Ответ: Приказ об утверждении положения о защите персональных данных работников составляется в произвольной форме. В нем, в частности, указываются дата ввода положения в действие, срок ознакомления с ним работников и лица, ответственные за исполнение приказа.
Обоснование: При трудоустройстве работники представляют работодателю сведения, которые относятся к персональным данным и являются конфиденциальными (ст. ст. 3, 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)). Такие сведения должны быть надежно защищены.
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать требования, установленные гл. 14 ТК РФ и Законом N 152-ФЗ.
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов (ст. 87 ТК РФ).
Соответственно, с целью обеспечения выполнения требований законодательства работодатель должен разработать локальный нормативный акт, который будет отражать порядок хранения и обработки персональных данных работников, обеспечивая тем самым их сохранность и защиту. Как правило, данный локальный акт оформляют в форме положения, к примеру Положения о защите персональных данных работников. После разработки указанного положения его обязательно вводят в действие приказом об утверждении.
При составлении приказа можно ориентироваться на ГОСТ Р 7.0.97-2016 "Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов" (утв. Приказом Росстандарта от 08.12.2016 N 2004-ст) (далее - ГОСТ Р 7.0.97-2016), которым регламентируется оформление организационно-распорядительных документов, в том числе и приказов. В целях применения ГОСТ Р 7.0.97-2016 также разработаны Методические рекомендации к нему.
Применение ГОСТ Р 7.0.97-2016 и Методических рекомендаций носит добровольный характер (ч. 1 ст. 26 Федерального закона от 29.06.2015 N 162-ФЗ "О стандартизации в Российской Федерации"). Поэтому решение о том, как оформить приказ об утверждении положения о защите персональных данных работников, работодатель принимает самостоятельно. Как правило, приказы оформляются в свободной форме. Специальные требования к оформлению приказа могут быть установлены локальным нормативным актом организации, например в инструкции по делопроизводству и т.п.
Приказ должен быть издан до даты введения в действие положения, утверждаемого руководителем. Формулировки приказа должны быть исчерпывающе точными, конкретными, не допускающими различных толкований.
Приказ об утверждении положения о защите персональных данных работников следует составить на фирменном бланке организации. Вверху необходимо указать полное (краткое) наименование организации, а также ее эмблему и товарный знак (при наличии). Ниже прописать наименование вида документа - приказ, реквизиты приказа (регистрационный номер и дата приказа), город места составления, наименование приказа (например, "Об утверждении положения о защите персональных данных работников").
В преамбуле приказа необходимо отразить основание для его подготовки (исполнение пунктов законодательных документов, регулирующих вопросы защиты персональных данных работников). К примеру: "Во исполнение требований гл. 14 ТК РФ и Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в целях защиты персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты приказываю...".
В основном тексте приказа необходимо обеспечить присутствие следующих данных:
- распоряжение утвердить разработанное положение, которое в обязательном порядке прикладывается к приказу в виде приложения. При этом на первом листе приложения в правом верхнем углу необходимо написать "Приложение N 1", указав дополнительно дату и регистрационный номер приказа, например: "Приложение N 1 к приказу ООО "Организация" от 01.07.2019 N 10". Следует указать дату ввода в действие положения (либо конкретную дату, либо пояснить, что документ вступает в силу со дня подписания приказа о его утверждении);
- назначение лиц, ответственных за ознакомление работников организации с введенным в действие документом, и лиц, ответственных за соблюдение требований положения. Возможные формулировки: "Начальнику отдела по работе с персоналом Ивановой И.И. ознакомить с настоящим приказом под роспись лиц, работающих с персональными данными", "Руководителям структурных подразделений ознакомить работников подразделений с положением о защите персональных данных работников", "Возложить персональную ответственность за соблюдение требований положения на...". Следует также указать сроки ознакомления;
- сведения о лице, на которое возлагается контроль за исполнением приказа. Это может быть как руководитель, так и другой работник, назначенный руководителем. Например: "Контроль за исполнением настоящего приказа оставляю за собой", "Контроль за исполнением настоящего приказа возложить на заместителя директора по управлению персоналом Иванова И.И.";
- сведения о лицах, с которыми согласован данный приказ, например, начальник отдела кадров, юрисконсульт.
Подписывается приказ руководителем организации или иным уполномоченным лицом по схеме: должность - подпись - расшифровка подписи. Ознакомление с приказом ответственных лиц должно проходить под роспись, перечень таких лиц должен находиться в тексте документа. Также в обязательном порядке подписывает работник, ответственный за разработку данного документа (ст. 22 ТК РФ).
После того как произведено утверждение приказа, порядковый номер документа необходимо проставить в журнале по регистрации распоряжений. Только после утверждения приказом положение о защите персональных данных работников вступает в силу и должно быть доведено до сведения работников.
Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (п. 8 ст. 86, ст. 88 ТК РФ).
В качестве отдельного документа также целесообразно составить согласие на обработку персональных данных от каждого работника (ч. 1 ст. 6, ст. 9 Закона N 152-ФЗ).
Локальные нормативные акты (положения, инструкции) о персональных данных работников по месту разработки и утверждения хранятся постоянно (ст. 655 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры России от 25.08.2010 N 558).
Пример. Приказ об утверждении положения о защите персональных данных работников
ООО "Организация"
ПРИКАЗ
об утверждении положения о защите
персональных данных работников
"01" июля 2019 г. N 10
г. Москва
Во исполнение требований гл. 14 ТК РФ и Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в целях сохранения и защиты персональных данных работников приказываю:
1. Утвердить прилагаемое положение о защите персональных данных работников и ввести его в действие с 15.07.2019.
2. Руководителям структурных подразделений ознакомить работников с положением, утвержденным п. 1 настоящего приказа, в срок до 18.07.2019.
3. Лицам, имеющим право доступа к персональным данным, обработку персональных данных осуществлять в соответствии с прилагаемым положением.
4. Возложить персональную ответственность за соблюдение требований положения и осуществление контроля за хранением персональных данных на заместителя директора по работе с персоналом, начальника отдела кадров.
5. Контроль за исполнением настоящего приказа оставляю за собой.
Приложение:
- положение о защите персональных данных работников ООО "Организация" на _______ листах.
