Журнал учета выдачи персональных данных

Журнал учета выдачи персональных данных

Как заполнить журнал учета персональных данных

Журнал учета выдачи и передачи персональных данных — документ, который позволит работодателю доказать выполнение обязательств по обеспечению сохранности полученных от сотрудников сведений. Он необязателен, но крайне полезен для лиц, имеющих допуск к личной информации персонала.

Персональные данные (ПД) физических лиц относятся к охраняемой законом информации. Работодатель, являющийся оператором по обработке конфиденциальных сведений, обязан соблюдать ряд мер для их защиты. Для этого предусмотрено наличие таких обязательных документов, как положение о защите личных данных, согласие на их обработку, передачу и получение от третьих лиц, обязательство о неразглашении. Помимо обязательных, есть и необязательные бумаги, которые упрощают работу в этой сфере, например журнал по передаче персональных данных, в котором фиксируют все обращения за личной информацией сотрудников.

Для чего вести учет персданных

Главная цель — фиксировать все операции по передаче персональных сведений третьим лицам и тем самым обеспечивать сохранность информации. Целесообразность ведения журнала учета выдачи персональных данных работников организациям и государственным органам определяется спецификой, размерами и структурой организации: чем больше численность штата, тем шире перечень лиц, которым требуется доступ к конфиденциальным сведениям для выполнения служебных обязанностей. Например, при возникновении спорных ситуаций штатный юрист вправе запросить в отделе персонала трудовой договор с тем или иным работником. При принятии решения о кадровых перестановках или продвижении работника по службе личное дело работника запрашивает руководитель подразделения. Нередко кадровые документы, содержащие конфиденциальную информацию, требуются профсоюзным организациям для проверки выполнения условий коллективного договора.

Форма документа

Обязанность ведения журнала по защите персональных данных не предусмотрена на законодательном уровне, потому не существует четких требований к его оформлению. Но есть рекомендации, которых следует придерживаться, чтобы предотвратить утечку информации.

Так, в книгу учета передачи данных рекомендуется включить следующие графы:

  • Ф. И. О. и должность лица или наименование органа, запрашивающего личные данные;
  • цель выдачи;
  • дата выдачи;
  • дата возврата;
  • перечень запрашиваемых документов.

Если работодатель принимает решение о необходимости фиксации движения личных данных, то форма книги утверждается приказом и становится для организации одним из обязательных документов по защите конфиденциальной информации. Обязательно издается распоряжение о назначении лица, ответственного за заполнение ведомости.

Предлагаем пример журнала, с помощью которого учитывают передачу ПД в ООО «Clubtk.ru».

Журнал учета передачи персональных данных

Эксперты КонсультантПлюс разобрали примеры типовых ошибок в работе с персональными данными за 2020–2021 годы. Используйте эти инструкции бесплатно.

Порядок ведения, хранения и уничтожения журнала

Так как журнал не является обязательным документом, работодатель самостоятельно определяет порядок работы с ним. Целесообразно разработать внутренний регламент, в котором указано место его хранения, содержится инструкция по ведению, иные моменты.

Что касается сроков хранения, то они тоже устанавливаются руководителем организации. При их определении рекомендуется ориентироваться на ст. 22.1 федерального закона №125-ФЗ от 22.10.2004 «Об архивном деле в Российской Федерации», в соответствии с которым личные дела работников подлежат хранению в течение 75 лет (50 лет, если хранить начали после 1 января 2003 г.). Логично, что документ, фиксирующий движение конфиденциальных данных сотрудников, следует хранить в течение того же периода.

Каким бы ни был срок хранения журнала, его уничтожение должно сопровождаться составлением соответствующего акта. Его форму тоже следует утвердить.

Акт уничтожения персональных данных на бумажных носителях

Если компания больше не нуждается в информации о своих сотрудниках или клиентах, то она обязана уничтожить носители с персональными данными этих лиц. Это нужно сделать, чтобы информация не попала к злоумышленникам. Уничтожение должно сопровождаться работой специально созданной комиссии, а также составлением и подписанием соответствующего акта. Как правильно его оформить, читайте в статье.

  • Бланк и образец
  • Бесплатная загрузка
  • Онлайн просмотр
  • Проверено экспертом

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Законодательное регулирование

Самый главный нормативный акт в данной сфере — это закон «О персональных данных» — ФЗ №152 от 27.07.2006 года. Он содержит информацию об условиях обработки, хранении сведений, правах и обязанностях оператора и субъекта персональных данных и т.д. Именно на этот документ нужно ссылаться при составлении акта об уничтожении персональных данных.

Кроме того, в зависимости от ситуации можно обращаться к другим законодательным документам, посвященным сфере работы с персональными сведениями физических лиц.

В отношении ответственности и контроля в данной области ужесточились нормы, они прописаны в Постановлении Правительства №146 от 13.02.2019 г.

Порядок уничтожения персональных данных

Для сведения к минимуму ошибок при процедуре при ее осуществлении необходимо соблюдать определенный законодательством порядок:

  1. В компании приказом руководства должна быть создана специальная комиссия для выявления неактуальных персональных данных и последующего их уничтожения и составления сопроводительного акта. К такому делу чаще всего привлекают сотрудников кадрового отдела, бухгалтерии, делопроизводителей.
  2. Комиссия выявляет список необходимых для ликвидации документов и проводит процедуру уничтожения.
  3. Комиссия составляет акт с перечнем уничтоженных документов. Функция этой бумаги — удостоверить, что процедура была совершена по всем правилам. Члены комиссии в подтверждение этого ставят на акте свои подписи.
  4. Уничтоженные бумажные носители с персональными данными должны быть списаны с различных книг и журналов учета подобного рода документов.

Важно! Если из организации увольняются сотрудники, то оригиналы, а в некоторых случаях еще и копии документов должны быть выданы им на руки, уничтожению подвергаются только копии документов и только после определенного срока хранения. То же самое касается клиентов компании.

Способы уничтожения

Информация на уничтожаемых носителях не должна быть подвержена восстановлению. В случае с бумажными носителями используют такие способы уничтожения, как измельчение (ножницами или с помощью шредера), сжигание, гидрообработка. При данной обработке носители будут невосстановимы.

За результативность процесса несут ответственность члены специально созданной комиссии в компании.

Составляем акт уничтожения персональных данных на бумажных носителях

Акт можно написать от руки или набрать на компьютере и впоследствии распечатать и подписать. Желательно брать «фирменный бланк» компании с ее реквизитами.

Итак, в шапке документа должны быть:

  1. Наименование оператора персональных данных. Это название организации.
  2. Отметка руководителя об утверждении акта. Здесь должны быть указаны дата подписания, должность и подпись с расшифровкой. Блок заполняется в последнюю очередь.
  3. Наименование документа.
  4. Место составления.
  5. Дата составления.

Акт уничтожения персональных данных на бумажных носителях. Часть 1

Далее начинается основная часть, где указывают следующее:

  1. Состав комиссии. Пишут должности и ФИО членов комиссии и председателя.
  2. На основании какого документа действует комиссия (приказ, распоряжение). Чаще всего это приказ.
  3. Ссылку на закон о персональных данных — ФЗ №152 от 27.07.2006 г.
  4. Дату уничтожения.
  5. Тип носителей.
  6. Список уничтоженных документов. Его можно оформить в виде таблицы с следующими графами: порядковый номер, номер и наименование носителя, примечание или пояснение.
  7. Каким путем было проведено уничтожение данных.
  8. Основание для проведения процедуры уничтожения.

Завершают документ подписи председателя и членов комиссии. После подписания акт передают руководителю для утверждения. Он ставит свою подпись в соответствующей графе на бланке.

Акт уничтожения персональных данных на бумажных носителях. Часть 2

В идеале в документе не должно быть ошибок (орфографических, грамматических и любых других). Если вдруг была обнаружена фактическая ошибка, то ее, конечно, нужно исправить, используя стандартный порядок исправления и завизировав внесенные коррективы. При большом количестве ошибок лучше взять новый бланк, заполнить его, а старый документ уничтожить.

Персональные данные работников: какие документы должны быть в организации и как правильно их оформлять?

Основные документы

Проанализируем статьи Федерального закона от 27.07.2006 № 152-ФЗ[1] и главу 14 ТК РФ и выделим все нормы, которые указывают на какие-либо документы оператора[2]:

Основные документы 2

Основные документы 3

* Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
** ИТС— информационно-телекоммуникационная сеть.
*** Приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» от 24.02.2021 № 18. Далее — Приказ Роскомнадзора № 18.

ПРИМЕЧАНИЕ НАУЧНОГО РЕДАКТОРА
Оператор также обязан осуществлять внутренний контроль и (или) аудит соответствия обработки ПД Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, ЛНА оператора (п. 4 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ). Соответственно, при проверках Роскомнадзор затребует ЛНА о внутреннем контроле, который составляется в произвольной форме (может быть просто раздел в ЛНА о ПД) и акт (акты) проведения внутреннего контроля.

В случае проверки работодатели должны документально подтвердить, что выполняют обязанности, установленные в Федеральном законе № 152-ФЗ[3]:

• предоставляют работникам по их просьбе информацию о целях и способах обработки их ПД, иную информацию[4];

• осуществляют внутренний контроль соответствия обработки ПД требованиям законодательства, политике, ЛНА работодателя;

• оценивают вред, который может быть причинен работникам в случае нарушений[5].

То есть кроме основных документов, указанных в таблице, может возникнуть необходимость оформить и иные документы, связанные с учетом и защитой ПД:

• дополнительные локальные акты (правила рассмотрения запросов субъектов ПД, правила осуществления внутреннего контроля и т. п.);

• приказы (о назначении ответственного за безопасность ПД, о хранении бумажных носителей ПД, об утверждении перечня ПД и т. д.);

• инструкции (по учету и хранению съемных носителей, по резервному копированию и восстановлению ПД, при возникновении нештатной ситуации и т. д.);

• журналы учета (запросов субъектов ПД, выдачи сведений и т. п.);

• акты (определения уровня защищенности ПД, оценки потенциального вреда субъектам ПД и т. д.).

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 02.07.2021). Далее — Федеральный закон № 152-ФЗ.

[2] В рамках трудовых отношений оператор — это работодатель.

[3] Часть 4 ст. 18.1 Федерального закона № 152-ФЗ.

[4] Часть 1 ст. 18 Федерального закона № 152-ФЗ.

[5] Пункты 5–6 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ.

А. Н. Славинская,
специалист по кадрам

Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 11, 2021.

Какие журналы учета обязательно ведутся субъектами, работающими с персональными данными, образцы заполнения

Поскольку на работодателя возложена обязанность соблюдения конфиденциальности при обработке и использовании персональных данных, то возникает необходимость вести определенные акты, регламентирующие и закрепляющие все нюансы, касающиеся личных данных работников.

В статье мы расскажем, какие журналы, связанные с ПДн необходимо вести в организации, и какой формы могут быть эти документы.

Какие книги необходимо вести организации?

Поэтому единой формы для того или иного журнала законодателем не предусмотрено.

На различных предприятиях ведутся следующие журналы, связанные с персональными данными:

  1. Учета передачи ПДн – документ, который нужен для того, чтобы фиксировать операции, связанные с обработкой и передачей личных сведений. Согласно ТК РФ, в обязанности руководителя входит обеспечение защиты предоставленных ПДн сотрудников. Для того, чтобы сторонние лица не имели доступа к конфиденциальным сведениям работников, на предприятии должны вестись специальные журналы учета передачи документов (иных форм носителей), содержащих личные данные.
  2. Учета обращений граждансубъектов ПДн – журнал по регистрации обращений и запросов субъектов персональных данных. Обязанности ведения такого акта предусмотрена ч. 4 ст. 22.1. ФЗ «О персональных данных», в соответствие с которой лицо, ответственное за организацию обработки личной информации, обязано организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей.
  3. Ознакомления с положением о защите ПДн – данный документ заменяет лист ознакомления с положением о защите конфиденциальных сведений, в случае если необходимо ознакомление большого количества работников с указанным Положением.
  4. Учета лиц, допущенных к работе с ПДн в информационных системах персональных данных – документ определяет порядок учета лиц, допущенных к работе с использованием конфиденциальных сведений. В журнале также указываются данные о проведении инструктажа с правилами работы с персональными данными.
  5. Учета машинных носителей ПДн – документ, в котором учитываются все физические машинные носители, использующиеся для хранения или переноса ПДн.

Также на предприятиях могут вестись журналы:

  1. Регистрации попыток несанкционированного доступа к информации.
  2. Учета паролей пользователей информационной системы ПДн и т.п.

Кто должен вести подобную документацию?

Порядок хранения, использования и учета личной информации работников в организации устанавливается работодателем с соблюдением требований Трудового Кодекса.

Регламентация передачи ПД

Если руководитель принимает решение о необходимости регламентации движения персональных данных, то образец заполнения журнала учета передачи ПДн вносится в пакет типовых документов по защите конфиденциальной информации. Его форма в этом случае должна утверждаться приказом. Также издается приказ о назначении лица, ответственного за заполнение такого акта.

Оформление: общие требования

Титульная страница

Общепринято (для всех журналов) в правом верхнем углу указывать руководителя (генерального директора), утверждающего документ. Форма ведения может быть такой:

Генеральный директор название предприятия
ФИО___
« »____20__г.»

Далее посередине заглавными буквами указывается название. После обозначается поле для даты, с которой было начато ведение документа, напр.

«Журнал начат «__» __ 20__ г.», рядом указывается поле для даты окончания, напр. «Журнал завершен «__» ___ 20__ г.».

В правом нижнем углу указывается сотрудник, ответственный за ведение документа, также проставляются даты, например:

«ОТВЕТСТВЕННЫЙ за ведение журнала
ФИО и должность сотрудника
«___» ___20__г.».

Содержание

Сам документ содержит следующие графы:

  1. Порядковый номер внесенной записи.
  2. ФИО и должность лица или наименование органа, запрашивающего ПДн, например ООО «ИнфоК2».
  3. Состав запрашиваемых данных, например Сведения о заработной плате работника за период 01.01. 20_ – 01.12. 20_ гг.
  4. Цель выдачи документа, содержащего личные сведения, например Контроль за соблюдением коллективного договора ООО «ИнфоК2».
  5. Дата выдачи бумаг, содержащих личные сведения.
  6. Дата возврата бумаг, содержащих личные сведения.
  7. Подпись запрашиваемого лица.
  8. Подпись ответственного сотрудника.

Содержание отдельных книг

Обращения субъектов

Образец заполнения журнала обращений субъектов персональных данных содержит:

  1. Порядковый номер, № п/п.
  2. ФИО субъекта ПДн.
  3. Дата обращения.
  4. Цель обращения.
  5. Перечень сведений, здесь указывается наименование выдаваемых документов.
  6. Результат обращений, например Был составлен ответ или Был составлен отказ. Здесь же указывается правовое обоснование ответа или отказа, дата и подпись лица, составившего ответ.

Документ также может содержать раздел «Порядок заполнения». В данном разделе указываются правила заполнения граф, исправления ошибок и т.д.

Ознакомления с положением о защите

В самом акте может быть продублировано Положение о защите ПДн сотрудников. Разделы:

  1. Номер, № п/п.
  2. Фамилия, имя, отчество лица, ознакомленного с инструкцией.
  3. Должность.
  4. Дата ознакомления.
  5. Подпись.

Электронных и машинных носителей, содержащих ПД

Образец заполнения журнала учета электронных и машинных носителей информации, содержащих персональные данные включает:

  1. Порядковый номер, № п/п.
  2. Регистрационный (учетный) номер носителя, указывается инвентарный номер.
  3. Тип и ёмкость носителя, например ПК, жесткий диск, флешка.
  4. Дата поступления на учет.
  5. Отметка о постановке на учет, ФИО, подпись дата.
  6. Отметка о снятии с учета, ФИО, подпись дата.
  7. Место хранения, здесь указывается № кабинета или шкаф, стойка, сервер и др.
  8. Сведения об уничтожении носителя.

Подробнее об уничтожении персональных данных читайте тут.

  • Скачать бланк журнала учета машинных носителей персональных данных
  • Скачать образец журнала учета машинных носителей персональных данных

Мероприятий по контролю обеспечения сохранности

В графы вносится:

  1. Номер записи мероприятия, № п/п.
  2. Название проведенного мероприятия, например Контроль над выполнением антивирусной защиты.
  3. Дата проведенного мероприятия.
  4. Исполнитель мероприятия, данные на сотрудника.
  5. Результат (отчет, действия) осуществленного мероприятия.

Регистрации нарушения и восстановления

  1. Порядковый номер, № п/п.
  2. Число, месяц, год нарушения.
  3. Наименование подразделения, работниками которого нарушены требования.
  4. Ф.И.О. работника допустившего нарушение.
  5. Характер нарушения, напр. несанкционированное удаление персонал. сведений работника.
  6. Принятые меры (должность, Ф.И.О. виновных, наложенное взыскание, дата и N приказа).

Регистрации согласий на обработку

Образец журнала регистрации согласий на обработку персональных данных включает в себя следующую информацию:

  1. Номер, № п/п.
  2. Дата, № согласия.
  3. Субъект ПДн, указывается ФИО сотрудника.
  4. Перечень ПДн, на обработку которых дается согласите сотрудника.
  5. Цель обработки ПДн, например осуществление трудовых взаимоотношений с работниками… или осуществление видов деятельности в соответствии с Уставом.
  6. Срок, в течение которого действует согласие.
  7. Подпись лица, получившего согласие.

Фиксирования средств защиты информации

Документ содержит разделы:

  1. Номер вносимой записи, № п/п.
  2. Наименование средства защиты информации, эксплуатационной и технической документации к нему.
  3. Регистрационный номер средства защиты информации, эксплуатационной и технической документации к нему.
  4. Отметка о получении (От кого получены, Дата и номер сопроводительного письма).
  5. Отметка о выдаче (Ф.И.О. пользователя, Дата и расписка в получении).

Стоит помнить, что журналы не имеют законодательной регламентации. Окончательная форма утверждается предприятием или организацией, которые производят учет. Поэтому следует уточнять необходимость ведения того или иного журнала у работодателя, а также осведомляться о формах ведения журналов учета, связанных с персональными данными.

Читайте также  Профессия Геолог Кто такой геолог? Суть работы
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector