Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

Какие условия должны быть указаны в ЛНА?

1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании.

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.

Например, ЛНА могут определять:

• общие принципы обработки данных,
• порядок обработки данных на бумажных носителях,
• порядок обработки данных в информационных системах,
• порядок хранения персональных данных,
• порядок передачи данных,
• порядок обработки данных должностными лицами и проч.

4. В каждый ЛНА стоит включить раздел «Общие положения». В нем указать значение ЛНА, основные термины и понятия:

• «персональные данные»,
• «оператор»,
• «обработка персональных данных»,
• «трансграничная передача персональных данных» и проч.

Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст. 86 ТК РФ).

Что написать в ЛНА

Цели обработки персональных данных и содержание

Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

• использование персональных данных в информационных системах, с которыми работает компания,
• использование данных при составлении документов,
• передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
• сбор данных для принятия решения о приеме кандидата на работу и проч.

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень.

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.

Внутренний доступ.

Может быть полным и ограниченным.

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).

Ответственный сотрудник будет:

• контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
• информировать сотрудников о новых нормах, локальных актах о персональных данных;
• принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч.

В ЛНА нужно указать:

• наименование и местонахождение третьих лиц,
• цели передачи данных и объемы,
• перечень действий по обработке,
• способы обработки,
• требования к защите данных.

Хранение персональных данных

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

• определение угроз безопасности,
• обнаружение фактов несанкционированного доступа,
• применение мер по обеспечению безопасной обработки данных,
• защита технических средств, на которых хранятся данные,
• установка антивирусов и проч.

«Одноразовая» обработка персональных данных

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

• порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
• данные, которые охрана запрашивает у гостей и вносит в журнал,
• цели сбора и обработки данных гостей,
• сроки обработки данных,
• перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.

Наконец, компания должна обеспечить неограниченный доступ к документу, в котором определена политика работы с персональными данными (п. 2 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).

Работодатель отвечает за сохранность таких конфиденциальных сведений, как персональные данные сотрудников, которые он получил в связи с трудовыми отношениями. И одной из основных обязанностей в этой сфере является разработка и утверждение локальных нормативных актов.

О том, что это за документы, какие правила они содержат и как работодателю организовать весь процесс - от составления текста до выполнения закрепленных предписаний, - пойдет речь в нашей статье.

Читайте также:

Новая ответственность за нарушения в персданных.

Условия и правила защиты персональных данных

Правила и условия защиты персональных данных регламентируются:

1. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ).
2. Трудовым кодексом РФ.
3. Иными федеральными законами.
4. Подзаконными актами.
5. Нормативными правовыми актами государственных органов, Банка России, органов местного самоуправления, принятыми ими на основании и во исполнение федеральных законов в пределах предоставленных полномочий.
6. Локальными нормативными актами работодателя.

Закон № 152-ФЗ предусматривает, что у юридического лица должны быть:

• документы, определяющие политику оператора в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт по вопросам обработки персональных данных (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1);
• локальный нормативный акт по вопросам обучения работников, непосредственно осуществляющих обработку персональных данных (п. 6 ч. 1 ст. 18.1).

Обратите внимание!

Если международным договором РФ установлены иные правила, нежели предусмотренные Законом № 152-ФЗ, применяются правила международного договора.

ТК РФ обязывает работодателя иметь:

• документы, устанавливающие порядок обработки персональных данных работников, в том числе определяющие их права и обязанности в области персональных данных;
• локальный нормативный акт, утверждающий порядок передачи персональных данных в пределах одной организации или у одного индивидуального предпринимателя.

Требования к операторам, осуществляющим обработку персональных данных

Какие требования предъявляются к операторам, обрабатывающим персональные данные в информационных системах?

Из постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» можно сделать вывод, что помимо перечисленных выше мер оператор для обеспечения безопасности персональных данных должен также определить лицо, осуществляющее их обработку.

Кроме того, в зависимости от уровня защищенности персональных данных (а их всего четыре) оператор также должен:

• определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• создать структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить такую функцию на одно из имеющихся подразделений.

Словарь кадровика

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона № 152-ФЗ).

Существуют ли какие-то требования к составу локальных документов в случае обработки персональных данных сотрудников без использования автоматических систем?

В силу постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее - постановление Правительства № 687) оператор должен определить Правила обработки персональных данных, осуществляемой без использования средств автоматизации, и ознакомить с ними лиц, занимающихся такой обработкой. Также предусматривается необходимость закрепления:

• перечня лиц, осуществляющих обработку персональных данных без средств автоматизации;
• перечня мер, необходимых для обеспечения сохранности персональных данных при обработке без использования средств автоматизации;
• перечня лиц, ответственных за реализацию указанных мер.

Полагаем, что все эти три документа могут быть объединены в один локальный нормативный акт.

При этом, несмотря на формулировку «перечень лиц», целесообразно указывать должности согласно штатному расписанию, а не называть пофамильно конкретных сотрудников, осуществляющих обработку персональных данных.

Итак, нормативно закреплен достаточно обширный перечень локальных нормативных актов по защите персональных данных. Их конкретный набор зависит от того, какие персональные данные и каким способом обрабатываются в данной компании.

Кроме того, локальные документы по защите персональных данных можно разграничить по принципу, должны ли они быть доступны всем сотрудникам или только некоторым.

Положение об обеспечении конфиденциальности, обработке и передаче персональных данных работников организации должно быть доступно всем сотрудникам, так как речь идет об их персональных данных.

Дополнительно могут быть разработаны и утверждены положения об обеспечении безопасности персональных данных, об их обработке в информационных системах, о структурном подразделении по обеспечению безопасности персональных данных. Эти акты должны быть доступны только тем сотрудникам, которые обеспечивают безопасность персональных данных.

Иными словами, в первом случае речь идет об исполнении обязанностей работодателя по обеспечению конфиденциальности, обработке и передаче персональных данных, во втором - о защите персональных данных работодателем и лицами, которые получают к ним доступ.

Содержание локального акта, регулирующего вопросы обработки персональных данных

Локальный нормативный акт, регулирующий вопросы обработки персональных данных, может состоять из следующих разделов:

1. Общие положения.

Здесь следует раскрыть цели и задачи учета, хранения, обработки персональных данных.

2. Перечень персональных данных.

При составлении перечня необходимо принимать во внимание общедоступность персональных данных. Общедоступными они становятся в двух случаях.

Случай 1 . В силу прямого указания закона.

Так, согласно ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» образовательное учреждение обязано размещать на официальном сайте сведения о руководителе образовательной организации, его заместителях, руководителях филиалов (при их наличии); о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» обязывает медицинскую организацию информировать Словарь кадровика Оператор - государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее ее цели, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона № 152-ФЗ) граждан в доступной форме, в том числе с использованием Интернета, о мед работниках медицинских организаций, об уровне их образования и квалификации (ст. 79).

Федеральный закон от 03.12.2012 № 230-ФЗ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам» обязывает граждан, занимающих определенные государственные и муниципальные должности, предоставлять для размещения в Интернете на официальных сайтах федеральных госорганов, госорганов субъектов Российской Федерации, органов местного самоуправления, Банка России, государственных корпораций, Пенсионного фонда Российской Федерации, Фонда социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования, иных организаций, созданных Российской Федерацией на основании федеральных законов, сведения об источниках получения средств, за счет которых совершена сделка по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций), если сумма сделки превышает общий доход этого гражданина и его супруги (супруга) за три последних года, предшествовавших совершению сделки.

Случай 2. По решению самого субъекта персональных данных.

Если федеральным законом перечень общедоступных персональных данных не определен, субъект персональных данных может сделать их общедоступными сам, подписав соответствующее согласие.

Очевидно, что в трудовых отношениях существует необходимость рассмотрения в качестве общедоступных сведений о фамилии, имени, отчестве, должности работника. Такая общедоступность внутри компании требуется, например, для обеспечения коммуникаций, организации внутренних телефонных и почтовых справочников и др.

Также в данном разделе желательно указать, какие документы содержат персональные данные работников.

3. Порядок обработки персональных данных.

Здесь прописываются правила работы с персональными данными соискателей, работников, бывших сотрудников. Перечисляются органы и организации, в которые компетентные лица работодателя обязаны представлять персональные данные работников без их согласия.

Словарь кадровика

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ)

4. Перечень должностей и (или) лиц, имеющих доступ к персональным данным работников.

Перечисляются должности, замещение которых предполагает работу с персональными данными сотрудников.

5. Порядок доступа к персональным данным. Правила их передачи.

В этом разделе устанавливается порядок доступа к персональным данным. Прописывается регламент их передачи внутри организации и за ее пределы. Определяется процедура допуска должностных лиц работодателя к персональным данным.

6. Ответственность работодателя за соблюдение режима конфиденциальности персональных данных работников.

7. Ответственность должностных лиц работодателя за разглашение персональных данных.

8. Заключительные положения.

В локальном акте также должны быть предусмотрены организационные и технические меры защиты, аналогичные тем, что обеспечивают защиту коммерческой тайны в компании.

ЛОКАЛЬНЫЕ АКТЫ, РЕГЛАМЕНТИРУЮЩИЕ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Гультяева К.И.

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Тюменский государственный университет»
rok _1212_92@ mail . ru

Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных» , обеспечить безопасность этой информации.

В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальные нормативные акты, которые определяют порядок работы с персональными данными ее работников.

Такими локальными актами, как правило, являются:

Положение об обработке и защите персональных данных;

Приказ об утверждении обязательств о неразглашении персональных данных;

Перечень должностей, допущенных к персональным данным;

Приказ о назначении ответственных лиц за организацию обработки персональных данных;

Согласие на обработку персональных данных работника Оператора, иных субъектов персональных данных;

Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных. Перед заключением трудового договора работник должен дать согласие на обработку персональных данных. В этом согласии должны быть указаны следующие сведения:

1. Ф.И.О., адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2. наименование и адрес работодателя, получающего согласие сотрудника;
3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых дается согласие работника;
5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
6. срок, в течение которого действует согласие;
7. порядок отзыва заявления.
8. подпись работника.

Согласно ст. 9 Закона №?152?ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано работником (его представителем) в любой позволяющей подтвердить факт его получения форме (письменной, в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 №?63?ФЗ «Об электронной подписи» электронной подписью).

Положение о защите персональных данных работников. Этот документ регламентирует в рамках отдельной организации требования к получению, обработке персональных данных работника, установить гарантии их защиты, порядок хранения и использования, а также права работника по защите его персональных данных и ответственность работодателя за их охрану и защиту. Иными словами, организация на основе российского законодательства и с учетом особенностей кадрового учета создает и закрепляет нормативным актом порядок работы с персональными данными.

В Положении должны быть указаны:

Цель и задачи фирмы в области защиты персональных данных;

Понятие и состав персональных данных;

В каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;

Как происходит сбор персональных данных;

Как они обрабатываются и используются;

Кто (по должностям) в пределах фирмы имеет к ним доступ;

Как персональные данные защищаются от несанкционированного доступа;

Права работника в целях обеспечения защиты своих персональных данных;

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

При его разработке используют общие правила оформления организационных документов: в заголовочной части указываются наименование организации, дата и номер документа, в правом верхнем углу располагается гриф утверждения.

Положение об обработке и защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.

В разделе «Общие положения» формулируется цель разработки персональных данных, даются ссылки на законодательные акты, на основании которых создан документ, определяется порядок введения положения в действие и порядок его пересмотра. Здесь же устанавливается конфиденциальность информации и ответственность должностных лиц организации за разглашение персональных данных.

Второй раздел, «Состав персональных данных работника», включает список данных работника, которые он сообщает работодателю при наступлении трудовых отношений, и сведений, возникающих в ходе этих отношений. Кроме того, здесь должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионного фонда. Раздел небольшой по объему, но принципиально важный для работников организации. Так, в него могут войти следующие сведения:

1. фамилия, имя, отчество;
2. дата рождения;
3. место рождения;
4. гражданство;
5. знание иностранного языка;
6. образование;
7. специальность, профессия;
8. стаж работы;
9. состояние в браке;
10. состав семьи;
11. паспортные данные;
12. адрес места жительства (по паспорту и фактический), дата;
13. регистрации по указанному месту жительства, телефон;
14. сведения о воинском учете;
15. сведения о заработной плате.

В разделе «Создание, обработка, хранение персональных данных», как правило, содержится информация о структурных подразделениях организации (или о должностных лицах), которые работают с персональными данными. Здесь же следует указать виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной формы), на которых фиксируются персональные данные.

В четвертом разделе, «Доступ к персональным данным», устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговаривается порядок доступа к ним должностных лиц и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам. Например: «Персональные данные работников организации предоставляются в установленном порядке в органы Пенсионного фонда РФ, в органы социального обеспечения, контрольно-надзорным органам. Персональные данные работников организации предоставляются страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам при наличии копии договора с работником и его письменного согласия».

В разделе положения, «Защита персональных данных», перечисляются меры защиты информации от несанкционированного доступа и разглашения. Необходимо указать, в каких структурных подразделениях организации хранятся документы и электронные носители, содержащие персональные данные. Это может быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т.д. Следует описать меры защиты данных, хранящихся в бумажной форме, – запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т.п., а также меры защиты сведений на электронных носителях.

В разделе «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников» прописывается ответственность лиц, нарушивших данный документ.

Положение о защите персональных данных подписывается руководителем кадровой службы. Документ может быть согласован с заинтересованными должностными лицами, например работниками бухгалтерии, юридической службы, службой безопасности и др. С ним следует ознакомить весь персонал организации под расписку.

Сотрудники, принимаемые на работу, знакомятся с положением о защите персональных данных точно так же, как и с другими локальными актами организации – коллективным договором, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.

Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных. (Приложение 4) В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» работа с такими сведениями считается неавтоматизированной при непосредственном участии человека.

Следовательно, от всех сотрудников организации, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть дана в приложении к документу. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.

Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор.

В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.

Можно сказать, что защита, хранение и обработка конфиденциальной информации (персональных данных) является трудоёмкой и для этого в организациях разрабатывается много важных документов.

Список использованных источников:

1. Герасимов Е.С. Трудовое право России: учебник для бакалавров / Е.С. Герасимов, Ю.П. Орловский.-М.:Изд. Юрайт, 2014. - 854 с.

2. Давыдова Е.В. Персональные данные работников / Е. В. Давыдова // Отдел кадров коммерческой организации. - 2015. - №3.

3. Соколова Г.А. Персональные данные работников / Г. А. Соколова // Кадровая служба и управление персоналом предприятия. - 2013. - №7.

4. Тихомирова Л. В. Защита персональных данных работника: учеб.-практ. пособие / Л.В. Тихомирова. - М.: 2013.

5. Как оформить Положение о защите персональных данных сотрудников [Электронный ресурс] / Справ. бухгалтера. - 2014. - http://www.buhgalteria.ru/article/n50559

Образовательная организация должна обеспечивать защиту сведений, составляющих государственную или иную охраняемую законом тайну при реализации образовательных программ с применением электронного обучения либо (ст. 16 № 273-ФЗ). Здесь возникает вопрос использования таких сведений, как персональные данные в образовательном учреждении.

В статье 28 закона «Об образовании» не указана обязанность образовательной организации по обеспечению . Однако хотелось бы подчеркнуть, что существует отдельный отраслевой закон «О персональных данных» № 152-ФЗ, который определяет в качестве оператора любое юридическое лицо, которое осуществляет обработку персональных данных. Данное определение настолько широкое, что под него подпадает и деятельность образовательной организации.

Особенностью закона № 152-ФЗ является то, что он, возлагая ответственность по надлежащей обработке, при этом оставляет полную свободу при разработке локальной нормативной базы. Таким образом, образовательная организация свободна в перечне данных. Рассмотрим их примерный список.

Локальный акт образовательной организации «Положение об обработке персональных данных»

Основной локальный акт по защите персональных данных в образовательной организации называется «Положение об обработке персональных данных». Необходимо учитывать основную ошибку, которую часто допускают при разработке такого важного документа - не учитываются все субъекты, данные которых обрабатываются.

Согласно федеральному закону № 152, обрабатывается информация разных субъектов (работников, обучающихся, родителей). Можно издать целых два таких положения: в отношении работников и в отношении обучающихся/воспитанников. Но возможно обойтись одним документом, это решение сугубо индивидуальное.

При разработке этого локального акта в образовательной организации необходимо учитывать следующие основные вопросы:

Какие документы регламентируют работу с персональными данными? Необходимо перечислить все документы.

Какие персональные данные обрабатываются и в каких документах содержатся?

Каковы условия получения и (что немаловажно) хранения персональных данных? Существуют требования законодательства к условиям их хранения.

Какая ответственность установлена за нарушение законодательства? Укажите ответственность по защите персональных данных именно в вашей образовательной организации.

Как осуществляется доступ работников к персональным данным?

Как осуществляется доступ лиц, не являющихся работниками (это родители, медицинские работники, представители государственных и муниципальных органов, учредители)?

Как выше уже было сказано, локальный акт образовательной организации может быть единым, в котором урегулированы все вопросы. В развитие его могут быть приняты типовые формы обработка персональных данных в школе, такие как «Форма согласия», например.

Какие еще могут быть локальные акты образовательной организации по защите персональных данных?

• Отдельным локальным актом можно регламентировать порядок хранения персональных данных. «Инструкция по обеспечению безопасности (»это достаточно сложный с технической точки зрения документ, в разработке которого необходима помощь технических сотрудников.
• «Требования к педагогическим работникам, выполняющим функции классного руководителя».
• Если классный руководитель работает с электронными журналами, это должно обязательно находить отражение в его должностной инструкции, так как именно он является ответственным за внесение данных в электронный журнал и учащихся.
• «Инструкция по работе с персональными данными в автоматизированной информационной системе ”Электронный дневник”» может быть отдельной, если нужно подробно прописать вопросы, которые регулируют использование этих данных именно в системе электронного дневника: перечень действий, ответственность и пр.
• «Требования к помещениям по работе с персональными данными» и т.д.

Помимо локальных актов в образовательной организации могут существовать другие подписанные работниками документы по защите:

• утвержденные перечни лиц, имеющие доступ к тем или иным;
• обязательства о неразглашении;
• согласие на обработку данных.

Если говорить о документе «Согласие на обработку персональных данных», то оно может даваться по разным поводам, в зависимости от целей обработки таких сведений. Главное - это соблюсти определенную форму, обусловленную законодательством.

Также к документам, касающихся защиты персональных данных в образовательной организации, могут быть отнесены уведомления, например, о получении персональных данных от третьих лиц, запросы и заявления.

Необходимо учитывать, что каждая образовательная организация является уникальной, в том числе в части использования, обработки и защиты персональных данных в школе. Возможно, образовательная организация вообще не обрабатывает персональные данные автоматизированным способом, а только осуществляет обработку без использования средств автоматизации. Соответственно, перечень локальных актов будет совершенно другим.

Инструкция о защите ПДн при использовании бумажных и любых других носителей информации, вычислительной техники и автоматизированных систем обработки и (или) передачи данных. 4. Приказ о назначении лица или подразделения, ответственных за работу и обеспечение защиты ПДн, и наделении их соответствующими полномочиями. 5. Должностные инструкции лиц, ответственных за защиту информации. 6. План мероприятий по защите информации. 7. Перечень защищаемых объектов информатизации. 8. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа. 9. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами. 10. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации. 11. Инструкция по защите речевой информации при проведении конфиденциальных совещаний. 12.

Какие локальные нормативные документы регулируют работу с персональными данными

• наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись сотрудника.

• Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
• налоговые органы (ст.

Какие локальные акты регламентируют работу с персональными данными?

Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях. Следующий аргумент в пользу принятия рассматриваемого локального акта — его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда.

Отсутствие же положения о персональных данных квалифицируется контролирующим органом как нарушение трудового законодательства. За это организация может быть привлечена к административной ответственности по ст.

Защита персональных данных работников: локальные нормативные акты

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
Что такое персональные данные Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ. Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Защита персональных данных: разрабатываем локальные акты учреждения (зайцева г.)

Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением). Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
То есть круг сведений устанавливается в локальном нормативном акте организации — положении о персональных данных. Здесь важно разграничить персональные данные работника и обучающегося, а также документы, содержащие эту информацию.

Локальные нормативные акты работодателя - разберемся в нюансах

Приказ о назначении лица, ответственного за организацию работы с персональными данными (им, как правило, становится либо менеджер по кадрам, либо бухгалтер). Основанием для такого назначения является п. 1 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ. Обязанности ответственного сотрудника (согласно ст. 22.1 Федерального закона N 152-ФЗ) могут быть определены отдельным документом.
2. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (основание — п. 13 Положения, утвержденного Постановлением Правительства РФ N 687). Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 ТК РФ). 3.