Кто в организации может быть ответственным за обработку персональных данных

/ Таможенное право / Органы ответственные за защиту персональных данных

В силу части 2 статьи 22.1 ФЗ № 152 ответственный сотрудник подотчетен только руководству организации (директору или иному исполнительному органу).

Это означает, что во избежание нарушений субординации в организации рекомендуется назначать ответственным сотрудника из числа руководящих лиц, а не из рядового состава. Часть 4 статьи 22.

1 ФЗ № 152 возлагает на ответственного за организацию обработки персональных данных следующие обязанности:

  1. Проводить инструктаж с работниками организации по вопросам соблюдения законодательства и внутренних документов компании в части обработки личных данных.
  2. Осуществлять контроль за соблюдением технических и административных мер, принимаемых в организации для защиты личных данных (проверять сохранность и порядок заполнения носителей личных данных, условия и порядок доступа к ним и т.

Чьи подписи должны стоять под приказом Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его.

В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.
Как проводить учет Все исходящие от руководства организации распоряжения должны быть учтены.

Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия.

Приказ о назначении ответственного за обработку персональных данных

Липецкая область49 – Магаданская область50 – Московская область51 – Мурманская область52 – Нижегородская область53 – Новгородская область54 – Новосибирская область55 – Омская область56 – Оренбургская область57 – Орловская область58 – Пензенская область59 – Пермский край60 – Псковская область61 – Ростовская область62 – Рязанская область63 – Самарская область64 – Саратовская область65 – Сахалинская область66 – Свердловская область67 – Смоленская область68 – Тамбовская область69 – Тверская область70 – Томская область71 – Тульская область72 – Тюменская область73 – Ульяновская область74 – Челябинская область75 – Забайкальский край76 – Ярославская область77 – Москва78 – Санкт-Петербург79 – Еврейская АО83 – Ненецкий АО86 – Ханты-Мансийский АО87 – Чукотский АО89 – Ямало-Ненецкий АО91 – Республика Крым92 – Севастополь99 – Байконур Вопрос: * Напишите нам Предложение, замечание, просьба или вопрос.

Кого назначить ответственным по персональным данным (пдн)?

Соответственно, в случае замены такого сотрудника в приказ необходимо будет внести изменения либо подготовить новое распоряжение с данными нового сотрудника.

Скачать форму приказа Вместе с тем права, обязанности и полномочия сотрудника отражаются не в приказе о его назначении, а в положении об обработке личных данных в организации и его должностной инструкции.

Нормы же ТК РФ не содержат специальных требований к должностным инструкциям работников, однако в силу требований части 2 статьи 152 ФЗ № 152 такая документация должна быть утверждена отдельным распоряжением (приказом) организации.

Практикам необходимо помнить, что с 1 июля 2017 года вступили в силу изменения, внесенные в статью 13.11 КоАП, которые значительно усилили административную ответственность за нарушения, допущенные при работе с личными данными в организации.

Защита персональных прав 152-фз

Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.

Обязателен ли документ, его значение Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными.

Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

Уголовная ответственность наступает за нарушение неприкосновенности частной жизни, в том числе при использовании служебного положения. Мера наказания может быть в виде штрафа, обязательных работ, отстранения от занимаемой должности, лишения свободы на 4- месяцев.

Кто ответственный? Оператор самостоятельно определяет круг лиц, которые будут нести ответственность за работу с персональными данными.
Основная ответственность ложится на работодателя.

В группу допуска к данным в обязательном порядке включаются сотрудники, которые по роду деятельности сталкиваются с персональными данными – например, сотрудники кадровой службы, бухгалтерии, сектора делопроизводства.

Органы ответственные за защиту персональных данных

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

На кого чаще всего возлагается ответственность за обработку персональных данных Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

Личные сведения всегда имели интерес – социальный, политический, экономический. На протяжении десятилетий имели место быть случаи, когда сведения о человеке превращались в высокооплачиваемый товар. Мы живем в реалиях глобальной информатизации. Высокие технологии позволяют осуществлять сбор данных, систематизировать их, хранить, копировать и даже распространять их в автоматическом режиме.

Неудивительно, что в таких условиях назрела необходимость защиты персональных данных. Политика Основные принципы, задачи и условия работы с персональными данными в организациях и предприятиях всех форм собственности (являющихся Оператором по защите информации) определяются Политикой по защите персональных данных, которая, по сути, является главным документом, регламентирующим весь порядок работы с личными данными. Ответственный за организацию обработки персональных данных — это сотрудник организации, на которого возложены обязанности по соблюдению правил работы с личной информацией. О требованиях законодательства к ответственному за организацию обработки личных данных и расскажет настоящая статья. Требования к ответственному за организацию обработки персональных данных Документы, касающиеся ответственного за организацию обработки персональных данных (приказ, должностная инструкция) Требования к ответственному за организацию обработки персональных данных Согласно требованиям статьи 22.1 закона «О персональных данных» от 27.07.2006 № 152-ФЗ, организация, которая осуществляет работу с личной информацией граждан (своих сотрудников, клиентов и иных лиц), обязана назначить лицо, ответственное за организацию обработки персональных данных.

Источник: https://strahovanie58.ru/organy-otvetstvennye-za-zashhitu-personalnyh-dannyh/

Организация работы с персональными данными

Кто в организации может быть ответственным за обработку персональных данных

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно – дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

NДокументСведения
1Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)Анкетные и биографические данные работника
2Копия документа, удостоверяющего личность работникаФ.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи
3Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность
4Трудовая книжкаСведения о трудовом стаже, предыдущихместах работы
5Копии свидетельств о заключениибрака, рождении детейСостав семьи, изменения в семейном положении
6Документы воинского учетаИнформация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников
7Справка о доходах с предыдущегоместа работыФ.И.О., данные о сумме дохода и удержанного НДФЛ
8Документы об образованииПодтверждают квалификацию работника, обосновывают занятие определенной должности
9Документы обязательного пенсионного страхованияФ.И.О., личные данные
10Трудовой договорСведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника
11Приказы по личному составуИнформация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных – любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее – Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

NОбязанность раздела
1Общие положенияЦель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: – Федеральный закон от 27.07.2004 N 79-ФЗ “О государственной гражданской службе РоссийскойФедерации”; – Указ Президента РФ от 30.05.2005 N 609 “Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела”; – нормативные акты субъекта РФ
2Основные понятия. Состав персональных данных работниковОсновные понятия. Даются определения понятий “персональные данные”, “обработка персональных данных”, “использование персональных данных”, указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)
Перечень документов организации, которые содержат персональные данные
3Получение персональных данных работниковПроцедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно
4Использование персональных данныхЦели использования личной информации сотрудников
5Обработка персональных данныхУсловия, соблюдаемые при обработке персональных данных работника
6Передача персональных данных (доступ к персональным данным)Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ)
7Ответственность за нарушение норм, регулирующих обработку и защиту персональных данныхУказывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый – согласиться.

Второй – в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • – листе ознакомления с Положением (образец на с. 91);
  • – журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/пНаименование локального нормативного актаДатаПодпись
1Правила внутреннего трудового распорядка ООО “Черный лес”

Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

Защита персональных данных работников | Статьи | Pro-персонал

Кто в организации может быть ответственным за обработку персональных данных

Что относится к персональным данным? Всем ли работодателям нужно направлять Уведомление в Роскомнадзор? Кто может быть ответственным за организацию обработки персональных данных?

Елена Мордасова, юрисконсульт, Coleman Services

Что относится к персональным данным?

Законодательством к персональным данным отнесена любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), из чего следует, что к персональным данным работников относятся не только ФИО, информация содержащаяся в карточке Т2 и сведения об образовании, но и например подпись в электронной почте, а также адрес электронной почты, сведения о составе семьи и месте работы или учебы членов семьи и родственников работника.

Новая ответственность за нарушения в персданных. За что и на сколько теперь будут штрафовать>>>

Всем ли работодателям нужно направлять Уведомление в Роскомнадзор?

Для начала определим, кто же является оператором персональных данных. Согласно закону – это государственные и муниципальные органы, юридические и физические лица, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели, состав и действия, совершаемые с персональными данными.

Действительно, Законом о персональных данных предусмотрены  9 оснований, когда у оператора есть право осуществлять обработку без уведомления Роскомнадзора, среди которых – обработка данных в соответствии с трудовым законодательством.

На практике встречается очень распространенный стереотип, что если обработка осуществляется в рамках трудовых отношений, то уведомление не требуется.

Но это  является заблуждением, поскольку в деятельности большинства российских компаний встречается обработка персональных данных, не связанных с трудовыми отношениями: например, данные представителей клиентов или поставщиков, персональных данных родственников работников, персональные данные лиц, у которых нет договорных отношений с оператором персональных данных и т.д. Таким образом, большинство компаний такое уведомление направить обязаны.

Что же касается самой формы уведомления, то можно использовать электронную форму, которая расположена на Портале персональных данных Роскомнадзора.

Конечно же, нужно понимать, что перед тем, как  направить уведомление, необходимо посмотреть, каким образом регулируется защита обработки персональных данных в вашей компании, и привести бизнес процессы в соответствие с требованиями закона о персональных данных.

Документы, которые должны быть у каждого работодателя:

  • Положение о защите персональных данных работника
  • Политика в отношении обработки персональных данных
  • Согласие на получение, обработку, использование и хранение персональных данных
  • Согласие на передачу персональных данных третьим лицам
  • Обязательство о неразглашении персональных данных работников
  • Приказ о назначении лиц, допущенных к работе с персональными данными
  • Приказ​ о назначении лиц ответственных за организацию обработки персональных данных
  • Уведомление о прекращении обработки персональных данных и их уничтожении

Кто может быть ответственным за организацию обработки персональных данных?

В соответствии с законодательством, в каждой компании должно быть лицо ответственное за организацию обработки персональных данных.

Таким лицом может быть не только штатный работник организации, но также закон позволяет нам назначить в качестве ответственного лицо, заключившее с оператором гражданско-правовой договор.

Но важно обратить внимание, что в соответствии с ч. 2 ст. 22.

1 Закона о персональных данных ответственное лицо подотчетно генеральному директору компании, а это значит, что генеральный директор не может возложить на себя ответственность за организацию обработки персональных данных.

В таком случае очень остро встает вопрос для небольших компаний, кого же назначить ответственным? Если перед вашей компанией стоит такой вопрос, то есть несколько  путей решения: специально нанять работника для выполнения функции ответственного за организацию обработки персональных данных, либо же заключить гражданско-правовой договор с подрядчиком.

Ответственность за нарушение законодательства о персональных данных

Наиболее часто применяется административная ответственность за нарушение ст. 13.11 КоАП РФ.

В качестве основных нарушений можно выделить:

  • обработку персональных данных без согласия субъекта персональных данных;
  • несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Закона;
  • нарушение требований конфиденциальности при обработке персональных данных.

Ответственность наступает в виде предупреждения или наложения административного штрафа на граждан – от 300 до 500 рублей; на должностных лиц – от 500 до 1000 рублей; на юридических лиц – от 5000 до 10 000 рублей.

Также предусмотрена дисциплинарная ответственность в виде замечания, выговора или увольнения. Кроме того, виновные в нарушении требований законодательства о защите персональных данных могут нести уголовную ответственность. Однако это является крайне редким явлением.

www.coleman.ru

Источник: https://www.pro-personal.ru/article/1089220-qqre-zashchita-personalnyh-dannyh-rabotnikov

Ответственные за обработку и имеющие доступ к персональным данным разница

Кто в организации может быть ответственным за обработку персональных данных

С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работнико в ч. 1 ст. 18 Закона № 152-ФЗ ; п. 8 ст. 86, ст. 88 ТК РФ . Вот что должно содержаться в Положении о ПД:

  • ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственност ь ст. 90 ТК РФ; ч. 1 ст. 24 Закона № 152-ФЗ .

Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок. Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки П Д ч.

1 ст. 22.1 Закона № 152-ФЗ . К уровню квалификации ответственного лица никаких требований нет.

Поэтому это может быть любой ваш работник.

Для назначения ответственного работника издайте об этом приказ.

Например, такой.

Или это может быть оформлено как дополнительная работа (ст.

60.2 ТК). Дополнительная работа может быть Вам назначена с Вашего согласия и за дополнительную оплату. В общем тут нужно знать подробности.

Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. 3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4.

Устанавливаем доступ к персональным данным

С правовой точки зрения эти документы лучше оформить одной датой В трудовом договоре указываются обязанности сотрудника. Если они изменяются, нужно подписать об этом дополнительное соглашение .

В каком виде составляется В письменной произвольной форме.

Что обязательно должно быть в документе Новые обязанности в соответствии с приказом о назначении ответственного лица за организацию обработки персональных данных. Ознакомьте работника с приказом

«О назначении ответственного лица за организацию обработки персональных данных»

, а также укажите в тексте дополнительного соглашения, что он получил на руки свой экземпляр Приказ о снятии с работников ответственности за организацию обработки персональных данных Нужно снять с работников ответственность за организацию обработки персональных данных, но не полномочия по их сбору, хранению, уточнению и др.

Кто то лицо, ответственное за обработку ПДн и в чем заключаются его обязанности?

Приходит проверка от РКН, пальцем показываем на ответственного.

Что ответственный должен знать и к чему готовиться? Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Обработка персональных данных

Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций; • запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

Кто отвечает за защиту персональных данных работников?

Нарушителю могут быть вынесены замечание, предупреждение, выговор и даже применено отстранение от должности – в зависимости от тяжести причиненного вреда.

Гражданско-правовая ответственность напрямую связана с нанесением морального вреда (уместно говорить про честь, достоинство и деловую репутацию), в связи с разглашением его персональных данных.

Если данный факт подтверждается в судебном порядке, пострадавшей стороне нарушитель, например, выплачивает компенсацию.

Административная ответственность как за нарушение порядка сбора, анализа, а также хранения персональных данных, так и разглашение информации. В соответствии со статьей 13.11 Кодекса об административных правонарушениях первое влечет за собой наложением следующих штрафов: на физических лиц – триста-пятьсот руб.; на должностных лиц – пятьсот-тысяча руб.

Персональные данные: а вы готовы к проверке?

Примеры документов из статьи: — ЗАЯВЛЕНИЕ на обработку персональных данных — Положение о персональных данных — ПРИКАЗ о назначении ответственных за обработку персональных данных — ПРИКАЗ о назначении ответственных за обеспечение безопасности персональных данных — ДОГОВОР Об обработке персональных данных Давайте разберемся подробнее.

Так, собственник не имеет права: Кроме этого, работодатель должен соблюдать следующие требования: Помимо положения о персональных данных работодатель должен издать два приказа:

  • о назначении ответственных за обработку персональных данных (см. Пример 3);
  • о назначении ответственных за обеспечение безопасности персональных данных (см. Пример 4).

Примеры бумажных носителей персональных данных: В-третьих, обеспечить в информационной системе следующие возможности: Итак, в организации для работы с персональными данными должны быть следующие документы:

Кого назначать ответственными за обработку и хранение персональных данных

Основной документ в этом вопросе – Федеральный закон «О персональных данных» (№ 152-ФЗ).

У вашей фирмы есть клиенты – физические лица? Каждая организация, которая имеет дело с обработкой и хранением информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором .

Основания, при которых работодатель вправе обрабатывать персональные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты данных.

В организации с небольшой численностью работников нет ответственного за организацию обработки персональных данных, за это должен отвечать директор Организации необходимо издать приказ о назначении руководителя ответственным за организацию обработки данных.

Включение в текст этого приказа прав и обязанностей лица, ответственного за организацию обработки, не является обязательным условием.

Приходит проверка от РКН, пальцем показываем на ответственного.

10 Ошибок, которые не стоит допускать при оформлении документов, связанных с персональными данными

В. Москва, Долгоруковская улица, д.

16, паспорт серии 45 09 N 654321, выдан п/с N 2 ОВД Тверского района УВД ЦАО г.

Москвы 29.04.2004 Даю свое согласие на передачу следующих моих персональных данных: 4) данные об изображении лица; в целях исполнения заключенного между нами трудового договора в частное охранное предприятие «Железная защита» (г. Москва, ул. Александра Солженицына, д.

Источник: https://credit-helper.ru/otvetstvennye-za-obrabotku-i-imejuschie-dostup-k-personalnym-dannym-raznica-25741/

Кто назначается ответственным на предприятии за организацию обработки персональных данных

Кто в организации может быть ответственным за обработку персональных данных

Состав персональных данных работников Основные понятия. Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д.

Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) Перечень документов организации, которые содержат персональные данные 3 Получение персональных данных работников Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа! Это быстро и бесплатно!

  • Политика
  • Ответственность
  • Кто ответственный?
  • Что такое служба защиты персональных данных?

В основе трудовых отношений лежит системная обработка личных сведений работников,полученных от последних лично или из представленных ими документов:

  • Ф.И.О, дата, а также место рождения,гражданство,место регистрации и проживания;
  • сведения о документах,удостоверяющих личность;
  • данные об образовании;
  • контакты – адрес, номера телефонов,электронной почты;
  • сведения относительно семьи и ее состава;
  • прочие сведения, касающиеся профессиональной или личной жизни.

Фактически, устраиваясь на работу, человек целиком и полностью доверяет себя работодателю.

Назначаем ответственного за обработку персональных данных

Внимание

Образец приказа Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя. Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  • начальника отдела кадров;
  • (старшего) инспектора по кадрам;
  • директора по персоналу;
  • заместителя начальника отдела (директора по персоналу);
  • специалиста по работе с персоналом.

Может быть введена и новая должность.

Образец приказа о назначении ответственного за обработку персональных данных

  • Организовать работу по приему и обработке обращений, получаемых организацией как от граждан, так и от контрольно-надзорных органов.
  • Следует помнить, что данный перечень не является исчерпывающим, поэтому на ответственного могут возложить и иные обязанности, например:
  • разрабатывать или участвовать в разработке внутренних документов по вопросам защиты личных данных;
  • осуществлять учет носителей информации и оформлять допуски к ним.

Документы, касающиеся ответственного за организацию обработки персональных данных (приказ, должностная инструкция) Назначение ответственного лица производится путем издания соответствующего приказа по организации. Важно подчеркнуть, что в приказе должна быть указана не только должность сотрудника, но и его инициалы.
В силу части 2 статьи 22.1 ФЗ № 152 ответственный сотрудник подотчетен только руководству организации (директору или иному исполнительному органу). Это означает, что во избежание нарушений субординации в организации рекомендуется назначать ответственным сотрудника из числа руководящих лиц, а не из рядового состава. Часть 4 статьи 22.1 ФЗ № 152 возлагает на ответственного за организацию обработки персональных данных следующие обязанности:

  1. Проводить инструктаж с работниками организации по вопросам соблюдения законодательства и внутренних документов компании в части обработки личных данных.
  2. Осуществлять контроль за соблюдением технических и административных мер, принимаемых в организации для защиты личных данных (проверять сохранность и порядок заполнения носителей личных данных, условия и порядок доступа к ним и т.

Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти. Как организовать хранение По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия.

Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Образец приказа о назначении ответственного Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

Политика составляется в соответствии с законодательными, нормативными правовыми актами о персональных данных, и, кроме общего положения, она содержит такие разделы:

  • о составе данных (перечисляются все сведения);
  • регламент работы с данными, с подробным изложением порядка их сбора и систематизации, передачи;
  • порядок и особенности Доступа к данным, пофамильный состав с доступом;
  • алгоритм защиты всех видов данных (с подробным изложением внутренней/внешней защиты);
  • права, ответственность, обязанности всех сторон;
  • прочие разделы на усмотрение Оператора.

С Политикой под роспись ознакамливают всех сотрудников. Кроме этого, работники дают свое согласие на обработку в письменном виде, а сотрудники с доступом к сведениям, — подписывают обязательство о неразглашении вверенной им информации.

  • — листе ознакомления с Положением (образец на с. 91);
  • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Источник: http://24-advokat.ru/kto-naznachaetsya-otvetstvennym-na-predpriyatii-za-organizatsiyu-obrabotki-personalnyh-dannyh/

Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными

Кто в организации может быть ответственным за обработку персональных данных

БУХУЧЕТТРУДОВЫЕ ОТНОШЕНИЯСТРАХОВЫЕ ВЗНОСЫНДСНДФЛПОДТВЕРЖДАЮЩИЕ ДОКУМЕНТЫ

  • Новости
  • Трудовые отношения

Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными 11 сентября 2014

Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей. Однако для контролирующих органов размер компании и количество работников значения не имеют. Причем, в случае выявления нарушений реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. А им зачастую является бухгалтер. Давайте попробуем разобраться, насколько серьезны штрафы и что должны делать бухгалтеры или кадровики, чтобы их избежать.

На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки. Согласно статье 13.11 КоАП РФ штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее должностного лица.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

Ответственность организации

Кроме того, если в компании не утверждено Положение о персональных данных, то возможно наступление административной ответственности за нарушение трудового законодательства по статье 5.27 КоАП РФ.

Штраф может составить от 30 до 50 тыс. рублей. Также возможно административное приостановление деятельности на срок до девяноста суток.

Кстати, с 2015 года штраф за повторное нарушение, предусмотренное данной статьей, составит уже от 50 до 70 тыс. рублей.

https://www.youtube.com/watch?v=GZLsd4Z6s0k

Соблюдение законодательства о персональных данных контролирует Роскомнадзор.

За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей (статья 19.5 КоАП РФ).

Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей (статья 19.7 КоАП РФ).

Ответственность работника

Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен (статья 90 ТК РФ):

  • к административной ответственности
  • к дисциплинарной и материальной ответственности;
  • к гражданско-правовой ответственности;
  • к уголовной ответственности.

Административная ответственность

Персональные данные относятся к информации, доступ к которой ограничен. Поэтому за разглашение персональных данных ответственный работник может быть оштрафован на сумму от 4 до 5 тыс. рублей (статья 13.14 КоАП РФ «Разглашение информации с ограниченным доступом»).

Должностных лиц также можно привлечь к ответственности и за отсутствие утвержденного Положения о персональных данных. В этом случае штраф за нарушение трудового законодательства составит от 1 до 5 тыс. рублей. За повторное нарушение с 2015 года штраф составит от 10  до 20  тыс. рублей или дисквалификация на срок от одного года до трех лет (статья 5.27 КоАП РФ).

Дисциплинарная ответственность

Трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей. В том числе и по причине разглашения персональных данных другого работника (подпункт  «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя. Если вред был причинен по вине лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб.

Гражданско-правовая ответственность

Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии гражданским законодательством (статья 151 ГК РФ).

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности на основании статьи 137 УК РФ.

