Обязательны ли локальные акты по персональным данным

Обязательны ли локальные акты по персональным данным

Оглавление:

Документальное обеспечение при организации защиты персональных данных на предприятии

При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности. Содержание статьи Главным документом в области использования информации о физических лицах, является.

Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление. Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных. Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила.

, которое утверждает свои требования к организации защиты:

  1. инструкцию администратора данных (п. 13);
  2. частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
  3. список (перечень) лиц, которые допущены к обработке (п. 13 (в));
  4. журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
  5. инструкцию пользователя конфиденциальной информации (п. 13);
  6. электронный журнал обращений (п. 15, 16);
  7. приказ с перечнем мест хранения (п. 13).

До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор.

Внутренние документы регулируют:

  1. особенности хранения;
  2. другие моменты.
  3. правила работы в информационных системах;
  4. порядок обработки на бумажных носителях;
  5. общие принципы работы;
  6. порядок передачи;
  7. инструкция для сотрудников;

Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации.

Законодатель не называет, сколько локальных актов должно быть у организаций. Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.
Во исполнение требований могут быть введены в действие следующие документы:

  1. внесение дополнений в должностные инструкции ();
  2. распорядительный акт о назначении ответственных ();
  3. форма запроса на доступ ();
  4. план мероприятий для проведения контроля ();
  5. положение об обработке персональных данных ();
  6. формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении ( и ).
  7. форма согласия на обработку персональных данных ( и );

Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

Документы для скачивания (бесплатно)

Защита персональных данных: разрабатываем локальные акты учреждения (Зайцева Г.)

С обработкой персональных данных сотрудников имеют дело все организации, и образовательные учреждения здесь не являются исключением.

Более того, бухгалтеры наряду со специалистами кадровой службы по роду своей деятельности первыми начинают работать с личными данными и персонала, и обучающихся. Какие внутренние документы необходимы учреждению, чтобы обеспечить защиту персональной информации? Вопросы использования персональных данных регулируются гл.
14 ТК РФ, Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Федеральный закон N 152-ФЗ) и рядом нормативных правовых актов, изданных во исполнение этого Закона.

Пунктом 8 ст. 86 и положениями ст. ст. 87, 88 ТК РФ определено, что порядок хранения и использования личных данных работников устанавливает сам работодатель с соблюдением требований трудового законодательства и иных федеральных законов.

Для этого он должен утвердить соответствующий локальный нормативный акт.

Аналогичная обязанность предусмотрена в п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ: в организации должны быть изданы документы, определяющие ее политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений. Положение о персональных данных Какие именно нормативные акты необходимо утвердить на локальном уровне, законодатель не уточняет.

Однако практика показывает, что к ним, прежде всего, относится положение о персональных данных работников (оно же положение о порядке обработки и защите персональных данных работников, положение о персональных данных, их обработке и обеспечении безопасности и т.п.), которое является главным документом в рассматриваемой сфере, регулирует основные вопросы использования персональных данных и должно быть обязательно принято в образовательном учреждении. Необходимость разработки и утверждения подобного внутреннего документа подтверждается и нормами других правовых актов федерального уровня. Например, в Постановлении Правительства РФ от 21.03.2012 N 211 в качестве одного из обязательных действий государственного или муниципального органа названо утверждение актом его руководителя правил обработки персональных данных.

Правила должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определять: — содержание персональных данных для каждой цели их обработки; — категории субъектов, личные данные которых обрабатываются; — сроки обработки и хранения персональной информации; — порядок уничтожения данных при достижении целей обработки или при наступлении иных законных оснований. ———————————

«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «

О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

Локальные акты: виды, назначение, порядок принятия

Источник: Журнал В каждой организации – в одной меньше, в другой больше – существуют свои локальные нормативные акты. Это различные положения, инструкции, правила и т.

п. При этом есть общеустановленные локальные акты, обязательные для всех организаций без исключения, а есть принятые на усмотрение работодателя. Так или иначе, любой локальный акт обязателен и для работников, и для работодателя – если только не противоречит законодательству.

Что относится к локальным нормативным актам?

В каком порядке они утверждаются? С кем согласовываются? На кого распространяются?

На эти и другие вопросы вы найдете ответы в этой статье. Согласно ст. 5 ТК РФ трудовые и другие непосредственно связанные с ними отношения регулируются трудовым законодательством, включая законодательство об охране труда, иными актами, содержащими нормы трудового права, а также коллективными договорами, соглашениями и локальными нормативными актами, содержащими нормы трудового права. Работодатели, за исключением работодателей – физических лиц, не являющихся индивидуальными предпринимателями, принимают локальные нормативные акты, содержащие нормы трудового права, в пределах своей компетенции в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права, коллективными договорами, соглашениями (ч.

1 ст. 8 ТК РФ). При этом Трудовой кодекс не содержит ни определения локального акта, ни перечня документов, которые можно считать локальными актами. Некоторые специалисты определяют локальные нормативные акты как акты, принимаемые работодателем и содержащие правила поведения, рассчитанные на неоднократное применение к неопределенному кругу лиц.

Но данная формулировка достаточно узка, поскольку к основным документам, содержащим правила поведения, можно отнести, например, Правила внутреннего трудового распорядка или инструкции по охране труда. Понятие локального нормативного акта несколько шире.

Для его определения лучше воспользоваться положениями ст. 8 ТК РФ: локальный нормативный акт – документ, содержащий нормы трудового права, который принимается работодателем в пределах его компетенции в соответствии с законами и иными нормативными правовыми актами, коллективным договором, соглашениями. А вот по поводу того, какие акты следует отнести к локальным, мнений достаточно много.

Бесспорно, локальными актами являются Правила внутреннего трудового распорядка, различные положения (о персональных данных, об оплате труда, об аттестации), инструкции по охране труда и т. п. Некоторые специалисты относят к локальным актам также штатное расписание и график отпусков, а некоторые – и приказы руководителя. Мы не можем согласиться с тем, что приказы являются локальными нормативными актами.

Они относятся к организационно-распорядительным документам, как и табели учета рабочего времени, графики сменности и др.

Что касается штатного расписания и графика отпусков, Роструд, например, неоднократно относил их к локальным нормативным актам (см., например, письма Роструда от 22.03.2012 № 428‑6‑1, от 31.10.2007 № 4414‑6)

New Media Edu

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению. Продолжаем разъяснять к тем, у кого есть свой сайт.

Помимо вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п.

1 ст.18.1 Закона «О персональных данных»):

  • Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
  • Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
  • Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
  • Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
  • Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.

Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен. В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.

Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены .

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка.

Для новичка это не так просто, но лучше обезопасить себя. Некоторые компании и сайты оказывают услуги в их подготовке: , , . А можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы: 1.

Перечень сведений конфиденциального характера Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных»

Рекомендуем прочесть:  Получение паспорта процедура

Обязательные локальные акты в организации о персональных данных

Кадровик.

ру», 2010, N 8 ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ Любая кадровая служба ежедневно имеет дело со сведениями, которые законодательство РФ определяет термином «персональные данные».

Обращаясь к этой теме, следует иметь в виду, что в Российской Федерации разработана достаточная законодательная база, регламентирующая работу с данной категорией информации <*.><* конституция российской федерации, трудовой кодекс российской федерации, федеральный закон от 27.07.2006 n 149-фз «об информации, информационных технологиях и защите информации», федеральный закон от 27.07.2006 n 152-фз «о персональных данных», постановление правительства российской федерации от 15.09.2008 n 687 «об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств>

определение персональных данных работника дано в ч.

1> Инфо Для информации Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч.

1 ст. 22 Закона N 152-ФЗ). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор (п.

1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228).

Уведомление должно быть направлено в территориальный орган Роскомнадзора — управление Роскомнадзора по субъекту РФ по месту нахождения оператора. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные — это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу.

К такой информации относятся, в частности, фамилия, имя, отчество этого лица, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку таких данных, а также определяющие цели и содержание обработки (п. 2 ст. 3 Закона N 152-ФЗ). Понятие «обработка персональных данных» включает в себя весь спектр действий (операций) с такими данными, в том числе их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение.

Внимание Порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса Российской Федерации и других федеральных законов (статья 87 ТК РФ).

Эта норма обязывает работодателя принять локальный нормативный акт, который будет регулировать порядок хранения и использования персональных данных.

Защита персональных данных.

Локальные документы

Примерный перечень локальных актов и документов для реализации требований законодательства по защите персональных данных. Локальные нормативные акты оформляются и используются в работе предприятия в соответствии с требованиями законодательства.

№ пп Разрабатываемый акт, документ Нормативный правовой акт Требование нормативного правового акта 1. Акты оператора ПД (положения, инструкции), содержащие требования к обеспечению конфиденциальности ПД ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ»О персональных данных» Статья 7. Конфиденциальность персональных данных 1.

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных 2 Согласие в письменной форме субъекта персональных данных на обработку своих персональных данных ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных» Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных 1.

Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе 4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. 3 Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные были получены не от субъекта персональных данных.

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ»О персональных данных» Статья 18.

Обязанности оператора при сборе персональных данных 3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных.

4 Документы, содержащие положения о принятии оператором ПД организационных и технических мер для защиты персональных данных ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке*19) 1.

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 5 Уведомление об обработке персональных данных ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных» Статья 22.

Обязательные локальные акты в организации о персональных данных

Необходимость разработки и утверждения подобного внутреннего документа подтверждается и нормами других правовых актов федерального уровня.

Например, в Постановлении Правительства РФ от 21.03.2012 N 211 Подробнее в материалах Системы:

  • Ответ: Как организовать документооборот в кадровой службе

Порядок работы с документами Порядок работы с документами в организации закрепите на локальном уровне.

Основы документооборота, как правило, закладываются в положениях об отделах.

Важно Более подробно схему документооборота опишите в инструкции по делопроизводству организации.

При этом оборот документов в кадровой службе рассматривается как составляющая общего документооборота организации. Порядок работы с документами установлен в разделе 3 ГСДОУ, утвержденной приказом Главархива СССР от 25 мая 1988 г.

№ 33. Закона от 27 июля 2006 г.

№ 152-ФЗ). Договор между работодателем и такой организацией должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке (п. 3 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Нина Ковязиназаместитель директора департамента образования и кадровых ресурсов Минздрава России

  • Нормативно-правовая база: Федеральный закон от 27.07.2006 г. № 152- ФЗ «О персональных данных» Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2.

  1. Персональные данные
  2. Положение о персональных данных
  3. Темы:
  4. Личное дело работника
  5. Кадровое делопроизводство
  6. Локальные нормативные акты

каждая организация должна в какой-то орган предоставить некое уведомление по персональным данным работников общества!? Благодарю. Первый блок – входящая информационно-справочная документация:

  1. заявки, жалобы, предложения граждан.
  2. отчеты об исполнении заданий, акты, письма, служебные записки от подчиненных организаций;
  3. указания вышестоящих организаций;
  4. письма, договоры, акты и прочие документы от остальных организаций;

Второй – исходящая информационно-справочная документация:

  1. ответы на входящие запросы;
  2. инициативные и информационные документы организации (предложения, заявки, письма, справки, обзоры, договоры и т.

    п.).

Третий – внутренняя информационно-справочная документация:

Нужна ли в организации политика в отношении обработки персональных данных, если у организации нет сайта?

Ответ на вопрос: В общем случае для обработки персональных данных Вам потребуется локальный акт, регламентирующий обработку персональных данных в Вашей организации.

Если Вы обрабатываете персональные данные третьих лиц через сайт организации, понадобится также политика .

Любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) относится к его (). При этом операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (). Таким образом, принцип конфиденциальности распространяется на любые персональные данные работников, за исключением общедоступных ().

Т.е. тех, которые субъект персональных данных сделал таковыми (данные из открытых справочников, адресных книг и т.д.). Для этих целей работодатель утверждает локальный акт, которым регламентируется порядок хранения и использования персональных данных работников. Конкретное наименование такого документа законодательно не предусмотрено, поэтому может быть любым, например, Положение о работе с персональными данными работников.

При этом работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Такие требования установлены , статьи 86 Трудового кодекса РФ. Из чего можно сделать вывод, что такой локальный акт должен быть у каждого работодателя, и с ним должны быть ознакомлены все работники при приеме на работу ( ст.

68 ТК РФ). Из частных разъяснений Роскомнадзора следует, что политика обработки персональных данных не является обязательным документом каждого работодателя, поскольку оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных. К таким мерам, в частности, могут относиться: издание оператором документов, определяющих политику оператора в отношении обработки персональных данных (См.

письмо Роскомнадзора от 01.11.2017 № 67460-02-11/77 (на частное обращение гражданин). С 1 июля 2017 года резко возрастет штраф за неправильную работу с персональными данными.

Максимальный размер одного штрафа – 75 тыс.

руб. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.

Больше всего рискуют организации и предприниматели, которые через свой сайт собирают контакты физических лиц. Например, предлагают посетителям сайта оставить свои данные, чтобы сотрудник организации перезвонил и подробнее рассказал о ее услугах или товарах. Если сбор данных на сайте организован неправильно, сотрудники Роскомнадзора легко это обнаружат.

Так, если работодатель не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:  к документу, который определяет политику

Организация работы с персональными данными

Вы здесь С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот.

В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Речь идет о таких данных, как:

  1. привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  2. дата и место рождения;
  3. образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  4. физиологические особенности, здоровье;
  5. зарплата, другие доходы;
  6. фамилия, имя, отчество;
  7. адрес;
  8. пол;
  9. факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  10. владение недвижимым имуществом, денежные вклады и др.;
  11. деловые и иные личные качества;
  12. должность (профессия);
  13. семейное положение;
  14. другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76. Таблица 1. Документы, в которых содержатся персональные данные работников N Документ Сведения 1 Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) Анкетные и биографические данные работника 2 Копия документа, удостоверяющего личность работника Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи 3 Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) Ф.И.О.

работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность 4 Трудовая книжка Сведения о трудовом стаже, предыдущих местах работы 5 Копии свидетельств о заключении брака, рождении детей Состав семьи, изменения в семейном положении 6 Документы воинского учета Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников 7 Справка о доходах с предыдущего места работы Ф.И.О., данные о сумме дохода и удержанного НДФЛ 8 Документы об образовании Подтверждают квалификацию работника, обосновывают занятие определенной должности 9 Документы обязательного пенсионного страхования Ф.И.О., личные данные 10 Трудовой договор Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника

Защита персональных данных работников: локальные нормативные акты

Работодатель отвечает за сохранность таких конфиденциальных сведений, как персональные данные сотрудников, которые он получил в связи с трудовыми отношениями.

И одной из основных обязанностей в этой сфере является разработка и утверждение локальных нормативных актов. О том, что это за документы, какие правила они содержат и как работодателю организовать весь процесс – от составления текста до выполнения закрепленных предписаний, – пойдет речь в нашей статье. Читайте также: Правила и условия защиты персональных данных регламентируются:

  • Подзаконными актами.
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
  • Иными федеральными законами.
  • Локальными нормативными актами работодателя.
  • Трудовым кодексом РФ.
  • Нормативными правовыми актами государственных органов, Банка России, органов местного самоуправления, принятыми ими на основании и во исполнение федеральных законов в пределах предоставленных полномочий.

Читайте также: Закон № 152-ФЗ предусматривает, что у юридического лица должны быть:

  1. локальный нормативный акт по вопросам обучения работников, непосредственно осуществляющих обработку персональных данных (п.

    6 ч. 1 ст. 18.1).

  2. локальный нормативный акт по вопросам обработки персональных данных (п. 2 ч. 1 ст. 18.1);
  3. локальный нормативный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1);
  4. документы, определяющие политику оператора в отношении обработки персональных данных (п.

    2 ч. 1 ст. 18.1);

Обратите внимание!

Если международным договором РФ установлены иные правила, нежели предусмотренные Законом № 152-ФЗ, применяются правила международного договора. Читайте также: ТК РФ обязывает работодателя иметь:

  1. документы, устанавливающие порядок обработки персональных данных работников, в том числе определяющие их права и обязанности в области персональных данных;
  2. локальный нормативный акт, утверждающий порядок передачи персональных данных в пределах одной организации или у одного индивидуального предпринимателя.

Какие требования предъявляются к операторам, обрабатывающим персональные данные в информационных системах? Из постановления Правительства РФ от 01.11.2012 № 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

можно сделать вывод, что помимо перечисленных выше мер оператор для обеспечения безопасности персональных данных должен также определить лицо, осуществляющее их обработку.

Читайте также: Кроме того, в зависимости от уровня защищенности персональных данных (а их всего четыре) оператор также должен:

  1. определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

Какие локальные акты регламентируют работу с персональными данными?

Ответ на вопрос: На основании ч. 2 ст. 3 Закона № 25-ФЗ на муниципальных служащих распространяется действие трудового законодательства с особенностями, предусмотренными Законом № 25-ФЗ.

При работе с персональными данными также нужно учесть и положения Указа Президента от 30.05.2005 № 609 и постановления Правительства РФ от 21.03.2012 № 211 Следовательно, рассмотрев ваш вопрос, можно сказать, что единого перечня локальных нормативных актов, которые должны быть в отделе кадров, не существует: в каждой организации он свой. О читайте подробнее по ссылке.

Соответственно, работодатель должен самостоятельно определить порядок обработки персональных данных и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников.

Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись. К основным документам, необходимым для защиты персональных данных, кроме самого Положения, относятся: 1. Перечень персональных данных, необходимых для данной организации.

2. Список лиц, допущенных к работе с ПДн (должность, Ф.И.О., основания для доступа, пределы доступа). 3. Инструкция о защите ПДн при использовании бумажных и любых других носителей информации, вычислительной техники и автоматизированных систем обработки и (или) передачи данных.

4. Приказ о назначении лица или подразделения, ответственных за работу и обеспечение защиты ПДн, и наделении их соответствующими полномочиями.

5. Должностные инструкции лиц, ответственных за защиту информации. 6. План мероприятий по защите информации. 7. Перечень защищаемых объектов информатизации.

8. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа.

9. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами.

10. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации. 11. Инструкция по защите речевой информации при проведении конфиденциальных совещаний. 12. Приказ о запрете использования в защищаемых помещениях радиотелефонов, сотовых и пейджинговых устройств при проведении конфиденциальных совещаний.

13. Инструкция по обеспечению информационной безопасности при подключении к информационно-вычислительным сетям общего пользования (Интернет и т.п.).

14. Инструкция по антивирусной защите.

15. Приказ о назначении ответственного за эксплуатацию средств защиты информации. 16. Журнал (карточки) учета средств защиты информации.

17. План внутренних проверок состояния защиты ПДн. 18. Журнал учета мероприятий по контролю. 19. Журнал учета обращений субъектов ПДн о выполнении их законных прав.

20. Письменные согласия работников на обработку ПДн. 21. Электронный журнал обращений пользователей информационной системы к ПДн.

22. Журналы (книги) учета движения документов (иных носителей), содержащих ПДн. Обращаем Ваше внимание, что данный перечень примерный и с учетом специфики Вашей организации он может быть как сокращен, так и расширен.

К сожалению,

Является ли обязательным локальным актом организации Положение о персональных данных работников?

Ответ на вопрос: Да, локальный акт, устанавливающий порядок обработки персональных данных работников является обязательным.

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов.

При этом работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Такие требования установлены статьей 87, пунктом 8 статьи 86 Трудового кодекса РФ. Из чего можно сделать вывод, что такой локальный акт должен быть у каждого работодателя, и с ним должны быть ознакомлены все работники при приеме на работу (ч.

3 ст. 68 ТК РФ). Справочно: Перечень обязательных кадровых документов и основания для их оформления размещены в Системе в специальной таблице Подробности в материалах Системы Кадры: Ситуация: Является ли Положение о работе с персональными данными сотрудников обязательным документом Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, .

Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ). Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет (ст.

5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06). Пример оформления Положения о работе с персональными данными сотрудников Руководитель организации утвердил . Кадровой службы в организации нет.

Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева. Из ответа «» Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России С уважением и пожеланием комфортной работы, Роман Кондратюк, эксперт Системы Кадры

Персональные данные: как составить локальные акты, чтобы у инспекторов не было вопросов

Роскомнадзор активно проверяет работодателей, применяя .

Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных.

Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании.

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений. Например, ЛНА могут определять:

  1. порядок хранения персональных данных,
  2. порядок передачи данных,
  3. порядок обработки данных должностными лицами и проч.
  4. общие принципы обработки данных,
  5. порядок обработки данных в информационных системах,
  6. порядок обработки данных на бумажных носителях,

4.

В каждый ЛНА стоит включить раздел «Общие положения».

В нем указать значение ЛНА, основные термины и понятия:

  1. «персональные данные»,
  2. «оператор»,
  3. «трансграничная передача персональных данных» и проч.
  4. «обработка персональных данных»,

Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст.

86 ТК РФ).Цели обработки персональных данных и содержание Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

  1. использование персональных данных в информационных системах, с которыми работает компания,
  2. передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
  3. использование данных при составлении документов,
  4. сбор данных для принятия решения о приеме кандидата на работу и проч.

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень. Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.

Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность.