Приказ о персональных данных работников 2020 образец

Составляем приказ о персональных данных работников

Приказ о персональных данных работников 2020 образец

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Зачем нужен приказ о персональных данных

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

  • назначение ответственного за организацию процесса обработки данных;
  • определение перечня лиц, допущенных к сбору, хранению и обработке;
  • утверждение положения об обработке и защите конфиденциальных данных.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2020 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

  • собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
  • указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
  • указание ответственному лицу ознакомить работников с распорядительным документом;
  • определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Как заполнять

Приказ может состоять из следующих разделов:

  1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
  2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
  3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
  4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
  5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
  6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Скачать

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Скачать

Ответственность за отсутствие

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

https://www.youtube.com/watch?v=Up1h8Jf4csU

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

Источник: https://gosuchetnik.ru/shablony-i-formy/sostavlyaem-prikaz-o-personalnykh-dannykh-rabotnikov

Как составить локальные акты по персональным данным в 2020 году – Институт Профессионального Кадровика

Приказ о персональных данных работников 2020 образец
21 октября

3199

#CNT# data-template-html-inactive=В избранное #CNT#>

Действующие законы в области трудового права и охраны конфиденциальной информации требуют регламентации работы с ПнД на предприятии — создание политики обработки персональных данных. Ст. 86 ТК и 18.1 No152-ФЗ обязывают работодателя разработать и утвердить документацию — Положение о защите персональных данных, регламенты и другие.

Локальных актов может быть несколько, принимая во внимание разделение механизмов и целей обработки конфиденциальных сведений на предприятии.

Пример

  • Регламент, утверждающий общие тезисы защиты ПнД;
  • Положение об обработке ПД на бумаге и в инфосистеме;
  • Инструкции, регламентирующие хранение, предоставление ПД, назначение и функции ответственных, работу с личными сведениями при нахождении в зоне ответственности оператора посторонних.

Документацию по конфиденциальности и средствам обеспечения безопасности персональных данных разрабатывают, отталкиваясь от конкретных условий предприятия. Ее составление подчиняется закону:

  1. Подписывает ЛНА уполномоченное лицо. В Уставе сказано, кто утверждает внутреннюю нормативную документацию. Обычно это Директор, Совет директоров и т.д.
  2. Локальные акты по конфиденциальности не требуют коллективного рассмотрения и учета мнения профсоюзов. Согласовывать их содержание с представителями работников не надо.

Сотрудники должны знать политику предприятия в отношении обработки персональных данных. Регламент доводится до всех работающих под роспись, независимо, ведут они обработку ПнД или нет.

Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.

В локальном акте допустимо расписать права и обязанности:

  • работодателя — оператора ПнД;
  • работника — субъекта ПД.

По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.

Пример

  • обработка ПнД в ИСПДн;
  • использование ПД при оформлении бланков документов;
  • передача ПД в госструктуры (ФСС, ПФР, ФНС), в третьи организации (банки, страховщики, отели);
  • принятие решения в отношении соискателя и т.д.

Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:

  • проанализируйте фактическую деятельность предприятия;
  • изучите устав — там указаны основные направления работы;
  • отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.

Вы указали в локальном акте все используемые термины, определили цели. Теперь в Положении о защите персональных данных работников закрепите перечень должностей с допуском к ПнД. Это требует ст. 86 ТК РФ и 152-ФЗ.

Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.

https://www.youtube.com/watch?v=EB0u6BgPHhg

При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.

Пример перечня должностей и перечня документов с персональными данными

Здесь же фиксируется процесс назначения уполномоченного по обработке персданных на предприятии. Такое требование к защите персональных данных озвучено в п.1, ч.1, ст. 18.1 No152-ФЗ. Эта функция может быть закреплена как в Положении о ПД, так и в приказе.

Совет

Мы рекомендуем назначать человека, работающего с ПнД при выполнении повседневных должностных обязанностей — IT-, HR-менеджер, прочие.

Человек, ответственный за организацию обработки персональных данных, подчиняется исполнительному органу оператора, действует по его указаниям.

В Регламенте перечисляются учреждения, которым передаются личные данные — это внешний доступ к конфиденциальной информации. К числу допущенных к личным сведениям работников относят контрольные и надзорные ведомства, иные, установленные федеральными нормами:

  • Инспекции труда;
  • Прокуратура РФ;
  • Правоохранительные органы;
  • Налоговики;
  • Военные комиссариаты;
  • Отделы миграционного учета иностранных граждан;
  • другие.

Включенные в положение об обработке персональных данных работников юрлица получают доступ, обусловленный спецификой деятельности, в порядке, установленном нормами РФ.

Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:

  • название, месторасположение;
  • цели передачи и объем переданных сведений;
  • операции с ПнД;
  • механизмы и правила обработки;
  • требования к защите.

Совет

Мы рекомендуем в Регламенте о ПД указывать обстоятельства, при которых возможно предоставление конфиденциальных сведений контрагенту.

Пример

Условия передачи персональных данных третьим лицам (в том числе, находящимся не в России — трансграничной) для достижения целей обработки ПД — наличие в соглашении пунктов, регулирующих обработку ПД. 

Пример реестра персональных данных и действий по их обработке

Ст. 5, п.5 No152-ФЗ посвящена:

  • соразмерности объема и характера полученных данных объявленным целям;
  • запрещению избыточности ПДн.

Об этом будет следующий раздел локального акта.

Пример

Если объявленная цель обработки ПД — подписание договора с физлицом Ивановым И.И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес. Избыточной будет информация о семье и имущественном положении. 

Важно!

Именно цель определяет объем ПД. Если ваша организация предложит Иванову И.И. дополнительную социальную поддержку (полис ДМС) — это другая цель, она потребует иное количество ПД.

В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.

Совет

Параллельно с перечислением целей рекомендуем дать перечень обрабатываемых перс данных применительно к указанным категориям субъектов.

Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.

Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:

Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:

  • установление аутентичности субъектов и объектов доступа;
  • наблюдение за допусками;
  • защита носителей, хранящих / обрабатывающих ПД;
  • наблюдение за событиями;
  • обследование защищенности ПД;
  • обеспечение невредимости ИС и информации;
  • доступность ПД;
  • защита технических ресурсов и др.

Полностью состав этих мер приводит Приказ ФСТЭК No 21.

Если режим хранения ПнД позволяет раскрыть их субъекта, то хранение такой информации оканчивается:

  • с достигнутой целью обработки;
  • вместе с действием согласия на обработку ПД/его отзыва;
  • согласно нормам об архивном деле.

Совет

Рекомендуем продолжительность и порядок хранения ПД в ИСПДн или на бумаге указывать, учитывая установленный к ним доступ должностных лиц. Место хранения используемых баз конфиденциальных сведений также следует указать в Регламенте.

Важно!

Напоминаем — базы данных личных сведений работников локализуются в России

В локальном документе о политике защиты и обработки персональных данных отображаются виды используемых информационных систем, угрозах конфиденциальности и порядке ее защиты. Все это есть в постановлении No 1119. Закон выделяет следующие инфосистемы:

  • для обработки спецкатегорий ПД;
  • работа с биометрией;
  • содержащие общедоступные данные;
  • все остальные (исключая специальные, биометрические, общедоступные);
  • только перс данные работников оператора.

В прочих случаях ИСПДн — это система, обрабатывающая личные данные субъектов — не служащих работодателя.

Вы определили тип ИС, которую используете, и указали эти факты в ЛНА. Следующий шаг — типы угроз для ПнД, которые обрабатываются в этой инфосистеме.

Есть три типа угроз, которые различаются друг от друга возможностями программного обеспечения, не отраженными в технической документации. Могут обнаруживаться в:

  • системном ПО – 1 тип;
  • прикладном ПО – 2 тип;
  • в системном и прикладном ПО – 3 тип.

Угрозы безопасности фиксируются, учитывая их актуальность для конкретной ИС. Устанавливаются с учетом прогноза потенциального вреда субъектам ПнД, если будет нарушен порядок обработки персданных.

Дополнительно учитывается соотношение причиненного ущерба с мерами оператора, указанными в ст. 18.1 Закона о ПД. Обработка конфиденциальных сведений в информационных системах предполагает несколько уровней защищенности персональных данных. Условия определения уровня даны в 9 -12 пунктах ПП No 1119, требования к защищенности —  пунктах 13 -16.

Помимо регламентации порядка передачи ПД третьим лицам, политика обработки и защиты персональных данных определяет действия ответственных лиц при нахождении посторонних на территории.

Сотрудники, уполномоченные на работу с ПД, обеспечивают такое поведение третьих лиц (соискателей, деловых партнеров, курьеров и т.д.), чтобы полностью исключить несанкционированный доступ к ПД.

Этот порядок закрепите в Регламенте о ПД пошагово.

Опишите в локальном акте правила доступа к тем личным данным, которые обрабатываются в инфосистемах. Укажите способы регистрации и учета всех операций с конфиденциальной информацией.

В соответствии с законом зафиксируйте в ЛНА действия оператора на требование работника (других субъектов ПД) о корректировке, удалении, уничтожении (и т.д.) обрабатываемых персональных данных.

Здесь же опишите порядок действий при отзыве согласия на обработку ПД.

Совет

Рекомендуем включить во внутренний нормативный документ способы реагирования на обращения как субъектов персданных (их представителей), так и органов, контролирующих обработку ПД на предприятиях.

Отдельно распишите действия на запросы по поводу неточности, неправомерности обработки, отзыва согласия, доступа субъекта к данным. Разработайте и включите в Регламент соответствующие формы для подобных обращений.

К утвержденному локальному акту по политике обработки персональных данных предоставьте неограниченный доступ. Это достигается публикацией документа на сайте компании, внутренних интернет-ресурсах, размещением бумажной копии на стендах, другими способами.

Скачайте Положение об обработке и защите персональных данных работников образец

 

Источник: https://profkadrovik.ru/articles/working-conditions/politika-obrabotki-personalnykh-dannykh-v-lokalnykh-aktakh-organizatsii/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.