Лица имеющие доступ к персональным данным

Приложение N 1. Список лиц, имеющих право доступа к персональным данным работников

Список лиц,
имеющих право доступа к персональным данным работников

Доступ к персональным данным работников имеют право:

— глава муниципального образования;

— заместители главы муниципального образования — к персональным данным сотрудников курируемых ими подразделений или принимаемых на работу в эти подразделения;

— управляющий делами администрации города;

— руководители органов управления, структурных подразделений — к персональным данным сотрудников возглавляемых ими подразделений;

— начальник отдела бухгалтерского учета и отчетности;

— начальник отдела, заместитель начальника отдела муниципальной службы и кадров;

— работники, обеспечивающие работоспособность аппаратно-программных средств, предназначенных для автоматизированной обработки персональных данных, — к персональным данным, обрабатываемым данными аппаратно-программными средствами;

— работники отдела бухгалтерского учета и отчетности, отвечающие за расчет заработной платы работников, кассовые операции, расчеты с подотчетными лицами.

Указанные сотрудники имеют право получать только те персональные данные работников, которые необходимы им для выполнения своих должностных обязанностей.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/16977513/de40175ab12d04d68f792b5b742a18fc/

Приказ об утверждении списка лиц, имеющих доступ к персональных данным работников

Приказ об утверждении списка лиц, имеющих доступ к персональных данным работников – документ, содержащий перечень физических лиц, которые имеют доступ к обработке персональных данных работников на предприятии. Под «обработкой данных» принято понимать получение, комбинирование, хранение, передача, а так же иное использование персональных данных работников.

Независимо от того на каком носителе хранятся полученные персональные данные работников (бумажные или электронные), в обязательном порядке должен быть установлен конкретный перечень физических лиц, которые в силу своих должностных обязанностей должны иметь доступ к персональным данным. Это отображено в Федеральном законе № 152-ФЗ «О персональных данных», целью которого является обеспечение защиты свобод и прав работника при обработке его персональных данных, а так же защиты прав на неприкосновенность его частной жизни. Таким образом, утвержденный приказом руководителя предприятия перечень конкретных лиц, ограничивает доступ к персональным данным работников, что в точности следует вышеупомянутому Закону.

Помимо соответствующего приказа, на каждом предприятии должно быть разработано Положение о персональных данных, целью которого является защита персональных данных работников от неправомерного их использования, утраты, а так же несанкционированного доступа посторонних лиц.

Источник: http://blanker.ru/doc/prikaz-ob-utverzhdenii-spiska-lits-imeyushchikh-dostup-k-personalnykh-dannym-rabotnikov

Раздел 3. Обработка, передача персональных данных. Доступ к персональным данным

Раздел 3. Обработка, передача персональных данных.
Доступ к персональным данным

1. Доступ к персональным данным работников без получения специального разрешения имеют следующие должностные лица администрации города:

— Глава администрации города Тобольска;

— Первый заместитель Главы администрации города;

— Руководитель аппарата Главы администрации города;

— начальник и сотрудники отдела муниципальной службы, кадров и наград (в пределах своей компетенции и должностных полномочий).

2. Ограниченный доступ к персональным данным работников имеют следующие должностные лица администрации города:

— главный бухгалтер и работники бухгалтерии (в пределах своей компетенции и должностных полномочий);

— председатель юридического комитета (в рамках служебной проверки, судебного разбирательства — в пределах и объеме необходимых для подготовки юридического заключения);

— руководитель служебной проверки (в рамках служебной проверки);

— руководитель структурного подразделения (в отношении подчиненных работников, в пределах своей компетенции и прав по должности);

— начальник военно-мобилизационного отдела (в пределах и объеме, необходимых для организации воинского учета и мероприятий по оформлению допуска должностных лиц и граждан Российской Федерации к государственной тайне).

3. Должностные лица контролирующих, надзорных и судебных органов получают доступ к персональным данным работников администрации города в прямо предусмотренных действующим законодательством случаях (на основании письменного запроса) в пределах и объеме необходимых для организации и проведения указанных в запросе проверочных мероприятий.

4. Должностные лица администрации города осуществляют допуск указанных в пункте 3. настоящего раздела должностных лиц при наличии на предъявляемом ими запросе визы Главы администрации города Тобольска или Руководителя аппарата Главы администрации города.

— получение персональных данных;

— проверку достоверности персональных данных;

— накопление персональных данных (ввод, учет, систематизация);

— контроль обеспечения сохранности (разграничение доступа, резервное копирование, ревизия);

— выдача по письменному запросу;

— архивное хранение (описание, экспертиза ценности, передача на постоянное хранение);

6. Все персональные данные работника Работодатель (уполномоченное им должностное лицо) получает у него самого.

7. Должностные лица, в обязанность которых входит работа с персональными данными работников, обязаны обеспечить каждому работнику возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено действующим законодательством.

8. Обработка персональных данных работника работодателем возможна только с его письменного согласия либо без его согласия в следующих случаях:

— персональные данные являются общедоступными;

— персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника при этом невозможно;

— по требованию полномочных государственных органов в случаях предусмотренных действующим законодательством.

9. Письменное согласие работника, выраженное в простой письменной форме (заявление, обращение, жалоба и т.д.) на обработку работодателем своих персональных данных должно включать в себя:

— фамилию, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность с указанием даты выдачи указанного документа и выдавшем его органе;

— наименование и юридический адрес работодателя, получающего согласие субъекта персональных данных;

— цель обработки персональных данных;

— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

— срок, в течение которого действует согласие, а также порядок его отзыва.

10. Письменное согласие работника на обработку персональных данных не требуется в следующих случаях:

— обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации в пределах полномочий работодателя;

— обработка персональных данных осуществляется в целях исполнения трудового договора;

— обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов сотрудника, если получение его согласия невозможно.

11. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения действующего законодательства, в том числе содействия работникам в трудоустройстве, обучении, профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

При определении объема и содержания обрабатываемых персональных данных работодатель руководствуется требованиями действующего законодательства.

12. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

13. При передаче персональных данных работника работодатель должен соблюдать (обеспечить исполнение) следующие требования:

— не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, если получение его согласия невозможно, а также в случаях прямо установленных действующим законодательством;

— предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим конфиденциальности (секретности);

— разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретной функции;

— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником возложенной трудовой функции;

— передавать персональные данные работника его законным (полномочным) представителям в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции;

14. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (на материальных носителях).

15. При обработке персональных данных на материальном носителе Работодатель обязан:

— обеспечить защиту материальных носителей от несанкционированного доступа, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

— осуществлять учет количества экземпляров материальных носителей;

— обеспечить недопущение несанкционированного воздействия на технические средства обработки персональных данных;

— осуществлять постоянный контроль за обеспечением надлежащего (соответствующего современным требованиям) уровня защищенности персональных данных на материальных носителях;

— осуществлять обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилами работы с ними;

— вести учет лиц, допущенных к работе с персональными данными в информационной системе и осуществляющих обработку персональных данных на материальных носителях.

16. Работник администрации города имеет право:

— получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные;

— требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных;

— получать от работодателя сведения о лицах, которые имеют доступ к его персональным данным или которым может быть предоставлен такой доступ;

— получать от работодателя перечень обрабатываемых персональных данных и источник их получения, сроки обработки и хранения персональных данных;

— получать от работодателя сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;

— требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключения, исправлениях, дополнениях;

— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Работодателя при обработке и защите его персональных данных.

17. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения:

— Главы администрации города Тобольска;

— Руководителя аппарата Главы администрации города.

18. Передача информации третьей стороне возможна только при наличии письменного согласия работника.

19. Персональные данные работников (в отношении которых нанимателем (работодателем) является администрация города) обрабатываются и хранятся в отделе муниципальной службы, кадров и наград администрации города.

> Ответственность за нарушение норм, регулирующих обработку персональных данных

Содержание Распоряжение Главы администрации г. Тобольска Тюменской области от 15 января 2009 г. N 4рк «Об утверждении Положения.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/18825336/daf75cc17d0d1b8b796480bc59f740b8/

Доступ к персональным данным

Каждый оператор (тот, кто собирает, обрабатывает и хранит личные сведения) обязан правильно организовать доступ к персональным данным. Речь идет, прежде всего, о допуске своих работников к таким данным. Ведь защита персональных данных – прямая обязанность работодателя. И право работника по трудовому договору. Их устанавливает глава 14 Трудового кодекса РФ. Частью комплекса мероприятий по защите данных является установка ограниченного перечня лиц, имеющих допуск к персональным данным.

С другой стороны, как самому человеку получить свои данные? Которые хранятся в той или иной базе? Обо всех этих нюансах мы расскажем в этой публикации.

Допуск к персональным данным самого субъекта

Каждый человек имеет право на ознакомление с материалами о себе. В силу ст. 24 Конституции РФ на должностных лиц органов государственной власти и местного самоуправления возложена обязанность ознакомить гражданина с материалами и документами, которые его касаются. Иногда, только при обращении такого гражданина. Иногда – в силу закона. Например, при составлении протокола об административном правонарушении.

• оператор получил их в результате оперативно-разыскной и т.п. деятельности, обработка данных осуществляться в целях обороны страны, защите правопорядка и безопасности государства
• в рамках уголовного дела, обвинения в преступлении, в т.ч. до предъявления обвинения (за исключением доступа к данным в рамках УПК РФ)
• оператор работает в рамках законодательства по противодействию легализации доходов (отмыванию)
• доступ субъекта персональных данных к его данным нарушает права и законные интересы третьих лиц
• обработка осуществляется в рамках транспортной безопасности

Согласно ч. 3 ст. 20 Закона информацию оператор ее носителю (субъекту) предоставляет бесплатно.

Как запросить свои личные данные

Субъект данных должен обратиться к оператору. Либо лично. Либо направить запрос с указанием:

• паспортных данных субъекта
• сведения, подтверждающие взаимоотношения субъекта и оператора – номер и дата договора, дача согласия на обработку персональных данных и т.п.
• подпись

Письменный запрос, кстати, позволит в дальнейшем ссылаться на обращение к оператору. Возможно, носитель данных захочет обратиться в суд за защитой своих персональных данных.

В силу различного правового регулирования закон допускает ограничение направления сведений в письменной форме. К примеру, есть банковская тайна. Поэтому способы получения информации могут быть ограничены личным обращением либо иным способом, указанном в договоре с банком.

Если оператор игнорирует субъекта персональных данных, есть 2 пути решения проблемы. Во-первых, информацию можно затребовать через суд. На судебный запрос оператор обязан ответить под угрозой применения судебного штрафа. Также можно написать жалобу в Роскомнадзор. Который наделен правом запросить данные у оператора самостоятельно.

Как организовать доступ к персональным данным работодателю

В силу занимаемой должности ряд сотрудников должны иметь допуск к персональным данным других работников. Например, сотрудник бухгалтерии должен правильно насчитать зарплату. И осуществить перевод денег на карту. Или сотрудник отдела кадров должен правильно оформить тот или иной приказ.

Согласно ст. 88 Трудового кодекса РФ работодатель обязан не сообщать персональные данные работника без его согласия третьим лицам. Исключение – случаи, установленные ТК РФ и иным законодательством. А также в случае угрозы жизни или здоровью работника. Тем не менее в силу ст. 88 ТК РФ работодатель наделен правом разрешить специально уполномоченным лицам доступ. Причем он может быть без ограничений (для руководителя организации, бухгалтерии) и ограниченным. Например, начальнику структурного подразделения разрешат доступ к персональным данным сотрудникам этого подразделения. Конкретный перечень работников и уровень доступа работодатель устанавливает в локальном акте – Положение о персональных данных, приказ об утверждении Положения. Просто приказ об установлении списка лиц, имеющих доступ к персональным данным работников.

Источник: http://iskiplus.ru/dostup-k-personalnym-dannym/

Департамент общественных и внешних связей Ханты-Мансийского автономного округа – Югры

Об утверждении Списка лиц,

доступ которых к персональным данным

необходим для выполнения служебных (трудовых) обязанностей

«18» ноября 2014 г. № 315

Во исполнение требований Закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

1. Утвердить Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей согласно приложениюк настоящему приказу.

2. Разрешить лицам, указанным в приложении к настоящемуприказу, доступ к персональным данным, обрабатываемым в информационных системах персональных данных Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры, а также персональным данным, которые обрабатываются на бумажных носителях без использования средств автоматизации.

3. Запретить лицам, не указанным вприложении к настоящемуприказу, доступ к персональным данным, обрабатываемым в Департаменте общественных и внешних связей Ханты-Мансийского автономного округа – Югры.

4. Организационномуотделу довести настоящий приказ до сведения сотрудников, указанных в приложении к настоящему приказу.

5. Опубликовать настоящийприказ на официальном сайте Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югрыв течение 10 дней после его издания.

6. Приказ Департамента общественных связей Ханты-Мансийского автономного округа – Югры от 11 февраля 2011 года № 25 «Об утверждении списка сотрудников Департамента общественных связей Ханты-Мансийского автономного округа – Югры доступ, которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных обязанностей» считать утратившим силу.

7.Контроль за исполнением приказа оставляю за собой.

Директор Департамента И.А. Верховский

Приложение к приказу

и внешних связей ХМАО-Югры

от _____ № _____

доступ которых к персональным данным необходим для выполнения

Источник: http://depos.admhmao.ru/dokumenty/prik/223637/

Лица имеющие доступ к персональным данным

Типичные ошибки при заполнении уведомления

Проблемные вопросы и часто допускаемые ошибки

при заполнении уведомлений (информационных писем).

Дополнительные разъяснения для практического применения

Чтобы не пропустить поля, обязательные для заполнения, заполняйте уведомление (информационное письмо) с помощью портала персональных данных .

Предварительно рекомендуем ознакомиться с примерами для заполнения уведомления – Как заполнить уведомление .

Разница между уведомлением и информационным письмом заключается в том, что в информационном письме обязательными для заполнения являются поля:

— «Сокращенное наименование оператора»,

— «Адрес оператора» (адрес местонахождения и почтовый адрес),

Далее заполняются лишь те поля, в содержание которых вносятся изменения. При этом поля необходимо заполнять ПОЛНОСТЬЮ, то есть информация не ДОБАВЛЯЕТСЯ в поле, а содержание поля в реестре ЗАМЕНЯЕТСЯ на новое.

Ошибка 1. Документ оформлен не на бланке организации

Правильно: Уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.

Ошибка 2. В поле «Наименование (фамилия, имя, отчество), адрес оператора»

Не указывается или не полно указывается адрес оператора (отсутствует почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются).

Наименования организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ.

Правильно: Почтовый адрес – это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.

Затруднения в заполнении поля «Филиалы»

Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.

Затруднения в заполнении поля «Правовое основание обработки персональных данных»

Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.

Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон). Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.

Правильно: Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.

Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).

Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных – это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.

Затруднения в заполнении поля «Цель обработки персональных данных»

Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).

ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».

— «осуществление полномочий органа власти по ….»

— «выполнение государственных функций по ….»

— «оказание государственных (муниципальных) услуг по …»

— «оказание (предоставление) услуг по ….»

— «выполнение работ по ….»

Ошибка 3. В поле «Категории персональных данных»

Указываются персональные данные конкретных физических лиц – работников, клиентов, абонентов и др.; используются фразы и др.», «и т.п.», «другая информация», «анкетные данные».

Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.

Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.

Правильно: указывать конкретно, например: фамилия, имя, отчество, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

Ошибка 4. В поле «Категории субъектов, персональные данные которых обрабатываются».

Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица.

Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях»

Категория «члены семьи работника» указывается, если например в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке; в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.

Затруднения в заполнении поля «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.

У подавляющего большинства операторов это как минимум — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.

Ошибка 5. В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»

Копируется текст, приведенный в примерах для заполнения.

Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.

Подраздел «средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты (см. Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 года № 149/5-144).

Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)

К техническим мерам можно отнести:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Затруднения в заполнении поля «Дата начала обработки персональных данных»

Фактически это дата, которая указана в свидетельстве ИНН.

Ошибка 6. Уведомление подписано неуполномоченным лицом

Уполномоченным лицом является:

— единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);

— руководитель или начальник, действующий на основании положения;

— представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.

Ошибка 7. Не указан исполнитель, контактная информация исполнителя

Поле необходимо заполнить для обратной связи с исполнителем документа.

Время публикации: 22.07.2013 15:24
Последнее изменение: 25.07.2013 12:47

Официальный интернет-ресурс Федеральной службы по надзору

в сфере связи, информационных технологий и массовых коммуникаций

Источник: http://32.rkn.gov.ru/personal-data/p13325/

Конфиденциальность персональных данных: оформление приказа об установлении списка лиц, имеющих доступ к ним

При трудоустройстве и в процессе дальнейшей трудовой деятельности работник передает работодателю свои персональные данные. Информация эта требует защиты, доступ к ней должен быть ограниченным.

Соответственно выделяются узкий круг лиц, которые имеют право работать с конфиденциальной информацией для выполнения своих служебных обязанностей. Они назначаются специальным приказом.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Кем издается?

Приказ представляет собой правовой акт, который относится ко всему предприятию, определяет его деятельность и решает его основные задачи. Приказ издается единолично руководителем фирмы.

Содержание

В перечень таких лиц могут войти руководитель, его заместители, работники отдела кадров, сотрудники бухгалтерии, служба безопасности, секретарь и иные работники, которым эти сведения нужны для выполнения трудовых обязанностей.

Доступ может быть и к информации, предоставленной клиентами организации или другими лицами. Все это требует отдельного уточнения при составлении документа.

Если допуск понадобится лицам, не обозначенным в приказе, для них издается отдельный документ. Допуск регистрируется в журнале.

Общие правила составления

1. Приказ оформляется на бланке формата А4.
2. Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
3. Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты.

В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных (а более детально о нюансах оформления приказа о назначении ответственного за обработку и другие действия с персональными данными читайте тут). Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.

Распорядительная часть отделяется глаголом «ПРИКАЗЫВАЮ». Он пишется после констатирующей части с новой строки, без кавычек. В конце ставится двоеточие, а далее идут пункты, необходимые к выполнению. Они нумеруются арабскими цифрами. Могут быть и подпункты.

Последним пунктом указывается лицо, на которое возлагается контроль за исполнением приказа.

Перед подписанием документ проверяется на наличие орфографических и стилистических ошибок.

Внизу документа ставят подписи те лица, к которым он относится.

Утверждение перечня личных сведений

Правовой акт включает в себя:

1. Наименование организации. Например, МОУ СОШ №7.
2. Название документа (ПРИКАЗ) и его номер.
3. Дату создания. Например, 5 октября 2016 г.
4. Место создания. Например, г. Пермь.
5. Отсылку к законодательной базе, на основании которой он создается.

Пример: В целях соблюдения закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и в целях защиты персональных данных сотрудников.
Утверждение перечня и отсылку к нему. Перечень часто оформляется в виде приложения.

Утвердить прилагаемый перечень данных МОУ СОШ №7.

Назначение ответственного за исполнение.

Например: Контроль за исполнением приказа оставляю за собой.
Перечень персональных данных, оформленный в виде таблицы или иным способом. Столбцы таблицы составляются в зависимости от целей и задач компании.

Установление списка лиц, имеющих доступ к такой информации

В правовом акте должно присутствовать:

Название организации (указывается сверху). Например, ООО «Родон».

Название документа (ПРИКАЗ), его номер.

Дата составления. Например, 4 августа 2017 г.

Место составления. Например, г . Москва.

Ссылка на законодательство, на основании которого он издается.

Пример: В соответствии с Трудовым кодексом РФ и законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
Перечень работников, допущенных к сведениям, с указанием их должности.

Вот примерно как выглядит документ для утверждения списка лиц, имеющих доступ к личным сведениям работников:

1. Генеральный директор Г. Е. Чуриков.
2. Зам. генерального директора К. А. Голиков.
3. Начальник отдела кадров И. Н. Дирина.
4. Главный бухгалтер Е. Г. Листовская.

Указание лица, ответственного за исполнение.

Пример: Контроль за исполнением возложить на К. А. Голикова.

Подписи всех лиц, указанных в правовом акте, и подпись руководителя организации.

Каждый работник, получивший доступ, должен подписать соглашение о неразглашении персональных данных. Тогда в случае утечки информации и ее неправомерного использования можно наказать виновных. Если такое соглашение не было подписано, вся вина ложится на руководителя предприятия.

Это могут быть дисциплинарные взыскания (увольнение, выговор, замечание), штрафы.

Оформление готового документа

1. Документ предпочтительно напечатать на компьютере.
2. Оформление документа стандартное.
3. Сверху указывается организация, далее ставится дата создания, номер и название.
4. Сам текст состоит из отсылки к законодательным актам, потом следует перечень тех действий, которые необходимо выполнить работникам.
5. Внизу приказа должны быть подписи лиц, указанных в правовом акте, а также подпись лица, издавшего приказ, т.е. руководителя компании или его заместителя.
6. Если необходимо, к документу добавляется приложение.
7. Приказ должен быть учтен в специальном журнале. Туда вносится наименование правового акта, его номер и дата составления.

Наказания за нарушения в работе с персональными данными ужесточились. Поэтому к оформлению и содержанию приказов нужно подойти серьезно, чтобы избежать штрафов при проверке. Документы должны быть составлены в соответствии с требованиями законодательства.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (800) 350-22-67 Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/izdanie-prikaza/obrazets-p.html

10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Ошибка № 2. Не назначили ответственного за обработку персональных данных

Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираете и храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.

Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

Согласие на обработку персональных данных должно содержать:

1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.

4. Цель обработки персональных данных.

5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.

7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.

8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

9. Подпись субъекта персональных данных.

Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Источник: http://vc.ru/legal/81210-10-oshibok-pri-rabote-s-personalnymi-dannymi-k-chemu-prideretsya-roskomnadzor