Приказ о назначении ответственного за обработку

Приказ о назначении ответственного за обработку

Инструкция: составляем приказ и назначаем ответственного за обработку персональных данных

Приказ о назначении ответственного за персональные данные в организации — это распоряжение, которым руководитель определяет сотрудника, который отвечает за использование и защиту личной информации работников или клиентов.

Как и кого назначить

Распоряжение о назначении уполномоченного входит в перечень рекомендованных документов для формирования системы защиты индивидуальной информации в организации при ее обработке. Четкий перечень документов законом не регламентирован. Работодатель обязан назначить ответственного за обработку персональных данных в соответствии с п. 1 ст. 22.1 ФЗ-152 в ред. от 31.12.2017. После утверждения сотрудник:

  • получает указания непосредственно от исполнительного органа, назначившего его;
  • подотчетен организации, являющейся оператором.

Обработку специальной категории личных данных (ведение кадрового, бухгалтерского учета и пр.), с согласия работника, работодатель вправе поручить другому лицу (ч. 3 ст. 6 ФЗ-152, абз. 2 п. 5 Разъяснений Роскомнадзора).

Требования к должности трудовым законодательством не установлены. Это вытекает из следующего:

  • порядок хранения данных устанавливается работодателем (ст. 87 ТК РФ);
  • учреждения и предприятия самостоятельно разрабатывают и утверждают положение (описывают действия, связанные с обработкой хранением, использованием, перечисляют ответственных за обработку персональных данных — п. 2 ч. 1 ст. 18.1 ФЗ-152 в ред. от 31.12.2017);
  • если приказ отсутствует, руководитель является лицом, ответственным за ООПД (государственный орган, муниципальный орган, организация любой формы собственности).

Обязанности

Назначенный сотрудник имеет доступ к информации без дополнительного разрешения, так как в обязанности ответственного за обработку персональных данных входит (п. 4 ст. 22.1 ФЗ-152 в ред. от 31.12.2017):

  • осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства РФ, требования к защите данных;
  • доведение до сведения работников положения законодательства, локальных актов по вопросам обработки, защиты;
  • прием, обработка обращений и запросов субъектов данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.

Путеводитель по персональным данным

В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:

  • анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника.

Как составить

Такое распоряжение является документом по основной деятельности (срок хранения — постоянно в соответствии со ст. 19 и 434 Перечня утв. Приказом Росархива от 20.12.2019 №236). Он определяет полномочия и ответственность работника. Форма документа об ответственном за персональные данные в учреждении не регламентирована законом, он составляется в произвольном виде. Структура следующая (п. 4 Методических рекомендаций по применению ГОСТ Р 7.0.97-2016):

  1. Название учреждения.
  2. Дата издания.
  3. Регистрационный номер.
  4. Место составления (издания).
  5. Наименование.
  6. Заголовок к тексту.
  7. Основное содержание приказа.
  8. Подпись руководителя.
  9. Визы.

Документ визирует руководитель организации как лицо ответственное. Это следует из ч. 5 ст. 6 ФЗ-152 в ред. от 31.12.2017. Все перечисленные сотрудники ставят на распоряжении подписи после ознакомления с текстом.

Государственное бюджетное образовательное учреждение

«___» __________________20______ г.

О назначении лица, ответственного за организацию обработки персональных данных сотрудников

В целях обеспечения выполнения требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» приказываю:

  1. Назначить ____________________________________ ответственным (-ой) за работу с персональными данными сотрудников ГБОУ ____________________.
  2. Контроль за исполнением настоящего приказа возлагаю на _________________________________________.

С приказом ознакомлена: ___________________

Образец заполнения приказа

Ответственный за обработку персональных данных в организации

Закончила Тверской государственный университет в 1987 году (тогда он назывался Калининский) по специальности «Экономика труда». Имеет степень кандидата экономических наук (научная специальность – Экономика и управление народным хозяйством).

Образец приказа о назначении ответственного за обработку персональных данных

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). К ним относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • изображение человека (фотография и видеозапись);
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение (например, информация о зарплате);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Перечисленные персональные данные содержаться в различных документах, с которыми взаимодействует или издает работодатель.

Зачем нужно назначать ответственного работника за обработку

Назначить ответственного работника на обработку персональных данных требует законодательство, а именно:

  1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
  2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
  3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
  4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
    1. осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
    2. доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
    3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

    Как правило, таким сотрудником является работник службы персонала (отдела кадров), поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников.

    Как назначить ответственного

    Чтобы в организации назначить лицо, ответственное за обработку персональных данных, нужно издать соответствующий приказ. Он издается по общим правилам делопроизводства в произвольной форме. Приведем образец приказа о назначении ответственного, который был издан в 2018 году:

    1. Назначить ответственным по работе с персональными данными в головном отделении организации «Роллер Дом» руководителя отдела кадров А.Б. Пугачеву.
    2. На время отсутствия Е.Э. Громовой ответственным по работе с персональными данными является менеджер по кадрам Л.В. Новиков.
    3. Работнику, указанному в пункте 1 (п. 2) настоящего приказа, осуществлять режим обработки и защиты персональных данных работников.
    4. Контроль за исполнением приказа оставляю за собой.

    Также вы можете скачать образец приказа о назначении ответственного за обработку персональных данных в формате .doc.

    Назначениe лица, ответственного за организацию обработки персональных данных

    Лицо, ответственное за организацию обработки персональных данных

    В соответствии с требованиями Федерального закона 152 «О персональных данных» Оператор персональных данных, являющийся юридическим лицом, обязан назначить приказом лицо, ответственное за организацию обработки персональных данных. В GDPR имеются аналогичные требования.

    У оператора есть несколько вариантов действий:

    1. Открыть штатную единицу и нанять на работу Ответственное лицо.
    2. Передать обязанности на аутсорсинг.
    3. Назначить в качестве ответственного лица имеющегося работника.

    Чаще всего на роль ответственного назначают одного из следующий сотрудников:

    1. Юрист
    2. Специалист подразделения информационных технологий
    3. Специалист по защите информации
    4. Сотрудник отдела кадров
    5. Менеджер по рискам
    6. Административный директор
    7. Директор по работе с государственными органами

    Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов. Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров. Специалист отдела ИТ или ИБ больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий.

    Кроме этого, по мнению Роскомнадзора, ответственным лицом должен быть скорее сотрудник юридического отдела, чем специалист по информационной безопасности, так как в новых Правилах проверок Роскомнадзора определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

    Образец формы приказа о назначении ответственного за организацию обработки персональных данных

    о назначении ответственного за организацию обработки персональных данных

    В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

    1. Назначить ответственным за организацию обработки персональных данных в Компании (указать наименование) (указать должность, ФИО).
    2. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
    3. Возложить функции, полномочия и ответственность, предусмотренные локальными актами Оператора (здесь обычно перечисляются внутренние документы Оператора по вопросам обработки персональных данных), на ответственного за организацию обработки персональных данных.
    4. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.

    «__» ______________ 20___г. ________________ ________________________________

    Образец формы приказа о назначении ответственного за обеспечение безопасности персональных данных в информационной системе

    о назначении ответственного за организацию обработки персональных данных

    В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

    1. Назначить ответственным за обеспечением безопасности персональных данных в информационных системах персональных данных в Компании (указать наименование) (указать должность, ФИО).
    2. Наделить ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующими правами:
      1. требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
        • осуществление регулярного обнаружения уязвимостей и угроз безопасности персональных данных;
        • участие в определении актуальных угроз безопасности персональных данных;
        • участие в проведении работ по проработке технических решений по защите персональных данных, внедрению и эксплуатации программных и аппаратных средств защиты, а также инфраструктуры информационной системы персональных данных;
        • участие в разработке и поддержании в актуальном состоянии организационно-распорядительной документации средств защиты персональных данных;
        • участие в реализации разрешительной системы доступа к персональным данным;
      2. запрашивать и получать от иных работников Оператора информацию для исполнения своих обязанностей;
      3. вносить предложения руководителю Компании (указать наименование):
        • о внесении изменений в технологические процессы, связанные с обработкой персональных данных, а также в информационные системы персональных данных, если это обусловлено необходимостью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
        • необходимости проведения организационных и технических мероприятий с целью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
        • поощрении или привлечении к ответственности работников Компании (указать наименование) в связи с исполнением ими обязанностей, связанных с обработкой персональных данных.
      1. участие в разработке Модели защиты персональных данных при их обработке в информационных системах персональных данных;
      2. определение типа актуальных угроз информационной безопасности персональных данных для каждой информационной системы персональных данных;
      3. определение необходимого уровня защищённости персональных данных при их обработке в информационных системах персональных данных;
      4. определение требований к созданию средств защиты персональных данных для информационных систем персональных данных;
      5. участие в выборе средств защиты информации для средств защиты персональных данных в соответствии с Приказом ФСТЭК № 21;
      6. участие в создании и вводе в эксплуатацию средств защиты персональных данных;
      7. учет применяемых для обеспечения безопасности персональных данных средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
      8. контроль выполнения мероприятий, предусмотренных Положением об организации обработки и обеспечении безопасности персональных данных в Компании (указать наименование).

      «__» ______________ 20___г. ________________ ________________________________

      Защита персональных данных

      Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций.

      27 июля 2006 года был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Закон вступил в силу 1 июля 2011 года. Действие закона распространяется не только на бумажные носители, но и на электронные средства (такие как автоматизированные информационные системы и электронные базы данных).

      Наше учреждение является оператором, осуществляющим обработку персональных данных сотрудников, воспитанников и их родителей (законных представителей), а также физических лиц, состоящих в иных договорных отношениях с учреждением. Для соблюдения требований закона «О персональных данных» (далее — ПДн) детский сад должен получить от сотрудников и родителей (законных представителей) каждого воспитанника СОГЛАСИЕ НА ОБРАБОТКУ ПДн (на основании статьи 6, п. 1 № 152-ФЗ «О персональных данных).

      Учреждение обрабатывает и защищает сведения о сотрудниках, детях и их родителях (законных представителях) на правовом основании.

      • Правовое основание защиты персональных данных:
      • Конституция РФ;
      • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
      • Федеральный закон от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
      • Федеральный закон от 30.12.2001 г. № 195-ФЗ «Кодекс Российской Федерации об административных правонарушениях» (ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»);
      • Федеральный закон от 13.06.1996 г. № 63-ФЗ «Уголовный кодекс Российской Федерации» (ст. 137 «Нарушение неприкосновенности частной жизни»);
      • Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ (ст. 85-90);
      • Постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
      • Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
      • Совместный приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных»;
      • Гражданский кодекс РФ;
      • Налоговый кодекс РФ;
      • Устав учреждения.
      • Категории персональных данных сотрудников ДОУ, воспитанников и родителей (законных представителей) несовершеннолетних:
      • фамилия, имя, отчество;
      • пол;
      • дата рождения;
      • место рождения;
      • документ удостоверяющий личность;
      • адрес регистрации;
      • фактический адрес места жительства;
      • номер полиса обязательного медицинского страхования;
      • сведения о состоянии здоровья, находящиеся в медицинской карте воспитанника;
      • социальное положение;
      • жилищные условия;
      • документы при установлении опеки;
      • контактные телефоны; сведения о гражданстве;
      • паспортные данные;
      • сведения о воинской обязанности;
      • сведения о трудовом стаже;
      • сведения о предыдущем месте работы;
      • сведения о составе семьи;
      • сведения о социальных льготах;
      • информация об образовании;
      • СНИЛС;
      • ИНН;
      • сведения об аттестации;
      • сведения о повышении квалификации;
      • сведения о профессиональной переподготовке;
      • сведения о наградах (поощрениях, почетных званиях);
      • личное фото и фотографии;
      • видеоматериалы с личным участием;

      Цель обработки персональных данных: обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании», а также иными нормативно-правовыми актами Российской Федерации в области образования.

      • Оператор вправе:
      • размещать обрабатываемые персональные данные в автоматизированных информационных системах и бумажных носителях, с целью предоставления доступа к ним ограниченному кругу лиц: воспитанникам, родителям (законным представителям), а также административным и педагогическим работникам детского сада;
      • размещать фотографии сотрудника, родителя (законного представителя),воспитанника (фамилию, имя, отчество) на стендах в помещениях дошкольной организации и на официальном сайте ДОУ);
      • предоставлять данные сотрудника, воспитанника для участия в дошкольных городских, окружных, всероссийских и международных конкурсах, олимпиадах, викторинах, выставках и т.д.;
      • производить фото- и видеосъемки сотрудника, воспитанника для размещения на официальном сайте ДОУ и СМИ с целью формирования положительного имиджа детского сада;
      • включать обрабатываемые персональные данные сотрудника, родителя (законного представителя), воспитанника в списки (реестры) и отчетные формы, предусмотренные нормативными документами окружного, муниципального и дошкольного уровней, регламентирующих предоставление отчетных данных.

      С нормативно-правовыми и локальными актами и формами согласия (пакет документов по защите персональных данных в учреждении можно ознакомиться у заведующего ДОУ).

      Читайте также  Как пополнить социальную карту учащегося на наземный
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector