Ответственный за организацию обработки персональных данных

Организация работы с персональными данными

Ответственный за организацию обработки персональных данных

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно – дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

NДокументСведения
1Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)Анкетные и биографические данные работника
2Копия документа, удостоверяющего личность работникаФ.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи
3Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность
4Трудовая книжкаСведения о трудовом стаже, предыдущихместах работы
5Копии свидетельств о заключениибрака, рождении детейСостав семьи, изменения в семейном положении
6Документы воинского учетаИнформация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников
7Справка о доходах с предыдущегоместа работыФ.И.О., данные о сумме дохода и удержанного НДФЛ
8Документы об образованииПодтверждают квалификацию работника, обосновывают занятие определенной должности
9Документы обязательного пенсионного страхованияФ.И.О., личные данные
10Трудовой договорСведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника
11Приказы по личному составуИнформация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных – любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее – Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

NОбязанность раздела
1Общие положенияЦель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: – Федеральный закон от 27.07.2004 N 79-ФЗ “О государственной гражданской службе РоссийскойФедерации”; – Указ Президента РФ от 30.05.2005 N 609 “Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела”; – нормативные акты субъекта РФ
2Основные понятия. Состав персональных данных работниковОсновные понятия. Даются определения понятий “персональные данные”, “обработка персональных данных”, “использование персональных данных”, указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)
Перечень документов организации, которые содержат персональные данные
3Получение персональных данных работниковПроцедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно
4Использование персональных данныхЦели использования личной информации сотрудников
5Обработка персональных данныхУсловия, соблюдаемые при обработке персональных данных работника
6Передача персональных данных (доступ к персональным данным)Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ)
7Ответственность за нарушение норм, регулирующих обработку и защиту персональных данныхУказывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый – согласиться.

Второй – в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • – листе ознакомления с Положением (образец на с. 91);
  • – журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/пНаименование локального нормативного актаДатаПодпись
1Правила внутреннего трудового распорядка ООО “Черный лес”

Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

Ответственный за организацию обработки персональных данных: кто это и каких лиц можно назначить исполняющим такие обязанности, а также образец приказа

Ответственный за организацию обработки персональных данных

Все действия с персональными данными работников на предприятии регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом РФ, локальными нормативными актами.

Априори за сохранность всей информации отвечает работодатель, но он вправе назначить лицо, ответственное за их обработку, защиту и контроль за соблюдением законодательства. Это не снимает ответственности с работодателя, но позволяет делегировать часть своих полномочий для рационального распределения своих обязанностей в этой сфере.

Эти обязанности возлагаются либо на одного сотрудника, либо на группу из административно-управленческого аппарата. Они выполняются дополнительно наряду с основными трудовыми функциями сотрудника.

Кого назначить ответственным, решает работодатель. Специальных требований нет.

Чаще всего эти обязанности поручаются тем работникам, которым для выполнения основного функционала необходим доступ к таким сведениям: специалист отдела кадров, бухгалтер, секретарь.

Допускается поручить и любому другому сотруднику. Эта работа строго регламентирована локальными нормативными актами и должностной инструкцией.

Требования к ответственному за организацию обработки персональных данных

Согласно требованиям статьи 22.1 закона «О персональных данных» от 27.07.

2006 № 152-ФЗ, организация, которая осуществляет работу с личной информацией граждан (своих сотрудников, клиентов и иных лиц), обязана назначить лицо, ответственное за организацию обработки персональных данных.

При этом точного указания на то, какое именно должностное лицо организации может быть назначено ответственным, нормы ФЗ № 152 не содержат. На практике чаще всего таковым назначается сотрудник, ведущий кадровое делопроизводство в организации либо работу с клиентами компании.

В силу части 2 статьи 22.1 ФЗ № 152 ответственный сотрудник подотчетен только руководству организации (директору или иному исполнительному органу). Это означает, что во избежание нарушений субординации в организации рекомендуется назначать ответственным сотрудника из числа руководящих лиц, а не из рядового состава.

Часть 4 статьи 22.1 ФЗ № 152 возлагает на ответственного за организацию обработки персональных данных следующие обязанности:

Подпишитесь на рассылку

Яндекс.Дзен ВКонтакте Telegram

  1. Проводить инструктаж с работниками организации по вопросам соблюдения законодательства и внутренних документов компании в части обработки личных данных.
  2. Осуществлять контроль за соблюдением технических и административных мер, принимаемых в организации для защиты личных данных (проверять сохранность и порядок заполнения носителей личных данных, условия и порядок доступа к ним и т. д.).
  3. Организовать работу по приему и обработке обращений, получаемых организацией как от граждан, так и от контрольно-надзорных органов.

Следует помнить, что данный перечень не является исчерпывающим, поэтому на ответственного могут возложить и иные обязанности, например:

  • разрабатывать или участвовать в разработке внутренних документов по вопросам защиты личных данных;
  • осуществлять учет носителей информации и оформлять допуски к ним.

Должностная инструкция

Права, функции и обязанности этого специалиста, пределы его полномочий определяет и детализирует должностная инструкция ответственного за обработку персональных данных — особый организационно-распорядительный документ, в котором определен порядок действий при каждой операции с персональными данными. Четкая форма инструкции законодательно не установлена. Допускается просто перечислить в ней основные должностные обязанности. Но чем подробнее будут описаны все производственные процессы, тем меньше вероятность возникновения разногласий как с работниками, так и с законодательством.

Самый распространенный вид инструкции — документ, содержащий следующие разделы:

  • общие положения;
  • функции;
  • обязанности;
  • права;
  • ответственность.

Также в документе прописывают положения о порядке его изменения, ссылки на законодательные акты.

Как составить распоряжение по персональным данным

Оформление приказа осуществляется по общим правилам делопроизводства. Обязательная форма законодательство не закрепляет. Утверждает документ руководитель организации.

Помимо правового обоснования (в связи с чем и на основании каких правовых норм), а также собственно указание на должность лица, которое руководитель назначает ответственным, мы рекомендуем включать:

  • сведения о лице, замещающим основного сотрудника в случае отсутствия на рабочем месте (болезнь, командировка, отпуск)
  • перечень мероприятий, обязательных к исполнению
  • кто контролирует исполнение приказа

С приказом о назначении ответственного за обработку персональных данных ознакамливают соответствующих лиц, а сведения вносят в журнал регистрации приказов работодателя с присвоением порядкового номера.

Общие положения

В начальной части должностной инструкции ответственного за персональные данные перечисляются общие параметры профессиональной деятельности специалиста, базовые моменты. В этом разделе, как правило, определяются:

  • наименование должности, основные требования к работнику — наличие у него специального образования, квалификации, стажа, опыта работы;
  • лицо, назначающее на должность и освобождающее от должности;
  • документы, которыми работник обязан руководствоваться в своей деятельности;
  • порядок замещения работника, его субординация.

Особенно важны умения и навыки. Здесь указываются важные требования о знании законодательства в области персональных данных, организации труда, основ делопроизводства с использованием современных информационных технологий.

Функции

В этом разделе фиксируются задачи сотрудника. Они закреплены в ст. 22.1 закона № 152-ФЗ и обязывают ответственного:

  • контролировать соблюдение в организации соответствующих законов, в том числе требований к защите информации;
  • доводить до сведения работников положения законодательства, локальных актов по вопросам обработки данных;
  • организовывать прием и обработку обращений и запросов владельцев данных.

Более детальный перечень формулируется в следующем разделе документа.

Как соблюсти требования о защите персональных данных

Персональные данные личности являются конфиденциальной информацией, и ее оборот осуществляется в рамках жесткой правовой процедуры. Принятый шесть лет назад Закон о персональных данных регулирует отношения, связанные с обработкой персональных данных.

Однако большинство норм подзаконных актов в отношении требований по обработке персональных данных размыто и в них сложно ориентироваться.

Расскажем о том, как привести деятельность компании в соответствие с данными требованиями на примере типичных ошибок, совершаемых операторами при работе с персональными данными.

Источник: https://oookiz.ru/drugoe/pravila-obrabotki-personalnyh-dannyh-obrazec.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.