Приказ местах хранения персональных данных

Предлагаем рассмотреть тему: "Приказ местах хранения персональных данных" с комментариями профессионалов. Мы старались разъяснить все понятным языков и полностью раскрыть тему. Внимательно причитайте статью и, если возникнут вопросы, вы можете их задать в комментариях или напрямую дежурному консультанту.

Содержание

Конфиденциальность персональных данных: оформление приказа об установлении списка лиц, имеющих доступ к ним

При трудоустройстве и в процессе дальнейшей трудовой деятельности работник передает работодателю свои персональные данные. Информация эта требует защиты, доступ к ней должен быть ограниченным.

Соответственно выделяются узкий круг лиц, которые имеют право работать с конфиденциальной информацией для выполнения своих служебных обязанностей. Они назначаются специальным приказом.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Кем издается?

Приказ представляет собой правовой акт, который относится ко всему предприятию, определяет его деятельность и решает его основные задачи. Приказ издается единолично руководителем фирмы.

Содержание

В перечень таких лиц могут войти руководитель, его заместители, работники отдела кадров, сотрудники бухгалтерии, служба безопасности, секретарь и иные работники, которым эти сведения нужны для выполнения трудовых обязанностей.

Доступ может быть и к информации, предоставленной клиентами организации или другими лицами. Все это требует отдельного уточнения при составлении документа.

Если допуск понадобится лицам, не обозначенным в приказе, для них издается отдельный документ. Допуск регистрируется в журнале.

Общие правила составления

  1. Приказ оформляется на бланке формата А4.
  2. Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
  3. Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты.

В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных (а более детально о нюансах оформления приказа о назначении ответственного за обработку и другие действия с персональными данными читайте тут). Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.

  • Распорядительная часть отделяется глаголом «ПРИКАЗЫВАЮ». Он пишется после констатирующей части с новой строки, без кавычек. В конце ставится двоеточие, а далее идут пункты, необходимые к выполнению. Они нумеруются арабскими цифрами. Могут быть и подпункты.
  • Последним пунктом указывается лицо, на которое возлагается контроль за исполнением приказа.
  • Перед подписанием документ проверяется на наличие орфографических и стилистических ошибок.
  • Внизу документа ставят подписи те лица, к которым он относится.
  • Утверждение перечня личных сведений

    Правовой акт включает в себя:

    1. Наименование организации. Например, МОУ СОШ №7.
    2. Название документа (ПРИКАЗ) и его номер.
    3. Дату создания. Например, 5 октября 2016 г.
    4. Место создания. Например, г. Пермь.
    5. Отсылку к законодательной базе, на основании которой он создается.

    Пример: В целях соблюдения закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и в целях защиты персональных данных сотрудников.
    Утверждение перечня и отсылку к нему. Перечень часто оформляется в виде приложения.

    Утвердить прилагаемый перечень данных МОУ СОШ №7.

    Назначение ответственного за исполнение.

    Например: Контроль за исполнением приказа оставляю за собой.
    Перечень персональных данных, оформленный в виде таблицы или иным способом. Столбцы таблицы составляются в зависимости от целей и задач компании.

    Установление списка лиц, имеющих доступ к такой информации

    В правовом акте должно присутствовать:

      Название организации (указывается сверху). Например, ООО «Родон».
  • Название документа (ПРИКАЗ), его номер.
  • Дата составления. Например, 4 августа 2017 г.
  • Место составления. Например, г . Москва.
  • Ссылка на законодательство, на основании которого он издается.
  • Пример: В соответствии с Трудовым кодексом РФ и законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
    Перечень работников, допущенных к сведениям, с указанием их должности.

    Вот примерно как выглядит документ для утверждения списка лиц, имеющих доступ к личным сведениям работников:

    1. Генеральный директор Г. Е. Чуриков.
    2. Зам. генерального директора К. А. Голиков.
    3. Начальник отдела кадров И. Н. Дирина.
    4. Главный бухгалтер Е. Г. Листовская.

    Указание лица, ответственного за исполнение.

    Пример: Контроль за исполнением возложить на К. А. Голикова.

  • Подписи всех лиц, указанных в правовом акте, и подпись руководителя организации.
  • Каждый работник, получивший доступ, должен подписать соглашение о неразглашении персональных данных. Тогда в случае утечки информации и ее неправомерного использования можно наказать виновных. Если такое соглашение не было подписано, вся вина ложится на руководителя предприятия.

    Это могут быть дисциплинарные взыскания (увольнение, выговор, замечание), штрафы.

    Оформление готового документа

    1. Документ предпочтительно напечатать на компьютере.
    2. Оформление документа стандартное.
    3. Сверху указывается организация, далее ставится дата создания, номер и название.
    4. Сам текст состоит из отсылки к законодательным актам, потом следует перечень тех действий, которые необходимо выполнить работникам.
    5. Внизу приказа должны быть подписи лиц, указанных в правовом акте, а также подпись лица, издавшего приказ, т.е. руководителя компании или его заместителя.
    6. Если необходимо, к документу добавляется приложение.
    7. Приказ должен быть учтен в специальном журнале. Туда вносится наименование правового акта, его номер и дата составления.

    Наказания за нарушения в работе с персональными данными ужесточились. Поэтому к оформлению и содержанию приказов нужно подойти серьезно, чтобы избежать штрафов при проверке. Документы должны быть составлены в соответствии с требованиями законодательства.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !


    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/izdanie-prikaza/obrazets-p.html

    Приказ об определении мест хранения персональных данных и перечне лиц, осуществляющих обработку персональных данных в информационных системах персональных данных

    об определении мест хранения персональных данных и перечне лиц, осуществляющих обработку персональных данных в информационных системах персональных данных.

    Читайте так же:  Обращение в верховный суд с жалобой

    На основании требований федерального закона № 000 –ФЗ от 27 июля 2006 г. « О персональных данных»

    1. Установить место хранения персональных данных субъектов персональных данных в информационной системе персональных данных кадровой и финансовой работы — каб. 107 (Псков, ул. Некрасова, правое крыло).

    Лицом, имеющим доступ к персональным данным информационной системе персональных данных кадровой и финансовой работы и осуществляющим их обработку назначить бухгалтера учреждения В. И.Соколову.

    2. Установить место хранения персональных данных субъектов персональных данных в информационной системе персональных данных владельцев электронной подписи — каб. 114 (Псков, ул. Некрасова, левое крыло крыло).

    Лицом, имеющим доступ к персональным данным информационной системе персональных данных владельцев электронной подписи и осуществляющим их обработку, назначить администратора Удостоверяющего центра И. Е.Иванова.

    3. Установить место хранения персональных данных субъектов персональных данных в информационной системе персональных данных владельцев универсальной электронной карты — каб. оператора УЭК (пункт приема заявлений УЭК, Псков, ул. Труда, 51).

    Лицом, имеющим доступ к персональным данным информационной системе персональных данных владельцев универсальной электронной карты и осуществляющим их обработку, назначить сотрудника отдела систем электронного правительства А. В.Акимова.

    4. Лицам имеющим доступ к персональным данным принять установленные законом меры исключающие несанкционированный доступ к персональным данным. Хранение персональных данных на бумажных носителях осуществлять в закрывающихся на ключ помещениях.

    Источник: http://pandia.ru/text/80/281/52495.php

    Приложение 1. Перечень мест хранения материальных носителей персональных данных и ответственных лиц

    министерства физической культуры

    и спорта Ставропольского края

    от 7 марта 2013 г. N 238/01-01

    Перечень
    мест хранения материальных носителей персональных данных и ответственных лиц

    Категория персональных данных

    Ответственное лицо (должность, фамилия и инициалы)

    Бумажные носители персональных данных (трудовая книжка;

    журналы учета трудовых книжек;

    журнал учета командировок;

    материалы по учету рабочего времени;

    журналы сверки по военнообязанным;

    приказы по личному составу)

    специально отведенный железный сейф в кабинете N 22

    консультант-юрисконсульт сектора правового и кадрового обеспечения министерства Григорьева Н.В.

    Электронные носители персональных данных

    жесткий диск, съемный носитель

    консультант-юрисконсульт сектора правового и кадрового обеспечения министерства Григорьева Н.В.,

    главный специалист сектора правового и кадрового обеспечения министерства Котлярова Я.А.,

    консультант отдела организационной и физкультурно-массовой работы министерства Походенко Г.И.,

    главный специалист сектора бухгалтерского учета, отчетности и контроля министерства Тарасова С.В.

    Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    Источник: http://base.garant.ru/27137515/53f89421bbdaf741eb2d1ecc4ddb4c33/

    Примерная форма приказа об утверждении мест хранения материальных носителей персональных данных (подготовлено экспертами компании «Гарант»)

    Приказ
    об утверждении мест хранения материальных носителей персональных данных

    г. [ место издания приказа ]

    [ число, месяц, год ]

    В целях обеспечения режима конфиденциальности при работе с материальными носителями персональных данных в [наименование организации] и в соответствии с требованиями Положения об особенностях обработки персональных данных субъектов, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. N 687, приказываю:

    1. Утвердить следующие места хранения материальных носителей персональных данных и назначить ответственными за обеспечение сохранности материальных носителей следующих лиц:

    Категория персональных данных

    [ Бумажные носители персональных данных/электронные носители персональных данных ]

    [ сейф/жесткий диск/съемный носитель и др. ]

    [ должность, фамилия и инициалы ]

    2. Хранить материальные носители персональных данных только в утвержденных местах.

    3. Ознакомить под роспись лиц, ответственных за обеспечение сохранности материальных носителей персональных данных, с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687.

    4. Контроль за исполнением настоящего приказа возложить на [ должность, инициалы, фамилия ].

    Руководитель организации [ подпись, инициалы, фамилия ]

    С приказом ознакомлены:

    [ должность, подпись, инициалы, фамилия ]

    [ число, месяц, год ]

    Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 75 рублей или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

    Купить документ Получить доступ к системе ГАРАНТ

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    Примерная форма приказа об утверждении мест хранения материальных носителей персональных данных

    Разработана: Компания «Гарант», май 2015 г.

    Источник: http://base.garant.ru/55727569/

    Приказ об утверждении мест хранения материальных носителей персональных данных

    Муниципальное образовательное учреждение

    основная общеобразовательная школа с. Архангельское

    от 01.01.2001 г. № 46

    Об утверждении мест хранения материальных

    носителей персональных данных

    1. Материальные носители персональных данных работников хранить в кабинете директора в специально отведенном железном сейфе.

    2. Персональные данные, содержащиеся на электронных носителях информации, хранить только на персональном компьютере, предназначенном для администрации муниципального образовательного учреждения основной общеобразовательной школы с. Архангельское.

    3. Возложить на заместителя директора по учебно-воспитательной работе персональную ответственность за соблюдение мер по защите персональных данных обрабатываемых в ИСПДн муниципального образовательного учреждения основной общеобразовательной школы с. Архангельское.

    Директор школы

    //

    Источник: http://pandia.ru/text/80/164/19909.php

    Персональные данные: «соломка» для кадровика

    «Знал бы, где упаду, соломку бы подстелил», — с таким же ощущением сегодня ждут проверки Роскомнадзора. Однако, к счастью для кадровиков, есть человек, который знает типичные нарушения закона № 152-ФЗ и требования контролирующих органов к кадровой службе. Сегодня Александр Цыкарев расскажет, как избежать нарушений ФЗ-152 и, как следствие, предписаний и штрафов.

    Александр Цыкарев, руководитель проектов по защите информации компании СКБ Контур.

    Места хранения

    Во-первых, нужно определиться с местами хранения личных дел сотрудников и других документов, содержащих персональные данные сотрудников (например, трудовые договора и карточки учета). Необходимо составить перечень таких «хранилищ» и утвердить его приказом по организации.

    Во-вторых, хранить вышеназванные документы следует таким образом, чтобы исключить несанкционированный доступ к ним сотрудников, в чьи функциональные обязанности не входит обработка ПДн, а также посторонних лиц. Для хранения данных документов необходимо использовать запираемые на ключ помещения, ящики, шкафы, сейфы и т д. Конкретных требований к надежности таких «хранилищ» на данный момент нет.

    Читайте так же:  Определение мирового суда о возврате искового заявления

    Избыточная информация

    Видео (кликните для воспроизведения).

    При работе с ПДн важно обрабатывать только ту информацию, которая необходима для выполнения целей. Избыточные персональные данные (например, подробные сведения о родственниках сотрудника) необходимо удалять путем вымарывания, вычеркивания и т п. Мероприятия, которые можно проводить для удаления ПДн с бумажных носителей, подробнее описаны в Постановлении Правительства № 687.

    Также представители Роскомнадзора негативно относятся к хранению в личных делах копий паспортов, водительских удостоверений (если сотрудник не выполняет обязанности водителя), т.к. их наличие в кадровой службе не регламентировано ни одним законодательным актом. Проще отказаться от использования копий данных документов и пользоваться просто паспортными данными, чем потом доказывать проверяющему законность хранения копий.

    Базы резюме

    Дополнительную проблему создает хранение резюме соискателей. Вообще хранение и обработка таких резюме находится на грани соответствия ФЗ «О персональных данных», что признают и сами представители Роскомнадзора. Поэтому, если хранение резюме не является для вашей организации необходимостью, то проще их удалить и тем самым избежать рисков, связанных с их обработкой. В противном случае необходимо применение дополнительных организационно-распорядительных, а в ряде случаев и технических мер.

    Работающие с персданными

    Сотрудники, в чьи функциональные обязанности входит работа с персональными данными, а это практически все сотрудники отдела кадров, должны быть допущены к обработке персональных данных отдельным приказом «О доступе к персональным данным». В нем указывается Ф.И.О. сотрудника, его должность, можно также указать характер обработки (автоматизированная/неавтоматизированная), но это не является обязательным.

    Помимо этого необходимо вести журнал учета лиц, допущенных к обработке ПДн. Отличие от сведений, представленных в приказе «О доступе к персональным данным», заключается в указании даты начала предоставления доступа к ПДн и даты прекращения данного доступа (например, при увольнении сотрудника или переходе в другой отдел).

    Также с вышеперечисленных сотрудников необходимо взять «Обязательство о неразглашении информации конфиденциального характера», к которой как раз и относятся персональные данные сотрудников.

    Формы приказов, журналов, обязательств обычно разрабатываются сотрудниками, ответственными за защиту ПДн в организации, либо юридическим отделом.

    Одно из самых частых нарушений — использование неучтенных носителей информации (дискет и флешек). Нельзя подключать к компьютерам отдела кадров все подряд флеш-накопители. Согласно требованию Постановления Правительства №781, все отчуждаемые носители информации должны быть учтены в специальном журнале. Т.е. все флешки сотрудников отдела кадров необходимо записать в отдельный журнал, в котором указываются модели и серийные (либо инвентарные) номера.

    Большинство нарушений, выявляемых в ходе проверок контролирующими органами в кадровой службе, связаны с нарушением правил обработки и хранения персональных данных на бумаге.

    Источник: http://kontur.ru/articles/2128

    5 шагов по организации учета и хранения персональных данных

    Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

    Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

    Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

    Какие данные являются персональными

    Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

    К общим персональным данным можно отнести следующие сведения:

    • фамилия, имя, отчество;
    • дата и место рождения;
    • адрес (место регистрации);
    • образование, профессия;
    • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
    • семейное положение, наличие детей, родственные связи;
    • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
    • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
    • деловые и иные личные качества, которые носят оценочный характер;
    • прочие сведения, которые могут идентифицировать человека.

    Кроме того, в Законе о персональных данных упоминаются:

    • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
    • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

    Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

    • в паспорте или ином документе, удостоверяющем личность;
    • трудовой книжке;
    • документах о воинском учете, образовании, составе семьи;
    • справке о доходах с предыдущего места работы;
    • анкете, заполняемой при трудоустройстве;
    • личной карточке работника (форма Т-2);
    • свидетельствах о заключении брака, рождении ребенка;
    • медицинских справках и др.

    У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

    Обработка персональных данных

    Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

    Читайте так же:  Судебные расходы как убытки судебная практика

    Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

    В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

    1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

    В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

    • цели получения персональных данных работника у третьего лица;
    • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
    • способы получения данных, их характер;
    • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

    Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

    В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

    Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

    2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

    3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

    При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

    Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

    1. из документов (сведений), предъявляемых при заключении трудового договора;
    2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
    3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
    4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
    5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

    Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

    Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

    Организация учета и хранения персональных данных

    Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

    Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

    Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

    Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

    В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

    Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

    Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

    Читайте так же:  Исковое заявление инвалид

    Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

    Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

    • заявления работников о согласии на обработку персональных данных;
    • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
    • журнал проверок наличия документов, содержащих персональные данные работника.

    Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

    Подведем итоги

    Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

    • от всех ли работников получено согласие на обработку персональных данных;
    • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
    • должным ли образом осуществляется хранение и защита персональных данных;
    • соответствует ли документация об их обработке требованиям законодательства и т.д.

    Источник: http://school.kontur.ru/publications/1583

    Приказ об утверждении мест хранения материальных носителей персональных данных

    ПРИКАЗ

    об утверждении мест хранения материальных носителей персональных данных

    С целью исполнения требований закона РФ от 01.01.2001 N 152-ФЗ «О персональных данных» и Постановления Правительства РФ от 01.01.2001 N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке персональных данных в ОУ название

    ПРИКАЗЫВАЮ:
    1. Определить перечень мест хранения персональных данных обрабатываемых в ОУ название. (Приложение 1).

    2. Ознакомить сотрудников, допущенных к обработке персональных данных с перечнем мест хранения.

    3. Контроль за исполнением настоящего приказа возложить на ответственного за организацию обработки персональных данных В.

    (руководитель организации) (подпись) расшифровка подписи

    ПЕРЕЧЕНЬ мест хранения персональных данных (ПДн), обрабатываемых в _______.

    Наименование документа, содержащего ПДн

    Ул. Ленина 123, кабинет 1, шкаф/сейф

    Личные дела сотрудников, трудовые книжки, приказы директора по личному составу.

    Ул. Ленина 123, кабинет 2

    Индивидуальные сведения о трудовом стаже, заработке (вознаграждении), доходе и начисленных страховых взносах застрахованного лица; Расчетные (расчетно-платежные) ведомости; Листки нетрудоспособности

    Ул. Ленина 123, кабинет 3

    Учётные карточки и формуляры читателей библиотеки

    Источник: http://pandia.ru/text/80/140/47719.php

    Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

    Постановление Правительства РФ от 15 сентября 2008 г. N 687
    «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

    В целях реализации Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

    1. Утвердить прилагаемое Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

    2. Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим постановлением.

    3. Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования.

    Председатель Правительства
    Российской Федерации

    15 сентября 2008 г.

    Положение
    об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
    (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)

    I. Общие положения

    1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

    2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

    3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

    II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

    4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).

    5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

    6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

    7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

    а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

    Читайте так же:  Сколько времени рассматривается заявление в суде

    б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

    в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

    г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

    8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

    а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

    б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

    в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

    9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

    а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

    б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

    10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

    11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

    12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

    III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

    13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

    14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

    15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

    Любые сведения о гражданине (фамилия, имя, отчество, дата и место рождения, адрес, семейное положение и т.п.) составляют персональные данные о нем. Законодательством РФ допускается их обработка, в том числе сбор, хранение, уточнение, использование и уничтожение.

    Определены особенности обработки персональных данных, осуществляемой без использования средств автоматизации. При этом действия с такими сведениями в отношении каждого из лиц производятся при непосредственном участии человека. Предусмотрено, что в таком случае данные должны отделяться от другой информации (путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм). При использовании типовых форм документов, в которые может быть включена информация о лице, необходимо соблюдать определенные условия. Так, если нужно письменное согласие гражданина на работу с его данными, типовая форма должна иметь поле, в котором он может поставить отметку о своем согласии на обработку его сведений без применения автоматизации.

    Лица, работающие со сведениями без использования автоматизированных средств, должны знать о способе и особенностях их обработки, категориях данных. При этом в отношении каждой категории следует определить место хранения материальных носителей и установить перечень лиц, причастных к обработке.

    Постановление вступает в силу по истечении 1 месяца со дня его официального опубликования.

    Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

    Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования

    Текст постановления опубликован в «Российской газете» от 24 сентября 2008 г. N 200, в Собрании законодательства Российской Федерации от 22 сентября 2008 г. N 38 ст. 4320

    Видео (кликните для воспроизведения).

    Источник: http://base.garant.ru/193875/

    Приказ местах хранения персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here