Персональные данные кто может быть ответственным

Персональные данные кто может быть ответственным

Оглавление:

Административная ответственность


С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них.

Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф. То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс.
руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс.

руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов. Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения.

Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс.

руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав. Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст.

13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  1. на должностных лиц — от 4 000 до 5 000 руб.
  2. на граждан — от 500 до 1 000 руб.;

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Образец приказа о назначении ответственного

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

  • Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
  • В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.
  • Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
  • Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
  • В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.

Защита персональных прав 152-фз

Кто может быть назначен ответственным за обеспечение защиты персональных данных? С персональными данными граждан (как сотрудников, так и пациентов) работают: регистратура, статисты, бухгалтерия, непосредственно медперсонал, программное обеспечение.

Меня решили назначить «ответственным за обеспечение защиты». Я не хочу брать на себя такую ответственность. Могу ли я отказаться? Какова процедура мероприятий согласно 152-фз?

05 Ноября 2013, 20:01, вопрос №286640 Екатерина

    ,

Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (3) 545 ответов 299 отзывов Общаться в чате Бесплатная оценка вашей ситуации Юрист Бесплатная оценка вашей ситуации Ответственным за организацию обработки персональных данных может быть назначено любое лицо.

Обычно это сотрудник бухгалтерии или кадровой службы.

На счёт того можете ли Вы отказаться. В первую очередь это вопрос к Вашему трудовому договору, должностной инструкции и т.д.

Если прямо включить в Ваши обязанности эту работу нельзя, то работодатель может или изменить условия Вашего трудового договора (с уведомлением Вас за два месяца и прочим соблюдением процедуры, предусмотренной ст. 74 ТК). Или это может быть оформлено как дополнительная работа (ст. 60.2 ТК). Дополнительная работа может быть Вам назначена с Вашего согласия и за дополнительную оплату.

60.2 ТК). Дополнительная работа может быть Вам назначена с Вашего согласия и за дополнительную оплату. В общем тут нужно знать подробности. На счёт мероприятий. Ну вообще лицо, ответственное за организацию обработки имеет широкий круг обязанностей и должно быть наделено не меньшими полномочиями для выполнения этих обязанностей.

Основные положения следуют из ст. 22.1 закона о персональных данных. Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях1.

Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. 2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. В реальности в крупной организации, особенно связанной с медициной (как следует из текста Вашего обращения) это очень большой объём работы, зачастую требующий специальных знаний.

Это разработка внутренних нормативных документов (приказа об установлении списка лиц, имеющих право доступа к персональным данным с указанием кто на какой должности к какой информации и в каких случаях может иметь доступ; обязательство о неразглашении персональных данных для персонала; иных документов, положений, инструкций). Это контроль за соблюдением инструкций людьми и соответствием этих инструкций текущему законодательству.

Отдельный вопрос — соответствие аппаратной части нормативным актам. Т.е. если персональные данные [я так понимаю в том числе медицинские персональные данные пациентов — специальная категория ПД] храняться на компьютерах, соответствуют ли эти компьютеры требованиям.

Требуется ли для них сертификация, использование шифрования. Выполнены ли эти работы. В общем это довольно специфическая деятельность. 05 Ноября 2013, 20:36 1 0 3647 ответов 1090 отзывов Общаться в чате Бесплатная оценка вашей ситуации Петин Дмитрий Юрист, г.

Энгельс Бесплатная оценка вашей ситуации

  1. 1090отзывов
  2. 3647ответов

Добрый день как правило, когда в организации создают систему защиты и безопасности персональных данных, то назначают ответственного за осуществление мероприятий по безопасности и защите персональных данных, данная формулировка следует из ведомственных приказов ФСТЭК. В дальнейшем в соответствии со ст. 22.1. ФЗ № 152 назначается ответственный за организацию обработки персональных данных (работников и пациентов в вашем случае) Если это распоряжение руководителя, то вы имеете право его не подписывать.

06 Ноября 2013, 10:13 1 0 10,0 Рейтинг Правовед.ru 13332 ответа 4718 отзывов эксперт Общаться в чате Бесплатная оценка вашей ситуации Адвокат, г.

Москва Бесплатная оценка вашей ситуации

  1. 10,0рейтинг
  2. эксперт

Добрый день. Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных.

Основные требования:1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас. К Политике есть ряд требований.

Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать: 1.1. Перечень персональных данных, которые Вы обрабатываете.1.2.

Сведения о способах обработки персональных данных.1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.1.4. Цели использования персональных данных.1.5.

Принципы обработки персональных данных, которыми Вы руководствуетесь.1.6. Меры, применяемые для защиты персональных данных.1.7.

Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.1.8.

Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.1.10.

Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение.

Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф.

И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться. В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают.

Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики). 3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 3.1.

На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности.

Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.3.2.

Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса.

Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников.

Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его

«Положение о коммерческой тайне и обработке персональных данных»

и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:4.1.

Информацию о том, какие данные сотрудников обрабатываются.4.2. Цели обработки персональных данных.4.3. Порядок ознакомления сотрудников компании с положением.4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.4.5. Меры по защите персональных данных.4.6.

Меры по защите персональных данных.4.6.

Порядок доступа отдельных работников к персональных данным сотрудников компании.4.7. Порядок хранения персональных данных.4.8.

Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании.

2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ). 5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно.

Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).Уведомление направляется по онлайн форме — и плюс должно быть продублировано в письменном виде по обычной почте. Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор.

Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора.

Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования.

Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза

«О защите физических лиц при обработке персональных данных и о свободном обращении таких данных»

General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR.

В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис. 8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст.

18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье).

При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст.

19.7 КоАП РФ. Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться.

При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта). (!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь. С Уважением, Васильев Дмитрий.

07 Сентября 2019, 12:09 0 0 Все услуги юристов в Москве Гарантия лучшей цены – мы договариваемся с юристами в каждом городе о лучшей цене. Похожие вопросы 26 Ноября 2014, 22:36, вопрос №631628 04 Апреля 2019, 20:56, вопрос №1956994 25 Мая 2015, 04:26, вопрос №848798 02 Октября 2013, 16:47, вопрос №240326 27 Февраля 2019, 14:37, вопрос №1920912 Смотрите также

Кто из работников может быть назначен ответственным за обработку персональных данных

В каждой организации должен быть работник, ответственный за персональные данные (у ИП-работодателя такого сотрудника может не быть). Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому, в общем-то, для выполнения функций по обработке персональных данных подойдет любой сотрудник: специалист отдела кадров, бухгалтер, секретарь.

Приказ о назначении ответственного за организацию обработки персональных данных составляется в произвольной форме.

В нем указывается сам ответственный работник и распоряжение о том, чтобы сведения о вменяемых ему обязанностях были внесены в его должностную инструкцию.

Поскольку за нарушение требований к обработке и защите персональных данных возможно привлечение к дисциплинарной, материальной, административной и даже уголовной ответственности (, ), сотрудник, работающий с личными данными, должен быть предупрежден об этом.

Какие сроки установлены для хранения персональных данных? Может ли физическое лицо ограничить срок хранения своих персональных данных?

Если существует такое ограничение и оно меньше срока хранения бух документов, каким образом должна поступить бухгалтерия?

Максим Лагутин: Персональные данные могут храниться и обрабатываться до того срока, который вы укажете в согласии на обработку персональных данных работника или во внутренних документах (как правило, только в перечне обрабатываемых персональных данных). Сроки же архивного хранения устанавливаются подзаконными актами.

Хороший вопрос. Да, физическое лицо может ограничить срок хранения своих персональных данных. Для этого он просто отзывает свое согласие на обработку персональных данных или просит уничтожить его персональные данные.

Если обработка его персональных данных (в т.ч.

хранение) требуется законодательством, то физическому лицу можно отказать в удовлетворении его прав. Вы можете разъяснить сотруднику, чем ему грозит прекращение обработки персональных данных (невозможность предоставить отпуск, невозможность выплатить заработную плату, невозможность повысить в должности или оказать ему услугу в полном объеме и т.д.).

Статья 22.1.

Лица, ответственные за организацию обработки персональных данных в организациях

(N 152-ФЗ редакция 2019) (введена Федеральным законом от 25.07.2011 N 261-ФЗ) 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. 3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Глава 5. ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА (в ред. Федерального закона от 22.02.2017 N 16-ФЗ) (след.) —> Закон РФ «О персональных данных» — N 152-ФЗ — регулирует взаимоотношения, возникающие при обработке персональных данных, которую производят федеральные органы государственной власти, власть субъектов России, другие государственные, муниципальные структуры, учреждения местного самоуправления, юр.

и физ. лица с использованием или без использования специальных средств автоматизации. Закон РФ «О персональных данных» № 152-ФЗ был принят 27.07.2006 г.

Назначение ответственного лица

Это лицо назначается на предприятии приказом руководителя.

В документе указываются ФИО и должность сотрудника. В случае его замены в приказ должны быть внесены изменения или необходимо выдать новый, в котором будет указан другой сотрудник, назначенный на выполнение таких функций. В приказе о назначении права, обязанности и полномочия такого специалиста не отражаются.

Они должны быть внесены в Положение об обработке ПДн. В должностную инструкцию этого сотрудника также вносится такая информация.

В Трудовом Кодексе РФ нет специальных требований в отношении содержания этой информации в должностных инструкциях.

Но, в соответствии с ч. 2 ст. 152 закона о персональных данных, эта документация утверждается отдельным распорядительным документом (приказом) компании. Каждой компании нужно знать, что с 01.07.17 г.

были приняты изменения в ст. 13.11 Кодекса об административных правонарушениях. Их введение позволило значительно усилить ответственность за допущенные нарушения в отношении работы компании с персональной информацией.

Это значит, что требуется очень аккуратно относиться к подготовке необходимой для работы в организации документации (приказов, распоряжений, должностных инструкций) и к работе ответственного лица, назначенного этим приказом. Соблюдение норм законодательства – требование, которое должен выполнять ответственный работник. От аккуратного выполнения возложенных на него обязанностей и правильной последовательности его действий будет зависеть выполнение этих требований, что позволит компании избежать наложения серьезных штрафных санкций.

Документы, касающиеся ответственного за организацию обработки персональных данных (приказ, должностная инструкция)

Назначение ответственного лица производится путем издания соответствующего по организации.

Важно подчеркнуть, что в приказе должна быть указана не только должность сотрудника, но и его инициалы.

Соответственно, в случае замены такого сотрудника в приказ необходимо будет внести изменения либо подготовить новое распоряжение с данными нового сотрудника.

Вместе с тем права, обязанности и полномочия сотрудника отражаются не в приказе о его назначении, а в положении об обработке личных данных в организации и его должностной инструкции. Нормы же ТК РФ не содержат специальных требований к должностным инструкциям работников, однако в силу требований части 2 статьи 152 ФЗ № 152 такая документация должна быть утверждена отдельным распоряжением (приказом) организации. Практикам необходимо помнить, что с 1 июля 2017 года вступили в силу изменения, внесенные в статью 13.11 КоАП, которые значительно усилили административную ответственность за нарушения, допущенные при работе с личными данными в организации.

Это означает, что к деятельности ответственного лица и подготовке необходимой для его работы документации (приказа, должностной инструкции) следует отнестись со всей аккуратностью.

От аккуратности же и последовательности работы ответственного лица во многом зависит весь процесс соблюдения законодательства о личных данных граждан, точное исполнение которого позволит уберечь компанию от значительных штрафных санкций. Рейтинг Поделиться Юридическая консультация После прочтения остались вопросы? Звоните по номеру и наши юристы проконсультируют Вас!

Звонок бесплатный. Советуем прочитать 15 октября 2019 0 11 октября 2019 8 05 декабря 2019 1 Новости раздела 27 июня 2019 0 22 мая 2019 0

Подписаться на рассылку Подписаться

Органы ответственные за защиту персональных данных

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних. На кого чаще всего возлагается ответственность за обработку персональных данных Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

Личные сведения всегда имели интерес – социальный, политический, экономический. На протяжении десятилетий имели место быть случаи, когда сведения о человеке превращались в высокооплачиваемый товар.

Мы живем в реалиях глобальной информатизации. Высокие технологии позволяют осуществлять сбор данных, систематизировать их, хранить, копировать и даже распространять их в автоматическом режиме. Неудивительно, что в таких условиях назрела необходимость защиты персональных данных.

Политика Основные принципы, задачи и условия работы с персональными данными в организациях и предприятиях всех форм собственности (являющихся Оператором по защите информации) определяются Политикой по защите персональных данных, которая, по сути, является главным документом, регламентирующим весь порядок работы с личными данными. Ответственный за организацию обработки персональных данных — это сотрудник организации, на которого возложены обязанности по соблюдению правил работы с личной информацией.

О требованиях законодательства к ответственному за организацию обработки личных данных и расскажет настоящая статья. Требования к ответственному за организацию обработки персональных данных Документы, касающиеся ответственного за организацию обработки персональных данных (приказ, должностная инструкция) Требования к ответственному за организацию обработки персональных данных Согласно требованиям статьи 22.1 закона «О персональных данных» от 27.07.2006 № 152-ФЗ, организация, которая осуществляет работу с личной информацией граждан (своих сотрудников, клиентов и иных лиц), обязана назначить лицо, ответственное за организацию обработки персональных данных.

Источник: https://strahovanie58.ru/organy-otvetstvennye-za-zashhitu-personalnyh-dannyh/

Как оформить в организации ответственного за организацию обработки персональных данных.?

Ответ на вопрос: Если в этом есть необходимость, Вы можете ввести должность ответственного за организацию обработки персональных данных в штатное расписание и установить по ней совмещение и дополнительную оплату работнику. Требований к такой должности нет, как и самой должности в справочниках или профстандартах.

В общем случае ограничиваются изданием приказа о назначении ответственного. Назначают того работника, который по роду своей деятельности фактически работает с документами работников или несет ответственность за организацию такой работы (например, руководителя кадровой службы). Назначение ответственного за организацию обработки персональных данных отнесено к мерам, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом (ст.

18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Оператор, являющийся юридическим лицом, в обязательном порядке назначает лицо, ответственное за организацию обработки персональных данных (п.

1 ст. 22.1 Закона от 27 июля 2006 г. № 152-ФЗ). Назначают ответственным, как правило, руководителя отдела кадров или другого кадрового работника, поскольку именно они в силу своих должностных обязанностей работают с персональными данными сотрудников.

Пример приказа о назначении ответственного по работе с персональными данными: . Именно кадровый работник обрабатывает (собирает, хранит, уничтожает, передает и т.д.) персональные данные сотрудников по роду своей деятельности. Работодатель, не работая с персональными данными, не сможет даже принять на работу, поскольку с этим процессом связано предоставление соискателями работодателю обязательных документов, которые содержат их персональные данные (ст.

65 ТК РФ). В каждом кадровом документе присутствуют те или иные персональные данные сотрудников.

Будь то трудовой договор (ст. 57 ТК РФ), трудовая книжка (ст. 66 ТК РФ), приказ о приеме на работу (ст.

68 ТК РФ) или личная карточка работника (п.

12 Правил, утвержденных постановлением Правительства РФ от 16 апреля 2003 г. № 225). Требования закона не изменили трудовую функцию кадрового работника, а лишь определили и, в определенной степени, ограничили его действия в отношении персональных данных сотрудников. Поэтому представляется, что устанавливать доплаты за совмещение или расширение зоны обслуживания в такой ситуации нецелесообразно.

Отдельная должность ответственного за обработку персональных данных также не существует, как и требования к ней. Обязанности ответственного лица поименованы в пункте 4 статьи 22.1 Закона и сводятся к следующему:

  1. доведения до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  2. организации приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществлению контроля за приемом и обработкой таких обращений и запросов.
  3. осуществлению внутреннего контроля за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

На наш взгляд, эти функции вполне могут быть закреплены в положении о работе с персональными данными за руководителем кадровой службы или иным должностным лицом, фактически осуществляющим работу с персональными данными работников. Однако если в силу специфики Вашей работы есть необходимость установить совмещение и доплату работнику, Вы имеете на это право (ст.

60.2, ст. 151 ТК РФ). Подробности в материалах Системы Кадры: Ситуация: Как организовать защиту персональных данных сотрудников в организации Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г.

№ 152-ФЗ). Положение утверждает руководитель организации.

С ним под подпись ознакомьте сотрудников организации. Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч.

5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в . Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г.

№ 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных.

При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т.

ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  1. иные неправомерные действия с персональными данными.
  2. изменение;
  3. распространение;
  4. блокирование;
  5. уничтожение;
  6. предоставление;
  7. копирование;

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России.

Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п.

4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система.

В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т.

п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21. Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п.

17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г.

№ 1119). Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России С уважением и пожеланием комфортной работы, Роман Кондратюк, эксперт Системы Кадры

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п.