Главная Онлайн сервисы

Защита персональных данных на предприятии. Образец положения о персональных данных работников

30.07.2019

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами - физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Персональные данные - это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных .

Внимание! Законодательство устанавливает, что в состав Положения должно входить . Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Какие данные сотрудников являются персональными

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

  • Полные личные данные работника (Ф.И.О.).
  • Сведения о месте и дате появления его на свет.
  • Адрес фактический и по регистрации.
  • Социальное, семейное, имущественное положение.
  • Имеющиеся у работника образование, профессия.
  • Сведения о получаемых сотрудником доходах и т. д.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Список информации, которая может быть отнесена к ПД сотрудника не является закрытым, поэтому каждый субъект, ведущий бизнес, имеет право расширять его, при этом данные категории должны быть обязательно зафиксированы в Положении предприятия.

Внимание! Существует информация о работнике, которая никогда не должна запрашиваться администрацией компании, так как она является сугубо личной. Сюда относится, к примеру, вероисповедание, национальность. Если кто-то попытается узнать подобную информацию, это будет расценивать как попытка вторжения в личную жизнь работника.

Скачать образец положения о защите данных сотрудников на 2018 год

Что должно содержать положение о защите персональных данных

Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

Общие положения

Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

Перечень персональных данных сотрудников

Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных. Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений. Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

Операции с персональными данными

В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

Доступ к персональным данным

В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

Обязанности работников с доступом к персональным данным

В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

Права работников в отношении операций с персональными данными

Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

Защита персональных данных

В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные. Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.). Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.

Порядок утверждения положения о персональных данных сотрудников

Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия.

Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.

Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

бухпроффи

Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

Ответственность за разглашение персональных данных

C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

  • Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц - 5-10 тыс. р., для предприятий - 30-50 тыс. р.
  • Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц - 10-20 тыс. р., на организации - 15-75 тыс. р.
  • Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц - 3-6 тыс. р., на предпринимателя - 5-10 тыс. р., на организацию - 15-30 тыс. р.
  • Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц - 4-6 тыс. р., на предпринимателей - 10-15 тыс. р, на компании - 25-40 тыс. р.

Персональные данные - это различного рода информация, которая относится к определенному физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Как и любая другая информация, персональные данные обрабатываются, т. е. происходит их сбор, систематизация, накопление, хранение, передача, уничтожение и т.д. Для того, чтобы обработка персональных данных не могла нарушить права и свободы гражданина, в т.ч. права на неприкосновенность частной жизни, личную и семейную тайну, требуется должная защита персональных данных. Актуальной эта тема является и для всех работодателей, ведь они, по сути, постоянно занимаются обработкой тех или иных персональных данных своих работников. Сюда относятся, к примеру, паспортные данные работника или адрес его проживания, информация об образовании или стаже работника, сведения о заработной плате или семейное положение сотрудника и т.д. Важность этой области подтверждается тем, что в ТК РФ вопросам защиты персональных данных работников посвящена отдельная глава - гл. 14 «Защита персональных данных работника». О защите персональных данных в организациях расскажем в нашей консультации и приведем образец Положения о защите персональных данных работников 2017.

Политика обработки и защиты персональных данных работников

Общие требования к обработке персональных данных работника, а также вопросы защиты персональных данных на предприятии содержатся в ст. 86 ТК РФ .

Так, ТК РФ устанавливает, в частности, следующие аспекты обработки и защиты персональных данных:

  • обработка персональных данных работника производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работника нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работника от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников и их представителей с порядком обработки персональных данных работников, а также с их правами и обязанностями в этой области.

При этом требования к защите персональных данных работников не могут рассматриваться в отрыве от вопросов передачи персональных данных. Так, работодатель при передаче персональных данных работника обязан соблюдать определенные требования.

К ним, в частности, относятся (ст. 88 ТК РФ):

  • по общему правилу не сообщать персональные данные работника третьей стороне без письменного согласия работника;
  • предупреждать лиц, которые получают персональные данные работника, что эти данные могут использоваться лишь в целях, для которых были сообщены;
  • передавать персональные данные работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным работников лишь специально уполномоченным лицам;
  • не запрашивать информацию о состоянии здоровья работника (кроме случаев, связанных с проверкой возможности выполнять работником трудовую функцию).

В то же время, согласие работника на передачу персональных данных требуется не всегда. Так, согласие не требуется, когда передача персональных данных необходима для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ) или необходима на основании других Федеральных законов (сюда относятся, к примеру, сведения в ПФР, ФСС, налоговые органы и т.д.).

Ответственность за нарушение требований по защите персональных данных

Ответственность за нарушения требований по обработке и защите персональных данных работника разнообразная. Она касается, как работников, так и самого работодателя.

К примеру, работник может быть уволен за разглашение ставших известными ему при исполнении своих трудовых обязанностей персональных данных другого работника. Ведь это будет считаться грубым нарушением работником своих трудовых обязанностей (пп. «в» п. 6 ст. 81 ТК РФ).

А, например, обработка персональных данных в случаях, не предусмотренных законодательством РФ, может повлечь штраф на должностных лиц от 5 000 до 10 000 рублей, а на организацию-работодателя - от 30 000 рублей до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Обращаем внимание, что штрафы с 01.07.2017 существенно выросли. Если раньше максимальный штраф на организацию за нарушение порядка сбора, хранения, использования или распространения персональных данных составлял 10 000 рублей, то с 01.07.2017 он вырос до 75 000 рублей.

Положение о защите персональных данных 2017: образец

Учитывая, что работники имеют право на полную информацию об их персональных данных и обработке этих данных, работодатель обязан ознакомить их с соответствующими документами (абз. 2 ст. 89 ТК РФ). Для этих целей может быть разработано Положение о защите персональных данных, с которым работодатель обязан знакомить всех вновь принимаемых работников.

Приведем Положения об обработке и защите персональных данных, размещенного в справочно-правовой системе КонсультантПлюс.

Первым пунктом в ней значится согласие субъекта (в данном случае сотрудника) на получение, хранение и использование работодателем информации такого рода. Без письменного согласия не обрабатываются и любые биометрические данные - фото и видео, отпечатки пальцев, сканы радужной оболочки глаза, образцы ДНК. Скачать чистый бланкСкачать в.doc Скачать заполненный образецСкачать в.doc Важно: в законном порядке получать и обрабатывать без согласия сотрудника можно только сведения, необходимые для исполнения трудового договора! Читайте по теме в электронном журнале Защита персональных данных: документальное оформление В письменном виде оформляется не только согласие на обработку персональных данных.

Первый

Внимание

Скачать чистый бланкСкачать в.doc Скачать заполненный образецСкачать в.doc Обязательства о неразглашении персональных данных работников-2017 Обязательство о неразглашении персональных данных работника в 2017 году подписывает каждый, кто так или иначе привлекается к их обработке. Основной принцип доступа состоит в целевом использовании информации. Бухгалтер использует сведения о сотруднике для начисления зарплаты и удержания НДФЛ, кадровик - для оформления личного дела и текущей кадровой документации, и так далее.

Во время работы нужно строго соблюдать установленные работодателем требования - не оставлять документы без присмотра, не передавать их третьим лицам, не разглашать пароли доступа к электронным формам, содержащим конфиденциальную информацию и во всем следовать «Положению».

Положение о хранении и использовании персональных данных работников

Инфо

Все остальные работники имеют право на полную информацию только об их персональных данных и обработке этих данных. 4.1.2. Получение сведений о персональных данных работников третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия работника, персональные данные которого затребованы. 4.1.3. Получение персональных данных работника третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законом.

4.2. Внешний доступ (другие организации и граждане).

Как оформить приказ об утверждении положения об оплате труда?

К дисциплинарной или материальной ответственности могут быть привлечены специалисты, принявшие на себя обязанности по соблюдению правил работы с персональными данными. Эти условия должны быть прописаны в трудовом контракте, работника необходимо ознакомить с внутренними документами, регулирующими защиту конфиденциальной информации. Материальная ответственность наступает при возможности рассчитать убытки, причиненные в результате противоправных действий (например, при присуждении штрафа предприятию или возмещения ущерба).
Посмотрите видео по теме: Контролирующие органы привлекают работодателя и ответственных лиц за нарушения при сборе, хранении и использовании персональных данных по КоАП. С 1 июля 2017 года ужесточается этот вид ответственности - увеличивается количество штрафов, проще становится сам процесс.

Образец обязательства о неразглашении персональных данных работников

Важно

Лица, составляющие и обрабатывающие эти сведения, должны быть предупреждены о том, что они работают с персональными данными и отвечают за неразглашение информации. Прочитайте полезные статьи по теме: Положение о персональных данных работников 2017 Ст. 87 ТК РФ требует от нанимателя регламентировать работу с личными данными персонала, но не определяет, каким образом это делать. На практике обязанность исполняется созданием Положения о персональных данных или иного локального документа.

Персонал компании необходимо под роспись ознакомить с внутренним актом, а также получить разрешение на обработку сведений. В 2017 году ужесточается ответственность работодателя и уполномоченных лиц за раскрытие конфиденциальных материалов, поэтому следует уделить пристальное внимание содержанию Положения о персональных данных работников и их защите.

Приказ об утверждении положения о персональных данных

Обязательство о неразглашении персональных данных: образец-2017 Когда дело доходит до составления обязательства о неразглашении персональных данных работников, образец поможет сделать все правильно и ничего не упустить из виду. Несмотря на отсутствие унифицированной формы документа, есть ряд условий и реквизитов, без которых не обойтись, в том числе: сведения о работодателе (название, адрес организации); сведения о работнике (должность, паспортные данные); пункт, подтверждающий факт ознакомления с «Положением о защите персональных данных» и другими локальными документами, имеющими отношение к делу; обязательство не разглашать и не распространять (в том числе с целью получения выгоды) конфиденциальные данные; пункт о том, что сотрудник предупрежден об ответственности за разглашение информации ограниченного доступа.

Составляем положение о персональных данных работников — образец 2017

Сообщение сведений о персональных данных работников и персональных данных, содержащихся в административных делах, другим организациям и гражданам разрешается при наличии письменного согласия гражданина и заявления подписанного руководителем организации либо гражданином, запросившим такие сведения. 4.2.1. Предоставление сведений о персональных данных гражданина без соответствующего их согласия возможно в следующих случаях: а) в целях предупреждения угрозы жизни и здоровья; б) при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»; в) при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов. 4.2.2.

Приказ о защите персональных данных работников — образец

Обработка персональных данных работника осуществляется исключительно в целях: а) обеспечения соблюдения законов и иных нормативных правовых актов; б) содействия работникам в трудоустройстве; в) обеспечения личной безопасности работников; г) контроля количества и качества выполняемой работы; д) обеспечения сохранности имущества работника и работодателя. Все персональные данные работника следует получать у него самого, за исключением случаев, если их получение возможно только у третьей сторон. Получение персональных данных работника у третьих лиц, возможно только при уведомлении работника об этом заранее и с его письменного согласия.

Наказ должен содержать такие пункты:

  • Дату и место составления;
  • Полное название предприятия и его реквизиты;
  • Начинается с фразы: «Утвердить (название акта)»;
  • Дату, с которой он начинает действовать;
  • Фразу об отмене старого распоряжения, как утратившего силу. В предложение вписать его номер и дату;
  • Данные об ответственном за исполнение распоряжения, например можно оставить себя: «Контроль исполнения настоящего приказа оставляю за собой» или возложить ответственность на другое лицо фразой: «За контроль исполнения данного приказа отвечает ФИО» или «За исполнение приказа ответственный ФИО».

Приказ об утверждении положения об оплате труда - образец 2017 Правильно составить распоряжение об утверждении положения поможет соответствующий образец. Следуя заполненному образцу, работодатель будет уверен в его актуальности.

Если просто, то персональные данные — это сведения о человеке. Закон № 152-ФЗ от 26.07.2006 дает более длинную формулировку, где человек именуется субъектом, который определяется по четким критериям правовых норм. Также вопрос регламентирован главой 14 Трудового кодекса Российской Федерации и Конституцией Российской Федерации.

В первую очередь тема важна для работодателей, так как трудовые правоотношения напрямую связаны с обработкой сведений о персонале. Именно поэтому на каждом предприятии утверждается Положение о работе с персональными данными работников. К этим данным относятся:

  • место жительства (регистрации);
  • номер телефона;
  • данные о документе, удостоверяющем личность;
  • доходы (зарплата, налоги);
  • наличие детей;
  • семейное положение;
  • образование;
  • состояние здоровья;
  • количество проработанных лет (стаж).

Утверждая Положение об обработке и защите персональных данных, вы можете дополнить или детализировать перечень.

Положение о защите персональных данных — 2019

Если обратиться к ст. 87 Трудового кодекса Российской Федерации и к статье 81.1 ФЗ 152, то прямого указания на порядок оформления работы с данными сотрудников нет. Нормы просто указывают на необходимость регламентировать такие операции. Самый распространенный на практике способ — издание соответствующего внутреннего документа. Образец Положения о персональных данных — 2019 можно скачать после прочтения статьи.

Локальный акт утверждается приказом по предприятию и подлежит доведению до сведения работников. Кроме ознакомления с самим локальным актом, работники подписывают согласие на обработку. Обработка — это сбор, систематизация, накопление, хранение, передача, уничтожение информации. Большую часть операций осуществляет специалист отдела кадров.

Цель локального акта — защитить личную, семейную тайну, обеспечить неприкосновенность частной жизни. Исходя их этих принципов, необходимо отразить в локальном документе следующее:

  • виды ПД;
  • действия, которые осуществляются с этими данными;
  • кто и каким образом имеет доступ к охраняемой информации;
  • обязанности лиц, осуществляющих обработку;
  • ответственность за разглашение.

Образец Положения о персональных данных работников — 2019

Доступ к информации

Безусловно, доступ к информации имеется у оператора (тот, кто осуществляет обработку). Сам субъект имеет право обратиться к оператору за информацией, в том числе с требованием уточнить, изменить или дополнить ее. Сведения предоставляются оператором в доступной форме, при этом в них не должно быть информации о других лицах.

Статья 14 ФЗ № 152 содержит исключение, когда доступ субъекта ПД к его данным может быть ограничен. Речь идет о случаях легализации преступно полученных денежных средств, когда данные были получены в ходе ОРМ, и другие случаи.

Ответственность

Если сведения, ограниченные в распространении, были сообщены другим лицам, то виновные граждане понесут ответственность в виде штрафа в сумме 500 или 1000 рублей. Должностные лица за утечку данных заплатят от 4000 до 5000 рублей, согласно ст. 13.14 КоАП РФ.

Чтобы сотрудники вашей компании не допускали подобных нарушений, издайте локальный акт и контролируйте его соблюдение. Если вам необходим образец Положения об обработке персональных данных работников, то можно его скачать в нашей статье.

Кроме того, за разглашение личных данных могут уволить, так как эти сведения относятся к категории охраняемых законом. Основание (статья) для расторжения трудовых отношений — подпункт «в», пункта 6, части 1, статьи 81 ТК РФ.

УТВЕРЖДЕНО

Приказом об утверждении

Положения об обработке

персональных данных

Начальствующий епископ

С.В. Ряховский

ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ЦЕНТРАЛИЗОВАННОЙ РЕЛИГИОЗНОЙ ОРГАНИЗАЦИИ РОССИЙСКИЙ ОБЪЕДИНЕННЫЙ СОЮЗ ХРИСТИАН ВЕРЫ ЕВАНГЕЛЬСКОЙ (ПЯТИДЕСЯТНИКОВ)

1. Общие положения

1.1. Положение об обработке персональных данных (далее - Положение) определяет условия и порядок обработки персональных данных, которая осуществляется Централизованной религиозной организации Российский объединенный Союз христиан веры евангельской (пятидесятников) (далее – Оператор).

1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных и обеспечения безопасности (далее - Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»), а также следующими нормативными правовыми актами: Гражданский Кодекс Российской Федерации; Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ; Налоговый Кодекс Российской Федерации от 31 июля 1998 г. № 146-ФЗ; Федеральный закон «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учёте»; постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. Организация обработки персональных данных

2.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за организацию обработки персональных данных (далее - Ответственный).

2.2. Ответственный обязан:

  • обеспечивать утверждение, приведение в действие, а также обновление в случае необходимости Политики, Положения и иных локальных актов по вопросам обработки персональных данных;
  • проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
  • проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
  • осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, Политики, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных (далее - Нормативные акты);
  • доводить до работников под роспись положения нормативных актов при заключении трудового договора, а также по собственной инициативе;
  • осуществлять допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
  • организовывать и контролировать приём и обработку обращений и запросов субъектов персональных данных, обеспечивать осуществление их прав;
  • обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее - Роскомнадзор).

3. Обеспечение безопасности персональных данных

3.1. Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.2. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) Оператором применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.

3.3. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе Оператора.

3.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных в информационной системе.

3.5. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:

  • выполнять определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
  • обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе Оператора;
  • устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивать регистрацию и учёт всех действий с ними;
  • организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • ежегодно осуществлять внутренний контроль за обеспечением установленного уровня защищённости персональных данных при обработке в информационной системе Оператора.

4. Осуществление прав субъектов персональных данных

4.1. При обращении субъекта персональных данных или при получении его запроса (далее - Обращение) Ответственный обеспечивает предоставление субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с даты Обращения.

4.2. При наличии законных оснований для отказа в предоставлении субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными Ответственный обеспечивает направление субъекту персональных данных мотивированного ответа в письменной форме, содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в течение 30 дней с даты Обращения.

4.3. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменений в персональные данные в течение 7 рабочих дней с даты Обращения.

4.4. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственный обеспечивает уничтожение таких персональных данные в течение 7 рабочих дней с даты Обращения.

4.5. Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4.6. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».

5. Взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (Роскомнадзор)

5.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.

5.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.

5.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

5.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой Оператором.

6. Ответственность за нарушение порядка обработки и обеспечения безопасности персональных данных

6.1. В случае нарушения работником положений законодательства в области персональных данных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90 ТК РФ.

6.2. В случае разглашения работником персональных данных, ставших ему известными в связи с исполнением его трудовых обязанностей, трудовой договор с ним может быть расторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.