Приказ об утверждении положения о порядке обработки персональных данных

Обновлено: 14.05.2024

Работодатель издает приказ об утверждении положения о персональных данных. И этот документ является одной из гарантий защиты персональных данных работника. Фактически это обязанность работодателя. Которую устанавливает статья 87 Трудового кодекса РФ. Положение о персональных данных не что иное, как локальный акт, который устанавливает порядок хранения и использования такие сведений. А приказ вводит Положение в действие.

Пример документа

Приказ № 24 об утверждении Положения о персональных данных

г. Бердск 19 марта 2022 г.

4. Ивановой Светлане Игоревне ознакомить всех работников АО с Положением о защите персональных данных работников, с лицами, замещающими должности с допуском к работе с персональными данными заключить Обязательство о неразглашении персональных данных работников.

Генеральный директор Агонян Агонян В.Д.

Обязателен ли приказ об утверждении положения о персональных данных

На сайте мы разместили много образцов приказов. Как по кадровым вопросам (о приеме на работу, об увольнении), так и об утверждении локальных актов (например, приказ об учетной политике). В принципе, такой документ как приказ об утверждении положения о персональных данных составляется достаточно просто. В отличие от самого положения, которое должно содержать ряд сведений.

Положение о персональных данных — обязательный локальный акт, который должен быть в организации. Порядок обработки, хранения и использования таких данных работодатель устанавливает именно в Положении. Соответственно, отсутствие его в организации может стать основанием административной ответственности. И назначения штрафа трудовой инспекции.

Структура акта о персональных данных

Персональные данные работника работодатель обрабатывает исключительно в рамках трудового договора. Только в целях трудовой деятельности в связи с трудовыми отношениями. И работник в силу ст. 86, 68 ТК РФ обязательно должен быть знаком с Положением о персональных данных. Его работодатель составляет на основании Трудового кодекса и Закона о персональных данных.

Структура документа может выглядеть следующим образом:

  1. Общие положения. Или цель, нормативно-правовая основа документа. Все то, о чем мы говорили выше. Общие принципы (ст. 86 ТК РФ).
  2. Основные понятия. Состав персональных данных работников. Здесь можно указать, какие документы организации содержат персональные данные, общие понятия (Закон о персональных данных).
  3. Обработка персональных данных. Доступ к персональным данным. Здесь указываем условия, ограничиваем доступ к данным. Перечень лиц и уровень доступа лучше отдельно упомянуть в приказе об утверждении Положения. Или в отдельном приказе.
  4. Передача персональных данных. Как внутри организации, так и третьим лицам и государственным органам.
  5. Ответственность за нарушение Положения.

Все общие правила, которые входят в структуру Положения, на сайте рассмотрены с точки зрения актуального законодательства, в том числе трудового.

Как ввести в организации положение

Руководитель организации или лицо, уполномоченное им, издает приказ. Которым утверждает Положение о персональных данных. Именно так документ обретает юридическую силу в стенах организации. Если в организации есть представительный орган работника, учитывается его мнение.

Затем работодатель должен ознакомить каждого работника под роспись с указанным документом. Отсутствие самого Положения или подписи работника — основание привлечь работодателя по ст. 5.27 КоАП РФ.

Ознакомить можно путем получения подписи на отдельном листе, на самом Положении. Или указать в перечне документов, с которыми работник ознакомлен при подписании трудового договора. Возможно, в организации будет журнал ознакомления с локальными актами работодателя. А вот рассылать, например, по электронной почте, не стоит. Трудовой кодекс содержит требование ознакомить с документами под роспись.

Если при подготовке приказа об утверждении положения о персональных данных возникли трудности, можно задать вопросы дежурному юристу сайта.

Приказ об утверждении положения о персональных данных

Информационные технологии стремительно развиваются, и это стало основной причиной актуализации темы защиты персональных данных. В силу специфики трудовых отношений работодатели получают доступ к личной информации о своих подчиненных. В этой статье расскажем, как правильно организовать обработку полученных сведений на работников организации и как оформить приказ об утверждении положения о персональных данных.

