Что такое приказ о персональных данных и каких видов бывает? Образцы документа

Что это такое?

Приказ в области обеспечения безопасности персональной информации представляет собой документ, утверждающий порядок обработки, а также работы со сведениями о сотрудниках организации, требующими неразглашения.

Кроме того, этим документом закрепляется обязанность ответственных лиц соблюдать секретность полученной информации. Также в приказе о персональных данных фиксируется перечень должностных лиц, допущенных к работе с личными данными.

Справка! Согласно статье 3 ФЗ РФ от 27 июня 2006 года № 152-ФЗ «О персональных данных», под личными сведениями подразумевается любая информация напрямую или косвенно относящаяся к конкретному физическому лицу.

Что еще стоит знать

Работодателю необходимо помнить, что всю информацию о работнике получают от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью удобно, если утрачены какие-либо документы.

Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник обязан уведомить работодателя об изменениях. Для удобства рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения.

Эксперты КонсультантПлюс разобрали, нужно ли предоставлять персональные данные работников по требованию налогового органа. Используйте эти инструкции бесплатно.

Образец:

На некоторых предприятиях на основании заявления издается приказ об изменении информации о сотруднике. Но для облегчения процедуры нередко просто готовится дополнительное соглашение, вносятся изменения в личную карточку, трудовую книжку работника и другие документы при необходимости.

ВАЖНО!

Особое внимание уделяется конфиденциальности информации о пациентах медицинских учреждений. Прежде всего обязанность хранить молчание о состоянии пациентов лежит на самом враче. Но это не снимает с администрации лечебного учреждения необходимость издать приказ «Перечень персональных данных пациентов, подлежащих защите».

Виды

Следует отметить, что для обеспечения на предприятии конфиденциальности, должна быть внедрена многоуровневая система защиты информации. При этом главной ее составляющей является создание внутренней документации, которая бы регулировала порядок работы с персональными данными.

Итак, с целью обеспечения безопасности личных сведений о сотрудниках, в организации необходимо издать следующие виды документов.

Об утверждении положения об обработке и защите личных сведений

Является основополагающим и призван регулировать общий порядок работы с личными сведениями сотрудников организации, а также их обработку.

Как правило, в Положении отражается следующая информация:

1. цели, задачи и понятие защиты данных;
2. список документов, содержащих личную информацию;
3. порядок получения конфиденциальных сведений о сотрудниках;
4. порядок работы;
5. правила обработки, хранения и передачи и т.д.

В формах для скачивания приведен приказ об утверждении положения об обработке персональных данных, образец положения об обработке персональных данных, а также согласие о неразглашении персональных данных:

О назначении ответственного лица

В рамках этого документа закрепляется конкретный специалист, который несет ответственность за правильную обработку конфиденциальной информации, а также обеспечение ее секретности.

Следует отметить, что согласно 9 статье ФЗ РФ «О персональных данных» обработка личных сведений о сотруднике, допускается только в том случае, если он дал на это свое согласие. Только в этом случае личные данные могут быть внесены в базу и быть обработаны уполномоченным лицом.

Об установлении списка лиц, имеющих доступ к конфиденциальным сведениям

Тут указываются конкретные люди, которые имеют право работать с конфиденциальными сведениями о работниках организации.

Важно! В соответствии со статьей 7 ФЗ РФ «О персональных данных» лица, имеющие доступ к работе с личными сведениями, в обязательном порядке должны соблюдать ее конфиденциальность. В противном случае можно оказаться привлеченным к ответственности, вплоть до уголовной.

О защите

Как правило, этот документ содержит ключевые моменты политики руководства организации в части работы с конфиденциальной информацией, и включает в себя все перечисленные выше вопросы (положение о защите, ответственные, список специалистов, допущенных к работе с личной информацией).

Какие данные относятся к персональным

Прежде чем разбирать приказ об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону это такие сведения:

• ФИО;
• возраст (год рождения);
• семейное положение;
• образование;
• профессия;
• адрес проживания;
• расовая и национальная принадлежность;
• вероисповедание;
• биометрические данные;
• политические взгляды;
• состояние здоровья.

Этот список далеко не полный, в него включают многие другие типы информации о человеке. Но все их нельзя разглашать и обрабатывать без разрешения того, к кому они относятся. Об этом говорит закон № 152-ФЗ от 27.07.2006.

Исключение составляют, например, случаи, когда раскрытие этой информации необходимо для предотвращения угрозы безопасности самого человека или государства. Чтобы не нарушить эти правила, на предприятиях разрабатывают локальную нормативную базу. И все эти нюансы содержит приказ об организации защиты персональных данных или иной ЛНА, которым определяется порядок их обработки (положение, политика) .

Кем и когда издаются?

Как правило, данные виды приказов издаются отделом кадров по указанию высшего руководства. После подготовки документа, он утверждается подписью руководителя организации.

Согласно статье 1 ФЗ РФ «О персональных данных» необходимость в разработке приказов по работе с персональными данными, возникает в следующих случаях:

• при обработке личных сведений государственными органами;
• при обработке конфиденциальной информации юридическими или физическими лицами.

Как заполнять

Приказ может состоять из следующих разделов:

1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Пошаговая инструкция по составлению

Порядок составления распоряжения о персональных сведениях можно представить в виде следующей пошаговой инструкции:

1. 
   Шапка документа. Тут указывается наименование организации, а также ее реквизиты.
   Если документ составляется на фирменном бланке, то, как правило, он уже содержит наименование организации и все ее реквизиты.

2. Далее необходимо указать название документа(«ПРИКАЗ»), тему (Например, «О назначении ответственных лиц за обработку персональных данных»), а также дату и номер регистрации.
   Все, изданные в организации приказы в обязательном порядке должны пройти процедуру регистрации. Как правило, для их учета ведется отдельный журнал, куда записывается название документа, его номер и дата издания.
3. Составление «тела» распоряжения. В общем виде содержание текста должно включать следующее:
   ссылку на нормативно-правовой акт, в соответствии с которым издается документ;
4. конкретное указание (Например, «Утвердить список должностных лиц, допущенных к обработке персональных данных»);
5. имя сотрудника, на которого возлагается обязанность по ознакомлению всех работников организации с приказом;
6. лицо, ответственное за исполнение.
7. В документе должны стоять следующие подписи:
   руководителя организации;
8. должностного лица, которому поручено ознакомить всех работников предприятия с распоряжением;
9. должностного лица, являющегося ответственным за исполнение.
10. В завершение, на приказе необходимо поставить печать юридического лица.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2022 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

• собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
• указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
• указание ответственному лицу ознакомить работников с распорядительным документом;
• определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Срок хранения

В соответствии с Приказом Минкультуры России от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» для приказов, издаваемых в области защиты личных сведений о сотрудниках, предусмотрен постоянный срок хранения (вплоть до ликвидации компании).

Таким образом, руководство организации в обязательном порядке должно побеспокоиться о создании внутренней документации, которая бы регламентировала работу с конфиденциальной информацией сотрудников. В противном случае, при возникновении утечки сведений, пострадавшие сотрудники без проблем смогут доказать в суде вину работодателя, что повлечет за собой неприятные последствия.

Ответственность за отсутствие

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

Что такое персональные данные

Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Примеры документов, включающих личные данные:

• карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
• трудовая книжка со стажем с предшествующих мест работы;
• дипломы, сертификаты об образовании;
• трудовой договор;
• паспорт.

Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Сведения получают исключительно от самих сотрудников. Эти условия включают в локальный акт организации. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

Кто должен расписаться в приказе

Свои подписи в приказе о защите персональных данных работников должны поставить несколько человек. Самый первый автограф: директора организации, поскольку именно от его лица выпускаются все распоряжения такого уровня.

Следующая подпись: работника, на которого возлагается контроль за исполнением приказа и, наконец, в нем должны расписаться сотрудники, в нем упомянутые (если только их подписи не будут собраны в отдельном акте об ознакомлении).

Печать в документе ставить в обязательном порядке не требуется, но она нужна в том случае, если условие о ее использование для визирования внутренней распорядительной документации есть в учетной политике компании.

Некоторые вопросы работы с персональными данными

В сфере законодательства о персональных данных произошло несколько обновлений. В частности, ФЗ №152 в новой редакции предусматривает следующее:

1. С 01.03.2021 года появился новый обязательный документ – согласие на обработку персональных данных. Со всеми ли соискателями, работниками и иными третьими лицами должны быть подписаны согласия на обработку персональных данных. Если таковых нет, необходимо получить эти согласия. При этом обязательно нужно проверить, соответствует ли форма согласия на обработку персональных данных требованиям п. 4 ст. 9 ФЗ № 152.

2. С 01.07.2021 года действует новый порядок прохождения инспекционных проверок, в том числе и проверок Роскомнадзора, который проверяет соблюдение работодателями законодательства о персональных данных.

Как производить регистрацию, вести учет и хранение документа

Приказ нужно обязательно зарегистрировать и учесть. Для этого следует воспользоваться отдельным журналом учета, в котором фиксируются сведения обо всех выпущенных в организации распоряжениях. В журнал достаточно включить номер, дату и краткую суть приказа. После этого документ нужно вложить в папку с другими подобными бумагами. В ней он должен находиться период, установленный локальными нормативно-правовыми актами предприятия или законодательными нормативами. После того, как актуальность приказа будет утрачена и он потеряет свое значение, его нужно или отправить в архив или утилизировать.

Ошибки

При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
   до 70 тысяч рублей (для юридического лица);
2. до 5 тысяч рублей (для ИП).

Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

3. В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
   обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
4. необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
5. производится с добровольного согласия работника, предоставленного в письменном виде.