Проверки

Как уже говорилось выше, ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор).

Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ).

Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Официальная информация

В 2013 году в рамках осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства в области персональных данных проведено 2 418 проверок (еще в 2011 году таких проверок было значительно меньше — 1 743 проверки).

Из них 1 801 плановая и 617 внеплановых проверок.
В 2013 году рост количества плановых проверок был связан, прежде всего, с увеличением количества операторов, отказывавшихся выполнять требования Федерального закона  от 27.07.

06 № 152-ФЗ «О персональных данных» ввиду неосуществления, по их мнению, деятельности по обработке персональных данных.

Источник: сайт Роскомнадзора

Положение о персональных данных

Теперь попробуем выяснить, что же требуется сделать, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов.

Вопросы обработки персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Соблюдать требования этого закона должны все организации и ИП, у которых есть хотя бы один работник.

Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от физических лиц, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Главным документом, который должен иметь любой работодатель, является положение о персональных данных. Принять этот локальный акт, регулирующий порядок хранения и использования персональных данных работодателя обязывает статья 87 Трудового кодекса.

В положении обычно прописывают все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (см. образец «Согласие на обработку персональных данных»). А значит, не лишним будет сразу разработать и утвердить форму такого заявления.

На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.   Далее может следовать раздел «Доступ к персональным данным».

В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций). При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.

Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т п.   Продолжит Положение раздел «Порядок обработки и передачи данных».

Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным  органам или лицам. В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.

Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.   А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.  

Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость  Уголовного кодекса (ст. 137 УК РФ).

Положение о персональных данных можно разработать, взяв за основу разработанный нашим юристом образец «Положение о работе с персональными данными».  

Однако кроме положения контролирующие органы в ходе проверок интересуются и другими документами. Назовем некоторые из них.

Приказ руководителя о назначении ответственного

Руководитель должен издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (см.

образец «О назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное лицо)»), так и подразделение (см.

образец «Приказ о назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное подразделение)»). В последнем случае личную ответственность несет руководитель такого подразделения.

Перечень персональных данных

Также потребуется утвердить документ, содержащий перечень персональных данных (см. образец «Приказ об утверждении перечня персональных данных»), которые реально используются в деятельности организации.

Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

 

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Журнал учета персональных данных

Работодатели обязаны соблюдать режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ).

В подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации.

Заметим, что форма такого журнала не установлена, поэтому разработать ее требуется самостоятельно.

Внешняя и внутренняя защита персональных данных

Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).

Возможное решение

Очевидно, что решение вопросов, касающихся персональных данных, может отнимать у бухгалтера очень много времени: требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать и заполнить их.

Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется бухгалтеру, чтобы организовать работу с персональными данными в соответствии с требованиями закона.

Сэкономить время и сосредоточиться на своей основной работе можно с помощью веб-сервиса «Персональные данные». Он автоматически формирует все необходимые приказы, акты, уведомления и положения, необходимые для работы с персональными данными.

Вопросы, возникающие в ходе совершения действий, бухгалтер прямо со страницы сервиса может задать эксперту и получить оперативный ответ. Когда все действия завершены, остается только распечатать подготовленные сервисом документы и подписать их.

Впоследствии сервис будет напоминать, что пора провести определённое мероприятие, закреплённое в комплекте документов, а также следить за изменениями законодательства и информировать о том, что надо сделать после вступления поправок в силу.

Год работы в сервисе с данными одной организации или ИП стоит 6 тысяч рублей. Однако часть необходимых документов бухгалтер может подготовить в «Персональных данных» бесплатно. Для этого достаточно пройти по ссылке, которую вы видите чуть ниже.

Обсудить на форуме (5)РаспечататьВ закладкиОбсудить на форуме (5)РаспечататьВ закладки

Источник: https://www.Buhonline.ru/pub/beginner/2014/9/9010

ПравБаза
Добавить комментарий