Нормативное регулирование

Отношения, связанные с обработкой персональных данных, регулируются профильным законом №152 от 27.07.2006. Данный акт принят с целью осуществления качественной защиты прав и свобод человека и гражданина при обработке его личных сведений, защиты права на неприкосновенность частной жизни, права на личную и семейную тайну.

Механизм защиты персональных данных работников регулируется также и Трудовым кодексом РФ, в частности главой 14 ТК РФ.

Вам также будет интересно:

Кроме этого, в ст. 87 ТК РФ указано, что порядок хранения и использования персональных данных сотрудников устанавливается нанимателем. Фактически, это значит, что работодатель в своей компании обязан утвердить положение о защите персональных данных. Утверждение этого внутреннего акта осуществляется путем издания соответствующего приказа.

Что подразумеваем под персональными данными человека?

Определение персональных данных содержится в ст. 3 ФЗ №152. Законодатель говорит, что это любая информация, которая прямо или косвенно относится к конкретному физическому лицу – субъекту персональных данных.

Субъект, который обрабатывает персональные данные, – это оператор. Если речь идет о трудовых отношениях, то в роли субъекта персональных данных будет выступать нанятое лицо, а в роли оператора – наниматель. Работодатель в силу своего статуса и закона получает доступ к персональным данным своих работников, однако разглашать полученную информацию о физлице категорически запрещается.

Работодатель обязан:

обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения действующего законодательства;

получать все необходимые персональные данные у самого работника, а в случае невозможности получить информацию у работника, уведомить последнего о том, что сведения могут быть запрошены у третьей стороны, но только при наличии письменного согласия подчиненного;

при принятии решений, затрагивающих интересы работника, не основываться исключительно на персональных данных работника, полученных методом автоматизированной обработки или электронного получения;

под роспись информировать работников о порядке обработки их персональных данных, а также об их правах и обязанностях в этой сфере;

Какими данными о работнике располагает компания

Какими данными о работнике располагает компания

При заключении трудового договора и в период выполнения трудовых функций работник передает работодателю информацию:

  • о полном имени, отчестве, фамилии;
  • о дате и месте рождения;
  • о своем адресе проживания;
  • о полученном образовании и опыте работы;
  • о состоянии здоровья;
  • о своих биометрических данных.

Информация о вероисповедании, национальности, внешних особенностях, финансовом и семейном положении, наличии или отсутствии судимостей, политических взглядах и других фактах из биографии – все это также относится к личным данным человека, которые могут попасть к администрации и в отношении которых применяется усиленный режим защиты.

Как организовать защиту персональных данных в организации?

Для того чтобы надлежащим образом организовать защиту персональных данных работодателю нужно утвердить и ввести в действие пакет внутренних актов, который состоит из:

Вам также будет интересно:

  1. Политики компании в отношении персональных данных (составляется образец приказа об утверждении политики обработки персональных данных в целом по организации).
  2. Положения об обработке и защите конфиденциальной информации (составляется приказ на утверждение положения о защите персональных данных).
  3. Перечня лиц, имеющих доступ к информации.
  4. Согласия на обработку (согласие нужно получить от сотрудников)
  5. Соглашения о неразглашении.
  6. Журнала учета передачи данных.

Проекты вышеперечисленных документов разрабатываются сотрудником, который получил от работодателя соответствующее поручение. После того как образцы готовы, их необходимо утвердить приказом руководителя.

Приказ об утверждении положения о персональных данных

Положение о персональных данных – это основополагающий внутренний документ, в котором прописан механизм обработки и хранения работодателем персональных данных сотрудников.

