Пошаговая инструкция по назначению ответственного за организацию обработки персональных данных


Обязателен ли документ, его значение

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

ФАЙЛЫ

В перечень обязанностей ответственного за обработку персональных данных сотрудника входит контроль за защитой личной информации работников организации, доведение до них соответствующих нормативно-правовых актов компании, сбор нужных подписей и проч.

https://youtu.be/uaCg-Fh_K24

Ответственность

На кого возложить обязанность по обеспечению недоступности сведений о сотрудниках, решает организация. Ответственным может быть как одно должностное лицо (или группа лиц), так и целое подразделение. Нужно учитывать непосредственное участие в работе с личными данными кадровиков, бухгалтеров, делопроизводителей, – для них допуск является обязательным.

Подробнее об оформление приказа об установлении списка лиц, имеющих доступ к персональным данным, читайте тут.

Соответствует ли защита персональных данных действующему законодательству контролируется Роскомнадзором, Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю.

Несоблюдение порядка защиты личных данных может повлечь ответственность:

  • дисциплинарную;
  • гражданско-правовую;
  • материальную;
  • административную;
  • уголовную.

Дисциплинарная ответственность наиболее распространенный вид наказания, к которому привлекаются сотрудники, имеющие полный доступ к персональным данным, как правило, за разглашение каких-либо сведений.

Решение о наказании принимает работодатель. Нарушителю могут быть вынесены замечание, предупреждение, выговор и даже применено отстранение от должности – в зависимости от тяжести причиненного вреда.

Гражданско-правовая ответственность напрямую связана с нанесением морального вреда (уместно говорить про честь, достоинство и деловую репутацию), в связи с разглашением его персональных данных.

Если данный факт подтверждается в судебном порядке, пострадавшей стороне нарушитель, например, выплачивает компенсацию.

Статья 243 Трудового Кодекса предусматривает материальную ответственность (штрафные санкции) за нарушение порядка работы с персональными данными.

Предлагаем ознакомиться: Образец договора с председателем жск

Административная ответственность как за нарушение порядка сбора, анализа, а также хранения персональных данных, так и разглашение информации.

В соответствии со статьей 13.11 Кодекса об административных правонарушениях первое влечет за собой наложением следующих штрафов:

  • на физических лиц – триста-пятьсот руб.;
  • на должностных лиц – пятьсот-тысяча руб.;
  • на юридических лиц – пять-десять тысяч рублей.

За разглашение информации физические лица штрафуются на пятьсот-тысячу руб., должностные – четыре-пять тысяч руб. (статья 13.14 Кодекса об административных правонарушениях).

Уголовная ответственность наступает за нарушение неприкосновенности частной жизни, в том числе при использовании служебного положения.

Мера наказания может быть в виде штрафа, обязательных работ, отстранения от занимаемой должности, лишения свободы на 4- месяцев.

Кто ответственный?

Оператор самостоятельно определяет круг лиц, которые будут нести ответственность за работу с персональными данными. Основная ответственность ложится на работодателя.

В группу допуска к данным в обязательном порядке включаются сотрудники, которые по роду деятельности сталкиваются с персональными данными – например, сотрудники кадровой службы, бухгалтерии, сектора делопроизводства.

Что относится к персональным данным

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

Порядок назначения ответственного за персональные данные

Прежде всего в организации должно быть составлено положение о персональных данных, в котором регламентируется порядок сбора персональных данных, а это может происходить, как в бумажном, так и в электронном виде, также обработка, хранение и защита.

Если в организации присутствует профсоюзный орган, то предварительно данный документ согласовывается с выборным органом профсоюза. Если разногласий не обнаружено, то в течение 3-х дней после ответа профсоюза работодатель может утвердить положение издав соответствующий приказ руководителя.

На сновании положения должны действовать ответственные за сбор персональных данных лица, при этом все сотрудники должны быть ознакомлены с ним под роспись, а вновь принимаемых знакомят с документом до подписания трудового договора.

Важно! Прежде чем собирать личные данные сотрудников необходимо получить от них согласие на обработку персональных данных в виде заявления.

Потенциальный ответственный за персональные данные работник фирмы должен обладать необходимыми навыками и умениями, дабы своевременно нивелировать риски получения доступа к важной информации со стороны третьих лиц.

Трудоустроенный гражданин так же должен обладать определенной долей ответственности, так как от качества исполнения им прямых обязанностей зависит не только успех всего предприятия, но и отсутствие рисков стать одним из участников судебных разбирательств.

Для того чтобы документально грамотно оформить ответственного за персональные данные сотрудника, необходимо позаботиться о наличии нормативных локальных актов, регламентирующих границы данной ответственности.

Предлагаем ознакомиться: Уголовная ответственность за хранение гашиша по статье УК РФ

Все нюансы, касающиеся вопросов обеспечения безопасности хранения информации, прописываются в должностных инструкциях, но руководитель организации может назначать ответственным и другого работника, который изначально не подразумевал, что в его ведомстве будет находиться определенное количество важной документации.

Первым делом необходимо составить положение о персональных данных, где будет сказано, каким образом данная информация собирается, как используется и где храниться. Данное положение будет применяться ко всем видам носителей – и бумажным, и электронным.

Утверждается положение путем составления приказа, подписываемого руководителем. В данном приказе может идти речь, как об отдельном виде персональных данных, так и обо всех его категориях.

В каком виде написать приказ

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Кого назначать ответственным

Закон определяет, что субъект бизнеса должен самостоятельно назначить лицо, которое будет отвечать за работу с персональными данными сотрудников. Это значит, что таким работником может быть любой человек, который трудится в компании.

Закон не устанавливает для него каких-либо требований — к должности, образованию, навыкам и т. д.

Однако, это лицо должно будет исполнять функции и обязанности, которые возлагаются на ответственного по защите персональных данных:

  1. Выполнять контроль внутри компании за соблюдением требований закона о персональных данных, в том числе требований по их защите;
  2. разъяснять работникам компании положения нормативных актов, связанных с обработкой и защитой персональных данных;
  3. Осуществлять прием и обработку запросов на персональные данные.

Кроме этого, исполнение этих обязанностей требует навыков по подготовке распорядительной документации, а также разбираться в законодательных актах. Самым оптимальным вариантом для этой должности будет сотрудник юридического отдела. Если такого нет, то такие обязанности можно возложить на кадровика или секретаря.

Допускается назначить ответственными целый отдел. Но в этой ситуации личную ответственность за работу с персональными данными будет нести руководитель этого отдела.

Внимание! В случае, если сотрудник, назначенный выполнять данные обязанности, увольняется, то необходимо выбрать и назначить нового ответственного. При этом первым пунктом нового приказа должно быть объявление недействительным предыдущего распоряжения.

Образец приказа о назначении ответственного

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

  1. В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
  2. Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
  3. Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
  4. Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
  5. В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.

Если ответственность за отсутствие приказа

Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере. Права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011. А с 23.02.

Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:

  • дисциплинарная — на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ;
  • административная — на основании ст. 13.11 КоАП РФ (штраф до 75 000 рублей);
  • уголовная — с учетом положений ст. 137 УК РФ (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).

Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы.

Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях. Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения.

Образец

Нормами законодательства предусматривается, что хозяйствующий субъект должен определять ответственных лиц для работы с персональными данными.

Чтобы выполнить данную обязанность, руководитель организации издает приказ, которым утверждается должностное лицо для работы с персональными данными.

В соответствии с нормами только это лицо должно вести работу с персональными данными, обеспечивать их защиту, ограничивать доступ к ним третьих лиц, не допускать несанкционированное их использование.

Важно: поэтому игнорировать составление приказа на ответственное лицо, считается нарушением законодательства о персональных данных.

https://www.youtube.com/watch{q}v=LZAosedf004

За такое несоблюдение закона существует согласно КоАП ответственность в виде объявления предупреждения или установления штрафных санкций:

  • в отношении физлиц — 300-500 рублей.
  • в отношении ответственных лиц на предприятии — 500-1000 рублей.
  • в отношении юридических лиц — 5000 — 10000 рублей.
Рейтинг
( 1 оценка, среднее 5 из 5 )
Понравилась статья? Поделиться с друзьями:
Для любых предложений по сайту: [email protected]