Утверждаю
[должность, подпись, Ф. И. О.
Руководителя или иного
Должностного лица, уполномоченного
Утверждать
[организационно-правовая форма, должностную инструкцию]
наименование организации, [число, месяц, год]
предприятия] М. П.
Должностная инструкция
ответственного за организацию обработки персональных данных [наименование организации, предприятия и т. п.]
Настоящая должностная инструкция разработана и утверждена в соответствии с положениями Трудового кодекса Российской Федерации и иных нормативно-правовых актов, регулирующих трудовые правоотношения.
1. Общие положения
1.1. Ответственный за организацию обработки персональных данных относится к категории специалистов и непосредственно подчиняется [наименование должности непосредственного руководителя].
1.2. На должность ответственного за организацию обработки персональных данных назначается лицо, имеющее высшее профессиональное образование без предъявления требований к стажу работы или среднее профессиональное образование и стаж работы в должностях, замещаемых специалистами со средним профессиональным образованием, не менее [срок] лет.
1.3. Ответственный за организацию обработки персональных данных должен знать:
Законодательство Российской Федерации в области персональных данных основывается;
Порядок систематизации, учета и ведения документации с использованием современных информационных технологий;
Основы экономики, организации труда, производства и управления;
Средства вычислительной техники, коммуникаций и связи;
Правила и нормы охраны труда.
2. Должностные обязанности
Ответственный за организацию обработки персональных данных обязан:
2.1. Осуществлять внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2.2. Доводить до сведения работников организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2.3. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
3. Права
Ответственный за организацию обработки персональных данных имеет право:
3.1. На все предусмотренные законодательством социальные гарантии.
3.2. Знакомиться с проектами решений руководства организации, касающимися его деятельности.
3.3. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.
3.4. Подписывать и визировать документы в пределах своей компетенции.
3.5. Осуществлять взаимодействие с руководителями структурных служб организации, получать информацию и документы, необходимые для выполнения своих должностных обязанностей.
3.6. Вести переписку с организациями по вопросам, входящим в его компетенцию.
3.7. Требовать от руководства организации оказания содействия в исполнении своих должностных обязанностей и прав.
3.8. Повышать свою профессиональную квалификацию.
3.9. Другие права, предусмотренные трудовым законодательством.
4. Ответственность
Ответственный за организацию обработки персональных данных несет ответственность:
4.1. За неисполнение или ненадлежащее исполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, - в пределах, определенных действующим трудовым законодательством РФ;
4.2. За причинение материального ущерба работодателю - в пределах, определенных действующим трудовым и гражданским законодательством РФ;
Ответственный за организацию обработки персональных данных — это сотрудник организации, на которого возложены обязанности по соблюдению правил работы с личной информацией. О требованиях законодательства к ответственному за организацию обработки личных данных и расскажет настоящая статья.
Требования к ответственному за организацию обработки персональных данных
Согласно требованиям статьи 22.1 закона «О персональных данных» от 27.07.2006 № 152-ФЗ, организация, которая осуществляет работу с личной информацией граждан (своих сотрудников, клиентов и иных лиц), обязана назначить лицо, ответственное за организацию обработки персональных данных. При этом точного указания на то, какое именно должностное лицо организации может быть назначено ответственным, нормы ФЗ № 152 не содержат. На практике чаще всего таковым назначается сотрудник, ведущий кадровое делопроизводство в организации либо работу с клиентами компании.
В силу части 2 статьи 22.1 ФЗ № 152 ответственный сотрудник подотчетен только руководству организации (директору или иному исполнительному органу). Это означает, что во избежание нарушений субординации в организации рекомендуется назначать ответственным сотрудника из числа руководящих лиц, а не из рядового состава.
Часть 4 статьи 22.1 ФЗ № 152 возлагает на ответственного за организацию обработки персональных данных следующие обязанности:
Не знаете свои права?
- Проводить инструктаж с работниками организации по вопросам соблюдения законодательства и внутренних документов компании в части обработки личных данных.
- Осуществлять контроль за соблюдением технических и административных мер, принимаемых в организации для защиты личных данных (проверять сохранность и порядок заполнения носителей личных данных, условия и порядок доступа к ним и т. д.).
- Организовать работу по приему и обработке обращений, получаемых организацией как от граждан, так и от контрольно-надзорных органов.
Следует помнить, что данный перечень не является исчерпывающим, поэтому на ответственного могут возложить и иные обязанности, например:
- разрабатывать или участвовать в разработке внутренних документов по вопросам защиты личных данных;
- осуществлять учет носителей информации и оформлять допуски к ним.
Документы, касающиеся ответственного за организацию обработки персональных данных (приказ, должностная инструкция)
Назначение ответственного лица производится путем издания соответствующего приказа по организации. Важно подчеркнуть, что в приказе должна быть указана не только должность сотрудника, но и его инициалы. Соответственно, в случае замены такого сотрудника в приказ необходимо будет внести изменения либо подготовить новое распоряжение с данными нового сотрудника.
| Скачать форму приказа |
Вместе с тем права, обязанности и полномочия сотрудника отражаются не в приказе о его назначении, а в положении об обработке личных данных в организации и его должностной инструкции. Нормы же ТК РФ не содержат специальных требований к должностным инструкциям работников, однако в силу требований части 2 статьи 152 ФЗ № 152 такая документация должна быть утверждена отдельным распоряжением (приказом) организации.
Практикам необходимо помнить, что с 1 июля 2017 года вступили в силу изменения, внесенные в статью 13.11 КоАП, которые значительно усилили административную ответственность за нарушения, допущенные при работе с личными данными в организации. Это означает, что к деятельности ответственного лица и подготовке необходимой для его работы документации (приказа, должностной инструкции) следует отнестись со всей аккуратностью. От аккуратности же и последовательности работы ответственного лица во многом зависит весь процесс соблюдения законодательства о личных данных граждан, точное исполнение которого позволит уберечь компанию от значительных штрафных санкций.
1. Общие положения
2.1. Лицо, ответственное за организацию обработки персональных данных в организации обязано:
- осуществлять внутренний контроль за соблюдением работниками организации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой указанных обращений и запросов.
3. Права лица, ответственного за организацию обработки персональныхданных в организации
3.1. Лицо, ответственное за организацию обработки персональных данных, имеет право:
принимать решения в пределах совей компетенции; требовать от работников организации соблюдения действующего законодательства, а также локальных нормативных актов организации о персональных данных;
контролировать в Службе осуществление мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
взаимодействовать с управлениями и иными структурными подразделениями организации по вопросам обработки персональных данных.
4. Ответственность лица, ответственного за организацию обработки персональных данных в организации
4.1. За ненадлежащее исполнение или неисполнение настоящей Инструкции, а также за нарушение требований законодательства о персональных данных лицо, ответственное за организацию обработки персональных данных в организации, несет предусмотренную законодательством Российской Федерации ответственность.
[наименование организации, предприятия и т. п.]
Настоящая должностная инструкция разработана и утверждена в соответствии с положениями Трудового кодекса Российской Федерации и иных нормативно-правовых актов, регулирующих трудовые правоотношения.
1. Общие положения
1.1. Ответственный за организацию обработки персональных данных относится к категории специалистов и непосредственно подчиняется [наименование должности непосредственного руководителя].
1.2. На должность ответственного за организацию обработки персональных данных назначается лицо, имеющее высшее профессиональное образование без предъявления требований к стажу работы или среднее профессиональное образование и стаж работы в должностях, замещаемых специалистами со средним профессиональным образованием, не менее [срок] лет.
1.3. Ответственный за организацию обработки персональных данных должен знать:
Законодательство Российской Федерации в области персональных данных основывается;
Порядок систематизации, учета и ведения документации с использованием современных информационных технологий;
Основы экономики, организации труда, производства и управления;
Средства вычислительной техники, коммуникаций и связи;
Правила и нормы охраны труда.
2. Должностные обязанности
Ответственный за организацию обработки персональных данных обязан:
2.1. Осуществлять внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2.2. Доводить до сведения работников организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2.3. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
3. Права
Ответственный за организацию обработки персональных данных имеет право:
3.1. На все предусмотренные законодательством социальные гарантии.
3.2. Знакомиться с проектами решений руководства организации, касающимися его деятельности.
3.3. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.
3.4. Подписывать и визировать документы в пределах своей компетенции.
3.5. Осуществлять взаимодействие с руководителями структурных служб организации, получать информацию и документы, необходимые для выполнения своих должностных обязанностей.
3.6. Вести переписку с организациями по вопросам, входящим в его компетенцию.
3.7. Требовать от руководства организации оказания содействия в исполнении своих должностных обязанностей и прав.
3.8. Повышать свою профессиональную квалификацию.
3.9. Другие права, предусмотренные трудовым законодательством.
Вносить предложения по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями. 3.7. В пределах своей компетенции сообщать директору о недостатках, выявленных в процессе исполнения должностных обязанностей, и вносить предложения по их устранению. 3.8. Требовать от директора оказания содействия в исполнении своих должностных обязанностей и прав. 3.9. Привлекать с разрешения директора сотрудников всех структурных подразделений к решению задач, возложенных на него. 3.10. Запрашивать лично или через директора информацию и документы, необходимые для выполнения своих должностных обязанностей.
- Ответственность
Ответственный за организацию обработки персональных данных несет ответственность: 4.1.
Рекомендации по подготовке документов, регламентирующих обработку персональных
Не допускать к работе с персональными данными лиц, не обладающих для этого соответствующими правами. 2.10. Осуществлять регистрацию обращений и запросов субъектов персональных данных или их представителей в Журнале учёта обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных о выполнении их законных прав. 2.11. Осуществлять методическое руководство работой администраторов безопасности и администраторов информационных систем персональных данных в области защиты персональных данных.
2.12. Предлагать руководству мероприятия по совершенствованию работы по защите персональных данных.
- Права
Ответственный имеет право. 3.1.
Работа с персональными данными
За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации. 5. ПОРЯДОК ПЕРЕСМОТРА ДОЛЖНОСТНОЙ ИНСТРУКЦИИ 5.1. Должностная инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в пять лет. 5.2. С приказом о внесении изменений (дополнений) в должностную инструкцию знакомятся под расписку все работники учреждения, на которых распространяется действие этой инструкции.
Должностная инструкция разработана в соответствии с приказом генерального директора от 11 марта 2015 г. № 71. СОГЛАСОВАНО Руководитель отдела кадров И.В. Гамов 19.03.2015 С настоящей инструкцией ознакомлен. Один экземпляр получил на руки и обязуюсь хранить на рабочем месте.
Ответственный за организацию обработки персональных данных В.А.
Должностные инструкции: оформляем и утверждаем
После подготовки и передачи документа в соответствии с резолюцией, файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных. Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается. Передача персональных данных допускается только в случаях, установленных Федеральными законами Российской Федерации «О персональных данных», «О порядке рассмотрения обращений граждан Российской Федерации», действующими инструкциями по работе со служебными документами и обращениями граждан, а также по письменному поручению (резолюции) вышестоящих должностных лиц.
Внимание
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее); — общие правила хранения и передачи персональных данных (например, запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении. Все сотрудники, постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных. Сотрудникам, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью.
Как прописать в должностной инструкции персональные данные
Соблюдать требования законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, Правил обработки персональных данных и других нормативных документов в области обработки и защиты персональных данных. 2.2. Доводить до сведения сотрудников положения законодательства Российской Федерации о персональных данных, Правил обработки персональных данных и других нормативных документов по вопросам обработки и требований к защите персональных данных. 2.3. Проводить инструктажи и занятия по изучению правовой базы по защите персональных данных с сотрудниками, имеющими доступ к персональным данным, и вести Журнал проведения инструктажей по информационной безопасности.
2.4. Оказывать консультационную помощь сотрудникам по применению средств защиты персональных данных. 2.5.
Важно
Осуществлять контроль соблюдения в законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, и Правил обработки персональных данных согласно Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных 2.6. Проводить регулярные внутренние проверки, согласно Плану внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных. 2.7. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений Правил обработки персональных данных.
2.8. Составлять и предлагать на утверждение директору перечень лиц и объема их полномочий, которым разрешен доступ к персональным данным. 2.9.
Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения). — порядок действий при утрате или уничтожении съемных носителей персональных данных (например, о фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений немедленно ставится в известность начальник соответствующего структурного подразделения. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы персонального учета съемных носителей персональных данных. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению.
Уничтожение съемных носителей с конфиденциальной информацией осуществляется «уполномоченной комиссией».
Инфо
За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, в пределах, определенных действующим трудовым законодательством Российской Федерации. 4.2. За правонарушения, совершенные в процессе осуществления своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации. 4.3. За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.
- Порядок пересмотра должностной инструкции
Настоящая Инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в пять лет. 5.2. С приказом о внесении изменений (дополнений) в настоящую Инструкцию знакомятся под расписку все сотрудники, на которых распространяется действие этой инструкции.
По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета. — правила использования съемных носителей персональных данных (например, запрещается:
- хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
- выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.
При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования.
Права лица, ответственного за организацию обработки персональныхданных в организации 3.1. Лицо, ответственное за организацию обработки персональных данных, имеет право: принимать решения в пределах совей компетенции; требовать от работников организации соблюдения действующего законодательства, а также локальных нормативных актов организации о персональных данных; контролировать в Службе осуществление мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами; взаимодействовать с управлениями и иными структурными подразделениями организации по вопросам обработки персональных данных. 4. Ответственность лица, ответственного за организацию обработки персональных данных в организации 4.1.
