Основные локальные акты по защите персональных данных. Образец положения о персональных данных работников. Защита персональных данных работников: локальные нормативные акты

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур , Б-152 , FreshDoc . А можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример .

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый , второй .

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах. Пример.
Рекомендации Роскомнадзора по составлению документа , определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример .

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано . Пример Приказа .

9. Проект системы защиты информационной системы персональных данных. Пример .

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример .

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример .

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример .

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример .

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти и .

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример .

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании .

18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример .

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример .

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё .

24. Журнал учета средств защиты информации(перечень технических средств). Пример .

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример .

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример .

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. .

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример .

32. Форма ответа на запрос субъекта персональных данных. Пример .

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].

Инструкция о защите ПДн при использовании бумажных и любых других носителей информации, вычислительной техники и автоматизированных систем обработки и (или) передачи данных. 4. Приказ о назначении лица или подразделения, ответственных за работу и обеспечение защиты ПДн, и наделении их соответствующими полномочиями. 5. Должностные инструкции лиц, ответственных за защиту информации. 6. План мероприятий по защите информации. 7. Перечень защищаемых объектов информатизации. 8. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа. 9. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами. 10. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации. 11. Инструкция по защите речевой информации при проведении конфиденциальных совещаний. 12.

Какие локальные нормативные документы регулируют работу с персональными данными

• наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись сотрудника.

• Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
• налоговые органы (ст.

Какие локальные акты регламентируют работу с персональными данными?

Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях. Следующий аргумент в пользу принятия рассматриваемого локального акта — его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда.

Защита персональных данных работников: локальные нормативные акты

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
Что такое персональные данные Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ. Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Защита персональных данных: разрабатываем локальные акты учреждения (зайцева г.)

Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением). Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
То есть круг сведений устанавливается в локальном нормативном акте организации — положении о персональных данных. Здесь важно разграничить персональные данные работника и обучающегося, а также документы, содержащие эту информацию.

Локальные нормативные акты работодателя - разберемся в нюансах

Приказ о назначении лица, ответственного за организацию работы с персональными данными (им, как правило, становится либо менеджер по кадрам, либо бухгалтер). Основанием для такого назначения является п. 1 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ. Обязанности ответственного сотрудника (согласно ст. 22.1 Федерального закона N 152-ФЗ) могут быть определены отдельным документом.
2. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (основание — п. 13 Положения, утвержденного Постановлением Правительства РФ N 687). Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 ТК РФ). 3.

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами - физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Персональные данные - это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных .

Внимание! Законодательство устанавливает, что в состав Положения должно входить . Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Какие данные сотрудников являются персональными

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

• Полные личные данные работника (Ф.И.О.).
• Сведения о месте и дате появления его на свет.
• Адрес фактический и по регистрации.
• Социальное, семейное, имущественное положение.
• Имеющиеся у работника образование, профессия.
• Сведения о получаемых сотрудником доходах и т. д.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Какие локальные нормативно-правовые акты должны быть приняты в городском совете в отношении персональных данных муниципальных служащих? Какой алгоритм принятия данных документов?

Ответ

Ответ на вопрос:

На основании ч. 2 ст. 3 Закона № 25-ФЗ на муниципальных служащих распространяется действие трудового законодательства с особенностями, предусмотренными Законом № 25-ФЗ. При работе с персональными данными также нужно учесть и положения Указа Президента от 30.05.2005 № 609 и постановления Правительства РФ от 21.03.2012 № 211

Следовательно, рассмотрев ваш вопрос, можно сказать, что единого перечня локальных нормативных актов, которые должны быть в отделе кадров, не существует: в каждой организации он свой.

Что касается вопроса: Какой алгоритм принятия данных документов?

Порядок разработки локальных нормативных актов законодательно не установлен, поэтому работодатели определяют его самостоятельно.

На практике, порядок разработки локальных нормативных актов можно разделить на следующие этапы:

Также, необходимо назначить ответственного руководителя рабочей группы, который будет координировать участников, и контролировать установленные сроки разработки локального нормативного акта.

В процессе согласования документ передается от лиц, занимающих нижестоящие должности, лицам, занимающим вышестоящие должности.

Согласование локального нормативного акта оформляют реквизитом "Виза согласования документа". Этот реквизит включает подпись и должность визирующего документ, расшифровку подписи (инициалы, фамилию) и дату подписания, например:

1. Определение вопросов, по которым требуются разработка и утверждение локального нормативного акта . На практике такая потребность выявляется в ходе совещаний, планерок. Сами работники организации могут выступить с инициативой создания локального нормативного акта при выявлении в ходе работы неурегулированных вопросов.
2. Определение этапов и сроков разработки локального нормативного акта . На практике работодатель устанавливает их при обсуждении вопросов, в отношении которых требуются разработка и утверждение локального нормативного акта.
3. Создание рабочей группы по разработке локального нормативного акта . Такая группа может состоять из работников отдела кадров, юридического отдела, бухгалтерии. При необходимости включаются руководители подразделений, в отношении которых разрабатывается локальный нормативный акт. Это позволяет решить все спорные вопросы и согласовать документ с заинтересованными подразделениями еще на стадии разработки.
4. Подготовка проекта локального нормативного акта. На практике такой проект разрабатывает участник рабочей группы, назначенный ответственным исполнителем. Остальные члены группы вправе вносить предложения и замечания в ходе подготовки проекта документа. При необходимости ответственный исполнитель дорабатывает его с учетом внесенных замечаний.
5. Согласование проекта локального нормативного акта . На данном этапе проект необходимо согласовать с участниками рабочей группы и другими заинтересованными лицами (подразделениями).
6. После согласования проект передается на утверждение работодателю . Если для принятия локального нормативного акта необходимо учитывать мнение представительного органа работников (профсоюза), то до утверждения работодателем проект документа и обоснование по нему должны быть направлены в этот орган. Такой порядок предусмотрен ст. 372 ТК РФ.

Если в организации есть профсоюз, то до передачи документа на подпись руководителю нужно получить мотивированное мнение профсоюза на данный проект.

Согласно ст. 12 ТК РФ локальный акт вступает в силу со дня его принятия работодателем или со дня, указанного в этом документе.

Работодатель может принять локальные акты следующими способами:

• утвердить;
• издать приказ (распоряжение) об утверждении локального акта.

При утверждении локальных актов необходимо руководствоваться нормами "Унифицированной системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов. ГОСТ Р 6.30-2003" (утв. Постановлением Госстандарта России от 03.03.2003 N 65-ст).

Также, локальный акт может приниматься путем издания приказа (распоряжения). Унифицированной формы для такого приказа не предусмотрено, поэтому работодатель вправе определить ее самостоятельно (образец смотрите ниже). В приказе об утверждении локального акта необходимо отразить:

• дату введения локального акта в действие;
• указание об ознакомлении работников с локальным актом и сроки для этого;
• фамилии и должности лиц, ответственных за соблюдение локального акта;
• другие условия.

В первом случае, на документе гриф утверждения проставляется справа на верхнем поле первого листа документа. В данной графе "Утверждаю" руководитель организации ставит свою подпись и дату утверждения. С этого момента утверждаемый документ вступает в силу и действует до его замены новым. При этом, необходимо отметить, что при утверждении документа грифом "Утверждаю", в дальнейшем не требуется издавать приказ об утверждении.

Во втором случае, издается приказ (распоряжение). При этом, унифицированной формы для такого приказа не предусмотрено, поэтому работодатель вправе определить его самостоятельно. При утверждении документа приказом, гриф утверждения состоит из слова УТВЕРЖДЕН (УТВЕРЖДЕНА, УТВЕРЖДЕНЫ или УТВЕРЖДЕНО), наименования утверждающего документа в творительном падеже, его даты, номера.

Таким образом, можно сказать, что эти два способа утверждения локальных актов являются правомерными.

Подробности в материалах Системы Кадры:

Персональные данные сотрудников

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

Кроме того, согласие не требуется в следующих случаях:

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в

1. Ответ: Как организовать обработку персональных данных сотрудников
   • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
   • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
   • цель обработки персональных данных;
   • перечень персональных данных, на обработку которых дается согласие;
   • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
   • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
   • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
   );
2. иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

• обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);
• проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
• обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
• обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
• обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Самые важные изменения этой весны!

• 
  В работе кадровиков произошли важные изменения, которые надо учитывать в 2019 году. Проверьте в формате игры, все ли нововведения вы учли. Решите все задачи и получите полезный подарок от редакции журнала «Кадровое дело».
• 
  Читайте в статье: Зачем кадровику проверять бухгалтерию, нужно ли сдавать новые отчеты в январе и какой код утвердить для табеля в 2019 году
• 
  Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.
• 
  Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.
• 
  Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.

Нашей организации пришло электронное письмо от Единого центра сертификации "XXX" о том, что мы не можем продолжать свою деятельность, так как необходимо с ИХ помощью разработать комплект документации по информационной безопасности и уведомить Роскомнадзор об обработке персональных данных, а также получить сертификат соответствия ГОСТ Р 52069.0-2013. В нашей организации хранятся только личные дела сотрудников, передача информации третьим лицам осуществляется только в целях осуществления образования сотрудников (в соответствии с ст. 86 п. 1 Трудового Кодекса) и для получения банковских карт. Является ли данное письмо правомерным и необходимо ли нам разрабатывать документацию, а также уведомлять Роскомнадзор? Если в соответствии с ФЗ-152 п.2 п.п.1, 8:2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) обрабатываемых в соответствии с трудовым законодательством; 2) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. В случае, если мы должны разрабатывать документацию по информационной безопасности, имеем ли мы право сами разработать ее без получения сертификата соответствия? Какой список обязательных документов по информационной безопасности?

Ответ

1. Да, организация обязана разрабатывать документацию по обработке персональных данных ( Закона № 152-ФЗ).

Организация также обязана направлять в Роскомнадзор уведомление об обработке персональных данных, за исключением случаев обработки персональных данных, указанных в Закона № 152-ФЗ ( Закона № 152-ФЗ).

Если отношения по обработке персональных данных выходят за рамки трудовых отношений (например, при передаче персональных данных работников сторонним организациям для ведения кадрового и бухгалтерского учета, для оформления и обслуживания зарплатных карт и т.п.) уведомлять Роскомнадзор необходимо.

2. Законодательством не установлен единый перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

Организация разрабатывает такой перечень самостоятельно в соответствии с требованиями и Закона № -ФЗ.

Единственным условием является, что они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом № -ФЗ.

Как правило, организации разрабатывают следующие документы по работе с персональными данными (ПД):

Положения (о защите, обработке, хранении и использовании ПД),

Инструкции (для ответственных за обработку данных, по учету лиц допущенных к ПД),

Приказы (назначение ответственных за обработку ПД, установление списка лиц имеющих доступ к ПД, о местах хранения ПД и т.п.),

Согласия (на обработку ПД, на получение ПД третьих лиц),

Журналы (учета обращений субъектов ПД, учета передачи ПД и т.п.) и другие.

Требование об обязательном получении сертификата соответствия ГОСТ Р 52069.0-2013 законодательство не содержит.

Оценка соответствия осуществляется в обязательном порядке в отношении средств защиты информации ( Закона № 152-ФЗ).

Обоснование данной позиции приведено ниже в материалах «Системы Юрист» .

1.Статья из журнала «Кадровое дело», №8, август 2015: Персональные данные: что проверит Роскомнадзор

«Основные документы, которые проверит Роскомнадзор

Приходя в организацию, Роскомнадзор обязательно проверит ( Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312, далее - Административный регламент):

Документы, в которых содержатся или могут содержаться персональные данные;

Информационные системы персональных данных;

Деятельность по обработке данных.

В первую очередь специалист Роскомнадзора проверит наличие уведомлений об обработке персональных данных и уведомлений о прекращении их обработки; письменных согласий сотрудников на обработку личных сведений; документов, подтверждающих уничтожение данных по достижении цели их обработки; локальных актов работодателя о работе с персональными данными ( Административного регламента).*

Если проверка проводится по заявлению о нарушении законодательства или с целью контроля исполнения предписания, то специалист Роскомнадзора вправе запрашивать документы, которые необходимы для проверки сведений, изложенных в заявлении.

Уведомление об обработке персональных данных. Прежде чем приступить к обработке персональных данных, каждая организация должна уведомить об этом территориальный орган Роскомнадзора ( Закона № 152-ФЗ). В его адрес необходимо направить специальное уведомление в бумажном или электронном виде3 ( Закона № 152-ФЗ). Однако существуют случаи, когда его можно не направлять. Например, если обработке подвергаются только фамилия, имя и отчество сотрудника либо когда это необходимо для оформления разового пропуска на территорию организации и др. ( Закона № 152-ФЗ).

Уведомление о прекращении обработки персональных данных. Если работодатель прекратил обрабатывать персональные данные, то в течение 10 рабочих дней он должен уведомить об этом орган Роскомнадзора ( Закона № 152-ФЗ). Уведомление можно составить в произвольной форме.

Положение о персональных данных работников. Этот локальный акт должен быть в каждой организации ( ТК РФ). В нем обязательно нужно указать перечень документов компании, которые содержат персональные данные, определить внутренний (для работников организации) и внешний (для представителей других компаний и государственных органов) порядок доступа к таким данным, а также требования к порядку их сбора, передачи, хранения и уничтожения. Проверьте, чтобы все сотрудники организации были ознакомлены с положением под роспись ( , ТК РФ).

Письменное согласие работника на обработку персональных данных. Такое согласие должен дать каждый работник, который ознакомлен с положением о персональных данных ( , Закона № 152-ФЗ). Если сотрудник отказывается дать согласие на обработку своих данных, организация имеет право продолжать обрабатывать их без его разрешения для исполнения возложенных на нее обязанностей (передачи сведений в ПФР, ФСС России др.). Работодатель не имеет права наказать и тем более уволить работника за отказ от дачи такого согласия.

Обязательство о неразглашении персональных данных. От каждого сотрудника, который работает с персональными данными, нужно получить письменное обязательство об их неразглашении. Рекомендуем также указать в должностной инструкции, что работник имеет доступ к таким сведениям в связи с исполнением трудовых обязанностей. Дело в том, что увольнение сотрудника за разглашение персональных данных возможно, только если они стали ему известны в связи с исполнением должностных обязанностей и он давал обязательство не распространять такие сведения ( постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2)».

2. Статья из журнала «Справочник кадровика», №5, май 2015.: Работа с персональными данными. Готовимся к проверке

«Перечень мер по защите персональных данных работодатель определяет самостоятельно. Единственное требование: они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом о персональных данных.

Пожалуй, к числу обязательных можно отнести все те меры, которые перечислены в Закона о персональных данных. К ним относятся:

1. Назначение ответственного за организацию обработки персональных данных.

2. Разработка документа, определяющего политику организации в отношении обработки персональных данных, других локальных нормативных актов, предусматривающих в том числе меры по предотвращению и выявлению нарушений трудового законодательства в данной сфере и устранению последствий таких нарушений.

3. Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со Закона о персональных данных.

4. Осуществление внутреннего контроля и (или) аудита на предмет соответствия обработки персональных данных закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора.

5. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите, документами, определяющими политику оператора в отношении обработки этих данных, соответствующими локальными актами.

Документ, регламентирующий права и обязанности работников в области персональных данных ();

Локальный нормативный акт, регулирующий передачу персональных данных в пределах одной организации, одного индивидуального предпринимателя (). *

Готовясь к проверке, необходимо не только проверить наличие указанных документов, но и проверить их содержание на предмет соответствия законодательству, а также ознакомить с ними всех работников, чьи права и обязанности они так или иначе затрагивают.

Что же касается работников, которые не имеют доступа к персональным данным других лиц для исполнения трудовой функции, закон требует регламентировать их права и обязанности по отношению к собственным персональным данным.

Чтобы выполнить это требование, достаточно будет отразить соответствующие права и обязанности в локальном нормативном акте об обработке персональных данных. Дополнительно их можно закрепить в правилах внутреннего трудового распорядка. За основу регламентации указанных прав и обязанностей следует взять ТК РФ, а также ст. - Закона о персональных данных.

Итак, Закон о персональных данных требует наличия:

1) документов, определяющих политику оператора — юридического лица в отношении обработки персональных данных;

2) локальных актов по вопросам обработки персональных данных;

3) локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений*.

СИТУАЦИЯ

Руководство поставило задачу разработать политику организации в отношении обработки персональных данных. Как это сделать? Какой документ нужно издать в первую очередь?

Политика оператора в отношении обработки персональных данных представляет собой документ общего действия, касающийся персональных данных любых лиц, предоставляющих их этому оператору. Поэтому законодатель требует размещения такого документа на официальном сайте оператора.

Локальные нормативные акты, указанные в Законе о персональных данных, напрямую затрагивают трудовые правоотношения. Поэтому работодатель должен их принять. Требование о наличии локального акта по вопросам обработки персональных данных совпадает с аналогичным требованием ТК РФ, о чем было сказано ранее.

Порядок обработки персональных данных может быть отражен в соответствующем локальном нормативном акте, там же следует зафиксировать и требования к передаче персональных данных у одного работодателя как части общего процесса обработки. Кроме того, в этом локальном акте можно указать права и обязанности работников в области персональных данных.

Что касается процедур, направленных на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, то названные процедуры могут быть прописаны либо в отдельном положении, либо в общем локальном нормативном акте об обработке персональных данных.

В частности, недопустимо проводить обработку специальных или биометрических персональных данных без согласия их субъекта, если такая возможность не предусмотрена законом. Запрещено устанавливать дисциплинарные взыскания за нарушения в области персональных данных, не предусмотренные законодательством, и т. д.

Кроме того, в указанных документах должны быть закреплены меры по защите персональных данных работников. О необходимости применения правовых, организационных и технических мер по обеспечению их безопасности говорится в Закона о персональных данных.

В заключение отметим, что ответственность работодателя за нарушение требований законодательства в области персональных данных может наступить как по общим нормам, то есть в целом за нарушение трудового законодательства ( Кодекса РФ об административных правонарушениях), так и по специальным составам административных правонарушений:

За непредоставление информации (ст. , КоАП РФ);

Нарушения в области персональных данных (ст. , КоАП РФ)».