Образец приказа о персональных данных работников

Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях. Масштабные скандалы с утечками конфиденциальной информации или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир. Есть случаи и помельче, на уровне организаций (например, использование сотрудницами отдела кадров страниц с личной информацией сотрудников в качестве черновиков-«обороток», размещение в открытом доступе сведений об учениках образовательных учреждений или пациентах клиник). Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных. Тем временем отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей, компаниям следует организовать защиту персональных данных так, как того требует глава 14 ТК РФ и закон № 152-ФЗ, подготовив полноценный пакет документов.

Организация защиты (пакет документов)

Руководитель предприятия приказом назначает одного из сотрудников ответственным за обработку и хранение конфиденциальной информации. Обычно это начальник или специалист отдела кадров, но необходимые обязанности разрешено возложить и на любого иного работника, закон это позволяет. Главное, чтобы он смог выполнять обязанности, перечисленные в статье 22.1 закона № 152-ФЗ. После назначения ответственного ему следует составить локальные нормативные акты. Вот их небольшой перечень:

• политика организации в отношении всей личной информации, которая попадает в компанию, вместе с распоряжением о ее введении;
• положение об обработке и защите конфиденциальной информации и шаблон приказа о назначении положения о персональных сведениях для дальнейшего согласования со всеми заинтересованными лицами;
• перечень лиц, имеющих доступ к такой личной информации;
• инструкция по работе с персональными данными для всех лиц, имеющих к ним авторизованный доступ;
• согласие на обработку (в общем случае согласие получают от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т. д.);
• соглашение о неразглашении;
• журнал учета передачи данных.

Порядок разработки и утверждения приказа о персональных данных

Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор. Чтобы у инспектора не имелось повода «принимать меры», надо подготовить документы, перечисленные выше, и утвердить их приказами руководителя. Основополагающим станет распоряжение об утверждении политики и положения о персданных сотрудников и третьих лиц.

Предлагаем наш образец приказа на введение в действие политики по работе с персональными данными, по аналогии с ним легко подготовить распоряжение об утверждении положения об обработке и защите личных сведений работников.

Крайне важно соблюдать правило, сформулированное в ст. 86 ТК РФ: все, что мы знаем о работнике, мы должны узнать от него самого. В крайнем случае допустимо обратиться к так называемой третьей стороне, если работник не владеет необходимой информацией (забыл, потерял...), но только с его ведома (например, запросить копию диплома в архиве вуза). Работника необходимо поставить об этом в известность и получить его согласие: это делается в форме заявления-согласия на получение сведений у третьей стороны. Все это прописывают в положении, с которым работника знакомят до момента подписания трудового договора.

Бывает, что сведения меняются (например, женщина после замужества меняет фамилию или студент получает диплом о высшем образовании). В этом случае на основании приказа о предоставлении персональных данных работник в письменном виде просит внести изменения в ряд документов работодателя.

У кого в организации может быть допуск к личным данным

Персональные данные работников — это, образно говоря, «золото и бриллианты», доступ к которым ограничен даже для сотрудников организации. Кто получит к ним доступ — решает директор. Общие требования по работе в этом направлении прописываются в положении. Там же или в отдельном нормативном документе пишут, кто, когда и с какой целью имеет доступ к тем или иным сведениям. Полный допуск, как правило, имеют:

• генеральный директор и его заместитель по безопасности;
• начальник отдела кадров.

Остальные специалисты, в том числе и бухгалтеры, получают доступ только к той информации, которая им необходима для выполнения своих должностных обязанностей.

Есть информация, которая является максимально конфиденциальной, и попытки выведать у сотрудника, в каких он состоит сообществах, каковы его религиозные убеждения, как он себя чувствует и каких политических взглядов придерживается, незаконны. Хотя существует длинный перечень условий, при которых это все-таки возможно (ст. 10 ФЗ № 152-ФЗ). К таким исключениям (среди прочих) относятся случаи получения мотивированных запросов (содержащих цель запроса, обоснование компетенции органа и правовые основы запроса) прокуратуры, органов МВД или Трудовой инспекции, информация медицинского характера, если она необходима для оказания помощи больному.

Как организовать работу с персональными данными на предприятии, видео