Ответственность за отсутствие документации
Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере. Права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011. А с 23.02.2019 вступило в силу Постановление Правительства от 13.02.2019 № 146, которое описывает правила проведения проверок за соблюдением законодательства об обработке личных данных.
Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:
- дисциплинарная — на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ;
- административная — на основании ст. 13.11 КоАП РФ (штраф до 75 000 рублей);
- уголовная — с учетом положений ст. 137 УК РФ (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).
Цель
Ввести положение в действие можно поставив гриф утверждения, либо издав распорядительный документ о его утверждении.
- В первом случае отслеживание актуальной версии положения усложняется, а внесение любых изменений требует нового утверждения (подробнее о приказе о внесении изменений читайте тут).
- Второй вариант – издание приказа – позволяет избежать указанных трудностей, кроме того, этот вариант позволяет оговорить различные дополнительные условия в тексте распорядительного документа.
Справка. Требования к документам установлены ГОСТ Р 6.30-2003. Согласно Приказу Росстандарта от 08.12.2016 N 2004-ст с 1 июля 2018 года указанный ГОСТ Р 6.30-2003 утрачивает силу.
Общие правила составления
- Приказ оформляется на бланке формата А4.
- Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
- Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты.
В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных (а более детально о нюансах оформления приказа о назначении ответственного за обработку и другие действия с персональными данными читайте тут). Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.
- Распорядительная часть отделяется глаголом «ПРИКАЗЫВАЮ». Он пишется после констатирующей части с новой строки, без кавычек. В конце ставится двоеточие, а далее идут пункты, необходимые к выполнению. Они нумеруются арабскими цифрами. Могут быть и подпункты.
- Последним пунктом указывается лицо, на которое возлагается контроль за исполнением приказа.
- Перед подписанием документ проверяется на наличие орфографических и стилистических ошибок.
- Внизу документа ставят подписи те лица, к которым он относится.
Как заполнять
Приказ может состоять из следующих разделов:
- Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
- Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
- Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
- Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
- Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
- Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.
Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.
Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.
Об утверждении списка должностных лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей
Приказ Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры № 315 от 18.11.2014
Вложения : Скачать документ (формат .pdf)(0.08 MB)Скачать документ (формат .docx)(0.1 MB)
П Р И К А З
Об утверждении Списка лиц,
доступ которых к персональным данным
необходим для выполнения служебных (трудовых) обязанностей
«18» ноября 2014 г. № 315
г. Ханты-Мансийск
Во исполнение требований Закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
ПРИКАЗЫВАЮ:
1. Утвердить Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей согласно приложениюк настоящему приказу.
2. Разрешить лицам, указанным в приложении к настоящемуприказу, доступ к персональным данным, обрабатываемым в информационных системах персональных данных Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры, а также персональным данным, которые обрабатываются на бумажных носителях без использования средств автоматизации.
3. Запретить лицам, не указанным вприложении к настоящемуприказу, доступ к персональным данным, обрабатываемым в Департаменте общественных и внешних связей Ханты-Мансийского автономного округа – Югры.
4. Организационномуотделу довести настоящий приказ до сведения сотрудников, указанных в приложении к настоящему приказу.
5. Опубликовать настоящийприказ на официальном сайте Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югрыв течение 10 дней после его издания.
6. Приказ Департамента общественных связей Ханты-Мансийского автономного округа – Югры от 11 февраля 2011 года № 25 «Об утверждении списка сотрудников Департамента общественных связей Ханты-Мансийского автономного округа – Югры доступ, которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных обязанностей» считать утратившим силу.
7.Контроль за исполнением приказа оставляю за собой.
Директор Департамента И.А. Верховский
Приложение к приказу
Департамента общественных
и внешних связей ХМАО-Югры
от _____ № _____
СПИСОК ЛИЦ
доступ которых к персональным данным необходим для выполнения
служебных (трудовых) обязанностей
№ | ФИО допущенного должностного лица | Должность допущенного должностного лица | Подразделение | Метод обработки | Категория субъектов | Наименование ИСПДн (при наличии) |
Шевцов Юрий Владимирович | Инженер | Организационный отдел | Автоматизированная обработка | Работники, граждане | «1С:Предприятие», «Кодекс: Управление персоналом», «Граждане» | |
Никурова Елена Александровна | Главный специалист | Организационный отдел | Автоматизированная, неавтоматизированная обработка | Граждане | «Граждане» | |
Орлова Светлана Александровна | Помощник директора Департамента | Помощник директора Департамента | Автоматизированная, неавтоматизированная обработка | Граждане | «Граждане» | |
Чемезова Татьяна Александровна | Главный специалист | Организационный отдел | Автоматизированная, неавтоматизированная обработка | Граждане | «Граждане» | |
Захарова Татьяна Алексеевна | Начальник отдела | Отдел финансово-экономического обеспечения | Автоматизированная, неавтоматизированная обработка | Работники | «1С:Предприятие» | |
Гейзлер Инна Владимировна | Консультант | Отдел финансово-экономического обеспечения | Автоматизированная, неавтоматизированная обработка | Работники | «1С:Предприятие» | |
Тихонова Светлана Александровна | Главный специалист-эксперт | Отдел финансово-экономического обеспечения | Автоматизированная, неавтоматизированная обработка | Работники | «1С:Предприятие» | |
Шишелякина Галина Николаевна | Главный специалист | Отдел финансово-экономического обеспечения | Автоматизированная, неавтоматизированная обработка | Работники | «1С:Предприятие» | |
Кольцова Елена Геннадьевна | Консультант | Отдел правовой и кадровой работы | Автоматизированная, неавтоматизированная обработка | Работники | «Кодекс: Управление персоналом» | |
Пластинина Юлия Сергеевна | Главный специалист-эксперт | Отдел правовой и кадровой работы | Автоматизированная, неавтоматизированная обработка | Работники | «Кодекс: Управление персоналом» | |
Киреева Ирина Андреевна | Главный специалист-эксперт | Отдел правовой и кадровой работы | Автоматизированная, неавтоматизированная обработка | Работники | «Кодекс: Управление персоналом» |
Лист ознакомления с бумагой под подпись
После утверждения оно сразу вступает в силу, затем должно быть доведено до всех работников под подпись. Действующими сотрудниками в реестре (журнале) ставится подпись об ознакомлении.
Если распоряжение касается большого числа сотрудников (одного или нескольких структурных подразделений), то составляется Лист ознакомления. Он служит документом-приложением к приказу.
Лист также необходим для того, чтобы в случае спорных ситуаций между руководством и подчиненными послужить своеобразным доказательством для решения вопросов в суде или с привлечением трудовой инспекции. За отказ в подписи руководитель имеет право привлечь работников к дисциплинарному взысканию вплоть до увольнения.
Разработка
Строгая форма документа не установлена, указывается информация о защите данных работника:
- задачи и цели фирмы по охране личных данных;
- понятие личных данных и их структура;
- бумажные или электронные носители хранения информации;
- порядок сбора, обработка и использование сведений работников;
- обозначение должности сотрудника (в пределах предприятия), допускаемого к информации;
- защищенность от неразрешенного доступа;
- права сотрудника для защиты собственных данных;
- обязательства при разглашении конфиденциальных персональных данных.
Личные сведения о работнике
Информация, требующаяся для оформления трудовых отношений с конкретным работником, является персональной (ч.1 ст.85 ТК РФ). К ней относятся:
- ФИО, адрес, пол, место и дата рождения;
- данные о паспорте (серия, номер, дата выдачи, наименование и код подразделения);
- состоит в браке сотрудник или нет;
- данные об образовании (высшее, среднее специальное);
- номер страхового свидетельства (пенсионное страхование);
- данные о трудовом стаже.
Если это невыполнимо, то лишь письменное согласие специалиста дает право руководителю запросить конфиденциальную информацию со стороны. За исключением только 2 случаев:
- существует угроза для жизни, здоровья специалиста;
- информирование органов местной и государственной власти, родственников работника, получившего травму на производстве (ст.228 ТК РФ).
Передавать личные данные трудящихся в коммерческих целях запрещено трудовым законодательством (ст. 88 ТК РФ).
Как оформить утверждающее распоряжение?
Приказ об утверждении относится к внутренним документам фирмы, но не является несущественным. Его отсутствие — серьезное нарушение трудовой дисциплины, влекущее за собой наложение штрафов от 300 до 10000 рублей (ст.13.11 КоАП РФ).
Требование исполнения настоящего обязательства должно быть подтверждено приказом руководителя и содержать следующие моменты:
- данные о компании работодателя;
- номер и дату приказа;
- день ввода Положения в действие;
- перечень лиц, использующих персональную информацию и их полнота доступа (с ограничениями или без);
- указать ответственного специалиста за хранение, обработку и сбор данных граждан;
- обозначить неукоснительное ознакомление с документом всех сотрудников под роспись;
- виза руководителя предприятия.
Ознакомление сотрудников с приказом об утверждении обычно оформляется в виде расписки, которая остается на предприятии.
Хранение конфиденциальной информации допускается не только на бумажных носителях, но и с помощью высокотехнологических процессов. В таком случае применяются технические меры по защите сведений работников.
Сотрудники (кадровая служба, бухгалтерия), использующие в работе персональные данные других специалистов, подписывают обязательство о неразглашении информации.
С работника при приеме на работу следует получить согласие на обработку данных.
Порядок утверждения положения о персональных данных сотрудников
Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия.
Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.
Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.
Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.
Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.
Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.
Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).
бухпроффи
Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения
Акт о внутренних проверках
Внутренние проверки подразделяются на множество видов. К примеру, это следующие мероприятия:
- Аудит.
- Инвентаризация.
- Служебная проверка в отношении сотрудника.
- Проверка по факту несчастного случая на производстве, ЧП.
Нужно учитывать, что при инвентаризации и списании ценностей требуются отдельные формы актов. При всех остальных видах проверочных мероприятий составляется обычный акт проверки.
Акт должен оформляться комиссией. Последняя формируется на основании приказа руководителя компании. В комиссию должны входить ключевые специалисты фирмы. Сама проверка выполняется на основании распоряжения руководителя.
Акт издается на официальном бланке фирмы. В него обязательно нужно вписать название документа, время оформления. Рекомендуется зафиксировать также дату начала и завершения проверки. В документе отражается ФИО участников комиссии, их должности.
К СВЕДЕНИЮ! Акт составляется в рамках служебной проверки. На его сновании сотрудник может быть привлечен к дисциплинарной ответственности.
Как производить регистрацию, вести учет и хранение документа
Приказ нужно обязательно зарегистрировать и учесть. Для этого следует воспользоваться отдельным журналом учета, в котором фиксируются сведения обо всех выпущенных в организации распоряжениях. В журнал достаточно включить номер, дату и краткую суть приказа. После этого документ нужно вложить в папку с другими подобными бумагами. В ней он должен находиться период, установленный локальными нормативно-правовыми актами предприятия или законодательными нормативами. После того, как актуальность приказа будет утрачена и он потеряет свое значение, его нужно или отправить в архив или утилизировать.
Отличие приказа от распоряжения
Приказ и распоряжение – бумаги, которые очень похожи. Их часто путают между собой. Приказ – это акт с длительным действием. Действие документа не прекращается при наступлении указанного обстоятельства. Пример приказа – документ о приеме специалиста на работу. Издается этот документ директором/руководителем компании, замом директора.
Распоряжение – это оперативный акт, актуальный до момента наступления некого обстоятельства. Пример такого документа – распоряжение о формировании комиссии. Действовать оно будет до момента решения этой комиссией нужного вопроса. Подписывать распоряжения может относительно широкий круг сотрудников.
Приказ – это основание для появления или изменения правоотношений. Распоряжение же оформляется для решения проблем, касающихся уже действующих правоотношений. В приказ могут вноситься изменения, если это требуется. Если нужно внести корректировки в распоряжение, оно обычно переиздается.
Оба документа могут регулировать только деятельность компании, к которой они относятся. Однако акты часто затрагивают правоотношения с контрагентами фирмы.
Особенности процедуры
Ценности фирмы – это такие объекты:
- Сырье.
- Готовые изделия.
- Продукты незаконченного производства.
Списание предполагает официальное снятие объектов с учета. Процедура проводится при наличии этих обстоятельств:
- Запуск сырья в изготовление.
- Дефекты.
- Утрата качества из-за непредвиденных обстоятельств (к примеру, наводнение, пожар, ураган).
- Завершился срок службы.
- Моральное устаревание оборудования.
- Износ активов.
За обнаружение таких обстоятельств отвечают обычно сотрудники, ответственные за активы. Списание проводится тогда, когда нахождение ценностей на учете перестало быть выгодным. Иногда наличие ценностей может привести к убыткам для фирмы. А потому списание – процедура, которая может быть выгодной. Кроме того, она нужна для предупреждения злоупотреблений сотрудников, работающих с ценностями.
Просто так списать активы не получится. Это процедура, которая строго регламентирована законом. В частности, руководителю нужно сформировать комиссию, ответственную конкретно за списание. Формируется она на основании приказа руководителя. В состав комиссии обычно входят специалисты из разных подразделений: главбух, материально ответственные сотрудники.
Правовая основа
Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:
- Ф.И.О.;
- адрес регистрации и места проживания;
- серию и номер паспорта;
- номер свидетельства ИНН;
- СНИЛС;
- о количестве детей, датах их рождения;
- о семейном положении;
- о предыдущей работе, сроках, причинах увольнения.
Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:
- обработки личной информации сотрудников;
- хранения и пользования данными;
- передачи личных данных работников.
На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:
- какие сведения относятся к категории «персональных»;
- кто имеет доступ к сведениям работников личного характера;
- как осуществляется сохранность персональных данных (на каком носителе);
- в каком порядке происходит обработка информации;
- где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
- на каких основаниях и кому могут передаваться данные о работнике;
- как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
- порядок его утверждения и изменения.
Приложение может включать образцы заявлений работников:
- о согласии с обработкой своих личных данных;
- о согласии получения дополнительных сведений в отношении работника.
Типовой вариант такого документа по указанию руководства может быть разработан:
- специалистом по кадрам;
- юристом компании;
- помощником руководителя.
Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.
Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.
Приказ должен включать в себя следующие элементы:
- Вводную часть, в которой будет указываться:
- наименование работодателя;
- номер, название и дата приказа;
- город места составления;
- основания вынесения.
- Основную часть, в которой прописываются:
- факт утверждения положения по личным данным работников;
- срок, с которого положение вводится в действие;
- должностное лицо, допущенное к работе с личной информацией;
- степень полноты допуска должностных лиц к сведениям.
- Заключительную часть, которая содержит:
- указание ответственного за выполнение приказа лица;
- обязанность довести до сведения работников положения о персональных данных, взять их согласие в письменной форме на обработку сведений;
- подпись руководителя или надлежащим образом уполномоченного заместителя;
- дату ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.
Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления. Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.
Как составить приказ о назначении ответственного за персональные данные
Для такого рода приказа не устанавливается какая-либо специальная форма. Компания может составлять его на фирменном бланке, либо в произвольном формате, но с использованием перечня обязательных реквизитов.
При составлении такого приказа «с нуля», в верхней части бланка необходимо проставить наименование субъекта бизнеса, его регистрационные коды, адрес расположения и банковские реквизиты.
После этого посередине строки ставится наименование документа «Приказ». Рядом можно указать номер распоряжения. Под ним этот документ нужно будет зафиксировать в книге учета распоряжений по предприятию.
На следующей строке обычно указывается краткое название распоряжения. Например, «о назначении ответственного по работе с персональными данными».
Также нужно указать в приказе дату его оформления и место (город, населенный пункт).
Вводная часть приказа должна сообщать об основании для назначения ответственного лица — ст. 22.1 закона 152-ФЗ.
После этого идет слово «Приказываю», а затем попунктно перечисляются распоряжения:
- Назначить ответственное лицо за работу с персональными данными, с указанием его должности и Ф.И.О.;
- Определить, какой работник должен будет выполнять эти обязанности, если основной ответственный не будет находиться на своем месте (будет в отпуске, на больничном, в командировке и т. д.);
- Дать указание упомянутым работникам обеспечивать режим обработки данных на предприятии;
- Определить, кто будет отвечать за исполнение указанного приказа.
Иногда в число распоряжений также включается пункт о внесении изменений в должностную инструкцию лица, назначенного приказом.
Распоряжение подписывается руководителем компании.
После этого в столбик перечисляются все работники, которые были упомянуты в документе. Напротив своих фамилий они должны будут проставить дату и подпись как подтверждение ознакомления с ним.
Зачем охраняются персональные данные
Защита персональных сведений – одно из важнейших условий обеспечения безопасности гражданина. Она необходима на каждом уровне его взаимодействия с социумом: при устройстве в детский сад, школу, ВУЗ, пользовании медицинскими и социальными услугами, трудоустройстве. Любое учреждение или организация, которая имеет дело с личной документацией человека, должна гарантировать ему сохранение персональной информации и невозможность ее распространения. Таким образом, достигается предотвращение неправомерного использования этих данных, а также их применение в корыстных и иных злонамеренных целях.
Особые случаи
Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию или студент получает диплом о высшем образовании). В этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника). Однако это распоряжение не относится к документам, наличие которых продиктовано ФЗ-152, — это один из стандартных приказов по кадрам.
ВАЖНО!
Есть информация, которая является максимально конфиденциальной (см. образец приказа о допуске к персональным данным работников), и попытки выведать у сотрудника, в каких он состоит сообществах, каковы его религиозные убеждения, как он себя чувствует и каких политических взглядов придерживается, незаконны. Однако существует длинный перечень условий, при которых это все-таки возможно (ст. 10 ФЗ № 152-ФЗ). К таким исключениям (среди прочих) относятся, например, случаи получения мотивированных запросов (содержащих цель запроса, обоснование компетенции органа и правовые основы запроса) прокуратуры, органов МВД или Трудовой инспекции, а также информация медицинского характера, если она необходима для оказания помощи больному. Действительно, пациенты медицинских организаций очень чувствительны к соблюдению приватности, но их защищает обязанность медработника соблюдать врачебную тайну (ст. 73 ФЗ № 323-ФЗ).
Медицинская организация обязана особенно внимательно относиться к обработке данных и готовить свою, отраслевую документацию, например иметь приказ о утверждении положения о защите персональных данных и приказ «Перечень персональных данных пациентов, подлежащих защите».
Что должно содержать положение о защите персональных данных
Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.
Общие положения
Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.
Перечень персональных данных сотрудников
Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных. Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений. Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.
Операции с персональными данными
В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)
Доступ к персональным данным
В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.
Обязанности работников с доступом к персональным данным
В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.
Права работников в отношении операций с персональными данными
Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.
Защита персональных данных
В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные. Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.). Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.