Локальные акты образовательной организации по защите персональных данных. Является ли ваша организация оператором персональных данных? Проекты локальных актов по персональным данным

"Учреждения образования: бухгалтерский учет и налогообложение", 2013, N 7

С обработкой персональных данных сотрудников имеют дело все организации, и образовательные учреждения здесь не являются исключением. Более того, бухгалтеры наряду со специалистами кадровой службы по роду своей деятельности первыми начинают работать с личными данными и персонала, и обучающихся. Какие внутренние документы необходимы учреждению, чтобы обеспечить защиту персональной информации?

Вопросы использования персональных данных регулируются гл. 14 ТК РФ, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и рядом нормативных правовых актов, изданных во исполнение этого Закона. Пунктом 8 ст. 86 и положениями ст. ст. 87, 88 ТК РФ определено, что порядок хранения и использования личных данных работников устанавливает сам работодатель с соблюдением требований трудового законодательства и иных федеральных законов. Для этого он должен утвердить соответствующий локальный нормативный акт.

Аналогичная обязанность предусмотрена в п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ: в организации должны быть изданы документы, определяющие ее политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений.

Положение о персональных данных

Какие именно нормативные акты необходимо утвердить на локальном уровне, законодатель не уточняет. Однако практика показывает, что к ним, прежде всего, относится положение о персональных данных работников (оно же положение о порядке обработки и защите персональных данных работников, положение о персональных данных, их обработке и обеспечении безопасности и т.п.), которое является главным документом в рассматриваемой сфере, регулирует основные вопросы использования персональных данных и должно быть обязательно принято в образовательном учреждении .

Необходимость разработки и утверждения подобного внутреннего документа подтверждается и нормами других правовых актов федерального уровня. Например , в Постановлении Правительства РФ от 21.03.2012 N 211 <1> в качестве одного из обязательных действий государственного или муниципального органа названо утверждение актом его руководителя правил обработки персональных данных. Правила должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определять:

• содержание персональных данных для каждой цели их обработки;
• категории субъектов, личные данные которых обрабатываются;
• сроки обработки и хранения персональной информации;
• порядок уничтожения данных при достижении целей обработки или при наступлении иных законных оснований.

<1> "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях.

Следующий аргумент в пользу принятия рассматриваемого локального акта - его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда . Отсутствие же положения о персональных данных квалифицируется контролирующим органом как нарушение трудового законодательства. За это организация может быть привлечена к административной ответственности по ст. 5.27 КоАП РФ: должностному лицу грозит штраф в размере от 1000 до 5000 руб., а юридическому лицу - штраф в размере от 30 000 до 50 000 руб. или административное приостановление деятельности на срок до 90 суток.

Суды поддерживают позицию инспекций труда, подтверждая правомерность и обоснованность штрафных санкций за подобные нарушения. В частности, такие выводы содержатся в Постановлениях Московского городского суда от 29.08.2011 N N 4а-1742/11 и 4а-1743/11, ФАС МО от 01.11.2006, 08.11.2006 N КА-А40/10787-06.

В то же время важно, чтобы образовательное учреждение не только утвердило положение о персональных данных, но и под подпись ознакомило с ним своих работников (в силу п. 8 ст. 86 ТК РФ). Иначе нормы трудового законодательства будут нарушены, на что указано, например, в Постановлении Девятого арбитражного апелляционного суда от 17.08.2006, 24.08.2006 N 09АП-9595/06-АК.

Обратите внимание! Сотрудники должны письменно фиксировать факт ознакомления с положением о персональных данных. В противном случае (при отсутствии личной подписи) работодатель не сможет доказать, что работник действительно был ознакомлен с этим документом.

Для ознакомления можно создать отдельный журнал со списком сотрудников, где в соответствующей ячейке каждый поставит подпись и дату. Специалисты, принимаемые на работу после утверждения положения о персональных данных, также могут ставить свою подпись в журнале (либо для них факт ознакомления должен быть зафиксирован в тексте трудового договора).