При подготовке проекта Положения за основу берется ФЗ №152 . Единого типового образца документа не существует, однако структура Положения должна включать следующие блоки:

  1. Основные понятия, используемые в Положении.
  2. Принципы и условия обработки персональных данных работников.
  3. Права субъектов персональных данных (работников).
  4. Обязанности оператора (работодателя).

Положение о персональных данных вводится в действие путем издания приказа.

Как оформить приказ?

Каких-то особых условий оформления приказа нормативно не предусмотрено. При разработке документа можно использовать фирменный бланк компании. Для работодателя достаточно будет одного экземпляра, но при необходимости можно подготовить дополнительные копии.

Обычно текст документа набирают на компьютере и распечатывают на принтере. Далее приказ подписывает руководитель организации. Также свою подпись должен поставить сотрудник, на которого приказом возложена обязанность контроля исполнения данного распоряжения руководства. Наконец, приказ также подписывают остальные работники, которые в нем упоминаются.

Ставить печать на документе обязательно только в том случае, если требование об использование печати прописано в учетной политике компании.

Структура приказа об утверждении положения о персональных данных

Структура приказа об утверждении положения о персональных данных

Приказ об утверждении положения о персональных данных включает следующие реквизиты:

  1. Вводные данные – наименование компании, название документа, его номер, дата и место составления.
  2. Суть распоряжения – в этом блоке нужно указать основание для издания приказа, а также дать ссылку на статью закона (например, необходимость внедрения правил и норм по защите персональных данных).
  3. Непосредственное указание на защиту личной информации подчиненных, а также перечня нормативно-правовых бумаг, которые регламентируют данный вопрос, требование об ознакомлении с ними персонала под роспись.
  4. Назначение ответственного лица.
  5. Указание данных субъекта, который будет контролировать выполнение данного распоряжения.
  6. Подписи.

Вам также будет интересно:

Приказ руководителя подлежит обязательной регистрации и учету в специальном журнале. В журнале отмечают номер, дату и краткое содержание документа.

После регистрации приказ помещают в папку с другими подобными внутренними актами, где он хранится установленный период.

Приказ, который утратил актуальность, подлежит передаче в архив или утилизации.

Некоторые вопросы работы с персональными данными

В сфере законодательства о персональных данных произошло несколько обновлений. В частности, ФЗ №152 в новой редакции предусматривает следующее:

1. С 01.03.2021 года появился новый обязательный документ – согласие на обработку персональных данных. Со всеми ли соискателями, работниками и иными третьими лицами должны быть подписаны согласия на обработку персональных данных. Если таковых нет, необходимо получить эти согласия. При этом обязательно нужно проверить, соответствует ли форма согласия на обработку персональных данных требованиям п. 4 ст. 9 ФЗ № 152.

2. С 01.07.2021 года действует новый порядок прохождения инспекционных проверок, в том числе и проверок Роскомнадзора, который проверяет соблюдение работодателями законодательства о персональных данных.

Ответственность за отсутствие документации по защите персональных данных

За неправомерный сбор и разглашение чужих персональных данных законом предусмотрена ответственность вплоть до уголовной. Нанимателю стоит подстраховать себя и собрать со всех работников, которым предоставлен доступ к чужой личной информации, обязательство о неразглашении. Только при наличии такого письменного обязательства в случае утечки данных можно будет привлечь к ответственности виновных. В противном случае всю ответственность понесет организация и лично ее руководитель.

Инспектора с Роскомнадзора обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

4. Согласие на обработку персональных данных, разрешенных субъектом для распространения (новое требование)

Как еще может называться данный документ:

  • Согласие на распространение персональных данных

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список - какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще может называться данный документ:

  • Согласие на обработку персональных данных
  • Согласие пользователя

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

  • Правила рассмотрения запросов субъектов персональных данных или их представителей

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

- Постановление Правительства РФ от 01.10.2012 г. №1119
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

  • Поручение обработки персональных данных
  • Договор на обработку персональных данных
  • Договор обработки персональных данных
  • Дополнительное соглашение на поручение обработки персональных данных

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

  • Перечень информационных систем персональных данных

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

  • Приказ об определении границ контролируемой зоны и требований к ее безопасности

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.


Для исполнения требований законодательства РФ о защите персональной информации, руководители предприятий обязаны опубликовать такой приказ. Данный распорядительный документ является новым в кадровой системе. Благодаря ему утверждается положение о персональных данных, а также обеспечивается порядок в документообороте компаний и осуществление законной обработки персональных данных персонала (ст. 87 ТК РФ).

Данный приказ является обязательным документом для всех юр. лиц, собирающих и использующих личные данные сотрудников.

Файлы для скачивания:

Правовая основа

Заключая трудовой договор (ТД) с работником, руководство предприятия получает от него персональные данные, в том числе:

  1. Ф.И.О.
  2. Адрес прописки и место фактического нахождения.
  3. Паспортные реквизиты.
  4. Номер ИНН и СНИЛС.
  5. Наличие детей, с датами их рождения.
  6. Семейное положение.
  7. Данные о предшествующей работе, со сроками и причинами отчисления.

В соответствии ст. 86-90 ТК РФ предприятие обязано соблюдать правила:

  • Обработки личных данных своего персонала.
  • Хранения и пользования полученными сведениями.
  • Передачи персональных сведений сотрудников.
  • Какие данные относятся к персональным.
  • Кто обладает правом доступа к ним и основания.
  • Как обеспечивается сохранность полученных данных.
  • Порядок обработки информации.
  • Где хранятся данные о сотрудниках.
  • Защита доступа к данным.

В разработанном положении могут отображаться образцы заявлений сотрудников:

  • О согласии обработки своих персональных данных.
  • О согласии получения добавочных данных о сотруднике.

Данное типовое положение по распоряжению руководителя компании может быть разработано:

  • Кадровиком.
  • Юристом предприятия.
  • Заместителем директора.

Приказ об утверждении данного Положения относится к внутриведомственному распорядительному документу, структура которого обязана соответствовать действующим законодательным нормам РФ. С содержанием приказа должен быть ознакомлен весь персонал предприятия.

Кому и зачем нужен приказ о персональных данных?

Кому и зачем нужен приказ о персональных данных?

Утвержденного стандартного шаблона такого приказа нет, поэтому, документ составляется в произвольном стиле. Однако, согласно законодательству РФ, данный приказ обязан содержать определенные пункты для обеспечения защиты личных сведений, в том числе:

  1. Утверждение положения о защите и обработке персональных сведений.
  2. Закрепление ответственного работника за обеспечение обработки личных сведений.
  3. Установление лиц, которые допущены к сбору, хранению и обработке данных.

Как составить приказ об утверждении положения о персональных данных в 2021 году?

Как составить приказ об утверждении положения о персональных данных в 2021 году?

Несмотря на то, что стандартного шаблона приказа о личных данных персонала в 2021 году нет, его требуется формировать в соответствии с правилами составления распорядительных документов.

Правила составления таких распоряжений предполагают следующее:

1) Приказ может составляться на простом листе бумаги формата А4 или на фирменном бланке предприятия.

2) При заполнении бланка на простом листе, в шапке необходимо отобразить полное название предприятия.

3) В следующем пункте записывается название документа с присвоением ему регистрационного номера.

4) Непременно требуется обозначить место и дату составления распоряжения.

5) Далее заполняется преамбула, где отображается основание для опубликования распоряжения и ссылка на законодательные нормы РФ.


6) Распорядительный раздел документа обязан излагать:

  • Распоряжение об утверждении Положения о защите личной информации.
  • Ф.И.О. лиц, которые допущены к обработке сведений и уровень их допуска.
  • Ф.И.О. должностного лица, которому поручен контроль за исполнением приказа. Обеспечение контроля за исполнением распоряжения директор может осуществлять самостоятельно.


В заключение — документ обязан подписать директор и свои подписи должны поставить лица, отмеченные в распоряжении.


Примечание. С приказом о защите персональной информации и с утвержденным Положением обязан быть ознакомлен весь персонал предприятия.

Содержание приказа

Содержание

В приказе об утверждении положения о персональных данных должны содержаться пункты:

1) Вводный раздел, где отображается:

  • Название предприятия.
  • Номер документа.
  • Место и дата его составления.
  • Основание для его создания.

2) Основной блок, где излагается распоряжение:

  • Об утверждении положения по защите персональных сведений персонала.
  • Период, на который положение будет действовать.
  • Ф.И.О. сотрудника, допущенного к личным данным работающих лиц.
  • Уровень допуска должностных лиц к личным данным.

3) Завершающий раздел, содержащий:

  • Ф.И.О. работника, на которого возложен контроль за исполнение приказа.
  • Обязательство — ознакомить работников с положением о защите личной информации под роспись.
  • Подпись директора предприятия.
  • Дата ознакомления и подпись ответственного работника за исполнение приказа.

Данный приказ вступает в силу после наличия в нем всех подписей, свидетельствующих доведение до сотрудников содержания документа.

Образец заполнения приказа об утверждении положения о защите персональных данных

Образец заполнения приказа об утверждении положения о защите персональных данных 2021 года

Как ввести в организации положение?

Как ввести в организации положение?

Для внедрения в действие Положения о защите реквизитов сотрудников, директор предприятия обязан:

  1. Разработать Положение.
  2. Опубликовать приказ об его утверждении.
  3. Ознакомить с данными документами весь персонал предприятия.

Только после проведения данной процедуры Положение получит законный юридический статус в рамках предприятия. При отсутствии утвержденного приказом Положения, руководитель предприятия может быть привлечен к административной ответственности согласно ст. 5.27 КоАП РФ.

Сроки хранения документов

Сроки хранения документов

Хранение источников персональной информации осуществляется в отделе по защите данных в кабинете с ограниченным доступом, например, в металлическом сейфе, оборудованным классом Н0 по устойчивости к вскрытию.

Если предприятие прекращает свое функционирование, то все документы передаются по акту в местный архив, где такие документы сохраняются на протяжении 75 лет, на основании приказа Минкультуры РФ № 558 от 25.08.2010 года.

Обязателен ли приказ об утверждении положения о персональных данных?

Обязателен ли приказ об утверждении положения о персональных данных?

Положение о защите персональной информации и приказ об его утверждении являются обязательными локальными документами, которые должны находиться на предприятии. Данным приказом утверждается разработанное Положение и устанавливается порядок обработки, хранения и применения личных реквизитов работающих лиц в предприятии. Согласно приказу, лица, имеющие отношение к обработке личных сведений, письменно обязуются о неразглашении таких сведений сторонним субъектам.

При отсутствии названых документов на предприятии руководитель может быть подвергнут административной ответственности со стороны поднадзорных ведомств, в том числе инспектором трудовой инспекции.

Ответственность за отсутствие документации

Ответственность за отсутствие документации

Наличие Положения о защите персональной информации и приказа об его утверждении, а также назначение ответственных лиц за соблюдение утвержденного положения обезопасит предприятие от претензий от Роскомнадзора, в компетенции которого находится такая проверка.

Полномочия данного контролирующего ведомства регламентируются распоряжением Минком связи РФ № 312 от 14.11.2011 года. А с 2019 года начало действовать Правительственное Постановление № 146 от 13.02.2019 года, регулирующее правила осуществления проверок по соблюдению законодательных норм по защите личной информации.

Инспекторы проверяют наличие Положения и приказа об его утверждении и фактическое исполнение мероприятий по безопасности, обозначенных в приказе. За разглашение персональных данных сотрудников — директор предприятия, а также ответственные должностные лица могут привлекаться к следующей ответственности:

Читайте также: