Nedcentr.ru

НЕД Центр
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Приказ о назначении ответственного за обработку персональных данных

Распоряжение о назначении уполномоченного входит в перечень рекомендованных документов для формирования системы защиты индивидуальной информации в организации при ее обработке. Четкий перечень документов законом не регламентирован. Работодатель обязан назначить ответственного за обработку персональных данных в соответствии с п. 1 ст. 22.1 ФЗ-152 в ред. от 31.12.2017. После утверждения сотрудник:

  • получает указания непосредственно от исполнительного органа, назначившего его;
  • подотчетен организации, являющейся оператором.

Обработку специальной категории личных данных (ведение кадрового, бухгалтерского учета и пр.), с согласия работника, работодатель вправе поручить другому лицу (ч. 3 ст. 6 ФЗ-152, абз. 2 п. 5 Разъяснений Роскомнадзора).

Требования к должности трудовым законодательством не установлены. Это вытекает из следующего:

  • порядок хранения данных устанавливается работодателем (ст. 87 ТК РФ);
  • учреждения и предприятия самостоятельно разрабатывают и утверждают положение (описывают действия, связанные с обработкой хранением, использованием, перечисляют ответственных за обработку персональных данных — п. 2 ч. 1 ст. 18.1 ФЗ-152 в ред. от 31.12.2017);
  • если приказ отсутствует, руководитель является лицом, ответственным за ООПД (государственный орган, муниципальный орган, организация любой формы собственности).

Организация защиты (пакет документов)

Руководитель предприятия должен своим приказом назначить одного из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот их небольшой перечень:

  • политика организации в отношении персональных данных (в данном случае будет составлен образец приказа об утверждении политики обработки персональных данных в целом по организации);
  • положение об обработке и защите конфиденциальной информации (приказ на утверждение положения о защите персональных данных);
  • перечень лиц, имеющих к ней доступ;
  • согласие на обработку (в общем случае согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т. д.);
  • соглашение о неразглашении;
  • журнал учета передачи данных.

Что включить в текст приказа

Во второй (распорядительной) части необходимо указать должность, инициалы и фамилия сотрудника, который назначается ООПД, дату, начиная с которой назначаемый приступает к выполнению обязанностей.

В тексте приказа, помимо сведений о назначаемом лице, могут быть приведены права и обязанности ООПД. Однако это не обязательно. Данные права и обязанности, как правило, уже сформулированы в Положении об обработке персональных данных, разработка которого обязательна. Здесь вы узнаете, что такое персональные данные и как осуществляется их защита.

Какие реквизиты должны быть в приказе

Приказ должен содержать:

  • Герб (если это предписано законодательством)
  • эмблему либо товарный знак (если они разработаны и закреплены в Уставе);
  • наименование организации, которая издает приказ (оно должно соответствовать уставными документам). При наличии сокращенного наименования, оно помещается ниже полного наименования и заключается в скобки;
  • наименование вида документа (в рассматриваемом случае это слово «ПРИКАЗ»);
  • место составления приказа;
  • дату и регистрационный номер;
  • заголовок;
  • текст;
  • отметка о приложении (при необходимости);
  • подпись (приказ подписывает руководитель организации либо лицо, имеющее право подписи).

Как правильно составить и оформить приказ о назначении ответственного за охрану труда – читайте в статье по ссылке.

Основные реквизиты документа о назначении ответственного за персональные данные.

Что с оформлением

Для документов длительного срока хранения, к которым относится рассматриваемый приказ, левое поле не должно быть менее 3 см. Реквизиты можно выравнивать по левой стороне или центрировать. Исключение составляют заголовок к тексту, непосредственно текст и отметка о приложении, которые не центрируются.

Когда приказ зарегистрирован, с ним необходимо ознакомить лиц, на которых приказом возлагаются обязанности. Отметка об ознакомлении может размещаться на лицевой стороне приказа, если позволяет оставшееся свободное пространство, или на оборотной стороне документа. Тут вы узнаете, как правильно оформить акт об отказе от подписи документа.

Как определить номер и зарегистрировать приказ

Приказ о назначении ООПД регистрируется в журнале регистрации приказов по основной деятельности либо в другой регистрационной форме, предусмотренной в организации. В журнал вносятся сведения:

  • о номере документа (порядковый номер по журналу регистрации). Номер из журнала регистрации проставляется на приказе;
  • дате документа (дате подписания приказа). Эта же дата проставляется на приказе;
  • заголовке;
  • количестве листов самого документа и приложений (через дробь);
  • ответственном исполнителе;
  • о лицах, которых необходимо ознакомить с приказом.

Порядок оформления приказа о назначении ответственного за обработку персональных данных в 2021 году

Пошаговая инструкция оформления рассматриваемого приказа представляет собой последовательность следующих действий:

  1. В первую очередь необходимо заполнить шапку документа. Рекомендуется применять фирменный бланк, так как вся необходимая информация уже есть в шаблоне. Если же применяется стандартный белый лист, то следует прописать наименование предприятия, название приказа, а также его номер и дату составления.
  2. В основном тексте документа потребуется прописать, какие причины послужили основаниями для составления бумаги. Это обоснует релевантность документа. Уместно сослаться на законодательную норму или локальное положение, имеющее прямое отношение к созданию приказа.
  3. Далее фиксируют непосредственное распоряжение о назначении ответственного субъекта. При этом прописывают подразделение, где трудится субъект, его должность и ФИО.
  4. Затем в виде краткого перечня следует привести все основные функции ответственного субъекта (также уместно сослаться на должностную инструкцию конкретной должности). Помимо отмеченного, вносятся данные о сотруднике (ФИО и должность), которого следует считать заместителем ответственного субъекта, в периоды отсутствия последнего.
  5. В завершение составления распоряжения важно сделать приписку, в соответствии с которой контроль над реализацией рассматриваемого документа возлагается на административного работника (управленца, его зама и т.д.). Нередко прописывается: «Исполнение приказа оставляю за собой». Это означает, что руководитель сам несет ответственность за донесение информации до ответственных лиц.
  6. В самом конце приказа следует проставить подписи всех субъектов, отмеченных в документе. В отдельном регистре также отмечаются визы работников компании, которые давали свое согласие на обработку персональных сведений.
Читать еще:  Сокращение или увольнение по соглашению сторон – что лучше

Как правильно составить приказ

  • Вверху следует указывать реквизиты организации, если приказ оформляется на официальном бланке, то он должен их содержать.
  • Ниже пишется наименование документа «Приказ».
  • Приказ должен содержать очередной порядковый номер, согласно нумерации очередного документа в книге регистрации приказов, дату его составления и место.
  • Также пишется краткое содержание документа, т.е. о чем будет идти в нем речь, например: «О назначении ответственных за обработку персональных данных».
  • Ниже, в теле документа, отражается нормы закона, регламентируемые порядок работы с персональными данными сотрудников. После слов «Приказываю» указывается распорядительная часть:
    • Должны быть указаны ответственны лица за сбор и хранение данных.
    • Отдельные лица могут выполнять обработку данных, которые также указываются в документе.
    • Указывается пункт о доведение данного распоряжения до определенных лиц.
    • Указывается ответственный за осуществления контроля за данным распоряжением. Контроль может быть возложен на самого директора.
  • Далее все ответственные и указанные в документе лица должны расписать (ознакомиться).
  • В конце свою роспись и расшифровку ставит директор организации.

Приказ о назначении ответственного за обработку персональных данных

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Обучение

Реклама

Партнеры

Форум

Цитата
Екатерина пишет:
это вы имеете ввиду п.7.1?

Так я ж его и процитировал

Цитата
Екатерина пишет:
точно)не заметила)
я так понимаю юр.лицо-это сторонняя организация, которую мы привлекли.а физ.лицо-наш сотрудник.а если мы никого не привлекали мы ведь не можем сделать ответственным какое-то подразделение за организацию обр.ПД?

Скорее всего так. По идее, можно сделать ответственным за обработку и подразделение (собственно, часто так и делается). Просто в качестве ответственного за ОРГАНИЗАЦИЮ обработки нужно будет выдать ФИО руководителя подразделения.

А вот зародыш приказа о назначении ОзООПДн у нас:

«____»_____________20_¬¬__й.

«___ » __________20 _¬¬__г.

О назначении лица ответственного
за организацию обработки
персональных данных в ОАО

В целях обеспечения выполнения требований статей 14, 20, 21, 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152)

1. Назначить ответственным за организацию обработки персональных данных (должность ФИО).
2. Поручить лицу ответственному за организацию обработки персональных данных:
— осуществлять внутренний контроль за соблюдением требований законодательства РФ при обработке персональных данных в обществе, в том числе требований к защите персональных данных;
— доводить до сведения работников общества положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
3. В соответствии с ФЗ-152 субъект персональных данных или его представитель имеет право на получение информации, касающейся обработки его персональных данных на основании обращения либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Все обращения и запросы субъектов персональных данных подлежат обязательному учету в Журнале учета обращений граждан (субъектов персональных данных), по прилагаемой форме к данному приказу. Ответственным за ведение Журнала учета обращений граждан (субъектов персональных данных) назначить лицо ответственное за организацию обработки персональных данных.
4. Руководителю структурного подразделения (в чьем подчинении находится лицо ответственное за организацию обработки ПДн) разработать пакет организационно — распорядительных и методических документов, обеспечивающих исполнение требований настоящего приказа, по функционалу закрепленному за структурными подразделениями.
Срок: постоянно.
5. В рамках соблюдения п. 6 ч. 1 ст. 18.1, ч. 4 ст. 22.1 ФЗ-152 отделу кадров организовать обучение лица ответственного за организацию обработки персональных данных.
Срок до 01.03.2012.
6. Контроль исполнения требований настоящего приказа возложить на заместителя управляющего директора по безопасности

и приложение к нему:

_______________________
«___» __________ 20 __ г.

Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД ОАО

№ ФИО Дата Цель
1 Иванов И.И. 01.10.2011 Информирование
2 Петров П.П. 02.10.2011 Прекращение обработки

Цитата
Евгений пишет:
Вот ведь еще дело в чем, что в ст. 22.1 ФЗ-152 говорится, что ОзООПДн получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

именно поэтому совершенно нелогично назначать ответственным лицо, которое по должности подчиняется еще некоему руководителю структурного подразделения. которое к тому же (как следует из проекта приказа Евгения) должно разработать пакет ОРД, которые должны обеспечить работу этого ответственного. получается это должность двойного подчинения, что принципиально неверно и не обеспечит нормального выполнения ответственным своих обязанностей.

кстати говоря, на предприятиях одного крупного российского нефтехимического холдинга принято решение назначать ответственными замов по безопасности. это к вопросу о том, у кого какая практика.

Цитата
Евгений пишет:
Вот ведь еще дело в чем, что в ст. 22.1 ФЗ-152 говорится, что ОзООПДн получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

Ludmila пишет:

Цитата
Евгений пишет:
Вот ведь еще дело в чем, что в ст. 22.1 ФЗ-152 говорится, что ОзООПДн получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

именно поэтому совершенно нелогично назначать ответственным лицо, которое по должности подчиняется еще некоему руководителю структурного подразделения. которое к тому же (как следует из проекта приказа Евгения) должно разработать пакет ОРД, которые должны обеспечить работу этого ответственного. получается это должность двойного подчинения, что принципиально неверно и не обеспечит нормального выполнения ответственным своих обязанностей.

кстати говоря, на предприятиях одного крупного российского нефтехимического холдинга принято решение назначать ответственными замов по безопасности. это к вопросу о том, у кого какая практика.[/QUOTE]]

но ведь в ФЗ-152 не сказано, что ОзООПДн, подчиняется исполнительному органу организации, являющейся оператором, поэтому двойственного подчинения я не наблюдаю.

Цитата
Евгений пишет:
Гость сообщ. #31 в принципе обяз-ти ОзООПДн прописаны в ФЗ-152

Там написано «в частности, обязано: . «. Так что лучше установить их внутренним приказом или инструкцией.

Уже точно известно что:
— ответственного нужно назначат обязательно
— он должен быть только один(и не важно сколько на самом деле будут этим заниматься)
— он должен подчинять непосредственно ген.директору(и не важно кому он уже дальше поручит этим заниматься)
— он будет непосредственно отчитываться и общаться с РосКомНадзором
— он должен быть компетентен во всех вопросах связанных с Пдн

P.S. Это если вы хотите сами отчитываться. Ведь вы можете просто нанять стороннее юр лицо и быть спокойным..

Цитата
Карбер пишет:
нанять стороннее юр лицо и быть спокойным..

Статья 221. Лица, ответственные за организацию обработки персональных данных в организациях
1. Оператор, являющийся юридическим лицом, назначает лицо , ответственное за организацию обработки персональных данных.

Назначить стороннее ЮЛ невозможно. ИМХО: фамилия, имя, отчество физического лица или наименование юридического лица , ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; относится к оператору-физлицу, иначе полный бред.

Распозналось может быть и не очень хорошо, но смысл ясен:

от 24.10.2011 г.
Разъяснения отдельных требовалий
законодательства в области персональных данных
Уважаемый Е.М!
Управление Роскомнадзора по РБ по Вашей просьбе представляет разъяснения обязательных требований в области персональных данных.
Статьей 22.1 Федерального закона от 27.07.2006 М 152-ФЗ «О персональных данных» (далее Ф3 «О персональных данных») предусмотрено, что оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. К тому же п. 7.1 ч. З ст. 22 ФЗ «О персональных данных» предусмотрено, что уведомление об обработке персональных данных должно содержать фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных.
Таким образом, если оператор, являющийся юридическим лицом, назначает лицо, ответственное за обработку персональных данных среди своих сотрудников, то назначается только одно физическое лицо. Из числа каких именно сотрудников может быть назначено указанное лицо, законодательством не предусмотрено. Однако, следует учитывать, что статьёй 22.1 ФЗ «О персональных данных» предусмотрены некоторые обязанности, которые возлагаются на лицо, ответственное за организацию обработки персональных данных.
В частности, согласно п. 4 ст. 22.1 ФЗ «О персональных данных» лицо, ответственное за организацию обработки персональных данных, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. В данном пункте речь идёт об обращениях и запросах субъектов персональных данных, предусмотренных статьёй 14 ФЗ «О персональных данных».
Согласно ч. 15 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.
Обязанность ведения журнала учета обращений субъектов персональных данных при неавтоматизированной обработке персональных данных прямо законодательством не предусмотрено. Однако, на лицо, ответственное за организацию обработки персональных данных, возлагается обязанность осуществлять контроль за приемом и обработкой таких обращений и запросов. При этом в ФЗ «О персональных данных» не разделяются категории субъектов персональных данных (работники и иные лица), которые имеют право обратится к оператору.
Требований или рекомендаций по назначению определенного типа подразделений (отдел кадров, иное подразделение), ответственного за ведение такого рода журнала, законодательством также не установлено. При ведении и хранении журнала учета обращений субъектов персональных данных необходимо руководствоваться, в частности, требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 К 687, а также требованиями Перечня типовых управленческих архмвных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного приказом от 25.08.2010 М 558 Министерства культуры Российской Федерации.
Руководитель Ш.А. Хасанов
И.Р. Абдуллин

что Вы думаете по этому письму, в принципе все ясно.

Популярные заблуждения при работе с ПДн

Теперь поговорим о частых заблуждениях:

Заблуждение №1. До проверки долго. Будет свободное время, тогда и разберёмся.

Если вы не считаете какой-то вопрос достаточно важным, на него никогда не находится времени. В результате решать проблему придётся в последний момент, а спешка чревата ошибками. Легко пропустить что-то важное, а потом получить штрафы и предписания.

Лучше сразу правильно организовать работу с ПДн и держать все документы в порядке. Тогда даже неожиданная проверка не застанет врасплох.

Заблуждение №2.Чтобы соответствовать требованиям законодательства, можно просто скачать в сети шаблоны документов и направить уведомление в Роскомнадзор

Законы, регламентирующие работу с персональной информацией, затрагивают только часть документов: согласие на обработку, политика обработки, акт определения уровня защищенности, положение об обработке ПДн работников и модель угроз. Ст. 18.1 152-ФЗ включает достаточно расплывчатые определения, поэтому не всегда понятно, что именно нужно сделать хотя бы для минимального соблюдения требований. Если же сдать не все документы в Роскомнадзор, можно легко получить штраф до 130 000 р.

Кроме того, операторы ПДн должны предпринять и технические меры защиты. Какие из них необходимы именно вашей компании, а также как минимизировать издержки — подскажут специалисты Cloud4Y.

Заблуждение №3. Защита персональных данных — забота системного администратора

Чтобы соответствовать требованиям 152-ФЗ необходимо предпринимать целый комплекс мер. IT-специалист может позаботиться о функционировании IT-инфраструктуры, но он не должен разбираться в юридических вопросах и кибербезопасности. Здесь требуются другие знания и опыт.

Если ваши сотрудники (не только сисадмин) не имеют должных компетенций по защите персональных данных, при проверке это может стать проблемой. Для проверяющих органов отсутствие должных знаний и навыков у работников не является оправданием и не ограждает от штрафов и прочих мер.

Заблуждение №4. Я не обрабатываю ПДн, а только храню

Достаточно распространённая ошибка. П. 3 ст. 3 152-ФЗ гласит, что обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (сюда входит обновление и изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Иными словами, практически любые манипуляции с личной информацией считаются обработкой.

Заблуждение №5. Не нужно усложнять, мы наняли стороннего специалиста, он этим займётся

Как уже говорилось выше, один человек вряд ли обладает компетенцией сразу по всем фронтам: в IT, информационной безопасности и в законодательной базе. Ошибка в одной из этих сфер может дорого обойтись компании, стоить денег, репутации и даже всего бизнеса.

Если хотите обезопасить себя, лучше обратиться к профессионалам. Серьёзные компании с командой специалистов хорошо разбираются во всех вопросах работы с ПДн и имеют огромную практику. И это куда более безопасно, чем найм человека со стороны.

Заблуждение №6. Система защиты ПДн представляет собой различные технические средства, которые нужно самостоятельно выбрать, инсталлировать и настроить

Сделать всё своими силами, действительно, можно, но, если вы не до конца разбираетесь в вопросе, можно ошибочно приобрести не то ПО или потратить значительно больше необходимого.

По этой причине для начала необходимо провести аудит, и уже на его основе создать проект будущей системы защиты. Или просто обратиться к специалистам, которые помогут не только в вопросах технического оснащения, но и в кибербезопасности, и в юридических вопросах.

Заблуждение №7. Мы всё уже сделали

Вы серьёзно и ответственно подошли к вопросу. Главное помнить, что разового проведения всех необходимых мероприятий недостаточно. Каждый год выходят новые законодательные акты и поправки. Если их не учитывать, можно нарваться на штрафы. Актуальность нормативных правовых актов можно проверять здесь.

Иногда может быть неочевидно, что на самом деле вы работаете с ПДн. Например, у вас есть фото и контакты сотрудников, которые вы использовали на корпоративном портале или при оформлении ДМС, информация о соискателях, данные клиентов. Если не учесть этого, можно столкнуться с проблемами со стороны Роскомнадзора.

Заблуждение №8. У нас хранится информация только о сотрудниках

В предыдущем пункте уже говорилось о том, что это заблуждение. Базы данных большинства компаний, как минимум, содержат сведения о кандидатах на вакансии, родственниках сотрудников, о клиентах и деловых партнерах. Также стоит иметь в виду, что при сборе личных данных у физлица, важно получить письменное согласие.

О наличии этой информации важно также указывать в перечне обрабатываемых данных и в уведомлении для Роскомнадзора.

Чтобы не беспокоиться о хранении и защите ПДн, рекомендуем воспользоваться нашей услугой – Облако ФЗ-152. Данное решение оградит компанию от нарушений ФЗ-152 относительно хранения персональных данных граждан РФ в соответствии с законом «О персональных данных».

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector