Приказ о защите персональных данных работников: образец

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Предприниматель обязан защищать персональные сведения наемных служащих, принимая в этих целях ряд документов. Персональные данные работника, которые в обязательном порядке предоставляются работодателю при заключении трудового договора, являются конфиденциальной информацией и имеют особый режим защиты, устанавливаемый законом. Организация обязана разработать и принять систему мер по защите этой информации и отразить ее во внутренних нормативных актах – приказе и Положении.

Нормативно-правовая база

На международном уровне систему защиты информации о личности сотрудника регулируют стандарты Международной организации труда (МОТ), работающей при ООН. Они не имеют обязательной силы для стран – участниц организации, но настолько полно регулируют все вопросы, связанные с обеспечением сохранности конфиденциальных сведений, что практически в точности отразились в нормах Трудового кодекса России. Понятие ПД сотрудника ранее находилось в ст. 85 ТК РФ, и под ними подразумевалась информация, которая требуется компании в связи с наймом на работу конкретного человека и тем или иным образом относится к нему. В дальнейшем эта статья утратила силу, и в отношении сотрудника и его ПД действует общее определение, предусмотренное ФЗ «О персональных данных». Работодатель получает информацию следующего характера:

  • ФИО;
  • номера ИНН и СНИЛС;
  • данные о предыдущих местах работы, сделанных там начислениях;
  • данные о составе семьи;
  • иную значимую информацию.

Но в действующей части ТК возлагает на компанию долг по обеспечению сохранности информации о сотрудниках, все действия должны производиться за счет средств компании. Описание процесса обработки сведений содержится в разработанных совместно кадровым и юридическим подразделениями внутренних локальных актах фирмы – Положении о персональных данных и приказе об их защите.

Положение о персональных данных работников

Положение

Гражданин, передающий компании личную информацию, вправе, опираясь на нормы Федерального закона «О персональных данных», требовать ее сохранности, исключения риска утраты. Несмотря на то, что организация, оперирующая только ПД работников, не является их оператором, она должна придерживаться всех требований к обработке, хранению, передаче и защите данных, которые применяются и в отношениях с клиентами. Для решения этих задач разрабатывается Положение о защите персональных данных. Оно включает в себя:

  • перечень обрабатываемой информации, переданной физическим лицом;
  • список лиц, имеющих право на ее обработку;
  • методы хранения сведений (в электронной форме и в виде бумажных документов);
  • ситуации учета ПД вне личных дел, например, в бухгалтерской документации;
  • основания передачи данных, кому и в каком порядке, когда для этого должно быть оформлено письменное согласие сотрудника или его представителя. Так, членам семьи сведения могут предоставляться только после согласования с оператором;
  • способы обработки персональных данных;
  • средства технической защиты данных в информационных системах (кодировка, обезличивание);
  • порядок утверждения и изменения документа.

В качестве приложений к Положению могут быть оформлены форматы письменного согласия работника:

  • на обработку персональных данных;
  • на предоставление дополнительной информации.

Документ должен полностью соответствовать действующему законодательству. Кроме того, он может содержать нормы, являющиеся специфическими для конкретного предприятия. Утверждение Положения о защите персональных данных обычно происходит на уровне руководителя компании, оно не требует дополнительного согласования с Советом директоров. Директор компании для введения в действие внутреннего нормативного акта издает свой приказ.

Содержание приказа

В компетенции директора находится издание документов, обязательных для выполнения компанией. Образец приказа можно найти в правовых базах данных, иногда стоит ориентироваться на разработки крупных государственных компаний. Стандартно он включает в себя:

  • наименование компании;
  • время и место издания;
  • порядковый номер;
  • ссылки на нормативно-правовые акты, на основании которых утверждается Положение. Это 14-я глава ТК Российской Федерации и закон «О персональных данных»;
  • пункт об утверждении документа;
  • время, с которого он начинает действовать;
  • данные об ответственном лице, которое контролирует соблюдение требований Положения;
  • степень допуска сотрудников компании к сведениям различного уровня конфиденциальности;
  • назначение лица, ответственного за выполнение требований приказа;
  • обязательство довести информацию приказа и текст Положения до всех работников организации и срок, установленный для ознакомления;
  • подпись руководителя.

Приказ может быть подписан генеральным директором или его заместителем, если на него возложены доверенности или иным приказом обязанности по утверждению организационно-распорядительных документов. В ряде случаев Положение и утверждающий его приказ могут быть подготовлены отдельно для филиала компании, если в его деятельности есть отличия от практик работы головной организации. Пункт об обязательности ознакомления с Положением целесообразно включать в трудовой контракт с работником.

Приказ об утверждения положения о ПДн

Реквизиты приказа и порядок ознакомления с ним

Изданный приказ подлежит обязательной регистрации. Ему присваивается порядковый номер, зависящий от принятой в компании номенклатуры дел. Обычно он относится к группе организационно-распорядительной документации. Регистрируется приказ в книге учета и системе электронного документооборота. ТК РФ требует от компании ознакомить под роспись сотрудника или его представителя со всеми документами, которые обеспечивают защиту персональных данных работника. Делается это двумя путями:

  • фактическое ознакомление работника с текстом документа на материальном носителе. О таком ознакомлении работник расписывается в специальной книге учета;
  • размещение приказа и Положения на сайте компании или во внутренней информационной системе таким образом, чтобы текст документа был доступен всем сотрудникам в любое время. Это дает возможность не обращаться к документу на материальном носителе.

Учет всех этих требований обеспечивает соблюдение норм законодательства и защиту персональных данных работников при их хранении и обработке.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними