Рейтинг: 4.8/5.0 (1807 проголосовавших)Категория: Инструкции
Защита персональных данных включает в себя выполнение следующих процедур:
· Регистрация оператора ИСПДн.
· Организация обработки и защиты ПДн работников.
· Реагирование на запрос органов власти и управления о предоставлении ПДн работников.
· Внесение изменений в сведения в реестре операторов ИСПДн.
· Прекращение деятельности оператора ИСПДн.
Каждая процедура защиты персональных данных включает в себя пошаговое описание алгоритма выполнения мероприятий в рамках процедуры и весь пакет документов, обеспечивающий документацию данной процедуры. Кроме того, каждая процедура защиты персональных данных содержит список нормирующих документов, участников процедуры, сроки выполнения процедуры и получаемый результат.
Одними из первых процедур защиты персональных данных, необходимых для исполнения предприятием, являются процедуры регистрации оператора ИСПДн и организации обработки и защиты персональных данных. Это два основных мероприятия, которые требуют обязательного исполнения.
При поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов необходимо осуществление процедуры реагирования на запрос органов власти и управления о предоставлении ПДн работников.
Для комплексной проверки информационной системы персональных данных организации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности применяется процедура аттестации ИСПДн.
В случае сведений о деятельности оператора при обработки персональных данных осуществляется процедура внесения изменений в сведения в реестре операторов ИСПДн.
При аннулировании лицензии на осуществление деятельности, завершении рганизацией обработки персональных данных, ликвидации и реорганизации предприятия осуществляется процедура прекращения деятельности оператора ИСПДн.
Техподдержка 8-800-333-14-84 Звонок по РФ бесплатный ICQ: 609-394-313 E-mail: support@freshdoc.ru Skype: freshdoc.support Отдел продаж +7 (495) 212-14-84 sales@freshdoc.ru Заказать звонок
Копирование и дальнейшее распространение любых текстов с сайта freshdoc.ru без разрешения авторов или администрации сайта, а также заимствование фрагментов текстов будет рассматриваться как нарушение авторских прав. Помните об ответственности, предусмотренной ст.146, п.3 УК РФ. Смотрите правила.
© 2016 DocLab
Организация защиты персональных данных
Авторы - Ирина Баймакова, Александр Новиков, Алексей Рогачев, Хыдыров Агиль Хыдыр оглы
Защита персональных данных актуальна для большинства российских компаний, осуществляющих обработку персональных данных. Ведь под действие закона «О персональных данных» попадают все организации, зарегистрированные в Российской Федерации и осуществляющие обработку персональных данных, независимо от вида отрасли, формы собственности и иных факторов. Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер, причем все они одинаково значимы, а невыполнение одних требований сводит на нет результаты реализации других. При этом именно организационно-управленческая сторона вопроса защиты оператором обрабатываемых персональных данных в большинстве случаев имеет первостепенное значение при соблюдении требований федерального закона. Сложность реализации мер по защите персональных данных связана не только с новизной задач, которые необходимо решать, но и с целым рядом проблем, к которым можно отнести следующие: отсутствие в штате большинства организаций специалистов по защите информации; недостаточность финансовых средств для проведения комплекса работ по построению эффективной системы защиты; наличие законодательных пробелов.
Основной задачей данного пособия, разработанного Ириной Баймаковой, Александром Новиковым, Алексеем Рогачевым и Хыдыровым Агилем Хыдыр оглы, является оказание практической помощи при организации и проведении мероприятий по защите персональных данных с точки зрения разработки организационно-распорядительной документации. В представленных материалах приведены пошаговые инструкции и типовые формы документов, наличие которые обязательно при осуществлении мероприятий по защите персональных данных. Кроме того, в отдельном разделе пособия рассмотрены вопросы применения разработанных фирмой «1C» программных продуктов с учетом требований, предъявляемых законодательством Российской Федерации о защите персональных данных.
Авторы надеются, что данное пособие поможет лицам, не имеющим специальных знаний в области защиты информации и информационных технологий, провести обследование информационной системы персональных данных, оценить «масштаб бедствия», провести необходимые мероприятия и подготовить комплект организационно-распорядительной документации.
Издательство – ООО «1С-Паблишинг»
Год издания – 2011
Формат книги - PDF, DOC
Любители печатных изданий могут заказать бумажный экземпляр этой же книги здесь.
В середине прошлого года вступил в силу закон о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована. Каждая организация или индивидуальный предприниматель могут быть проверены на предмет соответствия их деятельности законодательству. Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).
Любая проверка начинается с проверки документации. Какие документы нужно подготовить, чтобы не бояться никакой проверки?
Главный документ, регламентирующий деятельность организации в данной сфере - положение о защите персональных данных (либо положение о персональных данных работников, если в организации не используется другая личная информация). Это внутренний документ, он делается в свободной форме и определяет порядок хранения и использования персональных данных в фирме. Данное положение утверждается руководителем предприятия приказом о защите персональных данных и является обязательным к выполнению всеми сотрудниками организации.
На основе Положения должны быть сделаны все остальные документы по защите персональных данных. В первую очередь – это Приказ о допуске к персональным данным. В нем перечисляются все сотрудники, имеющие право работать с этими документами. И по каждому прописывается, с какими именно документами, они могут работать. Все сотрудники, упомянутые в приказе, должны ознакомиться с этим приказом под роспись. Кроме того, они должны ознакомиться с Положением и расписаться в листе ознакомления.
Далее должна быть разработана инструкция по защите персональных данных. В ней подробно прописываются правила, которые должны соблюдать сотрудники при работе с такой информацией. Рекомендуется с каждым из служащих, допущенных к личной информации, заключать соглашение о неразглашении персональных данных. Хотя в небольших организациях, не специализирующихся на сборе персональной информации, обычно таких соглашений не заключают.
Для организаций, которые занимаются сбором и обработкой персональной информации клиентов, все гораздо сложнее. Такие организации должны быть зарегистрированы в Роскомнадзоре (уполномоченном органе по защите прав субъектов персональных данных) и быть внесены в реестр операторов персональных данных. Перед началом сбора таких данных эти организации должны направить в Роскомнадзор уведомление об обработке персональных данных. В этом уведомлении нужно четко прописать основание для работы с личной информацией и меры по обеспечению безопасности. Только после выполнения всех вышеперечисленных действий, руководитель организации может быть уверен, что он выполнил все требования законодательства.
Рубрики:Реестр видов организационно-распорядительных документов проектной и эксплуатационно-технической документации (Скачать ).
Краткое практическое руководство по вводу режима защиты Персональных Данных (ПДн) в организации (Скачать ).
Вы можете воспользоваться услугами наших специалистов при организации мероприятий по проведению самооценки эффективности мер по защите персональных данных, обратившись в наше Учреждение по эл. почте либо по телефонам указанным на сайте.
Вы можете приобрести программный комплекс. позволяющий автоматизировать и систематизировать мероприятия по разработке документального обеспечения, эксплуатации и контролю средств и систем защиты персональных данных.
Предлагаем Вам ознакомиться с основными вопросами, решение которых необходимо обеспечить при организации защиты персональных данных, в наших презентациях:
В вашем браузере отключен JavaScript
В вашем браузере отключен JavaScript
10.08.2012
г. Красноярск
Ведущий: Черенкова Маргарита Владиславна, директор ООО "КПЦ "Диалог Консалтинг", член Национального союза кадровиков (ВКК), независимый эксперт в области трудовых правоотношений.
1. Назначение должностного лица . ответственного за обеспечение безопасности персональных данных (далее – Пдн);
2. Состав обрабатываемых персональных данных . цели и условия обработки, сроки хранения (формирование перечня персональных данных, документальное оформление);
3. Получение письменного согласия субъекта на обработку его персональных данных (разработка процедур, порядок реагирования на отсутствие ответа от субъекта, подтверждающего его согласие на обработку его персональных данных); проблемные аспекты передачи персональных данных третьим лицам (банки, страховые компании и т.п.);
4. Механизм реагирования на запросы со стороны субъектов персональных данных;
5. Определение необходимости уведомления уполномоченного органа по защите ПДн об обработке (намерении) осуществлять обработку ПДн ;
6. Выделение и классификация информационных систем персональных данных (назначение комиссии, изучение классификационных признаков, разработка и утверждение акта классификации);
7. Разработка модели угроз для информационных систем ПДн ;
8. Создание системы защиты персональных данных (разработка и внедрение мер, необходимых для защиты информации ограниченного доступа: технические и организационные аспекты защиты);
9. Перечень мер по защите персональных данных, обрабатываемых без использования средств автоматизации (проведение инвентаризации и определение мест хранения носителей ПДн; типовые формы журналов и другие внутренние документы);
10. Обеспечение постоянного контроля защищенности ПДн (внутренний контроль);
11. Обзор судебной практики, ФСТЭК, Роскомнадзора в сфере обеспечения безопасности персональных данных субъектов ПДн ;
12. Ответы на вопросы участников семинара-практикума .
СЕМИНАР ПРОВОДИТСЯ ПРИ УЧАСТИИ НОУ "БИЗНЕС-ШКОЛЫ ЛИНК"
по адресу: г. Красноярск, ул. К. Маркса, 93; 2 этаж (ауд. 204).
Время проведения: с 9.30 до 16.00 (перерыв на обед с 12.00 до 12.30).
По программе: «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» (16 часов - дистанционное обучение, 56 часов - самоподготовка)
Руководителям и ответственным за работу с персональными данными в образовательных организациях необходимо разобраться и научиться правильно применять противоречивые нормы и требования законодательства в сфере персональных данных, а так же научиться, юридически грамотно, отвечать на обращения или жалобы родителей, вышестоящих организаций или запросы сторонних организаций о персональных данных учащихся, воспитанников. работников и т.д.
Доступно и с реальными примерами будем говорить о сложных вопросах работы с персональными данными
ОСНОВНЫЕ ВОПРОСЫ ОБУЧЕНИЯ
- Какие срочные действия по персональным данным в 2016 году нужно провести в каждой образовательной организации в связи с изменениями в законодательстве в конце 2015 года?
- Какой может быть пошаговая инструкция для руководителя или ответственного при создании системы обработки и защиты персональных данных?
- Как Роскомнадзор будет осуществлять процедуру «систематического наблюдения» за официальными сайтами в 2016году?
- Какие данные на сайте школы и детского сада надзорный орган считает персональными и запрещает их размещение?
- Какое количество документов по персональным данным должно быть разработано в каждой образовательной организации? Формы и содержание этих документов?
- В каком случае можно передавать персональные данные на детей по запросу РОВД, а в каком случае нельзя?
- Какой может быть пошаговая инструкция для руководителя или ответственного при создании системы обработки и защиты персональных данных в образовательной организации?
- Какие компьютеры можно не аттестовывать, а какие нужно аттестовать по ПДн?
На эти и многие другие вопросы участники курсов получат ответы на курсе повышения квалификации. Обучение строится исключительно на основе практических примеров по образовательным организациям.
Для слушателей проводятся практические занятия:
Игорь Михайлович Бирюк,
Преподаватель «Института мониторинга и оценки информационной безопасности»
исполнительный директор ООО МКЦ «АСТА-информ»
ВОЗМОЖНО УЧАСТИЕ ПО ГАРАНТИЙНОМУ ПИСЬМУ.
УЧАСТИЕ ТОЛЬКО ПРИ ПРЕДВАРИТЕЛЬНОЙ РЕГИСТРАЦИЯ
Требования к организации защиты персональных данных. обрабатываемых как с использованием средств автоматизации, так и без их использования, установлены Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и иными нормами федерального уровня. Найти инструкцию о порядке действий по организации защиты персональных данных вы можете в электронной системе "Образование" .
Введите в поисковую строку электронной системы "Образование" (далее – ЭСО ) запрос «персональные данные» и нажмите кнопку "Найти".
Последовательно воспользуйтесь фильтрами: "По типу материала" – "Экспертные материалы" – "Пошаговые инструкции".
Перед вами пошаговая инструкция "Организация защиты персональных данных в образовательном учреждении ".
Инструкция связана активными ссылками с другими авторскими материалами, а также нормативными документами, регламентирующими работу с персональными данными.
В ряде случаев образовательные организации обязаны подавать уведомление об обработке персональных данных в Роскомнадзор.
Чтобы узнать, в каких случаях уведомление не нужно кликните на активную ссылку "Уведомление". Чтобы изучить рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных кликните на приказ Минкомсвязи России, Роскомнадзора от 19.08.2011 № 706.
Посмотреть презентацию системы, узнать мнения коллег и получить бесплатный доступ к демонстрационной версии электронной системы "Образование" можно на наших сайтах: www.menobr.ru и www.resobr.ru .
Узнать подробную информацию об электронной системе "Образование" и заказать счет на оплату вы можете в отделе по работе с клиентами по тел. 8 (495) 937-90-82 или e-mail: ap@mcfr.ru .
Подскажите, пожалуйста, какие документы должны быть в организации (например, ООО из 15 человек или ОАО из 13 человек, а ,впрочем, не важно какое кол-во сотрудников и организационно-правовая форма компании) по персональным данным..То есть, весь перечень (пакет) документов, положений и пр. (т.е. помимо Положения о защите персональных данных какие документы должны быть оформлены обязательно?). И в какой. в какой срок нужно предоставить некое Уведомление? Я слышал, что до конца февраля 2013 г. каждая организация должна в какой-то орган предоставить некое уведомление по персональным данным работников общества!?
ОтветЕдиного перечня документов, которые должны быть в отделе кадров, не существует: в каждой организации он свой. Однако в Трудовом кодексе названы документы, наличие которых в отделе кадров обязательно (например, трудовой договор, график отпусков, локальные нормативные акты).
Следовательно, к обязательным документам отдела кадров относятся:
1. Трудовой договор. На основании ст. 56 ТК РФ трудовым договором считается соглашение между работодателем и работником, в соответствии с которым работодатель обязуется предоставить работнику работу по обусловленной трудовой функции, своевременно и в полном размере выплачивать заработную плату, а работник обязуется лично выполнять определенную этим соглашением трудовую функцию и соблюдать правила внутреннего трудового распорядка.
2. Трудовые книжки. В силу ст. 66 ТК РФ они являются основным документом о трудовой деятельности и трудовом стаже работника. Все работодатели (за исключением работодателей - физических лиц, не являющихся индивидуальными предпринимателями) обязаны вести трудовые книжки на каждого работника, проработавшего у них свыше пяти дней, в случае если данная работа является для работника основной. Напомним, что порядок ведения и хранения трудовых книжек утвержден Постановлением Правительства РФ от 16.04.2003 № 225 "О трудовых книжках". При этом, правильность внесения записей в книжки, определена Инструкцией по заполнению трудовых книжек, утвержденной Постановлением Минтруда России от 10.10.2003 № 69.
3. Приходно-расходная книга по учету бланков трудовой книжки и вкладыша в нее, а также книга учета движения трудовых книжек и вкладышей в них. Эти книги должны быть пронумерованы, прошнурованы, заверены подписью руководителя организации, а также скреплены сургучной печатью или опломбированы (п. 41 Правил ведения и хранения трудовых книжек).
4. Штатное расписание и график отпусков. Обязательность составления графика отпусков не вызывает сомнений, об этом прямо говорится в ст. 123 ТК РФ. А вот обязательность ведения штатного расписания Трудовым кодексом не предусмотрена, хотя его форма №Т-3 утверждена постановлением Госкомстата России от 5 января 2004 г. № 1, а в статье 57 Трудового кодекса указано, что наименование должности работника дается в соответствии со штатным расписанием. С 01.01.2013 в связи с вступлением в силу нового федерального закона 06.12.2011 N 402-ФЗ «О бухгалтерском учете» каждая организация вправе разрабатывать свои формы первичных учетных документов. Обязательность унифицированных форм осталась только для организаций государственного сектора экономики. Следует обратить внимание, что контролирующие органы, да и суды при рассмотрении трудовых споров практически всегда запрашивают данный документ. Наличие штатного расписания и изменения в нем дает нам обоснование для увольнения работников по сокращению численности или штата работающих. Штатное расписание позволят работодателю бюджетировать его затраты на оплату труда персонала.
5. Табель учета рабочего времени. Табель учета рабочего времени необходимо вести в каждой организации на основании ст. 91 ТК РФ, обязывающей работодателя производить точный учет рабочего времени, отработанного каждым работником.
6. Личные карточки и приказы по личному составу. Формы этих документов установлены постановлением Госкомстата России от 5 января 2004 г. № 1. Личная карточка (ф. Т-2) обязательна в силу требований Правил ведения и хранения трудовых книжек, так как работодатель дублирует записи в трудовой книжке в ней и обязан ознакомить работника с каждой такой записью (п. 12). Кроме этого, в данном документе содержатся персональные данные работника, поэтому она должна храниться в сейфе, чтобы посторонние лица не имели доступа к ним. Приказы (о приеме на работу (формы Т-1, Т-1а), о переводе (формы Т-5, Т-5а), о поощрении (формы Т-11, Т-11а) и пр.) также обязательны, ведь на их основании работнику предоставляется отпуск, он направляется в командировку, бухгалтерия начисляет и производит выплаты и пр.
7. Приказы по основной деятельности. Во-первых, такие приказы должны храниться отдельно от приказов по личному составу, во-вторых, у них обязательно должны быть подпись руководителя и в некоторых случаях визы согласования.
8. Должностные инструкции работников. Трудовой кодекс не содержит упоминания о должностной инструкции, хотя она является неотъемлемым инструментом регулирования трудовых отношений. Роструд в Письме от 09.08.2007 № 3042-6-0 отметил, что это не просто формальный документ, а документ, определяющий задачи, квалификационные требования, функции, права, обязанности, ответственность работника. Более того, данное ведомство рекомендовало разрабатывать их по каждой должности (в том числе вакантной), имеющейся в штатном расписании, заметив, что должностная инструкция может являться как приложением к трудовому договору, так и отдельным документом.
9. Журнал учета проверок. Обязанность ведения этого журнала установлена ст. 16 Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". В таком журнале контролирующие органы делают запись о проведенной проверке. Типовая форма журнала утверждена Приказом Минэкономразвития России от 30.04.2009 № 141. Помните, что журнал должен быть прошит, пронумерован и удостоверен печатью юридического лица или индивидуального предпринимателя.
10. Локальные нормативные акты. Это достаточно большой блок документов, ведь именно такими актами работодатель регламентирует свою деятельность и определенные процессы внутри компании.
Однако, локальные нормативные акты могут быть, а могут и не быть в организации. Однако есть такие акты, которые работодатель обязан разработать и ввести в действие в любой организации:
– Правила внутреннего трудового распорядка - первый и самый важный локальный нормативный акт, регламентирующий порядок приема и увольнения работников, основные права, обязанности и ответственность сторон трудового договора, режим работы, время отдыха, применяемые к работникам меры поощрения и взыскания, а также иные вопросы регулирования трудовых отношений у данного работодателя (ст. 189 ТК РФ). Его запрашивают практически при любом виде трудового спора.
– Положение об оплате труда (дополнительно возможно оформление отдельного положения о премировании, если раздела о премиях, надбавках и доплатах нет в положении об оплате труда или правилах внутреннего трудового распорядка). Оно необходимо в силу ст. 135 ТК РФ, в соответствии с которой системы оплаты труда, включая размеры тарифных ставок, окладов (должностных окладов), доплат и надбавок компенсационного характера, в том числе за работу в условиях, отклоняющихся от нормальных, системы доплат и надбавок стимулирующего характера и системы премирования устанавливаются коллективными договорами, соглашениями, локальными нормативными актами.
– Положение о хранении и защите персональных данных. В силу ст. 87 ТК РФ у работодателя должен быть локальный акт, устанавливающий порядок хранения и использования персональных данных работников. Также отметим, что оформляя локальные нормативные акты, особое внимание уделите содержанию документа, ведь нормы, ухудшающие положение работников по сравнению с установленными трудовым законодательством, не подлежат применению. Это относится и к порядку введения в действие: локальные акты, принятые с нарушением порядка учета мнения представительного органа работников, предусмотренного ст. 372 ТК РФ, не применяются. Таким образом, выше мы перечислили все документы, которые должны быть в любом отделе кадров. Однако есть и такие, которые разрабатываются и утверждаются только в конкретной организации в зависимости от специфики деятельности. Так, дополнительно к локальным нормативным актам могут быть разработаны положения о коммерческой тайне, служебном расследовании, проведении аттестации, о прохождении испытательного срока и пр. Кроме этого, в зависимости от условий работы могут появиться график сменности, перечень должностей работников с ненормированным рабочим днем, договоры о коллективной или индивидуальной материальной ответственности и пр. В заключение отметим, что небрежное отношение к организации кадрового документооборота чревато негативными последствиями для организации, т.е. привлечение к административной ответственности (ст. 5.27 КоАП РФ).
Что касается Вашего второго вопроса по уведомлению Роскомнадзора.
В данном случае необходимо учитывать, что согласно ч. 2 ст. 22 Закона N 152-ФЗ оператор персональных данных не обязан уведомлять орган Роскомнадзора об обработке данных своих сотрудников (т.е. при приеме сотрудников, работодатель не обязан подавать данное уведомление). Для информации Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона N 152-ФЗ). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228). Уведомление должно быть направлено в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту нахождения оператора. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные - это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу. К такой информации относятся, в частности, фамилия, имя, отчество этого лица, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку таких данных, а также определяющие цели и содержание обработки (п. 2 ст. 3 Закона N 152-ФЗ). Понятие "обработка персональных данных" включает в себя весь спектр действий (операций) с такими данными, в том числе их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение. Таким образом, в силу Закона N 152-ФЗ как только в распоряжении организации появляются данные любого лица, эта организация становится оператором персональных данных и обязана обеспечить их защиту. В любой организации имеются (или ранее имелись) сотрудники (как минимум, сотрудник, на которого возложены обязанности единоличного исполнительного органа). Их персональные данные содержатся, в частности, в кадровой и налоговой документации организации (личные дела и трудовые книжки работников, документы по анкетированию, тестированию и т.п.). Поэтому любая организация является оператором персональных данных.
Что касается вопроса:Я слышал, что до конца февраля 2013 г. каждая организация должна в какой-то орган предоставить некое уведомление по персональным данным работников общества! В соответствии со статьей 25 Федерального закона от 27.07.2006 г. № 152-ФЗ, операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
Подробнее в материалах Системы:
Порядок работы с документами
Порядок работы с документами в организации закрепите на локальном уровне. Основы документооборота. как правило, закладываются в положениях об отделах. Более подробно схему документооборота опишите в инструкции по делопроизводству организации.
При этом оборот документов в кадровой службе рассматривается как составляющая общего документооборота организации. Порядок работы с документами установлен в разделе 3 ГСДОУ, утвержденной приказом Главархива СССР от 25 мая 1988 г. № 33 .
Виды кадровых документов
На практике документы, с которыми работает кадровая служба, можно разделить на три группы:
Кадровая служба осуществляет делопроизводство путем подготовки проектов, согласования и издания организационных, распорядительных и информационно-справочных документов, их регистрации, учета и хранения. В качестве инструмента для выполнения этой задачи можно использовать номенклатуру дел .
Организационные и распорядительные документы являются внутренними документами организации.
К организационным документам, в частности, относятся:
К распорядительным документам относятся:
Подготовка организационных и распорядительных документов
При подготовке организационных и распорядительных документов используйте унифицированные документы, утвержденные постановлением Госкомстата России от 5 января 2004 г. № 1. При этом допускается оформление документов в произвольной форме, так как унифицированные формы не охватывают все кадровые операции (например, смена фамилии, дисциплинарное взыскание и т. д.). Работу с организационными и распорядительными документами постройте по схеме: подготовка проекта, согласование, доработка, визирование, подписание (утверждение) руководителем, передача на исполнение ответственным сотрудникам. Об этом сказано в пункте 3.1.1 ГСДОУ, утвержденной приказом Главархива СССР от 25 мая 1988 г. № 33. Информационно-справочные документы
Все информационно-справочные документы можно разделить на три крупных блока.
Первый блок – входящая информационно-справочная документация:
Второй – исходящая информационно-справочная документация:
Третий – внутренняя информационно-справочная документация:
Учет информационно-справочных документов
Учет входящей и исходящей информационно-справочной документации в кадровой службе ведите в журналах учета входящей и исходящей корреспонденции. Обработкой входящей корреспонденции может заниматься специально уполномоченный сотрудник кадровой службы (секретарь, делопроизводитель).
Документы могут поступить в организацию по почте, факсу, электронной почте, телеграфу, с помощью курьерской доставки. Работа с входящими документами строится по такой схеме:
Ситуация: Какие приказы относятся к приказам по личному составу, а какие – к приказам по основной деятельности
К приказам по личному составу нужно отнести приказы, при помощи которых документируют трудовые отношения – прием, перевод, перемещение, увольнение, отпуска, командировки и т. п.
Срок хранения приказов по личному составу и прилагающейся к ним документации составляет 75 лет. Исключение предусмотрено для приказов о дисциплинарных взысканиях, предоставлении очередных и учебных отпусков, дежурствах, краткосрочных внутрироссийских и зарубежных командировках. Срок хранения таких документов составляет пять лет. Об этом сказано в статье 19 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558 .
Остальные приказы отнесите к приказам по основной деятельности. Их необходимо хранить в организации постоянно, до ее ликвидации. Об этом сказано в статье 19 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558 .
Нина Ковязина
заместитель директора департамента образования и кадровых ресурсов Минздрава России
2. Как организовать обработку персональных данных сотрудников
До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:
обрабатываемых в соответствии с трудовым законодательством;
сделанных сотрудниками общедоступными;
полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
относящихся к членам (участникам) общественного объединения или религиозной организации;
включающих в себя только фамилии, имена и отчества сотрудников;
необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.
Об этом говорится в частях 1 и 2 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.
Форма уведомления о намерении осуществлять обработку персональных данных, а также Рекомендации по ее заполнению утверждены приказом Роскомнадзора от 19 августа 2011 г. № 706. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных ( ч. 3 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ ).
В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме ( ч. 7 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ ).
Ситуация: Что следует понимать под обработкой персональных данных сотрудника
Под обработкой персональных данных следует понимать любое действие или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с использованием средств автоматизации. В частности, к таким действиям можно отнести сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Это следует из положений пункта 3 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.
Так, получение от сотрудника сведений, необходимых для заполнения его трудового договора и личной карточки, хранение этих сведений и документов, оформленных на их основании, в полной мере относится к обработке персональных данных.
Персональные данные сотрудников обрабатывают уполномоченные на это представители организации (как правило, сотрудники службы персонала). Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и локальными актами организации. Об этом говорится в пункте 6 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687. статье 22.1 Закона от 27 июля 2006 г. № 152-ФЗ.
Нина Ковязина
заместитель директора департамента образования и кадровых ресурсов Минздрава России
Нормативно-правовая база: Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных"
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
(часть 2.1 введена Федеральным законом от 25.07.2011 N 261-ФЗ)
3. Утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14 декабря 2012 года
Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю. Волковым А.Н. Токаренко А.В.
Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.
Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.
Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:
1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.
К примеру, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.
В соответствии с Правилами размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденными постановлением Правительства Российской Федерации от 18.04.2012 № 343, образовательное учреждение должно размещать на своем официальном сайте в сети Интернет и обновлять в сроки, установленные Законом Российской Федерации от 10.07.1992 № 3266-1 «Об образовании», в том числе информацию, содержащую следующие персональные данные: фамилия, имя, отчество учредителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, фамилия, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, включая филиалы и представительства, места их нахождения, графики работы, адреса электронной почты, информация о персональном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, их уровень образования, квалификация, наличие ученой степени, ученого звания.
Соответствующие обязательства также установлены Федеральным законом от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», согласно которому государственные органы и органы местного самоуправления обязаны обеспечить доступ к информации о своей деятельности, в том числе к сведениям о руководителях государственного органа, его структурных подразделений, территориальных органов и представительств за рубежом (при наличии), руководителях органа местного самоуправления, его структурных подразделений, руководителях подведомственных организаций (фамилии, имена, отчества, должности, рабочие телефоны). Иная информация может указываться только при согласии указанных лиц.
2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.
4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
Работодатель, согласно ст. 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом «Об основах обязательного социального страхования, Федеральным законом «Об обязательном медицинском страховании в Российской Федерации».
Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согла