Однако нужно избегать следующей ошибки: сначала включать в трудовой договор строку об ознакомлении с рассматриваемым локальным актом (и принимать по такому договору сотрудников на работу), а лишь потом утверждать положение о персональных данных. По этому поводу тоже сложилась судебная практика. В частности, Арбитражный суд г. Москвы Решением от 04.05.2006, 15.05.2006 по делу N А40-17389/06-146-165 признал правомерными действия государственной инспекции труда по привлечению организации к административной ответственности и подтвердил факт нарушения законодательства о труде и об охране труда. Из материалов дела следовало, что работник расписался в трудовом договоре об ознакомлении с положением о персональных данных, хотя само положение было принято в организации только полтора года спустя. Таким образом, была нарушена норма п. 8 ст. 86 ТК РФ, которая устанавливает обязанность работодателя знакомить персонал под подпись с документами, касающимися обработки личных данных работников, а также их прав и обязанностей в этой области.

Содержание положения о персональных данных

В положении о персональных данных должны быть раскрыты основные вопросы, связанные с получением, использованием и защитой личной информации. А поскольку образовательные учреждения обрабатывают личные данные не только своих сотрудников, но и обучающихся и их родителей, эту особенность также необходимо отразить в рассматриваемом локальном акте.

Положение о персональных данных, как правило, включает в себя следующие разделы:

1. Общие положения.
2. Основные понятия и состав персональных данных.
3. Обработка персональных данных.
4. Передача персональных данных.
5. Доступ к персональным данным.
6. Права и обязанности субъекта персональных данных.
7. Права и обязанности оператора персональных данных.
8. Защита персональных данных.
9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Рассмотрим содержание некоторых разделов более подробно.

Общие положения

Здесь следует указать цель создания документа (защита информации, относящейся к личности и личной жизни работников и обучающихся образовательного учреждения) и вопросы, которые он регулирует (порядок получения, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным). В этом разделе также должны быть даны ссылки на правовые акты, на основании которых разработано положение о персональных данных: Конституция РФ, ТК РФ, Федеральный закон N 152-ФЗ, Постановления Правительства РФ от 15.09.2008 N 687 <2>, от 01.11.2012 N 1119 <3> и др.

<2> "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
<3> "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Кроме того, нелишним будет указать, что положение о персональных данных и изменения к нему утверждаются приказом руководителя образовательного учреждения, а также что локальный акт является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

Основные понятия и состав персональных данных

Определения основных понятий в области персональных данных приведены в ст. 3 Федерального закона N 152-ФЗ. Прежде всего, в этом разделе целесообразно раскрыть содержание терминов "персональные данные" (в соответствии с п. 1 ст. 3 Федерального закона N 152-ФЗ) и "обработка персональных данных" (в соответствии с п. 3 ст. 3 Федерального закона N 152-ФЗ). Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением).

Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. То есть круг сведений устанавливается в локальном нормативном акте организации - положении о персональных данных.

Здесь важно разграничить персональные данные работника и обучающегося , а также документы, содержащие эту информацию. Некоторые из сведений приведены в таблице.

Субъект персональных данных	Состав персональных данных	Документы, содержащие персональные данные
Работник	- паспортные данные; - ИНН, номер страхового свидетельства государственного пенсионного страхования; - сведения об образовании, специальности; - сведения о трудовом и общем стаже, предыдущем месте работы; - сведения о заработной плате сотрудника, социальных льготах, наличии судимостей, результатах медицинского обследования на предмет осуществления трудовых функций; - сведения о семейном положении и составе семьи; - адрес места жительства; - номер домашнего, сотового телефона и др.	- копия паспорта; - копии ИНН, страхового свидетельства государственного пенсионного страхования; - копия документов об образовании, квалификации или наличии специальных знаний; - анкета, заполненная при поступлении на работу; - медицинские справки о состоянии здоровья на предмет годности к осуществлению трудовых обязанностей; - трудовой договор; - трудовая книжка; - личное дело и др.
Обучающийся	- сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; - информация, содержащаяся в личном деле обучающегося; - информация об успеваемости; - информация о состоянии здоровья; - адрес места проживания и др.	- копия паспорта или иного документа, удостоверяющего личность; - личное дело; - документы о состоянии семьи; - документы о состоянии здоровья и др.

Обработка персональных данных

Требования, которые должны соблюдаться при обработке личных данных, приведены в ст. 86 ТК РФ и ст. ст. 6, 9 Федерального закона N 152-ФЗ. Например , в этом разделе можно прописать, что все персональные данные следует получать у самого работника или обучающегося (его родителей), а также что использование данных возможно только в соответствии с целями, определившими их получение. Целесообразно обозначить и сроки хранения документов.

Здесь же можно указать, что организация вправе обрабатывать персональную информацию только с согласия граждан, которым такие сведения принадлежат (п. 1 ч. 1 ст. 6 Федерального закона N 152-ФЗ). Однако при этом нужно учитывать следующие особенности.

1. Как сказано в Разъяснениях Роскомнадзора <4>, письменное согласие работника может быть оформлено в виде отдельного документа или закреплено в тексте трудового договора. В обоих случаях согласие должно отвечать требованиям, предъявляемым ч. 4 ст. 9 Федерального закона N 152-ФЗ.

<4> Разъяснения Роскомнадзора от 14.12.2012 "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве".

1. Если обработка персональных данных осуществляется в рамках трудового законодательства, получать согласие работника не требуется . Однако, как отмечает Роскомнадзор, такое возможно при соблюдении двух условий: объем обрабатываемых работодателем персональных данных не превышает установленного перечня и соответствует целям обработки, предусмотренным трудовым законодательством.

Кроме того, получение организацией согласия сотрудника не требуется, если обязанность по обработке, в том числе по опубликованию и размещению персональных данных работников в Интернете, предусмотрена законодательством РФ (п. 1 Разъяснений Роскомнадзора). Например , в отношении образовательных учреждений такая обязанность определена Постановлением Правительства РФ от 18.04.2012 N 343 <5>. Согласно этому документу учреждение должно размещать на своем официальном сайте в том числе информацию, содержащую персональные данные: фамилии, имена, отчества руководителя учреждения и руководителей структурных подразделений, графики их работы, адреса электронной почты, а также фамилии, имена, отчества педагогических работников, их должности, уровень образования, квалификация и др.

<5> "Об утверждении Правил размещения в сети Интернет и обновления информации об образовательном учреждении".

1. Для обработки личных данных обучающихся можно также не оформлять их согласия. Пункт 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ устанавливает, что такое допустимо в случаях, когда обработка персональных данных необходима для исполнения договора , стороной которого является субъект персональных данных. В свою очередь, в ст. 54 Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" <6> говорится о заключении договора об образовании между организацией, осуществляющей образовательную деятельность, и лицом, зачисляемым на обучение (родителями несовершеннолетнего лица).

<6> Вступает в силу 1 сентября 2013 г.

1. В отношении специальных категорий персональных данных (в силу ч. 1 ст. 10 Федерального закона N 152-ФЗ к ним относится, например, информация о состоянии здоровья) письменное согласие обучающегося (его родителей) на обработку получить придется . Об этом сказано в п. 1 ч. 2 ст. 10 Федерального закона N 152-ФЗ.

Доступ к персональным данным

Поскольку доступ к личным данным разрешен только специально уполномоченным лицам (абз. 6 ст. 88 ТК РФ), в этом разделе указывается круг таких лиц. В частности, внутренний доступ могут иметь следующие сотрудники: руководитель учреждения, его заместители, главный бухгалтер, бухгалтер, делопроизводитель, сам субъект персональных данных (работник или обучающийся (его родитель)). Здесь достаточно назвать должности уполномоченных сотрудников и перечень сведений, к которым имеет доступ каждый из них. К примеру, можно указать, что делопроизводитель имеет право доступа ко всем персональным данным; главный бухгалтер, бухгалтер - к сведениям о служебном положении, составе семьи, а также к сведениям, имеющим отношение к начислению заработной платы, налогов и иных обязательных платежей. А вот поименный список конкретных лиц следует утвердить отдельным приказом.

Внешний доступ к персональным данным могут иметь государственные органы (учредитель, налоговая инспекция, правоохранительные органы, органы статистики, органы социального страхования, подразделения ПФР и др.). В числе других пользователей - иные организации (сведения о работающем или уволенном сотруднике могут быть предоставлены только на основании их письменного запроса), а также родственники и члены семей (передача сведений возможна при письменном разрешении самого субъекта персональных данных).

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональной информации от неправомерного использования или утраты должна обеспечивать сама организация за счет своих средств. Поэтому в данном разделе следует определить формы хранения документов, содержащих персональные сведения . Такой формой, например, может быть хранение соответствующих документов в запирающихся шкафах либо сейфах, обеспечивающих защиту от несанкционированного доступа, или защита персональных компьютеров паролями доступа (при хранении сведений в электронном виде).

Кроме того, здесь может быть установлен круг лиц, которые вправе отвечать на письменные запросы о предоставлении информации (например, сведения могут предоставлять только уполномоченные лица), форма ответов на письменные запросы других организаций (на бланке учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках). Целесообразно определить и возможность передачи информации, содержащей персональные данные, по телефону, факсу, электронной почте (например, это запрещается либо для этого необходимо письменное согласие субъекта персональных данных).

Иные локальные акты учреждения

Помимо положения о персональных данных и документа, в котором фиксируется факт ознакомления сотрудников с указанным положением, образовательному учреждению необходимо разработать другие локальные акты в области защиты персональных данных. Жестких требований об их количестве законодатель не устанавливает. В ч. 1 ст. 18.1 Федерального закона N 152-ФЗ лишь говорится о том, что организация должна самостоятельно определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных законодательством РФ в области персональных данных. Это меры организационного, правового и технического характера.

Пакет локальных актов может быть дополнен следующими документами, с которыми соответствующие работники тоже должны ознакомиться под подпись.

1. Приказ о назначении лица, ответственного за организацию работы с персональными данными (им, как правило, становится либо менеджер по кадрам, либо бухгалтер). Основанием для такого назначения является п. 1 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ. Обязанности ответственного сотрудника (согласно ст. 22.1 Федерального закона N 152-ФЗ) могут быть определены отдельным документом.
2. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (основание - п. 13 Положения, утвержденного Постановлением Правительства РФ N 687). Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 ТК РФ).
3. Обязательство о неразглашении персональных данных, позволяющее ввести личную ответственность уполномоченных работников за сохранность и конфиденциальность персональных данных. Основанием здесь является п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ (предписывает издать в организации локальные акты, устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений). Другим способом обеспечить неразглашение сведений может стать включение этого условия в трудовые договоры с уполномоченными сотрудниками.
4. Письменное согласие на обработку персональных данных (в случаях, когда необходимо его получение).

Образовательное учреждение может разработать и другие внутренние документы, например о мерах, принимаемых для обеспечения безопасности персональных данных.

Г.Зайцева

Эксперт журнала

"Учреждения образования:

бухгалтерский учет и налогообложение"

Работодатель отвечает за сохранность таких конфиденциальных сведений, как персональные данные сотрудников, которые он получил в связи с трудовыми отношениями. И одной из основных обязанностей в этой сфере является разработка и утверждение локальных нормативных актов.

О том, что это за документы, какие правила они содержат и как работодателю организовать весь процесс - от составления текста до выполнения закрепленных предписаний, - пойдет речь в нашей статье.

Читайте также:

Новая ответственность за нарушения в персданных.

Условия и правила защиты персональных данных

Правила и условия защиты персональных данных регламентируются:

1. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ).
2. Трудовым кодексом РФ.
3. Иными федеральными законами.
4. Подзаконными актами.
5. Нормативными правовыми актами государственных органов, Банка России, органов местного самоуправления, принятыми ими на основании и во исполнение федеральных законов в пределах предоставленных полномочий.
6. Локальными нормативными актами работодателя.

Закон № 152-ФЗ предусматривает, что у юридического лица должны быть:

• документы, определяющие политику оператора в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт по вопросам обработки персональных данных (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт по вопросам обучения работников, непосредственно осуществляющих обработку персональных данных (п. 6 ч. 1 ст. 18.1).

Обратите внимание!

Если международным договором РФ установлены иные правила, нежели предусмотренные Законом № 152-ФЗ, применяются правила международного договора.

ТК РФ обязывает работодателя иметь:

• документы, устанавливающие порядок обработки персональных данных работников, в том числе определяющие их права и обязанности в области персональных данных;
• локальный нормативный акт, утверждающий порядок передачи персональных данных в пределах одной организации или у одного индивидуального предпринимателя.

Требования к операторам, осуществляющим обработку персональных данных

Какие требования предъявляются к операторам, обрабатывающим персональные данные в информационных системах?

Из постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» можно сделать вывод, что помимо перечисленных выше мер оператор для обеспечения безопасности персональных данных должен также определить лицо, осуществляющее их обработку.

Кроме того, в зависимости от уровня защищенности персональных данных (а их всего четыре) оператор также должен:

• определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• создать структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить такую функцию на одно из имеющихся подразделений.

Словарь кадровика

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона № 152-ФЗ).

Существуют ли какие-то требования к составу локальных документов в случае обработки персональных данных сотрудников без использования автоматических систем?

В силу постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее - постановление Правительства № 687) оператор должен определить Правила обработки персональных данных, осуществляемой без использования средств автоматизации, и ознакомить с ними лиц, занимающихся такой обработкой. Также предусматривается необходимость закрепления:

• перечня лиц, осуществляющих обработку персональных данных без средств автоматизации;
• перечня мер, необходимых для обеспечения сохранности персональных данных при обработке без использования средств автоматизации;
• перечня лиц, ответственных за реализацию указанных мер.

Полагаем, что все эти три документа могут быть объединены в один локальный нормативный акт.

При этом, несмотря на формулировку «перечень лиц», целесообразно указывать должности согласно штатному расписанию, а не называть пофамильно конкретных сотрудников, осуществляющих обработку персональных данных.

Итак, нормативно закреплен достаточно обширный перечень локальных нормативных актов по защите персональных данных. Их конкретный набор зависит от того, какие персональные данные и каким способом обрабатываются в данной компании.

Кроме того, локальные документы по защите персональных данных можно разграничить по принципу, должны ли они быть доступны всем сотрудникам или только некоторым.

Положение об обеспечении конфиденциальности, обработке и передаче персональных данных работников организации должно быть доступно всем сотрудникам, так как речь идет об их персональных данных.

Дополнительно могут быть разработаны и утверждены положения об обеспечении безопасности персональных данных, об их обработке в информационных системах, о структурном подразделении по обеспечению безопасности персональных данных. Эти акты должны быть доступны только тем сотрудникам, которые обеспечивают безопасность персональных данных.

Иными словами, в первом случае речь идет об исполнении обязанностей работодателя по обеспечению конфиденциальности, обработке и передаче персональных данных, во втором - о защите персональных данных работодателем и лицами, которые получают к ним доступ.

Содержание локального акта, регулирующего вопросы обработки персональных данных

Локальный нормативный акт, регулирующий вопросы обработки персональных данных, может состоять из следующих разделов:

1. Общие положения.

Здесь следует раскрыть цели и задачи учета, хранения, обработки персональных данных.

2. Перечень персональных данных.

При составлении перечня необходимо принимать во внимание общедоступность персональных данных. Общедоступными они становятся в двух случаях.

Случай 1 . В силу прямого указания закона.

Так, согласно ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» образовательное учреждение обязано размещать на официальном сайте сведения о руководителе образовательной организации, его заместителях, руководителях филиалов (при их наличии); о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» обязывает медицинскую организацию информировать Словарь кадровика Оператор - государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее ее цели, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона № 152-ФЗ) граждан в доступной форме, в том числе с использованием Интернета, о мед работниках медицинских организаций, об уровне их образования и квалификации (ст. 79).

Федеральный закон от 03.12.2012 № 230-ФЗ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам» обязывает граждан, занимающих определенные государственные и муниципальные должности, предоставлять для размещения в Интернете на официальных сайтах федеральных госорганов, госорганов субъектов Российской Федерации, органов местного самоуправления, Банка России, государственных корпораций, Пенсионного фонда Российской Федерации, Фонда социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования, иных организаций, созданных Российской Федерацией на основании федеральных законов, сведения об источниках получения средств, за счет которых совершена сделка по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций), если сумма сделки превышает общий доход этого гражданина и его супруги (супруга) за три последних года, предшествовавших совершению сделки.

Случай 2. По решению самого субъекта персональных данных.

Если федеральным законом перечень общедоступных персональных данных не определен, субъект персональных данных может сделать их общедоступными сам, подписав соответствующее согласие.

Очевидно, что в трудовых отношениях существует необходимость рассмотрения в качестве общедоступных сведений о фамилии, имени, отчестве, должности работника. Такая общедоступность внутри компании требуется, например, для обеспечения коммуникаций, организации внутренних телефонных и почтовых справочников и др.

Также в данном разделе желательно указать, какие документы содержат персональные данные работников.

3. Порядок обработки персональных данных.

Здесь прописываются правила работы с персональными данными соискателей, работников, бывших сотрудников. Перечисляются органы и организации, в которые компетентные лица работодателя обязаны представлять персональные данные работников без их согласия.

Словарь кадровика

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ)

4. Перечень должностей и (или) лиц, имеющих доступ к персональным данным работников.

Перечисляются должности, замещение которых предполагает работу с персональными данными сотрудников.

5. Порядок доступа к персональным данным. Правила их передачи.

В этом разделе устанавливается порядок доступа к персональным данным. Прописывается регламент их передачи внутри организации и за ее пределы. Определяется процедура допуска должностных лиц работодателя к персональным данным.

6. Ответственность работодателя за соблюдение режима конфиденциальности персональных данных работников.

7. Ответственность должностных лиц работодателя за разглашение персональных данных.

8. Заключительные положения.

В локальном акте также должны быть предусмотрены организационные и технические меры защиты, аналогичные тем, что обеспечивают защиту коммерческой тайны в компании.

Определяет как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:

• дата рождения;
• паспортные данные;
• адрес регистрации и проживания;
• номер СНИЛС;
• информация об образовании и трудовом стаже.

Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

Для чего нужно положение о работе с персональными данными

Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

Структура положения о персональных данных

Составляя положение о защите персональных данных 2019, рекомендуется придерживаться следующей структуры:

№	Раздел	Содержание
1	Основные положения	Цели документа, законы, порядок утверждения
2	Основные понятия	Определения понятий, упортребляемых в документе
3	Состав персональных данных работников	Перечень личных сведений
4	Обработка данных	Условия обработки информации
5	Комплекс документов	Перечень документов, содержащих личные сведения
6	Доступ к персональным данным	Порядок внешнего и внутреннего доступа к информации
7	Защита персональных данных	Комплекс мер для обеспечения безопасности конфиденциальных сведений
8	Права и обязанности работника	Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении
9	Ответственность за разглашение информации	Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством

Как ввести в действие положение об обработке и защите персональных данных 2019

На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается . Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ - ведение журнала ознакомления с локальными нормативными актами. При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур , Б-152 , FreshDoc . А можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример .

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый , второй .

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах. Пример.
Рекомендации Роскомнадзора по составлению документа , определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример .

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано . Пример Приказа .

9. Проект системы защиты информационной системы персональных данных. Пример .

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример .

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример .

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример .

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример .

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти и .

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример .

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании .

18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример .

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример .

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё .

24. Журнал учета средств защиты информации(перечень технических средств). Пример .

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример .

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример .

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. .

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример .

32. Форма ответа на запрос субъекта персональных данных. Пример .

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в .

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.

Назначение ответственных лиц

Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

1. персональные данные, обрабатываемые в ИСПДн;
2. объем обрабатываемых ПД;
3. уровень защищенности;
4. тип актуальных угроз для ИСПДн.

Начало обработки

Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.

Для начала обработки данных требуется следующее документальное оформление:

1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
3. Образцы уведомления уполномоченного органа.
4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
5. Порядок отношений с распорядителем баз ПД.
6. Порядок работы с запросами субъектов ПД.
7. Договор с субъектами, обрабатывающими базы ПД.

Организационно-распорядительная документация

Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.

Итак, пакет документации по включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

 

Возможно, будет полезно почитать:

• Аббатство - это католический монастырь ;
• Самые распространенные расклады ;
• Быт и обычаи Обычаи и нравы 19 века ;
• К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
• Основные характеристики марса ;
• Должностная инструкция транспортного экспедитора ;
• Татаро-монгольское иго или история о том, как ложь стала правдой ;
• Журавль толкование сонника ;