Приказ на доступ к персональным данным

Образец приказа о персональных данных работников 2018

Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях. Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир. Есть случаи и помельче, на уровне организаций (например, использование сотрудницами отдела кадров страниц с личной информацией сотрудников в качестве черновиков-«обороток», размещение в открытом доступе сведений об учениках образовательных учреждений или пациентах клиник). Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных.

Отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей — нужно организовать защиту персональных данных так, как этого требует Глава 14 ТК РФ и Закон № ФЗ-152. В статье коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.

Организация защиты (пакет документов)

Руководитель предприятия должен своим приказом назначить кого-то из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот небольшой перечень:

  • политика организации в отношении персональных данных;
  • положение об обработке и защите конфиденциальной информации;
  • перечень лиц, имеющих к ней доступ;
  • согласие на обработку (в общем случае — согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т.д.);
  • соглашение о неразглашении;
  • журнал учета передачи данных.
  • Порядок разработки и утверждения

    Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011 № 312. Для того чтобы у инспектора не было повода «принимать меры», нужно подготовить документы, перечисленные выше, и утвердить их приказами руководителя. Основополагающим станет распоряжение об утверждении Положения — смотрите образец приказа о персональных данных работников 2018.

    Крайне важно соблюдать правило, сформулированное в ст. 86 ТК РФ : все, что мы знаем о работнике, мы должны узнать от него самого. В крайнем случае — можно обратиться к так называемой третьей стороне, если работник информацией не владеет (забыл, потерял. ) — но только с его ведома (например, запросить копию диплома в архиве вуза). Работника надо поставить об этом в известность и получить его согласие — это делается в форме заявления-согласия на получение сведений у третьей стороны.

    Особые случаи

    Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию, или студент получает диплом о высшем образовании), — в этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника). Однако это распоряжение не относится к документам, наличие которых продикторовано ФЗ-152,— это один из стандартных приказов по кадрам.

    Важно! Есть информация, которая является максимально конфиденциальной, и попытки выведать у сотрудника, в каких сообществах он состоит и какому богу поклоняется, как себя чувствует и каких политических взглядов придерживается, незаконны. Однако существует длинный перечень условий, при которых это все-таки возможно (ст. 10 ФЗ № 152-ФЗ). К таким исключениям (среди прочих) относятся, например, случаи получения мотивированных запросов (содержащих цель запроса, обоснование компетенции органа и правовые основы запроса) прокуратуры, органов МВД или Трудовой инспекции, а также информация медицинского характера, если она необходима для оказания помощи больному. Действительно, пациенты медицинских организаций очень чувствительны к соблюдению приватности — но их защищает обязанность медработника соблюдать врачебную тайну (ст. 73 ФЗ № 323-ФЗ).

    Медицинская организация обязана особенно внимательно относиться к обработке данных и готовить свою, отраслевую документацию, например, приказ «Перечень персональных данных пациентов, подлежащих защите».

    clubtk.ru

    Примерная форма приказа о допуске сотрудников к персональным данным клиентов и назначении ответственных по работе и хранению персональных данных клиентов (общий) (подготовлено экспертами компании «Гарант»)

    Приказ
    о допуске сотрудников к персональным данным клиентов и назначении ответственных по работе и хранению персональных данных клиентов
    (общий)

    [ число, месяц, год ]

    г. [ вписать нужное ]

    В целях соблюдения порядка получения, учета, хранения и эффективной защиты персональных данных Клиентов от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и иных неправомерных действий, обеспечения конфиденциальности персональных данных, приказываю:

    1. Организовать работу сотрудников, перечисленных в приложении к настоящему приказу, с персональными данными Клиентов.

    2. Ответственным по работе и хранению персональных данных Клиентов назначить [ Ф. И. О., должность ].

    3. Ответственному по работе и хранению персональных данных Клиентов необходимо:

    — разъяснить всем сотрудникам, имеющим доступ к персональным данным Клиентов, их права, обязанности и ответственность за обработку персональных данных, разъяснить технологию обработки персональных данных в информационной системе;

    — ознакомить сотрудников, имеющих доступ к персональным данным Клиентов, с Положением об обработке и защите персональных данных Клиентов, утвержденным [ должность руководителя ] приказом N [ значение ] от [ число, месяц, год ], и Соглашением о неразглашении персональных данных Клиента от [ число, месяц, год ] под роспись.

    4. Ответственным за ведение «Журнала учета обращений Клиентов (законных представителей) для получения доступа к своим персональным данным» назначить [ Ф. И. О., должность ].

    5. Ответственным за обеспечение безопасности информации о персональных данных Клиентов, хранящихся в электронном виде в локальной компьютерной сети организации, в электронных папках и файлах в персональных компьютерах [ должность руководителя ] и сотрудников, допущенных к обработке персональных данных Клиентов, назначить системного администратора [ Ф. И. О. ].

    6. Контроль за исполнением приказа оставляю за собой.

    [ наименование должности руководителя ] [ подпись ] [ инициалы, фамилия ]

    С приказом ознакомлены:

    [ наименование должности ] [ подпись ] [ инициалы, фамилия ]

    Приложение к приказу N [ значение ]
    от [ число, месяц, год ]

    Список сотрудников,
    имеющих доступ к персональным данным Клиентов

    Ф. И. О., должность сотрудника

    Перечень информационных ресурсов, к которым допущены сотрудники

    base.garant.ru

    Организация работы с персональными данными.

    Автор: Кузнецова Т.В.

    Организация работы с персональными данными


    Т.В. Кузнецова, проф. РГГУ


    • Законодательно-правовые акты, регламентирующие работу с персональными данными.
    • Приказ о назначении ответственного за работу с персональными данными.
    • Список лиц, допущенных к работе с персональными данными.
    • Положение о работе с персональными данными.

    Одна из первостепенных задач сегодняшнего дня в каждой организации – регламентация работы с персональными данными.

    В Федеральном законе от 27.07.2006 «О персональных данных» (в ред. от 23.12.2010) в ст. 3 главы 6 «Заключительные положения» указано: «Информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года». Эти требования на основании ст. 1 Закона распространяются на всех юридических лиц, осуществляющих обработку персональных данных, как с использованием средств автоматизации, так и без использования таких средств. Служба кадров организации любой организационно-правовой формы обязана привести обработку персональных данных своих работников в соответствии с действующими нормативно-правовыми актами.

    К сожалению, такая работа проведена сегодня еще не во всех организациях. Дата 1 июля 2011 г. и есть изменение, внесенное в Закон 23.12.2010. Прежняя дата – 01.01.2011 − оказалась невыполнима, и срок продлен еще на полгода.

    В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников, в учебных заведениях еще и учащихся, в поликлиниках и больницах – пациентов, в нотариальных конторах − клиентов и т. д.

    Персональные данные относятся к конфиденциальной информации. Именно с них начинается перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 № 188: «Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях».

    Работе с персональными данными отведена глава 14 Трудового кодекса Российской Федерации – «Защита персональных данных работника», в которой дано определение персональных данных работника как «…информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника» (ст. 85). Обратите внимание в определении на слова «необходимая работодателю», они означают, что информация о работнике может требоваться в различном объеме в зависимости от специфики организации.

    В ст. 86 Трудового кодекса РФ изложены общие требования к обработке персональных данных. Обработка данных может проводиться только с согласия работников. 27 июля 2006 г. подписан отдельный Закон «О персональных данных», и в 2007−2008 гг. выходят постановления Правительства РФ, детализирующие положения Закона:

  • от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • от 08.07.2008 № 512 «Об утверждении Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  • Следовательно, выполнение требований Закона и постановлений Правительства обязательно как для организаций, применяющих информационные системы при обработке персональных данных, так и организаций, ведущих пока еще работу с документами по традиционным технологиям на бумажных носителях.

    Для организации работы с документами, содержащими персональные данные, необходимо провести ряд мероприятий, закрепив их в документах.

    Во-первых, следует приказом руководителя назначить лицо или подразделение, если организация крупная и приходится обрабатывать большое количество данных, ответственное за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями.

    Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность. Следовательно, надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых.
    В-третьих − подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.

    Фамилия Имя Отчество

    Основания для доступа

    Список должен быть утвержден приказом руководителя. Лучше это сделать в приказе о назначении ответственного за работу с персональными данными и дать как приложение к приказу. Приказ может иметь такую типовую форму:
    Наименование организации
    ПРИКАЗ
    От 00.00.0000 № 000
    г. Тверь

    О назначении ответственного за защиту персональных данных

    В целях обеспечения выполнения требований Федерального закона от 27.07.2006 № 152 «О персональных данных»

    1. Назначить ответственным за реализацию мер, предусмотренных законодательными и нормативными правовыми актами, по защите персональных данных (Ф. И. О., или отдел).
    2. Внести дополнения в должностные инструкции работников, обрабатывающих персональные данные.
    3. Утвердить список лиц, имеющих доступ к персональным данным (прилагается).
    Директор роспись Ф. И. О

    Основным документом должно стать в каждой организации Положение о работе с персональными данными.

    Унифицированная форма и структура текста Положения в нормативно-правовых актах не установлены. Нет и единого заголовка. Положения, уже разработанные в организациях, называются или «О защите персональных данных работника», или «Об организации работы с персональными данными работника».

    Исходя из понятий «персональные данные работника» и «обработка персональных данных», приведенных в ст. 85 ТК РФ, Положение должно охватывать требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а в соответствии со ст. 86 ТК, – и гарантии по их защите.

    Текст положения может делиться на разделы, что, на наш взгляд, более правильно, но может состоять только из пунктов. Все положения начинаются с общих положений, в которых, прежде всего, указывается цель, назначение положения. Например, «в Положении о работе с персональными данными работника определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника организации (далее приводится название организации)». Затем обязательным в Положении должна быть ссылка на законодательные и нормативно-правовые акты, в соответствии с которыми Положение разработано: Конституция РФ, Трудовой кодекс РФ (глава 14), Федеральный закон от 27.07.2006 № 152 «О персональных данных», Федеральный закон от 27.07.2006 № 149 «Об информации, информационных технологиях и защите информации», постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных», постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В организациях, где работают государственные гражданские служащие, в Положении дается ссылка на Федеральный закон от 27.07.2004 № 79 «О государственной гражданской службе Российской Федерации», Указ Президента РФ от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Кроме того, указываются соответствующие нормативно-правовые акты субъекта федерации, на территории которого находится организация, и перечисляются, если они есть, нормативно-правовые акты ведомства, которому она подчинена, и документы своей организации.

    В большинстве уже имеющихся положений отдельным пунктом или разделом даются основные понятия, используемые в Положении: «персональные данные», «обработка персональных данных», «распространение персональных данных», «использование персональных данных», «блокирование персональных данных», «уничтожение персональных данных», «обезличивание персональных данных», «конфиденциальность персональных данных», «транспортировка персональных данных», «общедоступность персональных данных» и др. Все определения берутся, как правило, из Федерального закона «О персональных данных». Специальным пунктом должно быть указано, что относится к персональным данным конкретно вашей организации, т. е. состав персональных данных, используемых в работе.

    В ст. 85 ТК РФ персональные данные работника указаны обобщенно.

    В Федеральном законе «О персональных данных» они определены как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация», т. е. в этом определении основные персональные данные перечислены. Но это не исчерпывающий список. В соответствии со ст. 85 ТК РФ к ним может быть добавлена информация, необходимая конкретному работодателю в связи с производственной деятельностью. Поэтому в Положении о персональных данных конкретной организации перечисление сведений о работнике, указанное в Федеральном законе «О персональных данных», дополняется и вносится в Положение о работе с персональными данными с учетом особенностей деятельности данной организации. Например, сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, работой с детьми, в общепите, о заработной плате и т. д. Желательно в Положении специальным пунктом сразу отнести к персональным данным все сведения, содержащиеся в документах, заполняемых работником при поступлении на работу, и документах, оформляемых в процессе трудовой деятельности: личном заявлении, анкете, приказах по личному составу, личной карточке, личном деле, трудовом договоре (контракте), дополнительном соглашении, трудовой книжке, материалах аттестационных комиссий, отчетах, аналитических и справочных материалах, передаваемых в государственные органы статистики, налоговые инспекции, головную организацию и другие учреждения.

    В разделе «Сбор и обработка персональных данных» обязательно есть пункт, в котором указывается, что персональные данные получаются и обрабатываются на основании письменного согласия работника на обработку его персональных данных. В Положении указывается, какое сведение должно содержать такое согласие. Обычно оно оформляется в форме заявления, в котором дается согласие на использование сведений (содержащих фамилию, имя, отчество; вид и номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе; адрес субъекта персональных данных, наименование и адрес организации, получающей согласие субъекта персональных данных, цель обработки персональных данных, перечень действий с персональными данными, на обработку которых дается согласие; общее описание используемых в организации способов обработки персональных данных; срок, в течение которого действует согласие и порядок его отзыва). Можно в организации составить трафаретный текст такого заявления. Например:

    ЗАЯВЛЕНИЕ
    о согласии на обработку персональных данных
    Я, __________________________________________________________________
    фамилия, имя, отчество
    паспорт: серия__________ номер____________ кем выдан
    дата выдачи «___ »_______________
    адрес регистрации по месту жительства: _________________________________________________
    адрес регистрации по месту пребывания:________________________________________________
    с целью исполнения определенных сторонами условий трудового договора даю согласие (название организации, ее юридический адрес) на обработку в документальной и/или электронной форме нижеследующих персональных данных:

    фамилия, имя, отчество; дата рождения; место рождения; пол; гражданство; знание иностранного языка; образование и повышение квалификации или наличие специальных знаний; профессия (специальность); общий трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, размер заработной платы; состояние в браке, состав семьи, место работы или учебы членов семьи и родственников; паспортные данные, адрес места жительства, дата регистрации по месту жительства; номер телефона; идентификационный номер; номер страхового свидетельства государственного пенсионного страхования; сведения, включенные в трудовую книжку; сведения о воинском учете; фотография; сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (могут быть добавлены и другие данные).

    Настоящее согласие действует в течение всего срока действия трудового договора. Настоящее согласие может быть отозвано мной в письменной форме.

    www.top-personal.ru

    Как оформить доступ к персональным данным работников?

    Разъясните, пожалуйста, нужно ли как-то оформлять документально разрешение на доступ бухгалтеров к персональным данным работников?

    С. Корнеева, г. Подольск

    Ответ. Руководствуясь ст. 88 ТК РФ, работодатель обязуется не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

    Но нередки случаи, когда отдельным работникам нужно получить информацию о персональных данных других сотрудников, которые они намереваются использовать при выполнении трудовых обязанностей. Так происходит в случае, когда бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы, уплаты взносов, при направлении работников в командировку паспортные данные для покупки билетов.

    В соответствии со ст. 88 ТК РФ работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных функций. Для этого работодатель издает приказ об утверждении списка лиц, имеющих доступ к персональным данным работников с указанием критериев необходимых персональных данных.

    Пунктом 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. С такими работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, работодатель должен оформить обязательство об их неразглашении.

    В том случае, если работник разгласил информацию, которая стала известна ему в связи с исполнением трудовых обязанностей, а он обязался не разглашать эти сведения, его можно привлечь к ответственности. Такая же позиция изложена в п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2.

    Ответственность за несоблюдения требований Закона об обработке персональных данных предусмотрена Кодексом об административных правонарушениях и влечет наложение административного штрафа на граждан в размере от 3 тыс. до 5 тыс. руб.; на должностных лиц – от 10 тыс. до 20 тыс. руб.; на юридических лиц – от 15 тыс. до 75 тыс. руб..

    www.eg-online.ru