за организацию обработки персональных данных составляется в произвольной форме. В нем указывается сам ответственный работник и распоряжение о том, чтобы сведения о вменяемых ему обязанностях были внесены в его должностную инструкцию. Поскольку за нарушение требований к обработке и защите персональных данных возможно привлечение к дисциплинарной, материальной, административной и даже уголовной ответственности (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27.07.2006 N 152-ФЗ ), сотрудник, работающий с личными данными, должен быть предупрежден об этом.

Приказ о назначении ответственного за обработку персональных данных

Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

На кого чаще всего возлагается ответственность за обработку персональных данных

Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.

Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.

Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.

По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия. Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

1. В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
2. Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
3. Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
4. Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
5. В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.

Назначение ответственного по работе с персональными данными: приказ 2019

Как составить приказ о назначении ответственного по работе с персональными данными 2019? Понятно, что работодатели волей-неволей работают с персональными сведениями сотрудников. В соответствии с действующим законодательством персданные должны быть соответствующим образом защищены. Для этого компания должна выполнить ряд требований к их безопасности. Одно из них – издать приказ о назначении ответственного по работе с персональными данными.

Обработка персональных данных немыслима без их защиты. Люди, устраивающиеся на работу по трудовому договору или являющиеся исполнителями по гражданско-правовым договорам, сообщают работодателю (заказчику) конфиденциальную информацию.

Например, лица, вступающие в трудовые отношения, в обязательном порядке предъявляют ряд документов. Например, в общем случае, не получится трудоустроиться официально без предъявления паспорта, трудовой книжки, свидетельства пенсионного страхования и других необходимых документов (ст. 65 ТК РФ).

Работодатель, получив доступ к персональной информации сотрудников, должен обеспечить ее защиту. Во-первых, нужно разработать и утвердить специальное Положение о персональных данных, в котором будет предусмотрен порядок обработки персданных, оказавшихся в распоряжении компании.

Следующим шагом является подготовка приказа о назначении ответственных по работе с персональными данными.

Важно понимать, что не только сведения, полученные при трудоустройстве, относятся к персональным данным. Такая информация, подлежащая защите, образуется и в ходе деятельности организации.

Так, например, в данную группу входят сведения о зарплате сотрудников. Таким образом, необходимо обеспечить безопасность информации, касающейся работников: расчетных ведомостей, личных карточек сотрудников и т.д.

За подготовкой Положения следует издание приказа о назначении ответственного лица по работе с персональными данными. Единой унифицированной формы это документа не установлено, поэтому приказ можно составить в произвольной форме. Главное – наличие в готовом документе всех реквизитов первичного документа.

Остановимся на важных моментах:

• название компании должно соответствовать наименованию в учредительных документах;
• если у компании есть сокращенное название, то оно указывается в скобках (п. 5.5 ГОСТ Р 7.0.97-2016);
• после строчки с датой документа указывается место составления приказа;
• заголовок «о назначении ответственного по работе с персональными данными» указывается слева, начиная от границы поля (п. 5.17 ГОСТ Р 7.0.97-2016);
• кроме фамилии ответственного сотрудника нужно указать его должность и сферу ответственности.

Руководствуясь данными правилами, можно составить приказ о назначении ответственного по работе с персональными данными. В ДОУ, коммерческой организации или на промышленном предприятии форма документа будет единой.

Если в организации нет Положения о работе с персональными данными, то компанию смогут оштрафовать по статье 5.27 КоАП РФ. Если компания решит попробовать отстоять свою позицию в суде, то ее шансы будут невелики. Дело в том, что в этом вопросе судьи поддерживают контролеров (см., например, постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06).

Специально для читателей наши специалисты подготовили образец приказа о назначении ответственного по работе с персональными данными. Скачать форму в формате Word можно бесплатно по прямой ссылке на сайте.

Образец приказа о назначении ответственного по персданным.

Понравилась статья? Поделитесь ссылкой с друзьями:

Приказ о назначении ответственного за персональные данные: обязательно ли составлять, кого назначить ответственным, образец заполнения

Когда хозяйственный субъект заключает трудовой контракт с наемными работниками или вступает в иные отношения с физлицами, то ему приходится иметь дело с их персональными данными. Существующие нормы права обязывают субъектов обеспечивать сохранность персональных данных. Поэтому в компаниях издается приказ о назначении ответственного за персональные данные.

Для чего назначается ответственный за персональные данные

Законодательство о персональных данных определяет, что организация должна обеспечивать соответствующую защиту этих сведений и не допускать разглашения их. За обеспечение данных требований несет ответственность непосредственно руководитель компании.

Также с этой целью на предприятии создается нормативный документ — Положение о защите персональных данных, в котором закрепляются основные понятия, процедуры и мероприятия по защите личных сведений.

Так как у директора фирмы достаточно много обязанностей, необходимо еще закрепить ответственное лицо или нескольких лиц, в обязанности которых будет входить работа с этой информацией, а также осуществление процедуры защиты персональных данных.

Именно это лицо может без получения предварительного разрешения работать с персональными данными. Чтобы закрепить за выбранным сотрудником данные функции, руководство компании должно издать приказ.

Как правило, таким человеком является представитель кадровой службы. В своей работе он должен руководствоваться действующим на предприятии локальным нормативным актом. При этом даже ему для работы с подобной информацией необходимо от поступающего сотрудника получить согласие на обработку персональных данных.

Существующие нормативные акты определяют, что издание приказа о назначении ответственного лица по персональным данным является обязательным для всех юридических лиц.

Именно в этом документе происходит обозначение всех лиц организации, которые имеют право работать с этими сведениями, начиная от рядовых сотрудников фирмы и заканчивая ответственным, кто организует и координирует защиту данной информации.

Если этого приказа на предприятии не будет, это считается нарушением законодательства, за которое существуют меры наказания, определенные в КоАП.

Закон определяет, что субъект бизнеса должен самостоятельно назначить лицо, которое будет отвечать за работу с персональными данными сотрудников. Это значит, что таким работником может быть любой человек, который трудится в компании.

Закон не устанавливает для него каких-либо требований — к должности, образованию, навыкам и т. д.

Однако, это лицо должно будет исполнять функции и обязанности, которые возлагаются на ответственного по защите персональных данных:

1. Выполнять контроль внутри компании за соблюдением требований закона о персональных данных, в том числе требований по их защите;
2. разъяснять работникам компании положения нормативных актов, связанных с обработкой и защитой персональных данных;
3. Осуществлять прием и обработку запросов на персональные данные.

Кроме этого, исполнение этих обязанностей требует навыков по подготовке распорядительной документации, а также разбираться в законодательных актах. Самым оптимальным вариантом для этой должности будет сотрудник юридического отдела. Если такого нет, то такие обязанности можно возложить на кадровика или секретаря.

Допускается назначить ответственными целый отдел. Но в этой ситуации личную ответственность за работу с персональными данными будет нести руководитель этого отдела.

Как составить приказ о назначении ответственного за персональные данные

Для такого рода приказа не устанавливается какая-либо специальная форма. Компания может составлять его на фирменном бланке, либо в произвольном формате, но с использованием перечня обязательных реквизитов.

При составлении такого приказа «с нуля», в верхней части бланка необходимо проставить наименование субъекта бизнеса, его регистрационные коды, адрес расположения и банковские реквизиты.

После этого посередине строки ставится наименование документа «Приказ». Рядом можно указать номер распоряжения. Под ним этот документ нужно будет зафиксировать в книге учета распоряжений по предприятию.

На следующей строке обычно указывается краткое название распоряжения. Например, «о назначении ответственного по работе с персональными данными».

Также нужно указать в приказе дату его оформления и место (город, населенный пункт).

Вводная часть приказа должна сообщать об основании для назначения ответственного лица — ст. 22.1 закона 152-ФЗ.

После этого идет слово «Приказываю», а затем попунктно перечисляются распоряжения:

• Назначить ответственное лицо за работу с персональными данными, с указанием его должности и Ф.И.О.;
• Определить, какой работник должен будет выполнять эти обязанности, если основной ответственный не будет находиться на своем месте (будет в отпуске, на больничном, в командировке и т. д.);
• Дать указание упомянутым работникам обеспечивать режим обработки данных на предприятии;
• Определить, кто будет отвечать за исполнение указанного приказа.

Иногда в число распоряжений также включается пункт о внесении изменений в должностную инструкцию лица, назначенного приказом.

Распоряжение подписывается руководителем компании.

После этого в столбик перечисляются все работники, которые были упомянуты в документе. Напротив своих фамилий они должны будут проставить дату и подпись как подтверждение ознакомления с ним.

Закон о персональных данных требует, чтобы субъект бизнеса выбрал работника, который будет отвечать за работу с персональными данными. Это требование выполняется путем оформления приказа. Только это лицо должно иметь полный доступ к персональным данным, разграничивать доступ к ним и защищать от несанкционированного использования.

КОАП за данные нарушения предусматривает вынесение предупреждения, либо наложение денежного штрафа:

• на обычных граждан — 300-500 рублей;
• на должностных лиц — 500-1000 рублей;
• на организации — 5-10 тысяч руб.

В каждой организации при приеме сотрудников на работу собирается довольно много персональных сведений, требуемых для организации трудовых отношений. Порядок сбора, обработки, хранения и защиты описываются в положении о персональных данных организации. Данный локально-нормативный акт утверждается на основании приказа руководителя.

Прежде всего в организации должно быть составлено положение о персональных данных, в котором регламентируется порядок сбора персональных данных, а это может происходить, как в бумажном, так и в электронном виде, также обработка, хранение и защита.

Если в организации присутствует профсоюзный орган, то предварительно данный документ согласовывается с выборным органом профсоюза. Если разногласий не обнаружено, то в течение 3-х дней после ответа профсоюза работодатель может утвердить положение издав соответствующий приказ руководителя.

На сновании положения должны действовать ответственные за сбор персональных данных лица, при этом все сотрудники должны быть ознакомлены с ним под роспись, а вновь принимаемых знакомят с документом до подписания трудового договора. При этом сотрудники работающие с персональными данными должны в свою очередь подписать соответствующее обязательство о неразглашении данных.

• Вверху следует указывать реквизиты организации, если приказ оформляется на официальном бланке, то он должен их содержать.
• Ниже пишется наименование документа «Приказ».
• Приказ должен содержать очередной порядковый номер, согласно нумерации очередного документа в книге регистрации приказов, дату его составления и место.
• Также пишется краткое содержание документа, т.е. о чем будет идти в нем речь, например: «О назначении ответственных за обработку персональных данных».
• Ниже, в теле документа, отражается нормы закона, регламентируемые порядок работы с персональными данными сотрудников. После слов «Приказываю» указывается распорядительная часть:
  • Должны быть указаны ответственны лица за сбор и хранение данных.
  • Отдельные лица могут выполнять обработку данных, которые также указываются в документе.
  • Указывается пункт о доведение данного распоряжения до определенных лиц.
  • Указывается ответственный за осуществления контроля за данным распоряжением. Контроль может быть возложен на самого директора.
• Далее все ответственные и указанные в документе лица должны расписать (ознакомиться).
• В конце свою роспись и расшифровку ставит директор организации.

Скачать бланк приказа о назначении ответственных лиц за обработку личных данных.

Скачать образец приказа о назначении ответственных за обработку персональных данных.

Образец приказа о назначении ответственного за обработку персональных данных в 2019 году

Порядок получения, обработки, передачи и хранения таких сведений нужно закрепить в локальном акте организации, например в положении о работе с персональными данными сотрудников. Также нужно назначить ответственного по работе с персональными данными. Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Ответственного за работу с персональными данными назначьте приказом (ч. 5 ст. 88 ТК). Приведем образец приказа о назначении ответственного за обработку персональных данных в 2019 году.

Приказ о назначении ответственного за обработку персональных данных оформляется в произвольной форме. Приведем возможный образец.

Общество с ограниченной ответственностью «Стелла»

(ООО «Стелла»)

ПРИКАЗ

20 июня 2019 года № 321

Москва

О назначении ответственного по работе с персональными данными

Руководствуясь статьей 22.1 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,

1. Назначить ответственным по работе с персональными данными в головном отделении ООО «Стелла» руководителя отдела кадров Е.Э. Громову.

2. На время отсутствия Е.Э. Громовой ответственным по работе с персональными данными является менеджер А.С. Кондратьев.

3. Работнику, указанному в пункте 1 (п. 2) настоящего приказа, осуществлять режим обработки и защиты персональных данных работников.

Контроль за исполнением приказа оставляю за собой.

Директор __________ А.В. Пушкин

20.06.2019
С приказом ознакомлены:

Руководитель отдела кадров __________ Е.Э. Громова

20.06.2019
Менеджер __________ А.С. Кондратьев

Нужно ли отражать в допсоглашении, что сотрудник ответственный по работе с персональными данными, или достаточно приказа?

При назначении приказом ответственного по работе с персональными данными (ч. 5 ст. 88 ТК РФ) необходимо ли отразить это в виде доп.соглашения к ТД или достаточно только приказа (данный человек входит в перечень лиц, имеющих доступ к персональным данным)

В общем случае ограничиваются изданием приказа о назначении ответственного. Назначают того работника, который по роду своей деятельности фактически работает с документами работников или несет ответственность за организацию такой работы (например, руководителя кадровой службы).

Назначение ответственного за организацию обработки персональных данных отнесено к мерам, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом (ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Оператор, являющийся юридическим лицом, в обязательном порядке назначает лицо, ответственное за организацию обработки персональных данных (п. 1 ст. 22.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Назначают ответственным, как правило, руководителя отдела кадров или другого кадрового работника, поскольку именно они в силу своих должностных обязанностей работают с персональными данными сотрудников.

Пример приказа о назначении ответственного по работе с персональными данными: http://www.1kadry.ru/#/document/118/26308/.

Именно кадровый работник обрабатывает (собирает, хранит, уничтожает, передает и т.д.) персональные данные сотрудников по роду своей деятельности. Работодатель, не работая с персональными данными, не сможет даже принять на работу, поскольку с этим процессом связано предоставление соискателями работодателю обязательных документов, которые содержат их персональные данные (ст. 65 ТК РФ).

В каждом кадровом документе присутствуют те или иные персональные данные сотрудников. Будь то трудовой договор (ст. 57 ТК РФ), трудовая книжка (ст. 66 ТК РФ), приказ о приеме на работу (ст. 68 ТК РФ) или личная карточка работника (п. 12 Правил, утвержденных постановлением Правительства РФ от 16 апреля 2003 г. № 225).

Требования закона не изменили трудовую функцию кадрового работника, а лишь определили и, в определенной степени, ограничили его действия в отношении персональных данных сотрудников. Поэтому представляется, что устанавливать доплаты за совмещение или расширение зоны обслуживания в такой ситуации нецелесообразно. Отдельная должность ответственного за обработку персональных данных также не существует, как и требования к ней.

Обязанности ответственного лица поименованы в пункте 4 статьи 22.1 Закона и сводятся к следующему:

 осуществлению внутреннего контроля за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

 доведения до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

 организации приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществлению контроля за приемом и обработкой таких обращений и запросов.

На наш взгляд, эти функции вполне могут быть закреплены в положении о работе с персональными данными за руководителем кадровой службы или иным должностным лицом, фактически осуществляющим работу с персональными данными работников.

Однако если в силу специфики Вашей работы есть необходимость установить совмещение и доплату работнику, Вы имеете на это право (ст. 60.2, ст. 151 ТК РФ).

Подробности в материалах Системы Кадры:

Ситуация: Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

 иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Из ответа «Как организовать обработку персональных данных сотрудников»

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

С уважением и пожеланием комфортной работы, Роман Кондратюк,

Приказ о назначении ответственных по работе с ПДн работников

Приказ о назначении ответственных лиц по работе с ПДн определяет уровень доступа и ответственность лиц, участвующих в работе с ПДн.

• быть оформлен в соответствии с внутренним порядком документооборота Учреждения;
• быть утвержден руководителем организации, на основании отчета о результатах проведения внутренней проверки;
• дата введения Приказа должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки;
• быть указан сотрудник, ответственный за контроль исполнения приказа.

В Приказе о назначении ответственных работников по работе с персональными данными обязательно указывается номер данного документа, дата составления, ФИО ответственных лиц и их должности.

Ответственным сотрудником может быть руководитель организации, лицо, отвечающее за обеспечение режима безопасности или проведение внутренней проверки, или любой другой сотрудник, на которого возложен контроль за выполнение приказа.

Обычно доступ к персональным данным работников имеют следующие лица:

• руководитель;
• работники бухгалтерии;
• работники кадровой службы.

Приказ о назначении ответственных по обработке и защите персональных данных необходим в целях исполнения ст. 85-90 ТК РФ и Федерального закона N 152-ФЗ от 27 июля 2006 года “О персональных данных”.

По данному Приказу необходимо разрабатывать и внедрять основополагающие локальные нормативные акты, касающиеся обработки и защиты персональных данных работников, а именно:

• Положение по работе с персональными данными работников;
• Журнал обращений органов с запросами персональных данных работников;
• Форму согласия работника на обработку его персональных данных;
• Журнал учета обращений субъектов ПДн о выполнении их законных прав;
• Акт уничтожения съемных носителей информации и персональных данных.

Оцените статью: