Как написать приказ об ответственных лиц за обработку персональных данных

Обновлено: 19.04.2024

Приказ о назначении ответственного за персональные данные в организации — это распоряжение, которым руководитель определяет сотрудника, который отвечает за использование и защиту личной информации работников или клиентов.

Как и кого назначить

Распоряжение о назначении уполномоченного входит в перечень рекомендованных документов для формирования системы защиты индивидуальной информации в организации при ее обработке. Четкий перечень документов законом не регламентирован. Работодатель обязан назначить ответственного за обработку персональных данных в соответствии с п. 1 ст. 22.1 ФЗ-152 в ред. от 31.12.2017. После утверждения сотрудник:

• получает указания непосредственно от исполнительного органа, назначившего его;
• подотчетен организации, являющейся оператором.

Обработку специальной категории личных данных (ведение кадрового, бухгалтерского учета и пр.), с согласия работника, работодатель вправе поручить другому лицу (ч. 3 ст. 6 ФЗ-152, абз. 2 п. 5 Разъяснений Роскомнадзора).

Ответственность перед работником за действия указанных лиц несет работодатель (ч. 5 ст. 6 ФЗ-152 в ред. от 31.12.2017).

Требования к должности трудовым законодательством не установлены. Это вытекает из следующего:

• порядок хранения данных устанавливается работодателем (ст. 87 ТК РФ);
• учреждения и предприятия самостоятельно разрабатывают и утверждают положение (описывают действия, связанные с обработкой хранением, использованием, перечисляют ответственных за обработку персональных данных — п. 2 ч. 1 ст. 18.1 ФЗ-152 в ред. от 31.12.2017);
• если приказ отсутствует, руководитель является лицом, ответственным за ООПД (государственный орган, муниципальный орган, организация любой формы собственности).

Руководитель является единоличным исполнительным органом (ст. 273 ТК РФ) — законодательно не установлено дополнительно оформлять на руководителя приказы и отдельные соглашения к трудовому договору на обработку данных работающих.

Обязанности

Назначенный сотрудник имеет доступ к информации без дополнительного разрешения, так как в обязанности ответственного за обработку персональных данных входит (п. 4 ст. 22.1 ФЗ-152 в ред. от 31.12.2017):

• осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства РФ, требования к защите данных;
• доведение до сведения работников положения законодательства, локальных актов по вопросам обработки, защиты;
• прием, обработка обращений и запросов субъектов данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.

Уполномоченный за ООПД работников может совмещать работу с данными иных физических лиц. Это удобно, поскольку перечень обязанностей такого лица не зависит от того, чьи данные обрабатываются — работников или, например, клиентов.

Путеводитель по персональным данным

В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:

• анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника.

Как составить

Такое распоряжение является документом по основной деятельности (срок хранения — постоянно в соответствии со ст. 19 и 434 Перечня утв. Приказом Росархива от 20.12.2019 №236). Он определяет полномочия и ответственность работника. Форма документа об ответственном за персональные данные в учреждении не регламентирована законом, он составляется в произвольном виде. Структура следующая (п. 4 Методических рекомендаций по применению ГОСТ Р 7.0.97-2016):

1. Название учреждения.
2. Дата издания.
3. Регистрационный номер.
4. Место составления (издания).
5. Наименование.
6. Заголовок к тексту.
7. Основное содержание приказа.
8. Подпись руководителя.
9. Визы.

Документ визирует руководитель организации как лицо ответственное. Это следует из ч. 5 ст. 6 ФЗ-152 в ред. от 31.12.2017. Все перечисленные сотрудники ставят на распоряжении подписи после ознакомления с текстом.

Государственное бюджетное образовательное учреждение

"___" __________________20______ г.

О назначении лица, ответственного за организацию обработки персональных данных сотрудников

В целях обеспечения выполнения требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» приказываю:

1. Назначить ____________________________________ ответственным (-ой) за работу с персональными данными сотрудников ГБОУ ____________________.
2. Контроль за исполнением настоящего приказа возлагаю на _________________________________________.

С приказом ознакомлена: ___________________

Образец заполнения приказа

Закончила Тверской государственный университет в 1987 году (тогда он назывался Калининский) по специальности «Экономика труда». Имеет степень кандидата экономических наук (научная специальность – Экономика и управление народным хозяйством).

Приказ об утверждении положения о персональных данных – относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках.

Внимание! Этот документ можно скачать в КонсультантПлюс.

• Бланк и образец
• Онлайн просмотр
• Бесплатная загрузка
• Безопасно

Правовая основа

Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:

• Ф.И.О.;
• адрес регистрации и места проживания;
• серию и номер паспорта;
• номер свидетельства ИНН;
• СНИЛС;
• о количестве детей, датах их рождения;
• о семейном положении;
• о предыдущей работе, сроках, причинах увольнения.

Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:

• обработки личной информации сотрудников;
• хранения и пользования данными;
• передачи личных данных работников.

На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:

• какие сведения относятся к категории «персональных»;
• кто имеет доступ к сведениям работников личного характера;
• как осуществляется сохранность персональных данных (на каком носителе);
• в каком порядке происходит обработка информации;
• где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
• на каких основаниях и кому могут передаваться данные о работнике;
• как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
• порядок его утверждения и изменения.

Приложение может включать образцы заявлений работников:

• о согласии с обработкой своих личных данных;
• о согласии получения дополнительных сведений в отношении работника.

Типовой вариант такого документа по указанию руководства может быть разработан:

• специалистом по кадрам;
• юристом компании;
• помощником руководителя.

Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.

Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.

Содержание приказа

Приказ должен включать в себя следующие элементы:

1. Вводную часть, в которой будет указываться:
   • наименование работодателя;
   • номер, название и дата приказа;
   • город места составления;
   • основания вынесения.
2. Основную часть, в которой прописываются:
   • факт утверждения положения по личным данным работников;
   • срок, с которого положение вводится в действие;
   • должностное лицо, допущенное к работе с личной информацией;

• указание ответственного за выполнение приказа лица;
• обязанность довести до сведения работников положения о персональных данных, взять их согласие в письменной форме на обработку сведений;
• подпись руководителя или надлежащим образом уполномоченного заместителя;
• дату ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.

Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления. Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

Ошибки

При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
   • до 70 тысяч рублей (для юридического лица);
   • до 5 тысяч рублей (для ИП).

Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

• обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
• необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
• производится с добровольного согласия работника, предоставленного в письменном виде.

Сроки хранения документов

В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.

Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.

Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.

Обязателен ли документ, его значение

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

Внимание! Этот документ можно скачать в КонсультантПлюс.

• Бланк и образец
• Онлайн просмотр
• Бесплатная загрузка
• Безопасно

В перечень обязанностей ответственного за обработку персональных данных сотрудника входит контроль за защитой личной информации работников организации, доведение до них соответствующих нормативно-правовых актов компании, сбор нужных подписей и проч.

Что относится к персональным данным

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

На кого чаще всего возлагается ответственность за обработку персональных данных

Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

В каком виде написать приказ

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Каким сделать оформление

Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.

Чьи подписи должны стоять под приказом

Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.

Как проводить учет

Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.

Как организовать хранение

По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия. Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Образец приказа о назначении ответственного

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

Приказ о защите персональных данных необходим для того, чтобы отрегулировать на предприятии правила по работе с личными документами сотрудников.

Что относится к персональным данным

Сведениями, имеющими персональное значение, является любая информация о работнике организации, включенная в его личные документы. В частности это: дата и место рождения, адрес проживания, образование и опыт работы, состояние здоровья. К личным данным также причисляются вероисповедание, национальность, внешние особенности, финансовое и семейное положение, отношения с законом (наличие или отсутствие судимостей), а также некоторые факты из биографии.

Внимание! Этот документ можно скачать в КонсультантПлюс.

• Бланк и образец
• Онлайн просмотр
• Бесплатная загрузка
• Безопасно

Зачем охраняются персональные данные

Защита персональных сведений – одно из важнейших условий обеспечения безопасности гражданина. Она необходима на каждом уровне его взаимодействия с социумом: при устройстве в детский сад, школу, ВУЗ, пользовании медицинскими и социальными услугами, трудоустройстве. Любое учреждение или организация, которая имеет дело с личной документацией человека, должна гарантировать ему сохранение персональной информации и невозможность ее распространения. Таким образом, достигается предотвращение неправомерного использования этих данных, а также их применение в корыстных и иных злонамеренных целях.

Как осуществляется их защита

Меры по защите персональных данных регламентируются законодательством РФ. В частности, на каждом предприятии, которое нанимает работников, а, значит, имеет дело с их личными сведениями, должен быть сотрудник, который несет за них ответственность.

В случае разглашения персональной информации именно с него и будет спрос. Если такового работника нет, то ответственность автоматически перекладывается на директора компании. Кроме того, в организации должны быть разработаны регулирующие нормативно-правовые акты, в том числе соответствующие положение и приказ.

Значение приказа о защите персональных данных работников

Роль приказа о защите персональных данных достаточно проста, но вместе с тем значима: при помощи него руководитель дает указание кому-либо из подчиненных о принятии мер по охране личной информации сотрудников. Без этого документа при возникновении утечки пострадавшие работники смогут с легкостью доказать виновность организации, вследствие чего на руководящий состав и само предприятие будут наложены административные санкции (в виде достаточно кружных штрафов, а то и чего покруче).

Формат документа

На сегодня формат приказа может быть произвольным: это обозначает, что его можно писать в свободном виде. Но если руководство предприятия разработало и утвердило свой стандарт документа, обязательный к применению, то руководствоваться, конечно, следует именно им. При этом форма приказа должна быть обозначена в нормативно-правовых бумагах компании.

Как оформить бланк

К оформлению бланка, ровно как к его формату, никаких особых условий не предъявляется. То есть документ можно делать на бланке с фирменным логотипом и реквизитами или на простом листе бумаги. Текст может быть как печатным, так и рукописным, правда в первом случае его надо распечатать (для простановки в нем нужных подписей). Приказ формируется в одном оригинальном экземпляре, но если требуются дополнительные его копии, то документ можно размножить (например, для передачи в заинтересованные структурные подразделения).

Кто должен расписаться в приказе

Свои подписи в приказе о защите персональных данных работников должны поставить несколько человек. Самый первый автограф: директора организации, поскольку именно от его лица выпускаются все распоряжения такого уровня.

Следующая подпись: работника, на которого возлагается контроль за исполнением приказа и, наконец, в нем должны расписаться сотрудники, в нем упомянутые (если только их подписи не будут собраны в отдельном акте об ознакомлении).

Печать в документе ставить в обязательном порядке не требуется, но она нужна в том случае, если условие о ее использование для визирования внутренней распорядительной документации есть в учетной политике компании.

Как производить регистрацию, вести учет и хранение документа

Образец приказа о защите персональных данных работников

При необходимости составить приказ о защите персональных данных, который вы ранее никогда не делали, посмотрите приведенный здесь пример и ознакомьтесь с комментариями к нему. С их помощью вы наверняка без особых усилий сделаете нужное вам распоряжение.

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Зачем нужен приказ о персональных данных

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

• назначение ответственного за организацию процесса обработки данных;
• определение перечня лиц, допущенных к сбору, хранению и обработке;
• утверждение положения об обработке и защите конфиденциальных данных.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2020 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

• собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
• указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
• указание ответственному лицу ознакомить работников с распорядительным документом;
• определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Образец приказа об изменении персональных данных работника

Как заполнять

Приказ может состоять из следующих разделов:

1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Ответственность за отсутствие

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

В 1996 г. закончила СГПИ по специальности преподаватель английского и русского языков. В 2003 г. закончила Московскую Академию права и управления по специальности юрист. В 2007 г.закончила РАНХиГС по специальности менеджмент в управлении

Читайте также:

  
• Воспаление слюнной железы при герпесе
  
• Пятна светло коричневого цвета на шее что это может быть
  
• Синофлановая мазь на розовые угри можно мазать или нет
  
• Для чего кожа выделяет пот
  
• Как сделать маску от прыщей из клея пва и активированного угля