Вопросы к Юристу

Конфиденциальность персональных данных: оформление приказа об установлении списка лиц, имеющих доступ к ним

  • Законодательно-правовые акты, регламентирующие работу с персональными данными.
  • Приказ о назначении ответственного за работу с персональными данными.
  • Список лиц, допущенных к работе с персональными данными.
  • Положение о работе с персональными данными.

Одна из первостепенных задач сегодняшнего дня в каждой организации – регламентация работы с персональными данными.

В Федеральном законе от 27.07.2006 «О персональных данных» (в ред. от 23.12.2010) в ст. 3 главы 6 «Заключительные положения» указано: «Информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года». Эти требования на основании ст. 1 Закона распространяются на всех юридических лиц, осуществляющих обработку персональных данных, как с использованием средств автоматизации, так и без использования таких средств. Служба кадров организации любой организационно-правовой формы обязана привести обработку персональных данных своих работников в соответствии с действующими нормативно-правовыми актами.

К сожалению, такая работа проведена сегодня еще не во всех организациях. Дата 1 июля 2011 г. и есть изменение, внесенное в Закон 23.12.2010. Прежняя дата – 01.01.2011 − оказалась невыполнима, и срок продлен еще на полгода.

В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников, в учебных заведениях еще и учащихся, в поликлиниках и больницах – пациентов, в нотариальных конторах − клиентов и т. д.

Персональные данные относятся к конфиденциальной информации. Именно с них начинается перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 № 188: «Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях».

Работе с персональными данными отведена глава 14 Трудового кодекса Российской Федерации – «Защита персональных данных работника», в которой дано определение персональных данных работника как «…информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника» (ст. 85). Обратите внимание в определении на слова «необходимая работодателю», они означают, что информация о работнике может требоваться в различном объеме в зависимости от специфики организации.

В ст. 86 Трудового кодекса РФ изложены общие требования к обработке персональных данных. Обработка данных может проводиться только с согласия работников. 27 июля 2006 г. подписан отдельный Закон «О персональных данных», и в 2007−2008 гг. выходят постановления Правительства РФ, детализирующие положения Закона:

  • от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»,
  • от 08.07.2008 № 512 «Об утверждении Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»,
  • от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следовательно, выполнение требований Закона и постановлений Правительства обязательно как для организаций, применяющих информационные системы при обработке персональных данных, так и организаций, ведущих пока еще работу с документами по традиционным технологиям на бумажных носителях.

Для организации работы с документами, содержащими персональные данные, необходимо провести ряд мероприятий, закрепив их в документах.

Во-первых, следует приказом руководителя назначить лицо или подразделение, если организация крупная и приходится обрабатывать большое количество данных, ответственное за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями.

Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность. Следовательно, надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых.
В-третьих − подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.

Фамилия Имя Отчество

Основания для доступа

Список должен быть утвержден приказом руководителя. Лучше это сделать в приказе о назначении ответственного за работу с персональными данными и дать как приложение к приказу. Приказ может иметь такую типовую форму:
Наименование организации
ПРИКАЗ
От 00.00.0000 № 000
г. Тверь

О назначении ответственного за защиту персональных данных

В целях обеспечения выполнения требований Федерального закона от 27.07.2006 № 152 «О персональных данных»

1. Назначить ответственным за реализацию мер, предусмотренных законодательными и нормативными правовыми актами, по защите персональных данных (Ф. И. О., или отдел).
2. Внести дополнения в должностные инструкции работников, обрабатывающих персональные данные.
3. Утвердить список лиц, имеющих доступ к персональным данным (прилагается).
Директор роспись Ф. И. О

Основным документом должно стать в каждой организации Положение о работе с персональными данными.

Унифицированная форма и структура текста Положения в нормативно-правовых актах не установлены. Нет и единого заголовка. Положения, уже разработанные в организациях, называются или «О защите персональных данных работника», или «Об организации работы с персональными данными работника».

Исходя из понятий «персональные данные работника» и «обработка персональных данных», приведенных в ст. 85 ТК РФ, Положение должно охватывать требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а в соответствии со ст. 86 ТК, – и гарантии по их защите.

Текст положения может делиться на разделы, что, на наш взгляд, более правильно, но может состоять только из пунктов. Все положения начинаются с общих положений, в которых, прежде всего, указывается цель, назначение положения. Например, «в Положении о работе с персональными данными работника определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника организации (далее приводится название организации)». Затем обязательным в Положении должна быть ссылка на законодательные и нормативно-правовые акты, в соответствии с которыми Положение разработано: Конституция РФ, Трудовой кодекс РФ (глава 14), Федеральный закон от 27.07.2006 № 152 «О персональных данных», Федеральный закон от 27.07.2006 № 149 «Об информации, информационных технологиях и защите информации», постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных», постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В организациях, где работают государственные гражданские служащие, в Положении дается ссылка на Федеральный закон от 27.07.2004 № 79 «О государственной гражданской службе Российской Федерации», Указ Президента РФ от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Кроме того, указываются соответствующие нормативно-правовые акты субъекта федерации, на территории которого находится организация, и перечисляются, если они есть, нормативно-правовые акты ведомства, которому она подчинена, и документы своей организации.

В большинстве уже имеющихся положений отдельным пунктом или разделом даются основные понятия, используемые в Положении: «персональные данные», «обработка персональных данных», «распространение персональных данных», «использование персональных данных», «блокирование персональных данных», «уничтожение персональных данных», «обезличивание персональных данных», «конфиденциальность персональных данных», «транспортировка персональных данных», «общедоступность персональных данных» и др. Все определения берутся, как правило, из Федерального закона «О персональных данных». Специальным пунктом должно быть указано, что относится к персональным данным конкретно вашей организации, т. е. состав персональных данных, используемых в работе.

В ст. 85 ТК РФ персональные данные работника указаны обобщенно.

В Федеральном законе «О персональных данных» они определены как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация», т. е. в этом определении основные персональные данные перечислены. Но это не исчерпывающий список. В соответствии со ст. 85 ТК РФ к ним может быть добавлена информация, необходимая конкретному работодателю в связи с производственной деятельностью. Поэтому в Положении о персональных данных конкретной организации перечисление сведений о работнике, указанное в Федеральном законе «О персональных данных», дополняется и вносится в Положение о работе с персональными данными с учетом особенностей деятельности данной организации. Например, сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, работой с детьми, в общепите, о заработной плате и т. д. Желательно в Положении специальным пунктом сразу отнести к персональным данным все сведения, содержащиеся в документах, заполняемых работником при поступлении на работу, и документах, оформляемых в процессе трудовой деятельности: личном заявлении, анкете, приказах по личному составу, личной карточке, личном деле, трудовом договоре (контракте), дополнительном соглашении, трудовой книжке, материалах аттестационных комиссий, отчетах, аналитических и справочных материалах, передаваемых в государственные органы статистики, налоговые инспекции, головную организацию и другие учреждения.

В разделе «Сбор и обработка персональных данных» обязательно есть пункт, в котором указывается, что персональные данные получаются и обрабатываются на основании письменного согласия работника на обработку его персональных данных. В Положении указывается, какое сведение должно содержать такое согласие. Обычно оно оформляется в форме заявления, в котором дается согласие на использование сведений (содержащих фамилию, имя, отчество, вид и номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, адрес субъекта персональных данных, наименование и адрес организации, получающей согласие субъекта персональных данных, цель обработки персональных данных, перечень действий с персональными данными, на обработку которых дается согласие, общее описание используемых в организации способов обработки персональных данных, срок, в течение которого действует согласие и порядок его отзыва). Можно в организации составить трафаретный текст такого заявления. Например:

ЗАЯВЛЕНИЕ
о согласии на обработку персональных данных
Я, __________________________________________________________________
фамилия, имя, отчество
паспорт: серия__________ номер____________ кем выдан
дата выдачи «___ »_______________
адрес регистрации по месту жительства: _________________________________________________
адрес регистрации по месту пребывания:________________________________________________
с целью исполнения определенных сторонами условий трудового договора даю согласие (название организации, ее юридический адрес) на обработку в документальной и/или электронной форме нижеследующих персональных данных:

фамилия, имя, отчество, дата рождения, место рождения, пол, гражданство, знание иностранного языка, образование и повышение квалификации или наличие специальных знаний, профессия (специальность), общий трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, размер заработной платы, состояние в браке, состав семьи, место работы или учебы членов семьи и родственников, паспортные данные, адрес места жительства, дата регистрации по месту жительства, номер телефона, идентификационный номер, номер страхового свидетельства государственного пенсионного страхования, сведения, включенные в трудовую книжку, сведения о воинском учете, фотография, сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (могут быть добавлены и другие данные).

Настоящее согласие действует в течение всего срока действия трудового договора. Настоящее согласие может быть отозвано мной в письменной форме.

