Garant-blok.ru

Гарант Блок
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Должностная инструкция ответственного за персональные данные

Должностная инструкция ответственного за организацию обработки персональных данных

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

  • Бланк и образец
  • Бесплатная загрузка
  • Онлайн просмотр
  • Проверено экспертом

В перечень обязанностей ответственного за обработку персональных данных сотрудника входит контроль за защитой личной информации работников организации, доведение до них соответствующих нормативно-правовых актов компании, сбор нужных подписей и проч.

Основные требования

Закон № 152 «О персональных данных» в статье 22.1 требует от организации, осуществляющей работу с ПДн сотрудников, партнеров, клиентов и других лиц, назначить лицо, которое будет отвечать за вопросы организации обработки ПДн. Но в законе не указывается конкретное должностное лицо, которое может быть назначено на выполнение таких функций. Обычно таким сотрудником на практике является кадровик или человек, работающий с клиентами.

В части 2 вышеуказанной статьи закона говорится, что ответственный работник является лицом, подотчетным исключительно руководителю предприятия (к примеру, исполнительному директору). Чтобы избежать нарушений в плане субординации в компании, желательно назначать ответственным за работу с ПДн сотрудника, являющегося одним из руководителей, а не рядовым работником.

Часть 4 этой же статьи ФЗ № 152 требует возлагать на этого сотрудника такие обязанности:

  • проведение инструктажей с работниками компании по соблюдению норм законодательства и разработанных организацией документов в отношении обработки ПДн;
  • контроль соблюдения мер административного и технического характера, принятых компанией с целью защиты личной информации (проверка сохранности, порядка внесения данных на носители, условий доступа и порядка работы с ПДн);
  • организация деятельности по приему и работе с обращениями, поступающими на предприятие не только от граждан, но и от надзорных и контролирующих органов.

Нужно знать, что этот список обязанностей не окончательный. На ответственного также могут быть возложены другие обязанности, такие как разработка или принятие участия в создании внутренней документации по защите ПДн, учет носителей данных, оформление допусков к их использованию и др.

Положение об ответственности работников, допущенных к обработке персональных данных и иной конфиденциальной информации

к приказу № 61 от 03.09.2018

БДОУ г. Омска «Центр развития

ребенка – детский сад № 345»

Положение об ответственности работников, допущенных к обработке персональных данных и иной конфиденциальной информации

БДОУ г. Омска «Центр развития ребенка — детский сад № 345»

  1. Общие положения

Конституцией РФ установлено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени.

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 23, 24 Конституции РФ).

В целях защиты частной жизни личности в связи со сбором персональных данных определена юридическая ответственность за нарушение установленных законодательством правил работы с персональными данными.

  1. Ответственность работников, допущенных к обработке персональных данных

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами (ст. 90 ТК).

2.1. Дисциплинарная ответственность

На лицо, ненадлежащим образом относящееся к хранению и сбережению указанной информации, сведений, может быть наложено дисциплинарное взыскание.

Дисциплинарное взыскание может быть наложено на лицо, обязанное должным образом хранить и беречь информацию, касающуюся персональных данных работника, но в результате ненадлежащего хранения допустившего ее порчу или утрату.

Дисциплинарная ответственность предусмотрена трудовым законодательством (ст. 192-195 ТК РФ).

За совершение дисциплинарного проступка, т.е. неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей (в том числе, применительно к рассматриваемой ст. 90 ТК РФ, это могут быть обязанности соблюдения установленного порядка со сведениями конфиденциального характера), работодатель вправе применить предусмотренные ст. 192 ТК дисциплинарные взыскания (замечание, выговор, увольнение по соответствующим основаниям) в порядке, установленном статьей 193 ТК РФ.

За разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с выполнением им своих трудовых обязанностей, может последовать расторжение трудового договора (см. п.п. «в» п. 6 ст. 81 ТК). Кроме того, на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, может быть возложена обязанность возместить причиненные этим убытки (см. ст. 8, ч. 2 ст. 139 ГК РФ; п. 7 ч. 1 ст. 243 ТК).

Читать еще:  Образец профстандарта контролера ОТК 2021 года

2.2. Административная ответственность

В соответствии со ст. 13.11 КоАП РФ, предусматривающей ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) накладывается административное взыскание. Нарушение данной нормы влечет за собой предупреждение или наложение штрафа в размере: на граждан — от 300 до 500 рублей; должностных лиц — от 500 до 1000 рублей; юридических лиц — от 5 тысяч до 10 тысяч рублей (в ред. Федерального закона от 22.06.2007 N 116-ФЗ).

В соответствии со ст. 13.14 указанного Кодекса разглашение информации с ограниченным доступом лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет за собой наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей; на должностных лиц — от 4 тысяч до 5 тысяч рублей (в ред. Федерального закона от 22.06.2007 N 116-ФЗ).

2.3. Гражданско-правовая ответственность

Гражданский кодекс предусматривает защиту нематериальных благ граждан, включая неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию и др.

Соответственно устанавливаются формы гражданско-правовой ответственности в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина (работника) и т.п. (ст.ст. 150, 151, 152 ГК).

2.4. Уголовная ответственность

Уголовным кодексом РФ предусматривается уголовная ответственность: за злоупотребления и незаконные действия с информационными данными о частной жизни (ст. 137 УК), за неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, если эти деяния причинили вред правам и законным интересам граждан (в т.ч. работникам) (ст. 140 УК).

Так, ст. 137 Уголовного кодекса РФ гласит:

«1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан, — наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

  1. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 500-800 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от 5 до 8 месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от четырех до шести месяцев».

Согласно ст. 272 УК РФ неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, наказывается штрафом в размере от 200 до 500 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от 2 до 5 месяцев, либо исправительными работами на срок от 6 месяцев до одного года, либо лишением свободы на срок до двух лет (ч. 1). То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от 500 до 800 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от 5 до 8 месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от 3 до 6 месяцев, либо лишением свободы на срок до 5 лет (ч. 2).

Читать еще:  Акт о нарушении должностных обязанностей. образец заполнения и бланк 2021 года

Основные права и обязанности оператора персональных данных

В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн. Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации. Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:

  • сборе и накоплении;
  • анализе и систематизации;
  • уточнении (коррекции либо дополнении);
  • извлечении и использовании;
  • передаче третьим лицам;
  • блокировке и обезличивании;
  • уничтожении и удалении.

Список того, что оператор персональных данных обязан делать, гораздо обширнее и занимает целую главу в законе, поэтому заслуживает более детального изучения.

Регистрация в Реестре РКН

Законными считаются только те действия с личными сведениями физических лиц, о которых организация заблаговременно сообщила в Роскомнадзор. Процедура предельно простая — нужно составить и подать уведомление в орган надзора в письменном или электронном (во втором случае нужна будет ЭЦП) виде, после чего дождаться внесения в единую базу. При недостаточно полной информации может потребоваться уточнение тех или иных пунктов, а ошибки и неточности в заполнении полей могут привести к штрафам и судебным разбирательствам. Желательно привлечь на данном этапе профессионалов, которые не только проследят за правильностью составления документа (либо сами заполнят необходимые поля), но и проконсультируют относительно внедрения СЗИ и подготовки внутренних документов, регулирующих операции с ПДн.

Главное, что должно быть указано в уведомлении:

  • сведения об операторе — наименование либо Ф.И.О., адрес (юридический и фактический, телефон, ИНН или ОГРН);
  • список запланированных действий и цели сбора и использования ПДн;
  • нормативно-правовая база деятельности и категории данных, подлежащих сбору, хранению, анализу и т.д.;
  • применяемые средства защиты и тип ИСПДн;
  • сведения о центре обработки данных;
  • сведения о трансграничной передаче;
  • сведения об ответственном лице;
  • сведения о филиалах;
  • условия прекращения обработки;
  • дата и подпись (обычная или электронная).

Начинать обработку информации в автоматизированных, неавтоматизированных или смешанных системах запрещено до направления уведомления в РКН. Но существуют определенные исключения, например, нет необходимости уведомлять контролирующий орган об использовании сведений о сотрудниках или обработке только Ф.И.О. Кроме этого, избежать отправки документа можно, если субъект сделал сведения о себе общедоступными либо подписал с вами договор, в рамках которого предусмотрены те или иные действия с персональными данными.

Кроме уведомления для легального осуществления действий с ПДн оператор обязан подготовить политику, регулирующую обработку личной информации, и ряд других внутренних документов, среди которых:

  • форма согласия, которую нужно будет подписывать субъектам;
  • приказ о назначении определенного сотрудника лицом ответственным за организацию обработки персональных данных;
  • правила внутреннего контроля и/или аудита;
  • инструкции по работе с персональными данными в информационных системах;
  • модель угроз для каждой ИСПДн;
  • поручение (при передаче полномочий сторонней организации).

Обязанности на этапе сбора ПДн

Во время получения персональных данных организация должна позаботиться о следующих моментах:

  • сообщить субъекту о факте обработки, целях и методах совершения операций;
  • получить добровольное согласие на использование сведений;
  • при необходимости разъяснить последствия отказа от предоставления ПДн;
  • обеспечить хранение, извлечение, обновление и другие действия с данными на серверах, расположенных в пределах РФ.

Проводить информационную работу с владельцами ПДн нет необходимости, если они уже предварительно уведомлены, есть подписанный договор, предусматривающий совершение операций с персональными данными либо сведения являются общедоступными.

Обеспечение конфиденциальности сведений

Особенно детально в ФЗ-152 прописана необходимость профилактики несанкционированного доступа и распространения ПДн. Для этого требуется:

  • сообщать сведения третьей стороне только при получении дополнительного согласия от субъекта в письменной форме;
  • предупреждать сотрудников, допущенных к персональным данным, о том, что обработка ведется исключительно в заранее установленных целях;
  • осуществлять периодический контроль исполнения требований законодательства и локальных актов;
  • не допускать получения доступа лицами без соответствующих полномочий;
  • запрашивать только тот объем персональной информации, который необходим для выполнения поставленных задач.

Принятие мер безопасности

Точный спектр мероприятий, направленных на защиту ПДн, операторы вправе устанавливать сами, исходя из особенностей своей деятельности, но есть ряд требований, которые нужно исполнять в любом случае. К ним относятся:

  1. Определение потенциальных угроз и разработка способов противодействия.
  2. Применение сертифицированных средств защиты информации.
  3. Оценка эффективности внедренных мер защиты.
  4. Учет материальных носителей ПДн.
  5. Регулярная проверка системы на отсутствие признаков взлома.
  6. Установление правил доступа, учет и регистрация совершаемых с ПДн действий.
  7. Выявление и устранение незаконных изменений, восстановление удаленной информации и принятие мер противодействия НСД в будущем.
Читать еще:  Чем занимаются шахтеры

Устранение нарушений

В случае выявления незаконных операций с ПДн оператор должен:

  • заблокировать данные, с которыми совершались неправомерные действия;
  • обеспечить прекращение операций, нарушающих права гражданина;
  • прекратить обработку ПДн при достижении целей, которые были установлены при сборе.

Назначение ответственных лиц

Среди обязанностей оператора при обработке персональных данных (если он является юридическим лицом или ИП с работниками) одной из основных является определение работников, которые согласно полученным от руководства указаниям и локальным документам (инструкциям, правилам, приказам) будут осуществлять организацию и контроль за обработкой ПДн. В список выполняемых им задач входит:

  • проведение внутренних проверок за соблюдением нормативов ФЗ-152 на предприятии с составлением и подачей оператору отчетов;
  • информирование персонала о правилах сбора, хранения, копирования, изменения, блокировки ПДн и необходимости соблюдения мер безопасности;
  • организация приема и реагирования на запросы от субъектов ПДн и их законных представителей.

Путеводитель по персональным данным

В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:

  • анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника.

Кого назначать ответственным

Закон определяет, что субъект бизнеса должен самостоятельно назначить лицо, которое будет отвечать за работу с персональными данными сотрудников. Это значит, что таким работником может быть любой человек, который трудится в компании.

Закон не устанавливает для него каких-либо требований — к должности, образованию, навыкам и т. д.

Однако, это лицо должно будет исполнять функции и обязанности, которые возлагаются на ответственного по защите персональных данных:

  1. Выполнять контроль внутри компании за соблюдением требований закона о персональных данных, в том числе требований по их защите;
  2. разъяснять работникам компании положения нормативных актов, связанных с обработкой и защитой персональных данных;
  3. Осуществлять прием и обработку запросов на персональные данные.

Кроме этого, исполнение этих обязанностей требует навыков по подготовке распорядительной документации, а также разбираться в законодательных актах. Самым оптимальным вариантом для этой должности будет сотрудник юридического отдела. Если такого нет, то такие обязанности можно возложить на кадровика или секретаря.

Допускается назначить ответственными целый отдел. Но в этой ситуации личную ответственность за работу с персональными данными будет нести руководитель этого отдела.

Внимание! В случае, если сотрудник, назначенный выполнять данные обязанности, увольняется, то необходимо выбрать и назначить нового ответственного. При этом первым пунктом нового приказа должно быть объявление недействительным предыдущего распоряжения.

Куда обратиться, если Ваши данные все-таки попали в открытый доступ?

Если Вы обнаружили на просторах Интернета свои личные данные или фотографии, размещенные без вашего разрешения, воспользуйтесь нашей инструкцией:

1. Напишите напрямую на электронную почту администрации сайта. Попросите удалить ваши персональные данные, ссылаясь на ФЗ-152 «О персональных данных».

2. Если реакции не последует, напишите обращение в Роскомнадзор. В сообщении следует уточнить адрес сайта или URL страницы, на которой Вы обнаружили свои данные.

3. Если Вы считаете, что данные опубликованы, чтобы намерено навредить вам, обратитесь за помощью к юристу.

4. Помните, что госорганы по юридическим вопросам общаются с гражданами только в письменной форме. Поэтому вдвойне внимательно относитесь к звонкам и сообщениям, поступающим с незнакомых или подозрительных номеров, не указывайте в ответ свои личные данные, а лучше просто игнорируйте.

Будь всегда в курсе! Подпишись на новости: Подписаться

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector