Если ответственность за отсутствие приказа
Нормами законодательства предусматривается, что хозяйствующий субъект должен определять ответственных лиц для работы с персональными данными.
Чтобы выполнить данную обязанность, руководитель организации издает приказ, которым утверждается должностное лицо для работы с персональными данными.
В соответствии с нормами только это лицо должно вести работу с персональными данными, обеспечивать их защиту, ограничивать доступ к ним третьих лиц, не допускать несанкционированное их использование.
Важно: поэтому игнорировать составление приказа на ответственное лицо, считается нарушением законодательства о персональных данных.
За такое несоблюдение закона существует согласно КоАП ответственность в виде объявления предупреждения или установления штрафных санкций:
- в отношении физлиц — 300-500 рублей.
- в отношении ответственных лиц на предприятии — 500-1000 рублей.
- в отношении юридических лиц — 5000 — 10000 рублей.
Что включить в текст приказа
В первой (констатирующей) части приказа приводятся сведения о законах и нормативных актах, на основании которых издается приказ. Это статьи ФЗ «О персональных данных», в некоторых организациях – рекомендации и указания вышестоящих организаций.
Во второй (распорядительной) части необходимо указать должность, инициалы и фамилия сотрудника, который назначается ООПД, дату, начиная с которой назначаемый приступает к выполнению обязанностей.
В тексте приказа, помимо сведений о назначаемом лице, могут быть приведены права и обязанности ООПД. Однако это не обязательно. Данные права и обязанности, как правило, уже сформулированы в Положении об обработке персональных данных, разработка которого обязательна. Здесь вы узнаете, что такое персональные данные и как осуществляется их защита.
Какие реквизиты должны быть в приказе
Приказ должен содержать:
- Герб (если это предписано законодательством)
- эмблему либо товарный знак (если они разработаны и закреплены в Уставе);
- наименование организации, которая издает приказ (оно должно соответствовать уставными документам). При наличии сокращенного наименования, оно помещается ниже полного наименования и заключается в скобки;
- наименование вида документа (в рассматриваемом случае это слово «ПРИКАЗ»);
- место составления приказа;
- дату и регистрационный номер;
- заголовок;
- текст;
- отметка о приложении (при необходимости);
- подпись (приказ подписывает руководитель организации либо лицо, имеющее право подписи).
Основные реквизиты документа о назначении ответственного за персональные данные.
Что с оформлением
Приказ о назначении ООПД может быть оформлен как от руки, так и машинописным способом, однако второй вариант более соответствует традициям современного делопроизводства. Для оформления приказа может быть использован бланк приказа или обычный лист.
Для документов длительного срока хранения, к которым относится рассматриваемый приказ, левое поле не должно быть менее 3 см. Реквизиты можно выравнивать по левой стороне или центрировать. Исключение составляют заголовок к тексту, непосредственно текст и отметка о приложении, которые не центрируются.
Когда приказ зарегистрирован, с ним необходимо ознакомить лиц, на которых приказом возлагаются обязанности. Отметка об ознакомлении может размещаться на лицевой стороне приказа, если позволяет оставшееся свободное пространство, или на оборотной стороне документа. Тут вы узнаете, как правильно оформить акт об отказе от подписи документа.
Как определить номер и зарегистрировать приказ
Приказ о назначении ООПД регистрируется в журнале регистрации приказов по основной деятельности либо в другой регистрационной форме, предусмотренной в организации. В журнал вносятся сведения:
- о номере документа (порядковый номер по журналу регистрации). Номер из журнала регистрации проставляется на приказе;
- дате документа (дате подписания приказа). Эта же дата проставляется на приказе;
- заголовке;
- количестве листов самого документа и приложений (через дробь);
- ответственном исполнителе;
- о лицах, которых необходимо ознакомить с приказом.
Ведение журнала регистрации приказов не закреплено законодательно. В небольших организациях или у ИП журнал может не существовать. Тогда номер приказа определяется по последнему помещенному в папку для хранения документу.
Образец составления приказа о назначении ответственного за персональные данные
В отношении данного распоряжения не существует строго определенной нормами законодательства формы. Приказ может оформляться в свободном виде.
Для этого может применяться фирменный бланк, или обычный бланк, где содержание приказа излагается в доступном виде. Главное требование при этом — приказ должен содержать все обязательные для него элементы.
Если для оформления распоряжения используется обычный бланк, то в верхней части располагается наименование компании, ее адрес и все регистрационные коды, присвоенные фирме.
Далее ниже проставляется наименование документа «ПРИКАЗ». Здесь же отмечается номер документа, присваиваемый ему после регистрации его в книге приказов. В дальнейшем этот номер и дата будут являться главным идентификатором приказа в системе делопроизводства компании.
Ниже отражается наименование приказа, которое фиксирует краткое содержание этого распоряжения. Здесь можно написать, к примеру, «О назначении ответственного по работе с персональными данными».
В следующей строке записывается дата составления приказа, а также наименование населенного пункта, в котором он подписывается.
При заполнении вводной части распоряжения, нужно обязательно сделать ссылку к нормативному акту. Например, ст. 22.1 закона 152-ФЗ.
После этого следует распорядительная часть, которая начинается со слов «ПРИКАЗЫВАЮ» и может включать в себя:
- Распоряжение об установлении ответственного лица на предприятии за работу с персональными данными с указанием его должности и личных данных.
- Установление ответственного лица для случая, когда основной работник будет отсутствовать по самым разным причинам на предприятии и определение размера полагающейся ему доплаты за это.
- Распоряжение должностным лиц, во исполнение которого они будут осуществлять защиту и ограниченный доступ к персональным данным.
- Назначить лицо, на которое будет возложен контроль за реализацией выше перечисленного в приказе.
Внимание: в этот приказ можно включать распоряжение провести отражение в этом документе также необходимости корректировки должностной инструкции лица, в обязанности которого включается функция ответственного по персональным данным.
Составленный документ должен быть подписан руководителем компании.
Далее в качестве подтверждения факта ознакомления работников, перечисленных в этом документе, они проставляют свою визу, указывают свои данные и проставляют дату этого события.
Порядок составления и утверждения приказа
Для обеспечения законности и защиты персональных данных, операторы обработки должны составить и утвердить приказ о назначении ответственного за обработку персональных данных. В этом разделе мы описываем порядок составления и утверждения такого приказа.
1. Заполнение реестра
Первым шагом в составлении приказа является заполнение реестра обработки персональных данных. В этом реестре должны быть указаны все сведения о лицах, чьи персональные данные обрабатываются оператором. Это включает информацию о целях обработки, категориях обрабатываемых данных, сроках хранения и т.д.
2. Написание приказа
Далее необходимо написать сам приказ о назначении ответственного за обработку персональных данных. В приказе должны быть указаны следующие сведения:
- Наименование и реквизиты оператора обработки;
- ФИО ответственного лица, назначенного на должность ответственного за обработку персональных данных;
- Цели обработки персональных данных;
- Категории обрабатываемых персональных данных;
- Способы и сроки обработки персональных данных;
- Порядок защиты персональных данных;
- Порядок уведомления субъектов персональных данных о обработке их данных;
- Порядок взаимодействия с уполномоченным органом по защите прав субъектов персональных данных;
- Порядок контроля за соблюдением требований законодательства в области персональных данных.
3. Утверждение приказа
После составления приказа, его необходимо утвердить. Утверждение приказа должно осуществляться руководителем оператора обработки или лицом, уполномоченным руководителем. Утвержденный приказ должен быть подписан уполномоченным лицом и иметь дату утверждения.
Важно отметить, что приказ о назначении ответственного за обработку персональных данных должен быть оформлен в соответствии с требованиями документации, установленной законодательством в области персональных данных. Если оператор обработки персональных данных уже имеет утвержденный приказ о назначении ответственного лица, то в случае изменений в составе руководства или ответственного лица, необходимо составить новый приказ и утвердить его в установленном порядке
Если оператор обработки персональных данных уже имеет утвержденный приказ о назначении ответственного лица, то в случае изменений в составе руководства или ответственного лица, необходимо составить новый приказ и утвердить его в установленном порядке.
Порядок составления и утверждения приказа о назначении ответственного за обработку персональных данных является обязательным требованием законодательства и его невыполнение может привести к нарушению прав субъектов персональных данных и привлечению к ответственности, включая административную и уголовную.
Образец формы приказа о назначении ответственного за обеспечение безопасности персональных данных в информационной системе
ПРИКАЗ
о назначении ответственного за организацию обработки персональных данных
№ _____.__.20__
В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:
- Назначить ответственным за обеспечением безопасности персональных данных в информационных системах персональных данных в Компании (указать наименование) (указать должность, ФИО).
- Наделить ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующими правами:
- требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
- осуществление регулярного обнаружения уязвимостей и угроз безопасности персональных данных;
- участие в определении актуальных угроз безопасности персональных данных;
- участие в проведении работ по проработке технических решений по защите персональных данных, внедрению и эксплуатации программных и аппаратных средств защиты, а также инфраструктуры информационной системы персональных данных;
- участие в разработке и поддержании в актуальном состоянии организационно-распорядительной документации средств защиты персональных данных;
- участие в реализации разрешительной системы доступа к персональным данным;
- запрашивать и получать от иных работников Оператора информацию для исполнения своих обязанностей;
- вносить предложения руководителю Компании (указать наименование):
- о внесении изменений в технологические процессы, связанные с обработкой персональных данных, а также в информационные системы персональных данных, если это обусловлено необходимостью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
- необходимости проведения организационных и технических мероприятий с целью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
- поощрении или привлечении к ответственности работников Компании (указать наименование) в связи с исполнением ими обязанностей, связанных с обработкой персональных данных.
- требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
- Возложить на ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующие обязанности:
- участие в разработке Модели защиты персональных данных при их обработке в информационных системах персональных данных;
- определение типа актуальных угроз информационной безопасности персональных данных для каждой информационной системы персональных данных;
- определение необходимого уровня защищённости персональных данных при их обработке в информационных системах персональных данных;
- определение требований к созданию средств защиты персональных данных для информационных систем персональных данных;
- участие в выборе средств защиты информации для средств защиты персональных данных в соответствии с Приказом ФСТЭК № 21;
- участие в создании и вводе в эксплуатацию средств защиты персональных данных;
- учет применяемых для обеспечения безопасности персональных данных средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
- контроль выполнения мероприятий, предусмотренных Положением об организации обработки и обеспечении безопасности персональных данных в Компании (указать наименование).
«__» ______________ 20___г. ________________ ________________________________
Как составить приказ о назначении ответственного за персональные данные
Для такого рода приказа не устанавливается какая-либо специальная форма. Компания может составлять его на фирменном бланке, либо в произвольном формате, но с использованием перечня обязательных реквизитов.
При составлении такого приказа «с нуля», в верхней части бланка необходимо проставить наименование субъекта бизнеса, его регистрационные коды, адрес расположения и банковские реквизиты.
После этого посередине строки ставится наименование документа «Приказ». Рядом можно указать номер распоряжения. Под ним этот документ нужно будет зафиксировать в книге учета распоряжений по предприятию.
На следующей строке обычно указывается краткое название распоряжения. Например, «о назначении ответственного по работе с персональными данными».
Также нужно указать в приказе дату его оформления и место (город, населенный пункт).
Вводная часть приказа должна сообщать об основании для назначения ответственного лица — ст. 22.1 закона 152-ФЗ.
После этого идет слово «Приказываю», а затем попунктно перечисляются распоряжения:
- Назначить ответственное лицо за работу с персональными данными, с указанием его должности и Ф.И.О.;
- Определить, какой работник должен будет выполнять эти обязанности, если основной ответственный не будет находиться на своем месте (будет в отпуске, на больничном, в командировке и т. д.);
- Дать указание упомянутым работникам обеспечивать режим обработки данных на предприятии;
- Определить, кто будет отвечать за исполнение указанного приказа.
Иногда в число распоряжений также включается пункт о внесении изменений в должностную инструкцию лица, назначенного приказом.
Распоряжение подписывается руководителем компании.
После этого в столбик перечисляются все работники, которые были упомянуты в документе. Напротив своих фамилий они должны будут проставить дату и подпись как подтверждение ознакомления с ним.
Еще раз о главном
- Назначение ООПД обязательно.
- ООПД назначается приказом по общей деятельности. Издание приказа обязательно.
- Ответственным может быть любой сотрудник организации, включая руководителя или ИП.
- В приказ о назначении ООПД входят все реквизиты, характерные для приказа по общей деятельности.
- Срок хранения приказа о назначении ООПД – постоянно.
Соблюдение этих несложных правил поможет организации во многом избежать наказаний за нарушения в обработке ПД.
На нашем Дзен-канале еще больше интересных публикаций. Подпишитесь на наш канал
Что такое персональные данные и в чем их особенности – смотрите в этом видео:
Образец приказа об обработке персональных данных работников
В соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также в целях обеспечения защиты персональных данных работников, наша компания принимает следующие меры:
1. Назначение ответственного за обработку персональных данных
1.1. Назначить ответственным за обработку персональных данных работников нашей компании:
- ФИО ответственного;
- Должность ответственного;
- Контактные данные (телефон, электронная почта).
2. Права и обязанности ответственного за обработку персональных данных
2.1. Ответственный за обработку персональных данных имеет следующие права:
- Осуществлять доступ к персональным данным работников;
- Осуществлять обработку персональных данных работников в соответствии с установленными процедурами и правилами;
- Получать необходимую информацию и консультации по вопросам обработки персональных данных работников.
2.2. Ответственный за обработку персональных данных обязан:
- Соблюдать требования Федерального закона № 152-ФЗ «О персональных данных» и иных законодательных актов, регулирующих обработку персональных данных;
- Обеспечивать защищенность персональных данных работников;
- Вести внутренние документы, регламентирующие процедуры обработки персональных данных;
- Организовывать и вести журнал обработки персональных данных;
- Уведомлять работников о целях и способах обработки их персональных данных;
- Получать согласие работников на обработку их персональных данных при необходимости;
- Своевременно уведомлять Роскомнадзор о начале обработки персональных данных работников;
- Вести реестр обработки персональных данных работников;
- Обеспечивать конфиденциальность персональных данных работников;
- Организовывать и проводить мероприятия по обучению работников вопросам обработки персональных данных.
3. Порядок обработки персональных данных работников
3.1. Обработка персональных данных работников осуществляется в соответствии с законодательством Российской Федерации и в целях выполнения трудовых, гражданско-правовых, социальных и иных обязательств работодателя перед работниками.
3.2. Персональные данные работников обрабатываются с использованием средств автоматизации и/или без использования таких средств в соответствии с целями обработки.
3.3. Персональные данные работников обрабатываются в течение срока, установленного законодательством Российской Федерации, а также до момента прекращения трудового договора с работником.
4. Ответственность за обработку персональных данных
4.1. За нарушение требований Федерального закона № 152-ФЗ «О персональных данных» и иных законодательных актов, регулирующих обработку персональных данных, работодатели несут ответственность в соответствии с законодательством Российской Федерации.
4.2. В случае нарушения работниками требований в области обработки персональных данных, ответственность возлагается на этих работников в соответствии с трудовым законодательством Российской Федерации.
5. Заключительные положения
5.1. Настоящий приказ вступает в силу с момента его подписи и действует до 31 декабря 2022 года.
5.2. При необходимости изменения или дополнения настоящего приказа, ответственный за обработку персональных данных обязан своевременно подготовить соответствующий документ и представить его на утверждение руководству компании.
5.3. Все работники должны ознакомиться с настоящим приказом и соблюдать его требования.
5.4. Настоящий приказ должен быть размещен во внутреннем документообороте предприятия, а также доступ к нему должен быть предоставлен всем работникам.
5.5. Настоящий приказ подписывается руководителем предприятия и ответственным за обработку персональных данных.
Что относится к персональным данным
Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.
Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.
Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.