В данной статье вы найдете юридически верную инструкцию по обеспечению работы по защите персональных данных на предприятии, в организации. Также вы узнаете, как оформить приказ о работе с персональными сведениями сотрудников и как назначить оператора для работы с такой информацией.

Что является персональной информацией

Согласно Федеральному закону 152-Ф3, персональные данные представляют собой информацию, которая относится к физическому лицу, описывает его. Такое лицо называют субъектом ПДн.

Трудовой кодекс РФ выделяет следующий список данных, относящихся к личным сведениям сотрудников и нужных работодателю в связи с подписанием трудового договора:

• ФИО;
• дата рождения, город;
• пол;
• образование, дополнительное профессиональное образование, курсы повышения квалификации;
• занимаемая должность;
• данные о трудовом стаже и предыдущем месте работы;
• семейное положение;
• привычки;
• сведения о военной службе, судимости;
• сведения о наградах, поощрениях;
• данные о здоровье;
• личные качества, деловые качества;
• адрес прописки и фактический.

Какие операции проводят с ПДН

Какие-либо операции, проводимые с личными сведениями, называются их обработкой. Например: сбор, хранение, накапливание, сортировка, внесение изменений, применение, передача, блокировка, уничтожение, удаление, обезличивание.

Такого рода действия выполняются операторами персональных данных, которые назначаются на эту должность соответствующим Положением, составленным руководителем организации. Данный документ также описывает порядок выполнения обработки ПДН.

Примеры документов по защите ПДн работников

При трудоустройстве на предприятие и во время составления трудового соглашения субъект предоставляет организации следующие бумаги:

• удостоверяющий личность документ – паспорт гражданина;
• трудовую книжку;
• страховое свидетельство пенсионного страхования – СНИЛС;
• военнообязанным гражданам необходимо предоставить военный билет, иные документы о постановке на воинский учет;
• аттестаты, дипломы, имеющиеся свидетельства об образовании;
• документ о присвоении ИНН (если ИНН имеется у работника).

Для защиты ПДн сотрудников на предприятии используют такие документы, как:

• инструкции;
• письма;
• уведомления;
• журналы учета;
• приказы.

Приказы являются внутренними документами организации, оформляются в свободной форме. Они необходимы для определения порядка хранения и обработки личной информации сотрудников. Внутреннее положение о защите ПДн утверждается руководителем и является обязательными к исполнению всем штатом работников фирмы. На основе этого документа создаются все остальные материалы по защите ПДн.

В приказе перечисляются все лица – работники предприятия, которые имеют доступ к работе с документами, содержащими персональную информацию. Также назначается ответственный – оператор, который обязуется обеспечить защиту ПДн на предприятии. Все упомянутые в данном приказе лица должны ознакомиться с документом под роспись. 

Документы по работе с личными данными:

1. Перечень конфиденциальных данных – содержит информацию обо всех видах обрабатываемых на предприятии данных.
2. Инструкция оператора. Оператор персональных данных назначается соответствующим приказом начальства. Здесь перечисляются обязанности оператора по отношению к обработке ПДн.
3. Приказ о назначении работников, ответственных за использование конфиденциальных сведений.
4. Список ПДн, подлежащих защите в системах средств автоматизации.
5. Приказ о согласовании мест хранения данных.
6. Перечень помещений, в которых производится работа с конфиденциальными данными.
7. Инструкция для пользователей электронной базы данных.
8. Приказ о назначении специальной комиссии по уничтожению и обезличиванию личных сведений.
9. Макет системы защиты базы данных. 
10. Порядок резервного копирования и возобновления данных в информационных системах.
11. Распорядок внутренних организационных проверок действующего режима защиты и безопасности персональных данных.

Для чего создается приказ о защите личных материалов сотрудников

Если на предприятии есть такая структура, как профсоюз, то приказ необходимо согласовать с ним, отправив в выбранный орган. После чего профсоюз либо соглашается с документом, либо нет (в срок до пяти рабочих дней). В случае отказа необходимо дополнительно обсуждать детали приказа до достижения взаимного согласия. В ином случае оформляется протокол разногласий.

Федеральный закон гласит, что любое лицо, которое проводит сбор и обработку личных материалов граждан, обязано написать политику защиты персональных сведений для обеспечения прав и свобод граждан. В таком документе описывается, что какой бы ни была цель обработки данных – она в любом случае не должна вторгаться в неприкосновенную личную жизнь человека – субъекта ПДн. 

В приказе детально описаны правила и порядок, которые необходимо соблюдать при работе с личной информацией. Если организация крупная, имеет большой штат сотрудников и специализируется на обработке их данных, то в таком случае с каждым из сотрудников, у которых есть допуск к ПДн, необходимо заключить согласие о неразглашении конфиденциальных сведений.

Если же фирма собирает, хранит и обрабатывает персональные материалы клиентов, она обязательно должна пройти процедуру регистрации в Роскомнадзоре, а также быть внесена в Единый реестр операторов персональных данных.

Федеральное законодательство установило, какое содержание должно быть у приказа по организации процесса защиты ПДн:

1. Назначение служащего на должность ответственного за обработку персональных данных.
2. Определение и описание списка работников, получивших доступ к работе с ПДн.
3. Согласование Положения об обработке и защите личных материалов.

Оформляем приказ о персональной информации. Как это сделать правильно?

Составляется данный документ в соответствии с требованиями распорядительных документов законодательства.

В шапке необходимо указать название фирмы, наименование документа, а также присвоенный ему номер, место, дату и время создания.

Что в основной части приказа:

• Распоряжение о согласовании и утверждении положения о персональной информации, а также приказ о списке лиц, получивших доступ к обработке ПДн, и какой уровень доступа они получили.
• Назначение служащего на должность оператора персональных данных, его занимаемая должность, ФИО.
• Приказ назначенному оператору ознакомить остальных сотрудников с настоящим документом.

После составления всех пунктов документ утверждается и подписывается руководителем предприятия. Также все служащие, имеющие доступ к персональным данным, обязаны ознакомиться с этой бумагой под роспись.

Как правильно заполняется документ

В разделе «Общие положения» необходимо указать цель составления данного документа и список вопросов, которым он отвечает. Он должен содержать ссылки на законы по работе с персональными данными.

В основных понятиях указывается состав ПДн, а также список документов, содержащих персональные материалы работников. Это самый важный раздел, и составляется он лишь после того, как получены все необходимые документы от работников и проведен их анализ.

В разделе «Обработка данных» описываются условия, которые необходимо соблюсти при выполнении обработки ПДн. Также указываются носители, на которых могут храниться данные.

«Передача данных» – здесь устанавливается порядок передачи материалов как внутри структуры фирмы, так и третьим лицам и государственным службам.

В пункте «Доступ к сведениям» описывается информация о порядке доступа к сведениям работников предприятия.

В разделе «Защита персональных данных» указывается, в каком месте хранятся ПДн сотрудников компании (бумажный материальный носитель либо пользование машинными носителями). Также описываются меры обеспечения безопасности и сохранности информации (архивные шкафы, сейфы, кодовые замки на комнатах-архивных), и, если данные в электронном виде, как они хранятся и защищаются.

Пункт «Ответственность за несоблюдение требований защиты и безопасности персональных данных». Здесь необходимо указать, кто на предприятии будет нести ответственность за нарушение правил работы с личной информацией сотрудников.

С данным документом необходимо ознакомить всех сотрудников предприятия. Зафиксировать ознакомление каждого сотрудника можно в журнале регистрации.

Следует учитывать, что в состав приказа обязательно должно входить согласие на обработку персональных данных сотрудника.

Порядок утверждения данного документа не отличается от порядка утверждения остальных документов и актов организации.