В статье мы предоставим пошаговую инструкцию по составлению такого документа.
Скрыть содержание
Что это такое?
Кроме того, этим документом закрепляется обязанность ответственных лиц соблюдать секретность полученной информации. Также в приказе о персональных данных фиксируется перечень должностных лиц, допущенных к работе с личными данными.
Виды
Следует отметить, что для обеспечения на предприятии конфиденциальности, должна быть внедрена многоуровневая система защиты информации. При этом главной ее составляющей является создание внутренней документации, которая бы регулировала порядок работы с персональными данными.
Итак, с целью обеспечения безопасности личных сведений о сотрудниках, в организации необходимо издать следующие виды документов.
Об утверждении положения об обработке и защите личных сведений
Является основополагающим и призван регулировать общий порядок работы с личными сведениями сотрудников организации, а также их обработку.
Как правило, в Положении отражается следующая информация:
- цели, задачи и понятие защиты данных;
- список документов, содержащих личную информацию;
- порядок получения конфиденциальных сведений о сотрудниках;
- порядок работы;
- правила обработки, хранения и передачи и т.д.
В формах для скачивания приведен приказ об утверждении положения об обработке персональных данных, образец положения об обработке персональных данных, а также согласие о неразглашении персональных данных:
О назначении ответственного лица
Следует отметить, что согласно 9 статье ФЗ РФ «О персональных данных» обработка личных сведений о сотруднике, допускается только в том случае, если он дал на это свое согласие. Только в этом случае личные данные могут быть внесены в базу и быть обработаны уполномоченным лицом.
Об установлении списка лиц, имеющих доступ к конфиденциальным сведениям
Тут указываются конкретные люди, которые имеют право работать с конфиденциальными сведениями о работниках организации.
Важно! В соответствии со статьей 7 ФЗ РФ «О персональных данных» лица, имеющие доступ к работе с личными сведениями, в обязательном порядке должны соблюдать ее конфиденциальность. В противном случае можно оказаться привлеченным к ответственности, вплоть до уголовной.
О защите
Как правило, этот документ содержит ключевые моменты политики руководства организации в части работы с конфиденциальной информацией, и включает в себя все перечисленные выше вопросы (положение о защите, ответственные, список специалистов, допущенных к работе с личной информацией).
Кем и когда издаются?
Как правило, данные виды приказов издаются отделом кадров по указанию высшего руководства. После подготовки документа, он утверждается подписью руководителя организации.
Согласно статье 1 ФЗ РФ «О персональных данных» необходимость в разработке приказов по работе с персональными данными, возникает в следующих случаях:
- при обработке личных сведений государственными органами;
- при обработке конфиденциальной информации юридическими или физическими лицами.
Общее содержание документа
В общем виде содержание приказов в области защиты персональных сведений, включает в себя следующие элементы:
- Шапку.
- Название документа, а также дату и номер его регистрации.
- «Тело» приказа.
- Подписи и печать.
Пошаговая инструкция по составлению
Порядок составления распоряжения о персональных сведениях можно представить в виде следующей пошаговой инструкции:
- Шапка документа. Тут указывается наименование организации, а также ее реквизиты.
Если документ составляется на фирменном бланке, то, как правило, он уже содержит наименование организации и все ее реквизиты.
- Далее необходимо указать название документа(«ПРИКАЗ»), тему (Например, «О назначении ответственных лиц за обработку персональных данных»), а также дату и номер регистрации.
Все, изданные в организации приказы в обязательном порядке должны пройти процедуру регистрации. Как правило, для их учета ведется отдельный журнал, куда записывается название документа, его номер и дата издания.
- Составление «тела» распоряжения. В общем виде содержание текста должно включать следующее:
- ссылку на Нормативно-правовой акт, в соответствии с которым издается документ;
- конкретное указание (Например, «Утвердить список должностных лиц, допущенных к обработке персональных данных»);
- имя сотрудника, на которого возлагается обязанность по ознакомлению всех работников организации с приказом;
- лицо, ответственное за исполнение.
- В документе должны стоять следующие подписи:
- руководителя организации;
- должностного лица, которому поручено ознакомить всех работников предприятия с распоряжением;
- должностного лица, являющегося ответственным за исполнение.
- В завершение, на приказе необходимо поставить печать юридического лица.
Срок хранения
В соответствии с Приказом Минкультуры России от 25.08.
2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» для приказов, издаваемых в области защиты личных сведений о сотрудниках, предусмотрен постоянный срок хранения (вплоть до ликвидации компании).
Таким образом, руководство организации в обязательном порядке должно побеспокоиться о создании внутренней документации, которая бы регламентировала работу с конфиденциальной информацией сотрудников. В противном случае, при возникновении утечки сведений, пострадавшие сотрудники без проблем смогут доказать в суде вину работодателя, что повлечет за собой неприятные последствия.
Образец согласия на обработку персональных данных: бланк 2022 года
Персональные данные содержатся в личных документах каждого гражданина. Любые способы их обработки подчиняются действию Закона № 152 «О персональных данных» и не могут производиться без согласия субъекта персональных данных. Этот документ является важным и без его наличия личные сведения о гражданине не должны подвергаться каким-либо действиям. В нашей статье мы расскажем все необходимое о «Согласии на обработку персональных данных для работников» в 2022 году. А так же приложим образцы и бланки, доступные для скачивания.
Смотрите в видео выше, какие произошли изменения с 01.07.2017 года и особенности по форме согласия на предприятии.
Что такое согласие на обработку персональных данных?
Это документ о том, что субъект персональных данных согласен с тем, что заинтересованная сторона вправе получать, хранить и использовать сведения о нем. При этом ч.1 ст.9 Закона 152-ФЗ не обязывает давать его письменно. Закон гласит, что соглашение может быть получено в любой форме, но быть сознательным и конкретным.
Однако, оператор обработки персональных данных несет ответственность за свои действия и при возникновении спорной ситуации сможет доказать свою правоту только при наличии письменного документа. Форма его является условной, единого бланка законодательно не установлено и каждый из операторов может сам ее разрабатывать для своих условий.
Согласие на обработку персональных данных гарантирует их защиту от неправомерных действий, применение для определенных целей и в рамках перечисленных задач.
Понятие информации о гражданине, относящейся к персональной, дано в ст.3 Закона 152. Это любые сведения, связанные с субъектом (физическим лицом) прямо или косвенно:
- ФИО, пол, возраст;
- семейное положение, а также родственные связи и наличие детей;
- сведения об образовании и наличии квалификационных навыков;
- адрес места жительства и прописки;
- любые фото- и видеоматериалы, используемые оператором и позволяющие точно установить личность гражданина;
- биографические данные, включая наличие судимости, прохождения службы в армии, предыдущих мест работы и т.д.);
- сведения о заработке и финансовом положении;
- иные сведения, позволяющие идентифицировать физическое лицо.
Стоит перечислить и документы, в которых эти сведения содержатся:
- гражданский паспорт, свидетельства о браке, рождении детей;
- документы об образовании, повышении квалификации и т.д.;
- трудовая книжка;
- военный билет.
Остальные документы, содержащие сведения о гражданах, хранятся у работодателя и необходимы для кадрового учета. Это, например, характеристики, личные карточки, анкеты и т.д.
В ряде ситуаций требуется предоставление справки о доходах, полученных в определенный временной период. Гражданину следует знать, что без его согласия эти сведения не подлежат обработке.
Операторы персональных действий
Все, к кому попадают личные сведения граждан с их согласия, для целей их обработки являются операторами. К ним относятся:
- государственные структуры;
- муниципальные органы власти;
- юридические и физические лица.
В процессе осуществления своих полномочий они вправе работать с полученными сведениями только с ведома самого гражданина.
Это могут быть любые процедуры, связанные со сбором, хранением, передачей, а также удалением данных, осуществляемых в ручном, автоматическом режиме и даже онлайн.
Обязательным условием является лишь наличие согласия самого гражданина на эти действия либо его представителя.
Обратите внимание, что при заполнении онлайн-форм с использованием персональных данных перед отправкой требуется поставить флажок в соответствующее поле о том, что вы согласны с их обработкой.
Когда требуется согласие на обработку персональных данных?
В большинстве случаев действия, касающихся использования личных сведений граждан, требуют соответствующего согласия. Но закон 152 допускает моменты, когда этот документ не требуется.
При этом обязательно соблюдение законодательства и в рамках него не допускать превышения допустимого объема обработки.
Также обязательно соответствие действий достижения целей, ради которых информация используется.
Потребуется согласие гражданина и в случае, когда его контактные данные, такие как номер мобильного телефона и адрес электронной почты, могут использоваться для иных целей.
Статья 86 Трудового кодекса гласит, что персональные данные оператор должен получать непосредственно от самого работника. При этом допускаются случаи, когда их можно получить только у третьей стороны. В такой ситуации следует учитывать, что предварительно работник должен быть осведомлен об этом и дать соответствующее согласие.
Перечислим случаи, когда от работника не требуется согласие на обработку его личных данных, если они получены:
- из документов, которые он представил для оформления трудового контракта;
- в результате обязательного медосмотра, пройденного гражданином перед поступлением на работу;
- из данных, содержащихся в личной карточке работника, а также в случаях, предусмотренных законодательством в рамках п.2 Разъяснений Роскомнадзора;
- из опубликованного на открытых ресурсах сети Интернет резюме;
- когда от имени соискателя на должность, вакантную в организации, выступает кадровое агентство и представляет персональные данные потенциального работника.
Заявление согласия на обработку персональных данных — образец и бланк 2022 года
Строгой формы согласия на обработку персональных данных законодательство не дает, каждый оператор вправе разработать этот документ и использовать его в работе. Но Законом № 152 определены обязательные реквизиты, которые должны присутствовать в этом документе:
- ФИО гражданина, а также полные реквизиты гражданского паспорта или иного удостоверения личности;
- в случае, когда в интересах гражданина выступает представитель, то в согласии указываются его ФИО, паспортные данные, а также реквизиты документа на право представлять интересы;
- наименование организации, осуществляющей функции оператора обработки личных данных, кому дается согласие;
- цели, для которых осуществляется обработка данных, а также какие данные конкретно подлежат обработке;
- общее описание тех вариантов обработки, которые возможно произвести со сведениями, способы обработки;
- с какого момента согласие действует и способ его отзыва;
- личная подпись гражданина, составившего документ.
Согласия на обработку персональных данных: скачать бланк и образец 2022 года
Можно ли отозвать согласие?
В случае обнаружения противоправных действий в отношении персональных данных, переданных для обработки оператору, а также при увольнении с работы или иных случаях Гражданин вправе отозвать ранее переданное согласие. Чаще всего этот документ хоть и подписывается в сознательном порядке, но сам факт может забыться. Поэтому такие случаи достаточно редки.
При желании оформить отзыв согласия достаточно просто. Это делается путем написания заявления в произвольном виде с требованием:
- о прекращении любых действий с полученными ранее персональными данными;
- об уничтожении их.
При этом в заявлении можно сослаться на нормативную базу Федерального закона № 152, в частности п.2 ст.9. Оператор обязан в течение одного месяца после получения отзыва выполнить требования гражданина.
Отметим, что ответственность оператора в части обработки личных сведений закреплена ч.2 ст.13.11 КоАП и нарушением считается:
- обработка данных в случаях, когда требуется согласие, но оно не получено от субъекта в письменном виде;
- согласие составлено с нарушением требований с составу сведений, которые должны присутствовать в этом документе.
Роскомнадзор — Формы документов
Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (PDF, 2,5МБ)
Приказ Роскомнадзора от 30.10.2018 № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утверждённые приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94» (PDF, 800КБ)
Пример заполнения уведомления об обработке персональных данных
- Пример формы уведомления для юридического лица (DOCX, 30 КБ)
- Пример формы уведомления для индивидуального предпринимателя (DOCX, 20КБ)
- Пример формы уведомления для юридического лица с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)
- Пример формы уведомления об обработке персональных данных для индивидуального предпринимателя с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)
- Пример формы уведомления для нотариуса с использованием 2-х информационных систем (DOCX, 30КБ)
- Пример формы уведомления для учреждения здравоохранения с использованием 5-ти информационных систем (DOCX, 30КБ)
Пример заполнения информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных
- Пример формы информационного письма для юридического лица, ПАО (DOCX, 30КБ)
- Пример формы информационного письма для юридического лица, ООО (DOCX, 30КБ)
- Пример формы информационного письма для юридического лица, Совет СП (DOCX, 30КБ)
- Пример формы информационного письма для юридического лица, Исполком СП (DOCX, 30КБ)
- Пример формы информационного письма для юридического лица, Школа (DOCX, 30КБ)
- Пример формы информационного письма для юридического лица, Детсад (DOCX, 30КБ)
- Пример формы информационного письма для юридического лица с использованием 2-х информационных систем (DOCX, 30КБ)
- Пример формы информационного письма для индивидуального предпринимателя с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)
- Пример формы информационного письма для нотариуса с использованием 2-х информационных систем (DOCX, 30КБ)
- Пример формы информационного письма для учреждения здравоохранения с использованием 5-ти информационных систем (DOCX, 30КБ)
- Пример формы информационного письма для юридического лица (Образовательное учреждение) с использованием 2-х информационных систем (DOCX, 30КБ)
- Пример короткой формы информационного письма о внесении изменений в сведения об операторе в реестр ОПД (DOCX, 30КБ)
Образец информационного письма для операторов персональных данных (ст. 25 и п. 10.1) (DOCX, 30КБ)
О внесении изменений в отдельные Законодательные акты российской федерации
Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты российской федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
(http://www.rg.ru/2014/07/23/persdannye-dok.html)
Информационное сообщение для юридических и физических лиц (индивидуальных предпринимателей)
Информационное сообщение: Внимание операторов, осуществляющих обработку персональных данных! (RTF 34 КБ)
Приказ об утверждении положения о защите персональных данных: образец и бланк 2022
Информационные технологии стремительно развиваются, и это стало основной причиной актуализации темы защиты персональных данных. В силу специфики трудовых отношений работодатели получают доступ к личной информации о своих подчиненных. В этой статье расскажем, как правильно организовать обработку полученных сведений на работников организации и как оформить приказ об утверждении положения о персональных данных.
Нормативное регулирование
Отношения, связанные с обработкой персональных данных, регулируются профильным законом №152 от 27.07.2006. Данный акт принят с целью осуществления качественной защиты прав и свобод человека и гражданина при обработке его личных сведений, защиты права на неприкосновенность частной жизни, права на личную и семейную тайну.
Механизм защиты персональных данных работников регулируется также и Трудовым кодексом РФ, в частности главой 14 ТК РФ.
Кроме этого, в ст. 87 ТК РФ указано, что порядок хранения и использования персональных данных сотрудников устанавливается нанимателем. Фактически, это значит, что работодатель в своей компании обязан утвердить положение о защите персональных данных. Утверждение этого внутреннего акта осуществляется путем издания соответствующего приказа.
Что подразумеваем под персональными данными человека?
Определение персональных данных содержится в ст. 3 ФЗ №152. Законодатель говорит, что это любая информация, которая прямо или косвенно относится к конкретному физическому лицу – субъекту персональных данных.
Субъект, который обрабатывает персональные данные, – это оператор. Если речь идет о трудовых отношениях, то в роли субъекта персональных данных будет выступать нанятое лицо, а в роли оператора – наниматель. Работодатель в силу своего статуса и закона получает доступ к персональным данным своих работников, однако разглашать полученную информацию о физлице категорически запрещается.
Работодатель обязан:
- обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения действующего законодательства;
- в процессе обработки руководствоваться действующими законодательными нормами;
- получать все необходимые персональные данные у самого работника, а в случае невозможности получить информацию у работника, уведомить последнего о том, что сведения могут быть запрошены у третьей стороны, но только при наличии письменного согласия подчиненного;
- при принятии решений, затрагивающих интересы работника, не основываться исключительно на персональных данных работника, полученных методом автоматизированной обработки или электронного получения;
- защищать персональные данные работника от неправомерного их использования или утраты;
- под роспись информировать работников о порядке обработки их персональных данных, а также об их правах и обязанностях в этой сфере;
- вырабатывать меры для защиты персональных данных работников.
Какими данными о работнике располагает компания
При заключении трудового договора и в период выполнения трудовых функций работник передает работодателю информацию:
- о полном имени, отчестве, фамилии;
- о дате и месте рождения;
- о своем адресе проживания;
- о полученном образовании и опыте работы;
- о состоянии здоровья;
- о своих биометрических данных.
Информация о вероисповедании, национальности, внешних особенностях, финансовом и семейном положении, наличии или отсутствии судимостей, политических взглядах и других фактах из биографии – все это также относится к личным данным человека, которые могут попасть к администрации и в отношении которых применяется усиленный режим защиты.
Как организовать защиту персональных данных в организации?
Для того чтобы надлежащим образом организовать защиту персональных данных работодателю нужно утвердить и ввести в действие пакет внутренних актов, который состоит из:
- Политики компании в отношении персональных данных (составляется образец приказа об утверждении политики обработки персональных данных в целом по организации).
- Положения об обработке и защите конфиденциальной информации (составляется приказ на утверждение положения о защите персональных данных).
- Перечня лиц, имеющих доступ к информации.
- Согласия на обработку (согласие нужно получить от сотрудников)
- Соглашения о неразглашении.
- Журнала учета передачи данных.
Проекты вышеперечисленных документов разрабатываются сотрудником, который получил от работодателя соответствующее поручение. После того как образцы готовы, их необходимо утвердить приказом руководителя.
Приказ об утверждении положения о персональных данных
Положение о персональных данных – это основополагающий внутренний документ, в котором прописан механизм обработки и хранения работодателем персональных данных сотрудников.
При подготовке проекта Положения за основу берется ФЗ №152. Единого типового образца документа не существует, однако структура Положения должна включать следующие блоки:
- Основные понятия, используемые в Положении.
- Принципы и условия обработки персональных данных работников.
- Права субъектов персональных данных (работников).
- Обязанности оператора (работодателя).
Положение о персональных данных вводится в действие путем издания приказа.
Как оформить приказ?
Каких-то особых условий оформления приказа нормативно не предусмотрено. При разработке документа можно использовать фирменный бланк компании. Для работодателя достаточно будет одного экземпляра, но при необходимости можно подготовить дополнительные копии.
Обычно текст документа набирают на компьютере и распечатывают на принтере. Далее приказ подписывает руководитель организации. Также свою подпись должен поставить сотрудник, на которого приказом возложена обязанность контроля исполнения данного распоряжения руководства. Наконец, приказ также подписывают остальные работники, которые в нем упоминаются.
Ставить печать на документе обязательно только в том случае, если требование об использование печати прописано в учетной политике компании.
Структура приказа об утверждении положения о персональных данных
Приказ об утверждении положения о персональных данных включает следующие реквизиты:
- Вводные данные – наименование компании, название документа, его номер, дата и место составления.
- Суть распоряжения – в этом блоке нужно указать основание для издания приказа, а также дать ссылку на статью закона (например, необходимость внедрения правил и норм по защите персональных данных).
- Непосредственное указание на защиту личной информации подчиненных, а также перечня нормативно-правовых бумаг, которые регламентируют данный вопрос, требование об ознакомлении с ними персонала под роспись.
- Назначение ответственного лица.
- Указание данных субъекта, который будет контролировать выполнение данного распоряжения.
- Подписи.
Регистрация и хранение приказа
Приказ руководителя подлежит обязательной регистрации и учету в специальном журнале. В журнале отмечают номер, дату и краткое содержание документа.
После регистрации приказ помещают в папку с другими подобными внутренними актами, где он хранится установленный период.
Приказ, который утратил актуальность, подлежит передаче в архив или утилизации.
Некоторые вопросы работы с персональными данными
В сфере законодательства о персональных данных произошло несколько обновлений. В частности, ФЗ №152 в новой редакции предусматривает следующее:
1. С 01.03.2021 года появился новый обязательный документ – согласие на обработку персональных данных.
Со всеми ли соискателями, работниками и иными третьими лицами должны быть подписаны согласия на обработку персональных данных. Если таковых нет, необходимо получить эти согласия.
При этом обязательно нужно проверить, соответствует ли форма согласия на обработку персональных данных требованиям п. 4 ст. 9 ФЗ № 152.