Приказ о внесении изменений в перечень лиц, имеющих доступ к персональным данным — это официальное распоряжение оператора персональных данных, которым фиксируется актуализация круга сотрудников, допущенных к работе с конфиденциальной информацией о физических лицах. Данный документ издается при изменении должностных обязанностей, кадровых перестановках или по итогам аудита соответствия требованиям законодательства о защите ПДн. Ниже рассмотрим цели и причины его создания, структуру и содержание перечня, процедуру внедрения изменений, юридическое значение приказа и правила его составления.
Внимание! Этот документ можно скачать в КонсультантПлюс.
Скачать в КонсультантПлюсБесплатный доступ к документу- Бланк и образец
- Онлайн просмотр
- Бесплатная загрузка
- Безопасно
ФАЙЛЫ
Скачать пустой бланк приказа о внесении изменений в перечень лиц, имеющих доступ к персональным данным .docxСкачать образец приказа о внесении изменений в перечень лиц, имеющих доступ к персональным данным .docx
Цели издания и причины изменений
Основная задача приказа заключается в обеспечении постоянного соответствия установленного круга лиц, работающих с персональными данными, реальным функциональным потребностям организации и строгим нормам Федерального закона № 152-ФЗ. Своевременное обновление перечня минимизирует риски несанкционированного доступа к конфиденциальной информации, предотвращает возможные утечки данных и защищает оператора от административной ответственности по статье 13.11 КоАП РФ, а также от репутационных потерь. Необходимость издания приказа возникает в нескольких типичных ситуациях.
Это может быть изменение трудовой функции сотрудника, связанное с началом или прекращением работы с ПДн, прием на должность нового работника, чьи обязанности предполагают обработку таких данных, или увольнение сотрудника из числа имеющих доступ. Основанием также служат результаты плановых или внеплановых проверок соблюдения внутренней политики безопасности или предписания контролирующих органов, выявившие несоответствия.
Приказ служит формальным основанием для начала процесса изменения уровня доступа сотрудников к информационным системам и материальным носителям, содержащим персональные данные. Его действие начинается с момента подписания руководителем. Все корректировки в правах доступа должны быть реализованы незамедлительно после издания документа. Лица, вновь включенные в перечень, обязаны пройти инструктаж и подписать обязательство о неразглашении конфиденциальной информации.
Структура перечня и этапы внедрения изменений
Перечень лиц, имеющих доступ к ПДн, является неотъемлемым приложением к Положению об обработке персональных данных компании. Этот документ содержит ключевую информацию о каждом допущенном сотруднике. В нем указываются фамилия, имя и отчество работника, его должность и структурное подразделение. Обязательно перечисляются конкретные категории персональных данных, к которым предоставлен доступ, такие как паспортные сведения, идентификационные номера, адреса, информация о здоровье, доходах или семейном положении.
Процедура внесения изменений в перечень представляет собой последовательный административный процесс. Инициация изменений начинается с подачи руководителем соответствующего подразделения служебной записки на имя ответственного за обработку ПДн. В записке обосновывается необходимость включения или исключения конкретного сотрудника, указываются требуемые категории данных и цели доступа. Полученная заявка проходит стадию согласования, в ходе которой ответственное подразделение проверяет ее обоснованность и соответствие принципу минимально необходимого доступа. После согласования подготавливается проект обновленного перечня и проект приказа руководителя.
Утвержденный приказ запускает этап практической реализации: вновь включенных сотрудников знакомят с Положением о ПДн под подпись, берут с них обязательство о неразглашении и предоставляют техническую возможность доступа. Сотрудникам, исключенным из перечня, немедленно блокируются все учетные записи в информационных системах и изымаются материальные носители. Контроль за полным и своевременным исполнением всех предписаний приказа возлагается на ответственное подразделение.
Юридические основания и роль приказа
Издание приказа является прямым требованием пункта 2 статьи 22.1 Федерального закона № 152-ФЗ, обязывающего оператора устанавливать и поддерживать в актуальном состоянии перечень сотрудников, допущенных к работе с персональными данными. Этот документ выполняет несколько критически важных функций внутри организации. Он служит легитимным основанием для предоставления или аннулирования прав доступа конкретных работников к конфиденциальной информации. Приказ является документальным подтверждением соблюдения оператором требований законодательства, в частности принципов законности и минимизации данных.
Он четко разграничивает зоны ответственности сотрудников за возможные нарушения режима обработки ПДн. Документ координирует взаимодействие различных служб компании – кадровых, юридических, IT и административных подразделений. Наличие правильно оформленного и актуального приказа вместе с перечнем является обязательным условием успешного прохождения проверок Роскомнадзора. Отсутствие такого документа или его формальное ведение считается грубым нарушением закона о персональных данных.
Оформление документа и завершающие действия
Приказ оформляется в строгом соответствии с правилами делопроизводства, установленными ГОСТ Р 7.0.97-2016. В шапке документа указывается полное официальное наименование организации-оператора. Слово «ПРИКАЗ» пишется прописными буквами, далее следуют уникальный порядковый номер, дата составления и место издания. Заголовок к тексту формулируется следующим образом: «О внесении изменений в Перечень лиц, имеющих доступ к персональным данным».
Констатирующая часть приказа содержит юридическое и фактическое обоснование его издания. Здесь указывается, что приказ издается в целях обеспечения соответствия перечня реальным потребностям обработки и требованиям Федерального закона № 152-ФЗ. В качестве основания приводится ссылка на конкретный документ-основание, например, служебную записку руководителя подразделения с указанием ее даты и номера, или упоминаются результаты проведенного внутреннего аудита, или констатируются кадровые изменения. Распорядительная часть, начинающаяся со слова «ПРИКАЗЫВАЮ:», содержит основные предписания.
Приказ подписывается единоличным исполнительным органом организации – генеральным директором или иным лицом, действующим от имени оператора ПДн без доверенности. Подпись включает указание должности и расшифровку. Документ регистрируется в журнале учета приказов по основной деятельности. Обязательному ознакомлению под личную подпись с приказом подлежат ответственный за обработку ПДн, руководитель службы ИБ или системный администратор, руководители затронутых подразделений и все сотрудники, чей статус доступа был изменен.
Лист ознакомления является неотъемлемой частью приказа. Утвержденный Перечень хранится у ответственного за ПДн. Оригинал приказа подлежит постоянному хранению в архиве организации, как документ, непосредственно связанный с обработкой персональных данных работников, в соответствии с требованиями статьи 22.1 Перечня типовых управленческих архивных документов.
Примерный образец
