Доступ к персональным данным

Нормативная база

Перечень законов о персональных данных:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
  • Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
  • Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
  • Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
  • ГОСТы по информационной безопасности и защите информации;
  • ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
  • ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
  • ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
  • ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
  • ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
  • ГОСТ 28147-89 Системы обработки информации.

Федеральный закон “О персональных данных” можно скачать здесь:

Классификация персональных данных

Согласно Федеральному закону «О персональных данных» это любая информация, которая прямо или косвенно относится к жизни субъекта. Что относится к персональным данным:

  1. имя;
  2. фамилия и паспортные данные;
  3. место и дата рождения;
  4. адрес прописки либо проживания;
  5. семейное положение;
  6. информация о доходах и задолженностях;
  7. специальность, профессия,
  8. информация о занятости;
  9. доходы.

Сюда так же может относиться информация о социальных связях, контактах, личной жизни, покупках гражданина либо членов его семьи.

Согласно, части 1, статьи 85 ГК РФ, к личной информации работника предприятия относится вся информация, необходимая руководителю для регулирования всех трудовых процессов, связанных с конкретным работником.

Номер телефона является персональной информацией в РФ, так, как он привязан к паспортным данным.

Общие ПД

К общим данным можно отнести те, которые находятся “на поверхности”. Общедоступные персональные данные – это имя, которое можно увидеть на бейджике сотрудника компании, его номер телефона в анкете на сайте, специальность и должность. Если человек сам распространяет данные, которые не относятся к разделу “Общие”, это не даёт права гражданам распоряжаться ими или публиковать в открытых источниках.

Биометрические ПД

Сюда относится вес, рост, цвет волос и глаз, отпечатки пальцев, национальность, особые приметы. Эти данные используются сотрудниками спецслужб для создания ориентировок и поиска преступников в базах данных.

Полиция и правоохранительные органы не имеют права снимать у граждан отпечатки пальцев без веской причины и заносить их информацию в базу данных.

Специальные ПД

Сюда относится расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Распространение этой информации не допускается, за исключением случаев, предусмотренных частью 2 ФЗ-152.

Никакие обстоятельства не обязывают гражданина разглашать эти данные сотрудникам полиции или публично. В данной просьбе можно отказать на законных обстоятельствах.

Обезличенные ПД

Это те данные, принадлежность которых невозможно установить. Обезличивание – процесс “отчуждения” данных, который делает личную информацию публичной.

Пример: В организации работают 2 сотрудника – мужчина и женщина. Мужчина соблюдает дресс-код, а женщина носит паранджу. Если работодатель подаст статистику о количестве верующих и/или религиозных людей, а конкретно – один атеист, один верующий, вычислить кто есть кто будет просто.

Такой топорный пример не является прямым нарушением закона, тем не менее передаёт личные данные (а вдобавок, специальные) третьим лицам.

Обработка персональных данных

Защита персональной информации может обеспечиваться несколькими источниками права:

  • Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника;
  • Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере;
  • Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией и использование персональных данных возникают на протяжении всего рабочего процесса, между работодателем и сотрудником, между сотрудниками, а также третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идёт уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ. Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежит лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Способы защиты личной информации и предохранительные меры

Организационные:

  • Ограниченный доступ к хранилищам и архивам материалов;
  • Верификация запрашивающего лица перед предоставлением информации;
  • Ознакомительный формат предоставления сведений;
  • Санкции и штрафы за нарушения правил.

Технические:

  • Криптография и шифрование данных;
  • Создание отдельных серверов и каналов связи;
  • Уничтожение неактуальных материалов;
  • Экранировка помещений и устройств, для защиты от взлома.

Право на защиту персональной информации работник может реализовать через:

  • Свободное бесплатное обращение к документам, где фигурируют его личные данные (может потребовать копию любого нормативного документа).
  • Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
  • Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Пошаговая инструкция по защите данных в организации:

  • Разработка проекта алгоритма обработки персональных сведений;
  • Разработка системы согласия и отказа на обработку личных материалов;
  • Разработка проекта уведомительных сообщений о включении личных материалов в общий поток;
  • Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом;
  • Издательство приказа о введении материалов работников предприятия в базу данных, определение порядка и способа обработки и передачи информации, назначение ответственных, обозначение санкций и штрафов за нарушение устава;
  • Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

В интернете, как и других открытых источниках, также хранятся и обрабатываются данные пользователей. С 2017 года сайты, которые используют технологию cookie, обязаны оповещать пользователей об этом. Эта технология позволит показывать релевантную рекламу, оптимизировать процесс работы, ускорить технические алгоритмы. Тем не менее, они собирают данные о гражданах:

  • историю посещений;
  • ссылки и переходы (сайт видит, с какой страницы пользователь на неё попал);
  • какие аккаунты привязаны к учётной записи (если авторизоваться на сайте при помощи профиля в социальной сети);
  • поисковые запросы (не только на конкретном ресурсе. Google, Yandex и прочие техно-гиганты собирают всю информацию а пользователях).

Сбор, хранение и обработка данных происходит в обязательном порядке. Если пользователь против – нужно покинуть ресурс, который собирает информацию. Продолжая работу с сайтом, пользователь даёт своё согласие на сбор данных.

Закон «о персональных данных» и практика его применения в корпоративном управлении

13 сентября, 2010

Авторы:

Юлия Ракина,
старший юрисконсульт,
группа компаний «Юриспруденция Финансы Кадры»

Что такое «персональные данные»? Требования законодательства по обеспечению конфиденциальности персональных данных. Персональные данные и корпоративные процедуры.

При осуществлении корпоративного управления в акционерном обществе зачастую возникает множество вопросов, связанных с применением Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее по тексту — Закон о персональных данных), которым регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, органами местного самоуправления, муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Защита персональных данных обеспечивает реализацию конституционных прав человека на неприкосновенность частной жизни, личную и семейную тайну и ограничение сбора, хранения, использования и распространения информации о частной жизни (ст.ст. 23, 24 Конституции РФ).

Правовые основы

Остановимся более подробно на основных положениях Закона о персональных данных, на которые следует обратить внимание при осуществлении корпоративного управления в акционерном обществе.

Целью Закона о персональных данных является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

При этом в рамках Закона о персональных данных под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В отношениях, связанных с обработкой персональных данных, акционерное общество как юридическое лицо выступает в качестве оператора, который организует и (или) осуществляет обработку персональных данных (т. е. действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных), а также определяет цели и содержание обработки персональных данных.

По общему правилу, закрепленному в ч. 1 ст. 6 Закона о персональных данных, обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. Однако ч. 2 ст. 6 Закона о персональных данных устанавливает исчерпывающий перечень исключений из вышеуказанного правила, в соответствии с которыми согласие субъекта персональных данных не требуется, например:

  • если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
  • если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • если осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.

В соответствии со ст. 19 Закона о персональных данных оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Существует два вида обработки персональных данных: обработка в информационных системах персональных данных (автоматизированная обработка) и обработка, осуществляемая без использования средств автоматизации (неавтоматизированная обработка).

Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.

В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687. Согласно п. 1 данного Положения обработкой персональных данных без применения средств автоматизации считается использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека. Соответственно, если персональные данные субъектов персональных данных обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения). Таким образом, к обработке персональных данных субъектов персональных данных в акционерном обществе должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.

Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т. ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Пункт 7 Положения содержит условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных.

Согласно пп. «а» п. 7 Положения типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных.

Типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения такого согласия (пп. «б» п. 7 Положения).

При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. «в» п. 7 Положения). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (пп. «г» п. 7 Положения).

Автоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Указанное Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих обрабатывать такие данные с использованием средств автоматизации. В соответствии с данным Положением оператору персональных данных необходимо соблюсти ряд требований при использовании такой системы обработки персональных данных.

Согласно п. 2 ч. 2 Положения безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в т. ч. шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Соответственно, такие информационные системы должны предусматривать возможность ограничения доступа к информации (установление паролей и т. д.). В соответствии с п. 14 Положения лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующей информации на основании списка, утвержденного оператором или уполномоченным лицом.

Контроль и надзор

Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются Федеральной службой безопасности (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Согласно ст. 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи и массовых коммуникаций) о своем намерении осуществлять обработку персональных данных во всех случаях, за исключением перечисленных в ч. 2 ст. 22 Закона о персональных данных, в том числе:

  • относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • являющихся общедоступными персональными данными;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Закона о персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, осуществляющая функции по контролю и надзору в сфере информационных технологий и связи.

Ответственность

В соответствии со ст. 24 Закона о персональных данных на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством Российской Федерации ответственность. На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:

  • за отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо их несвоевременное предоставление, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
  • за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);
  • за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность) лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Преступлениями, влекущими за собой уголовную ответственность, являются:

  • незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
  • неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ);
  • неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокировку, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).

Помимо административной и уголовной на работодателя возлагается и гражданско-правовая ответственность. Статьей 17 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» предусмотрено, что лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным ее неправомерным использованием, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Применение закона о персональных данных при осуществлении корпоративного управления

Ранее уже было сказано о том, что согласно ст. 6 Закона о персональных данных согласие субъекта персональных данных на обработку персональных данных оператором не требуется в исключительных случаях.

Практически все корпоративные процедуры в акционерном обществе с использованием персональных данных подпадают под упомянутые исключения, когда согласие субъекта персональных данных не требуется в связи с тем, что, как правило, обработка персональных данных осуществляется на основании законодательства об акционерных обществах, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1 ч. 2 ст. 6 Закона о персональных данных).

Для примера рассмотрим ситуацию, когда акционерное общество самостоятельно ведет реестр своих акционеров.

Ведение реестра акционеров общества и сведения, которые должны в нем содержаться, регламентируются ст. 44 Федерального закона от 26.12.1995 г. № 208-ФЗ «Об акционерных обществах» (далее по тексту — Закон об АО) и Постановлением ФКЦБ РФ от 02.10.1997 г. № 27 «Об утверждении Положения о ведении реестра владельцев именных ценных бумаг».

Согласно п. 2 упомянутого Положения под реестром понимают совокупность данных, зафиксированных на бумажном носителе и (или) с использованием электронной базы данных, которая обеспечивает идентификацию зарегистрированных лиц, удостоверение прав на ценные бумаги, учитываемые на лицевых счетах зарегистрированных лиц, а также позволяет получать и направлять информацию зарегистрированным лицам.

Таким образом, акционерное общество, ведя реестр акционеров самостоятельно, может вести его на бумажном носителе с учетом требований, предусмотренных Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ № 687 от 15.09.2008 г.

Использование программного обеспечения для ведения реестра акционеров также будет являться обработкой персональных данных без использования средств автоматизации, т. к. согласно вышеуказанному Постановлению Правительства РФ № 687 использование, распространение, уточнение персональных данных будет осуществляться при непосредственном участии человека.

Следовательно, как указано выше, при обработке персональных данных без использования средств автоматизации у оператора не возникает обязанности по уведомлению уполномоченного органа.

Обратим внимание на то, что в ряде случаев в самом же Законе об АО содержатся требования о получении согласия от субъектов персональных данных. Например, в п. 3 ст. 51 Закона об АО предусмотрено, что список лиц, имеющих право на участие в общем собрании акционеров, содержит имя каждого такого лица, данные, необходимые для его идентификации, данные о количестве и категории (типе) акций, правом голоса по которым оно обладает, почтовый адрес в Российской Федерации, а пунктом 4 данной статьи вводятся ограничения (в виде получения согласия субъекта персональных данных) на распространение информации о данных документов и почтовом адресе субъекта персональных данных.

Приведем пример, когда корпоративное законодательство дублирует требования Закона о персональных данных. Так, Положение о раскрытии информации (утв. Приказом ФСФР России № 06-117/пз-н от 10.10.2006 г.) требует от открытых акционерных обществ размещать на сайте компании список аффилированных лиц, содержащих в отношении физических лиц их ФИО, сведения о месте жительства. При этом Положение предусматривает, что место жительства указывается только с согласия аффилированного лица.

В иных случаях, например, при раскрытии информации, предоставлении документов и информации для ознакомления акционерам по требованию последних и т.д. никаких ограничений по вопросу использования персональных данных в законодательстве нет. Однако это не означает запрета на их сбор и обработку, поскольку сбор и обработка таких персональных данных предусмотрены законодательством.

Несмотря на то, что при осуществлении корпоративного управления в акционерном обществе практически во всех случаях обработки персональных данных не требуется получение согласия субъекта персональных данных и акционерному обществу не нужно уведомлять уполномоченный орган о намерении осуществлять обработку персональных данных, акционерное общество в любом случае является оператором по обработке персональных данных и обязано проводить корпоративные процедуры с учетом требований нормативно-правовых актов в области защиты персональных данных.

Опубликовано:

Aкционерное общество (http://www.ao-journal.ru/)

Об утверждении списка должностных лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей

Приказ Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры
№ 315 от 18.11.2014

Вложения :&nbsp
(0.08 MB)
(0.1 MB)

П Р И К А З

Об утверждении Списка лиц,

доступ которых к персональным данным

необходим для выполнения служебных (трудовых) обязанностей

«18» ноября 2014 г. № 315

г. Ханты-Мансийск

Во исполнение требований Закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

ПРИКАЗЫВАЮ:

1. Утвердить Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей согласно приложениюк настоящему приказу.

2. Разрешить лицам, указанным в приложении к настоящемуприказу, доступ к персональным данным, обрабатываемым в информационных системах персональных данных Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры, а также персональным данным, которые обрабатываются на бумажных носителях без использования средств автоматизации.

3. Запретить лицам, не указанным вприложении к настоящемуприказу, доступ к персональным данным, обрабатываемым в Департаменте общественных и внешних связей Ханты-Мансийского автономного округа – Югры.

4. Организационномуотделу довести настоящий приказ до сведения сотрудников, указанных в приложении к настоящему приказу.

5. Опубликовать настоящийприказ на официальном сайте Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югрыв течение 10 дней после его издания.

6. Приказ Департамента общественных связей Ханты-Мансийского автономного округа – Югры от 11 февраля 2011 года № 25 «Об утверждении списка сотрудников Департамента общественных связей Ханты-Мансийского автономного округа – Югры доступ, которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных обязанностей» считать утратившим силу.

7.Контроль за исполнением приказа оставляю за собой.

Директор Департамента И.А. Верховский

Приложение к приказу

Департамента общественных

и внешних связей ХМАО-Югры

от _____ № _____

СПИСОК ЛИЦ

доступ которых к персональным данным необходим для выполнения

служебных (трудовых) обязанностей

ФИО допущенного должностного лица

Должность допущенного должностного лица

Подразделение

Метод обработки

Категория субъектов

Наименование

ИСПДн

(при наличии)

Шевцов Юрий Владимирович

Инженер

Организационный отдел

Автоматизированная обработка

Работники, граждане

«1С:Предприятие», «Кодекс: Управление персоналом», «Граждане»

Никурова Елена Александровна

Главный специалист

Организационный отдел

Автоматизированная, неавтоматизированная обработка

Граждане

«Граждане»

Орлова Светлана Александровна

Помощник директора Департамента

Помощник директора Департамента

Автоматизированная, неавтоматизированная обработка

Граждане

«Граждане»

Чемезова Татьяна Александровна

Главный специалист

Организационный отдел

Автоматизированная, неавтоматизированная обработка

Граждане

«Граждане»

Захарова Татьяна Алексеевна

Начальник отдела

Отдел финансово-экономического обеспечения

Автоматизированная, неавтоматизированная обработка

Работники

«1С:Предприятие»

Гейзлер Инна Владимировна

Консультант

Отдел финансово-экономического обеспечения

Автоматизированная, неавтоматизированная обработка

Работники

«1С:Предприятие»

Тихонова Светлана Александровна

Главный специалист-эксперт

Отдел финансово-экономического обеспечения

Автоматизированная, неавтоматизированная обработка

Работники

«1С:Предприятие»

Шишелякина Галина Николаевна

Главный специалист

Отдел финансово-экономического обеспечения

Автоматизированная, неавтоматизированная обработка

Работники

«1С:Предприятие»

Кольцова Елена Геннадьевна

Консультант

Отдел правовой и кадровой работы

Автоматизированная, неавтоматизированная обработка

Работники

«Кодекс: Управление персоналом»

Пластинина Юлия Сергеевна

Главный специалист-эксперт

Отдел правовой и кадровой работы

Автоматизированная, неавтоматизированная обработка

Работники

«Кодекс: Управление персоналом»

Киреева Ирина Андреевна

Главный специалист-эксперт

Отдел правовой и кадровой работы

Автоматизированная, неавтоматизированная обработка

Работники

«Кодекс: Управление персоналом»

>Конфиденциальность персональных данных: оформление приказа об установлении списка лиц, имеющих доступ к ним

Общие правила составления

  1. Приказ оформляется на бланке формата А4.
  2. Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
  3. Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты.

    В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных (а более детально о нюансах оформления приказа о назначении ответственного за обработку и другие действия с персональными данными читайте ). Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.

  4. Распорядительная часть отделяется глаголом «ПРИКАЗЫВАЮ». Он пишется после констатирующей части с новой строки, без кавычек. В конце ставится двоеточие, а далее идут пункты, необходимые к выполнению. Они нумеруются арабскими цифрами. Могут быть и подпункты.
  5. Последним пунктом указывается лицо, на которое возлагается контроль за исполнением приказа.
  6. Перед подписанием документ проверяется на наличие орфографических и стилистических ошибок.
  7. Внизу документа ставят подписи те лица, к которым он относится.

Утверждение перечня личных сведений

Документ определяет, с какими именно персональными данными будет вестись работа. Перечень должен быть максимально полным, туда должны быть включены сведения, с которыми работает именно эта организация.

Правовой акт включает в себя:

  1. Наименование организации. Например, МОУ СОШ №7.
  2. Название документа (ПРИКАЗ) и его номер.
  3. Дату создания. Например, 5 октября 2016 г.
  4. Место создания. Например, г. Пермь.
  5. Отсылку к законодательной базе, на основании которой он создается.

    Пример: В целях соблюдения закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и в целях защиты персональных данных сотрудников.

  6. Утверждение перечня и отсылку к нему. Перечень часто оформляется в виде приложения.

    Пример:

    ПРИКАЗЫВАЮ

    Утвердить прилагаемый перечень данных МОУ СОШ №7.

  7. Назначение ответственного за исполнение.

    Например: Контроль за исполнением приказа оставляю за собой.

  8. Перечень персональных данных, оформленный в виде таблицы или иным способом. Столбцы таблицы составляются в зависимости от целей и задач компании.

    Например, это могут быть такие данные для утверждения: места хранения личных сведений, цель их обработки и непосредственно сами данные.

  9. Подпись руководителя и, в случае необходимости, иных лиц.
  • Установление списка лиц, имеющих доступ к такой информации

    Цель приказа – обозначить перечень лиц, имеющих доступ к персональным данным других сотрудников.

    В правовом акте должно присутствовать:

      Название организации (указывается сверху). Например, ООО «Родон».

    • Название документа (ПРИКАЗ), его номер.
    • Дата составления. Например, 4 августа 2017 г.
    • Место составления. Например, г . Москва.
    • Ссылка на законодательство, на основании которого он издается.

      Пример: В соответствии с Трудовым кодексом РФ и законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года.

    • Перечень работников, допущенных к сведениям, с указанием их должности.

      Вот примерно как выглядит документ для утверждения списка лиц, имеющих доступ к личным сведениям работников:

      1. Генеральный директор Г. Е. Чуриков.
      2. Зам. генерального директора К. А. Голиков.
      3. Начальник отдела кадров И. Н. Дирина.
      4. Главный бухгалтер Е. Г. Листовская.
    • Указание лица, ответственного за исполнение.

      Пример: Контроль за исполнением возложить на К. А. Голикова.

    • Подписи всех лиц, указанных в правовом акте, и подпись руководителя организации.

    Каждый работник, получивший доступ, должен подписать соглашение о неразглашении персональных данных. Тогда в случае утечки информации и ее неправомерного использования можно наказать виновных. Если такое соглашение не было подписано, вся вина ложится на руководителя предприятия.

    • Сотрудники должны быть предупреждены под роспись о тех санкциях, которые будут на них наложены при разглашении конфиденциальных сведений.

      Это могут быть дисциплинарные взыскания (увольнение, выговор, замечание), штрафы.

      Также представляем материалы об особенностях приказа о внесении изменений персональных и паспортных данных работника, о правилах составления приказа о защите персональных данных и о том, как ввести положение о защите.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *