Лицо ответственное за организацию обработки персональных данных

Полезная информация в статье: "Лицо ответственное за организацию обработки персональных данных" с полным раскрытием темы. Если все же вы не нашли ответа на интересующий вопрос, то можно всегда обратиться к дежурному специалисту.

Образец приказа о назначении ответственного за обработку персональных данных

Что относят к персональным данным

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). К ним относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • изображение человека (фотография и видеозапись);
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение (например, информация о зарплате);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Перечисленные персональные данные содержаться в различных документах, с которыми взаимодействует или издает работодатель.

Зачем нужно назначать ответственного работника за обработку

Назначить ответственного работника на обработку персональных данных требует законодательство, а именно:

Статья 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Лица, ответственные за организацию обработки персональных данных в организациях

  1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
  2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
  3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
  4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
    1. осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
    2. доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
    3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Как правило, таким сотрудником является работник службы персонала (отдела кадров), поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников.

Как назначить ответственного

Чтобы в организации назначить лицо, ответственное за обработку персональных данных, нужно издать соответствующий приказ. Он издается по общим правилам делопроизводства в произвольной форме. Приведем образец приказа о назначении ответственного, который был издан в 2018 году:

«Роллер Дом»
ИНН 7708123422, КПП 770801033, ОКПО 98756499
полное наименование организации

ПРИКАЗ №15
о назначении ответственного по работе с персональными данными

г. Москва 15.01.2018

Руководствуясь статьей 22.1 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:

  1. Назначить ответственным по работе с персональными данными в головном отделении организации «Роллер Дом» руководителя отдела кадров А.Б. Пугачеву.
  2. На время отсутствия Е.Э. Громовой ответственным по работе с персональными данными является менеджер по кадрам Л.В. Новиков.
  3. Работнику, указанному в пункте 1 (п. 2) настоящего приказа, осуществлять режим обработки и защиты персональных данных работников.
  4. Контроль за исполнением приказа оставляю за собой.

Директор____________А.С. Пушкин
15.01.2018
С приказом ознакомлены:
Руководитель отдела кадров____________А.Б. Пугачева
16.01.2018

Менеджер____________Л.В. Новиков
16.01.2018

Также вы можете скачать образец приказа о назначении ответственного за обработку персональных данных в формате .doc.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.


Источник: http://blogkadrovika.ru/otvetstven-za-obrabotku-pers-dannyh/

Ответственный за организацию обработки персональных данных

Защита персональных данных
с помощью DLP-системы

У каждой компании-оператора есть сотрудник, в обязанности которого входит организация обработки персональных данных (ПДн). Он должен соблюдать правила, установленные законодательством в отношении работы с личной информацией. К ответственному за организацию обработки ПДн выдвигаются определенные законодательные требования, которым он должен соответствовать.

Основные требования

Закон № 152 «О персональных данных» в статье 22.1 требует от организации, осуществляющей работу с ПДн сотрудников, партнеров, клиентов и других лиц, назначить лицо, которое будет отвечать за вопросы организации обработки ПДн. Но в законе не указывается конкретное должностное лицо, которое может быть назначено на выполнение таких функций. Обычно таким сотрудником на практике является кадровик или человек, работающий с клиентами.

В части 2 вышеуказанной статьи закона говорится, что ответственный работник является лицом, подотчетным исключительно руководителю предприятия (к примеру, исполнительному директору). Чтобы избежать нарушений в плане субординации в компании, желательно назначать ответственным за работу с ПДн сотрудника, являющегося одним из руководителей, а не рядовым работником.

Часть 4 этой же статьи ФЗ № 152 требует возлагать на этого сотрудника такие обязанности:

  • проведение инструктажей с работниками компании по соблюдению норм законодательства и разработанных организацией документов в отношении обработки ПДн;
  • контроль соблюдения мер административного и технического характера, принятых компанией с целью защиты личной информации (проверка сохранности, порядка внесения данных на носители, условий доступа и порядка работы с ПДн);
  • организация деятельности по приему и работе с обращениями , поступающими на предприятие не только от граждан, но и от надзорных и контролирующих органов.

Нужно знать, что этот список обязанностей не окончательный. На ответственного также могут быть возложены другие обязанности, такие как разработка или принятие участия в создании внутренней документации по защите ПДн, учет носителей данных, оформление допусков к их использованию и др.

Назначение ответственного лица

Это лицо назначается на предприятии приказом руководителя. В документе указываются ФИО и должность сотрудника. В случае его замены в приказ должны быть внесены изменения или необходимо выдать новый, в котором будет указан другой сотрудник, назначенный на выполнение таких функций.

В приказе о назначении права, обязанности и полномочия такого специалиста не отражаются. Они должны быть внесены в Положение об обработке ПДн. В должностную инструкцию этого сотрудника также вносится такая информация.

Читайте так же:  Взыскание решение арбитражного суда госпошлина

В Трудовом Кодексе РФ нет специальных требований в отношении содержания этой информации в должностных инструкциях. Но, в соответствии с ч. 2 ст. 152 закона о персональных данных, эта документация утверждается отдельным распорядительным документом (приказом) компании.

Каждой компании нужно знать, что с 01.07.17 г. были приняты изменения в ст. 13.11 Кодекса об административных правонарушениях. Их введение позволило значительно усилить ответственность за допущенные нарушения в отношении работы компании с персональной информацией.

Это значит, что требуется очень аккуратно относиться к подготовке необходимой для работы в организации документации (приказов, распоряжений, должностных инструкций) и к работе ответственного лица, назначенного этим приказом.

Соблюдение норм законодательства – требование, которое должен выполнять ответственный работник. От аккуратного выполнения возложенных на него обязанностей и правильной последовательности его действий будет зависеть выполнение этих требований, что позволит компании избежать наложения серьезных штрафных санкций.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/otvetstvennyj-za-organizatsiyu-obrabotki-personalnykh-dannykh/

5 шагов по организации учета и хранения персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

Читайте так же:  Образцы заявлений по делам несовершеннолетних

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Видео (кликните для воспроизведения).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.
Читайте так же:  Как оформляется мировое соглашение в суде

Источник: http://school.kontur.ru/publications/1583

Приказ о назначении ответственного за обработку персональных данных

Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.

Обязателен ли документ, его значение

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

Что относится к персональным данным

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

На кого чаще всего возлагается ответственность за обработку персональных данных

Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

В каком виде написать приказ

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Каким сделать оформление

Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.

Чьи подписи должны стоять под приказом

Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.

Как проводить учет

Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.

Как организовать хранение

По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия. Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Образец приказа о назначении ответственного

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

  1. В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
  2. Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
  3. Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
  4. Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
  5. В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.

Источник: http://assistentus.ru/forma/prikaz-o-naznachenii-otvetstvennogo-za-obrabotku-personalnyh-dannyh/

Кто то лицо, ответственное за обработку ПДн и в чем заключаются его обязанности?

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В теории назначается любой сотрудник организации. Главное эти функции вписать в его должностные обязанности.

На практике: обычно тема ПДн закрепляется за ИБ (техн. защита, орг. вопросы), реже на кадровиков и юристов. В больших конторах для этих целей могут выделить целое подразделение, руководитель которого является искомым лицом. (кстати в Русском Стандарте сейчас открыты вакансии специалистов по защите ПДн, осенью их будут проверять =))

Читайте так же:  Сколько стоит загранпаспорт детям до 14 лет

В конторах поменьше, где ПДн прикреплялось к ИБ, лицом назначается тот, кто лучше всех шарит в законе, подзаконных актах и защите информации. Так было со мной =).

Роль такого человека в организации — по сути Project Manager. Гоняет и ИТ, и юристов, и кадровиков, формирует и поддерживает внутреннюю нормативную документацию по ПДн, проводит внутренние аудиты на соответствие требованиях закона, и прочее
Забот много.

С учетом того, что в ст.22.1 фигурируют слова «организовывать» и «осуществлять контроль», я бы подумал о назначении на эту роль руководителя отдела ИБ или кадров. Среди руководства не такая большая текучка, как среди рядового персонала, да и подписи им ставить как-то привычнее.

В небольших организациях все зависит от места безопасника в структуре — если он специалист скорее технический, то я бы всю эту бюрократию спихнул на кадры или канцелярию (ибо обращения). Если же ИБшник на все руки мастер и нагрузка позволяет, то можно и на него.

Источник: http://qna.habr.com/q/33665

Приказ о назначении ответственного за обработку персональных данных

Соблюдать требования Закона «О персональных данных» должны все компании и ИП, у которых есть работники (п. 2 ст. 3 Закона от 27.07.2006 N 152-ФЗ ). Ведь даже при приеме на работу сотрудник предоставляет своему новому работодателю личную информацию о себе: паспортные данные, сведения об образовании, воинской обязанности и т.д. И в дальнейшем работодатель тоже постоянно работает с персональными данными своих работников (со сведениями об их доходах, о состоянии здоровья и т.п.).

В связи с этим у каждого работодателя должен быть внутренний документ, определяющий политику в сфере обработки и защиты персональных данных работников (п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 N 152-ФЗ , ст. 87 ТК РФ). Это может быть, к примеру, Положение о персональных данных, которое должно быть утверждено приказом руководителя. С положением работников необходимо ознакомить под роспись (ч. 1 ст. 18, ч. 7 ст. 14 Закона от 27.07.2006 N 152-ФЗ , п. 8 ст. 86, ст. 88 ТК РФ).

В Положении о персональных данных указывается: какие именно сведения подлежат обработке, цели обработки, возможные действия с данными (накопление, хранение, уточнение и т.д.), права и обязанности работников касательно персональных данных, порядок обработки данных. Кроме того, в организации должен быть работник, ответственный за получение, обработку и хранение персональных данных, лицо, которое при исполнении своих служебных обязанностей всегда имеет к ним доступ без дополнительного разрешения.

Кто из работников может быть назначен ответственным за обработку персональных данных

В каждой организации должен быть работник, ответственный за персональные данные (у ИП-работодателя такого сотрудника может не быть). Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому, в общем-то, для выполнения функций по обработке персональных данных подойдет любой сотрудник: специалист отдела кадров, бухгалтер, секретарь.

Приказ о назначении ответственного за организацию обработки персональных данных составляется в произвольной форме. В нем указывается сам ответственный работник и распоряжение о том, чтобы сведения о вменяемых ему обязанностях были внесены в его должностную инструкцию. Поскольку за нарушение требований к обработке и защите персональных данных возможно привлечение к дисциплинарной, материальной, административной и даже уголовной ответственности (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27.07.2006 N 152-ФЗ ), сотрудник, работающий с личными данными, должен быть предупрежден об этом.

Источник: http://glavkniga.ru/forms/416

Оформляем документы для защиты личных данных работников

С июля этого года Закон о персональных данны х Федеральный закон от 27.07.2006 «О персональных данных» (далее — Закон действует в новой редакци и ст. 3 Федерального закона от 25.07.2011 . Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работник и п. 2 ст. 3 Закона . Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.

Положение о персональных данных

Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работнико в п. 2 ч. 1 ст. 18.1 Закона ; п. 8 ст. 86, статьи 87, 88 ТК РФ . Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего — Положением о персональных данных.

Внимание

С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работнико в ч. 1 ст. 18 Закона ; п. 8 ст. 86, ст. 88 ТК РФ .

Вот что должно содержаться в Положении о ПД:

  • перечень обрабатываемых П Д п. 2 ст. 3 Закона . То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
  • цели обработки П Д п. 2 ст. 3, ч. 2 ст. 5 Закона . Их можно переписать из Трудового кодекс а п. 1 ст. 86 ТК РФ ;
  • перечень действий с П Д п. 2 ст. 3 Закона . Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п . п. 3 ст. 3 Закона В принципе, работодатели могут предпринимать все из указанных в этом определении действий;

Рассказываем руководителю

За нарушение порядка обработки ПД предусмотрена административная ответственност ь ст. 13.11 КоАП РФ . Привлекают к ней судьи на основании проверочных материалов органов Роскомнадзор а Решение Приморского краевого суда от 04.07.2011 № 7-12-228/11 . Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушени й п. 82 Административного регламента проведения проверок. утв. Приказом Роскомнадзора от 01.12.2009 № 630; Постановления ФАС МО от 08.09.2011 № А40-129858/10-147-805; ФАС ВСО от 12.05.2011 № А33-10809/2010, от 05.04.2011 № А19-25289/09, Четвертого ААС от 04.10.2010 № А58-3498/2010 . Если эти нарушения своевременно устранить, то опасаться штрафо в ст. 19.5 КоАП РФ не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательств а ч. 1 ст. 5.27 КоАП РФ ) пытаются штрафовать трудинспекции, но суды с ними не соглашаютс я Постановление Девятого ААС от 14.06.2006 № 09АП-4259/2006-АК .

  • права и обязанности работников в сфере обработки П Д п. 8 ст. 86 ТК РФ . Их тоже можно переписать из Закона о ПД и Трудового кодекс а ст. 14 Закона ; ст. 89 ТК РФ . К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработк е ч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона ;
  • порядок обработки ПД, в том числе хранения, использования и передач и п. 8 ст. 86, статьи 87, 88 ТК РФ . Здесь нужно указать:
Читайте так же:  Как подать досудебную претензию

— общие требования к обработке П Д статьи 5—7, ст. 9 Закона ; ст. 86, ст. 88 ТК РФ . В частности, все ПД работника нужно получать у него самог о п. 3 ст. 86 ТК РФ , обрабатывать их можно лишь в соответствии с целями их сбор а ч. 4 ст. 5 Закона ; п. 1 ст. 86 ТК РФ , нельзя сообщать их третьим лицам без согласия работник а ст. 7 Закона ; ст. 88 ТК РФ . Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки П Д п. 8 ст. 86 ТК РФ , разрешать доступ к ПД только уполномоченным работника м ст. 88 ТК РФ ;

— состав и перечень ваших мер по обеспечению защиты П Д ст. 18.1, ст. 19 Закона . Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;

  • ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственност ь ст. 90 ТК РФ; ч. 1 ст. 24 Закона .

Совет

Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.

Приказ о назначении ответственного лица

Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки П Д ч. 1 ст. 22.1 Закона .

К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.

Для назначения ответственного работника издайте об этом приказ. Например, такой.

Источник: http://glavkniga.ru/elver/2011/24/348-oformljaem_dokumenti_zaschiti_lichnikh_dannikh_rabotnikov.html

Ответственный за организацию обработки персональных данных

Ответственный за организацию обработки персональных данных — это сотрудник организации, на которого возложены обязанности по соблюдению правил работы с личной информацией. О требованиях законодательства к ответственному за организацию обработки личных данных и расскажет настоящая статья.

Требования к ответственному за организацию обработки персональных данных

Согласно требованиям статьи 22.1 закона «О персональных данных» от 27.07.2006 № 152-ФЗ, организация, которая осуществляет работу с личной информацией граждан (своих сотрудников, клиентов и иных лиц), обязана назначить лицо, ответственное за организацию обработки персональных данных. При этом точного указания на то, какое именно должностное лицо организации может быть назначено ответственным, нормы ФЗ № 152 не содержат. На практике чаще всего таковым назначается сотрудник, ведущий кадровое делопроизводство в организации либо работу с клиентами компании.

В силу части 2 статьи 22.1 ФЗ № 152 ответственный сотрудник подотчетен только руководству организации (директору или иному исполнительному органу). Это означает, что во избежание нарушений субординации в организации рекомендуется назначать ответственным сотрудника из числа руководящих лиц, а не из рядового состава.

Часть 4 статьи 22.1 ФЗ № 152 возлагает на ответственного за организацию обработки персональных данных следующие обязанности:

  1. Проводить инструктаж с работниками организации по вопросам соблюдения законодательства и внутренних документов компании в части обработки личных данных.
  2. Осуществлять контроль за соблюдением технических и административных мер, принимаемых в организации для защиты личных данных (проверять сохранность и порядок заполнения носителей личных данных, условия и порядок доступа к ним и т. д.).
  3. Организовать работу по приему и обработке обращений, получаемых организацией как от граждан, так и от контрольно-надзорных органов.

Следует помнить, что данный перечень не является исчерпывающим, поэтому на ответственного могут возложить и иные обязанности, например:

  • разрабатывать или участвовать в разработке внутренних документов по вопросам защиты личных данных;
  • осуществлять учет носителей информации и оформлять допуски к ним.

Документы, касающиеся ответственного за организацию обработки персональных данных (приказ, должностная инструкция)

Назначение ответственного лица производится путем издания соответствующего приказа по организации. Важно подчеркнуть, что в приказе должна быть указана не только должность сотрудника, но и его инициалы. Соответственно, в случае замены такого сотрудника в приказ необходимо будет внести изменения либо подготовить новое распоряжение с данными нового сотрудника.

Вместе с тем права, обязанности и полномочия сотрудника отражаются не в приказе о его назначении, а в положении об обработке личных данных в организации и его должностной инструкции. Нормы же ТК РФ не содержат специальных требований к должностным инструкциям работников, однако в силу требований части 2 статьи 152 ФЗ № 152 такая документация должна быть утверждена отдельным распоряжением (приказом) организации.

Практикам необходимо помнить, что с 1 июля 2017 года вступили в силу изменения, внесенные в статью 13.11 КоАП, которые значительно усилили административную ответственность за нарушения, допущенные при работе с личными данными в организации. Это означает, что к деятельности ответственного лица и подготовке необходимой для его работы документации (приказа, должностной инструкции) следует отнестись со всей аккуратностью. От аккуратности же и последовательности работы ответственного лица во многом зависит весь процесс соблюдения законодательства о личных данных граждан, точное исполнение которого позволит уберечь компанию от значительных штрафных санкций.

Видео (кликните для воспроизведения).

Источник: http://nsovetnik.ru/personalnye_dannye/otvetstvennyj_za_organizaciyu_obrabotki_personalnyh_dannyh/

Лицо ответственное за организацию обработки персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here