Содержание

В перечень таких лиц могут войти руководитель, его заместители, работники отдела кадров, сотрудники бухгалтерии, служба безопасности, секретарь и иные работники, которым эти сведения нужны для выполнения трудовых обязанностей.

Доступ может быть и к информации, предоставленной клиентами организации или другими лицами. Все это требует отдельного уточнения при составлении документа.

Если допуск понадобится лицам, не обозначенным в приказе, для них издается отдельный документ. Допуск регистрируется в журнале.

Общие правила составления

  1. Приказ оформляется на бланке формата А4.
  2. Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
  3. Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты.

В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных. Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.

  • Распорядительная часть отделяется глаголом «ПРИКАЗЫВАЮ». Он пишется после констатирующей части с новой строки, без кавычек. В конце ставится двоеточие, а далее идут пункты, необходимые к выполнению. Они нумеруются арабскими цифрами. Могут быть и подпункты.
  • Последним пунктом указывается лицо, на которое возлагается контроль за исполнением приказа.
  • Перед подписанием документ проверяется на наличие орфографических и стилистических ошибок.
  • Внизу документа ставят подписи те лица, к которым он относится.
  • Утверждение перечня личных сведений

    Правовой акт включает в себя:

    1. Наименование организации. Например, МОУ СОШ №7.
    2. Название документа (ПРИКАЗ) и его номер.
    3. Дату создания. Например, 5 октября 2016 г.
    4. Место создания. Например, г. Пермь.
    5. Отсылку к законодательной базе, на основании которой он создается.

    Пример: В целях соблюдения закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и в целях защиты персональных данных сотрудников. Утверждение перечня и отсылку к нему. Перечень часто оформляется в виде приложения.

    Утвердить прилагаемый перечень данных МОУ СОШ №7. Назначение ответственного за исполнение.

    Например: Контроль за исполнением приказа оставляю за собой. Перечень персональных данных, оформленный в виде таблицы или иным способом. Столбцы таблицы составляются в зависимости от целей и задач компании.

    Установление списка лиц, имеющих доступ к такой информации

    В правовом акте должно присутствовать:

      Название организации (указывается сверху). Например, ООО «Родон».
    • Название документа (ПРИКАЗ), его номер.
    • Дата составления. Например, 4 августа 2017 г.
    • Место составления. Например, г . Москва.
    • Ссылка на законодательство, на основании которого он издается.

    Пример: В соответствии с Трудовым кодексом РФ и законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года. Перечень работников, допущенных к сведениям, с указанием их должности.

    Вот примерно как выглядит документ для утверждения списка лиц, имеющих доступ к личным сведениям работников:

    1. Генеральный директор Г. Е. Чуриков.
    2. Зам. генерального директора К. А. Голиков.
    3. Начальник отдела кадров И. Н. Дирина.
    4. Главный бухгалтер Е. Г. Листовская.

    Указание лица, ответственного за исполнение.

    Пример: Контроль за исполнением возложить на К. А. Голикова.

  • Подписи всех лиц, указанных в правовом акте, и подпись руководителя организации.
  • Каждый работник, получивший доступ, должен подписать соглашение о неразглашении персональных данных. Тогда в случае утечки информации и ее неправомерного использования можно наказать виновных. Если такое соглашение не было подписано, вся вина ложится на руководителя предприятия.

    Это могут быть дисциплинарные взыскания (увольнение, выговор, замечание), штрафы.

    Оформление готового документа

    1. Документ предпочтительно напечатать на компьютере.
    2. Оформление документа стандартное.
    3. Сверху указывается организация, далее ставится дата создания, номер и название.
    4. Сам текст состоит из отсылки к законодательным актам, потом следует перечень тех действий, которые необходимо выполнить работникам.
    5. Внизу приказа должны быть подписи лиц, указанных в правовом акте, а также подпись лица, издавшего приказ, т.е. руководителя компании или его заместителя.
    6. Если необходимо, к документу добавляется приложение.
    7. Приказ должен быть учтен в специальном журнале. Туда вносится наименование правового акта, его номер и дата составления.

    Наказания за нарушения в работе с персональными данными ужесточились. Поэтому к оформлению и содержанию приказов нужно подойти серьезно, чтобы избежать штрафов при проверке. Документы должны быть составлены в соответствии с требованиями законодательства.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему - позвоните прямо сейчас:

    +7 (495) 212-90-15 (Москва)
    +7 (812) 332-54-12 (Санкт-Петербург)

    Смотрите видео: Обработка персональных данных. Закон 152- ФЗ,политика конфиденциальности (none 2020).