Может надо было сначала издать приказ по предприятию о назначении меня ответственной за обработку всех персональных данных?

Алина, вы правильно понимаете, конечно нужно было сначала издать приказ по предприятию о назначении вас ответственной за обработку персональных данных

Обязательность назначения ответственного лица

Согласно подп. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» оператор (работодатель) обязан назначить лицо, ответственное за организацию обработки персональных данных. Это назначение оформляется приказом руководителя организации (см. также п. 1 ст. 22.1 Закона № 152-ФЗ).

Процедура назначения и оформление

Назначение должно быть оформлено локальным актом — приказом по предприятию, в котором конкретно указано лицо, ответственное за организацию обработки персональных данных.

В приказе желательно указать полномочия, обязанности и ответственность назначенного лица.

Должностная инструкция ответственного лица должна содержать соответствующие разделы с описанием обязанностей по обработке персональных данных и ответственности (ч. 2 ст. 22.1 Закона № 152-ФЗ).

Согласие и трудовые отношения

Если Вы не были предварительно уведомлены и не давали согласия на выполнение таких обязанностей, то возложение на Вас ответственности в одностороннем порядке неправомерно (ст. 60 Трудового кодекса РФ).

Для возложения дополнительных обязанностей необходимо письменное согласие работника (ст. 60.2 ТК РФ).

Возможны варианты оформления:

введение отдельной должности «Ответственный за обработку персональных данных» с оформлением совмещения или внутреннего совместительства;

дополнение должностной инструкции с согласия работника и установление доплаты за дополнительные обязанности.

Распределение ответственности в крупной организации

В больших организациях, как у Вас, целесообразно рассмотреть назначение нескольких ответственных лиц за обработку персональных данных в разных подразделениях или создание комиссии по защите персональных данных (Постановление Правительства РФ от 30 июня 2004 г. № 324, п. 5.5.4).

При этом руководитель организации несет общую ответственность и должен обеспечить организацию обработки ПДн на всех уровнях.

Уведомление Роскомнадзора

После назначения ответственного лица необходимо внести соответствующие изменения в уведомление, поданное в Роскомнадзор, не позднее 15-го числа месяца, следующего за месяцем изменений (Приказ Роскомнадзора от 28 октября 2022 г. № 180, приложение № 2).

Для законного и корректного назначения ответственного лица за обработку персональных данных в Вашем крупном предприятии необходимо:

издать приказ о назначении ответственного лица с его согласия;

оформить должностную инструкцию с обязанностями и ответственностью;

при необходимости распределить обязанности между несколькими сотрудниками или создать комиссию;

уведомить Роскомнадзор об изменениях.

Если Вы не давали согласия на возложение таких обязанностей, то назначение Вас единственным ответственным лицом без приказа и согласия неправомерно. Рекомендую урегулировать этот вопрос локальными актами с участием руководства и кадровой службы.

Какой комплект документов нужно создать для защиты персональных данных работников при обработке этих данных

Для защиты персональных данных работников создайте комплект следующих основных документов:

1) приказ о назначении лица, ответственного за организацию обработки персональных данных в организации (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона о персональных данных).

Таким лицом может быть любой работник вашей организации, например специалист отдела по управлению персоналом. Главное, чтобы он смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.

Например, он должен доводить до сведения работников положения законодательства о персональных данных, а также ваших локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных);

2) положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных. Учтите требования и ограничения к содержанию такого документа. В нем не должно быть положений, ограничивающих права работников, а также возлагающих на вас полномочия и обязанности, не предусмотренные законом (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);

Образец положения об обработке и защите персональных данных работников (иных лиц)

3) политика в отношении обработки персональных данных. Этот документ также не должен содержать указанных ограничений и возлагать не предусмотренные законом полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о персональных данных);

Образец политики оператора в отношении обработки персональных данных

4) приказ об утверждении перечня лиц, которые отвечают за обработку персональных данных работников (абз. 6 ст. 88 ТК РФ).

Ответственных за обработку персональных данных назначьте приказом. Помимо прочего определите в нем, с какой информацией работает конкретное лицо (группа лиц). Доступ ограничьте теми персональными данными, которые необходимы для выполнения конкретных функций (ст. 88 ТК РФ).

Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных.

Образец обязательства о неразглашении персональных данных работников

Образец обязательства о неразглашении персональных данных работников

Применимые нормы: п. 7 ст. 86 ТК РФ

Оформите обязательство о неразглашении с работниками, которые в связи с выполнением трудовых обязанностей имеют доступ к персональным данным других работников. Этот документ нужен для того, чтобы при разглашении указанных сведений привлечь к ответственности виновного работника (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2).

Форма обязательства произвольная, поскольку нормативно утвержденной нет.

Обязательство

о неразглашении персональных данных работников

Я,

Перова Ирина Анатольевна,

паспорт серии

07 22

, номер

123456

выдан

ГУ МВД России по г. Энску 16 мая 2022 г., код подразделения 111-111

понимаю, что получаю доступ к персональным данным работников ООО "Полигон-2" и во время исполнения своих обязанностей осуществляю их обработку (в том числе сбор, запись, систематизацию, накопление, хранение, уточнение, использование и передачу).

Я понимаю, что разглашение такого рода информации может нанести прямой и (или) косвенный ущерб работникам ООО "Полигон-2", а также ООО "Полигон-2".

В связи с этим даю обязательство при обработке персональных данных работников ООО "Полигон-2" строго соблюдать требования законодательства, определяющего порядок обработки персональных данных, а также Положения о порядке обработки персональных данных работников ООО "Полигон-2".

Я подтверждаю, что за исключением случаев и (или) при отсутствии условий, предусмотренных законодательством, не имею права разглашать сведения о работниках ООО "Полигон-2", относящиеся к категории их персональных данных, в частности сведения:

• о (об) анкетных и биографических данных;

• образовании;

• трудовом и страховом стаже;

• составе семьи;

• паспортных данных;

• воинском учете;

• заработной плате;

• социальных льготах;

• специальности;

• занимаемой должности;

• наличии судимостей;

• адресе места жительства, домашнем телефоне;

• месте работы или учебы членов семьи и родственников;

• содержании трудового договора;

• составе декларируемых сведений о наличии материальных ценностей;

• содержании деклараций, подаваемых в налоговую инспекцию;

• содержании приказов по личному составу;

• содержании личных дел, трудовых книжек, сведений о трудовой деятельности работников;

• содержании материалов, связанных с подготовкой (профессиональным образованием и профессиональным обучением) и дополнительным профессиональным образованием работников, прохождением ими независимой оценки квалификации, их аттестацией, служебными расследованиями;

• содержании отчетов, направляемых в органы статистики.

Я предупрежден(а) о том, что в случае нарушения мною требований законодательства и (или) Положения о порядке обработки персональных данных работников ООО "Полигон-2", определяющих режим их обработки, в том числе в случае их незаконного разглашения или утраты, я несу ответственность в соответствии с законодательством, в частности ст. 90 ТК РФ.

С Положением о порядке обработки персональных данных работников ООО "Полигон-2" и гарантиях их защиты ознакомлен(а).

специалист по кадрам

Перова Ирина Анатольевна

(должность)

(Ф.И.О.)

"14" февраля 2025 г.

Перова

(подпись)

Ответственное лицо назначается приказом.

лучше приказом, с привлечением в подчинении Вам сотрудников для выполнения Ваших функций и между остальными раскидать

В соответствии с частью 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных”, работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Обычно таким лицом назначается сотрудник кадровой службы или другое должностное лицо организации.

Рекомендации для ООО:

1. Назначить ответственное лицо из числа сотрудников ООО – лучше всего из числа кадровых работников или юристов.

2. Издать приказ о назначении ответственного за обработку персональных данных.

3. Если обработка персональных данных передается ИП на основании договора, то это должно быть прописано в договоре с ним, и в уведомлении в Роскомнадзор необходимо указать факт передачи обработки персональных данных третьему лицу.

4. Проверить внесение ООО в реестр Роскомнадзора, чтобы избежать штрафов за нарушение законодательства о персональных данных (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

Издание приказа руководителем предприятия — оформляется распоряжение о назначении ответственного лица с указанием круга полномочий и обязанностей.

Ознакомление работника с приказом — сотрудник должен ознакомиться с приказом под подпись.

Размещение сведений в уведомлении Роскомнадзора — оператор самостоятельно указывает в уведомлении контактные данные ответственного лица.

Алина,

вам уже несколько раз, начиная с 25 мая, отвечали на этот вопрос. Чего опять-то??

Может хватит?

сначала издать приказ по предприятию о назначении вас ответственной