В№3 журнала «Справочник кадровика» мы вспомнили, какие новые правила необходимо соблюдать в сфере защиты персональных данных работников*. Теперь самое время поговорить о том, кто и как может проконтролировать соблюдение работодателем этих правил. Сегодня мы определим, когда и на каком основании вашу организацию может проверить Роскомнадзор, какими правами и обязанностями наделены проверяющие и на что вам следует обратить особое внимание при подготовке к таким проверкам. А также ответим на вопрос о том, могут ли другие государственные органы проверить, как в вашей компании организована работа с персональными данными сотрудников.
Глава 14 Трудового кодекса РФ и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) позволяют определить основные принципы защиты персональных данных работника.
Принцип 1. Конфиденциальность получаемых персональных данных, ограничение доступа к ним иных лиц.
Работники не должны отказываться от своих прав на сохранение и защиту тайны. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами (например, Налоговым кодексом РФ, Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и др.).
Принцип 2. Достоверность и полнота персональной информации, а равно запрет включения в персональные данные недостоверных фактов и информации, полученной не от работника или от иных лиц без его письменного согласия, если это не предусмотрено федеральным законом.
Работник вправе требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ.
Вправе ли мы направить запрос в медучреждение о правомерности работы нашего сотрудника в период временной нетрудоспособности у другого работодателя? Дело в том, что наш сотрудник, будучи на больничном, был замечен работающим водителем на автомобиле другой организации.
Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Так как указанные мероприятия работодателем проведены не были, следует их исполнить либо воздержаться от направления запросов в медучреждение, дабы не нарушить требования законодательства и прав работника.
Обратите внимание! Целевой характер означает, что персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежат уничтожению, если в них миновала надобность
Принцип 3. Целевой характер персональной информации, законность целей и способов ее обработки и добросовестность.
Согласно ст. 86 ТК РФ обработку персональных данных работника можно проводить исключительно для того, чтобы обеспечить соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, личную безопасность работников, контроль количества и качества выполняемой работы и сохранность имущества.
Принцип 4. Свободный доступ работника к своим персональным данным и право на полную информацию о них, а равно запрет работодателю объединять созданные для несовместимых между собой целей базы персональных данных, недопустимость создания информационных ресурсов персонального характера, закрытых или ограниченных в доступе для работника, кроме случаев, предусмотренных федеральным законом.
Принцип 5. Гарантированность субъективных прав работника, связанных с защитой его персональных данных. Государственные органы, работодатели обязаны соблюдать эти права.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии с нормой ст. 90 ТК РФ несут дисциплинарную, административную (ст. 13.11 и 13.14 КоАП РФ), гражданско-правовую (ст. 277 ТК РФ для руководителя организации, ст. 1100 ГК РФ) или уголовную ответственность (ст. 137 и 138 УК РФ).
Наряду с дисциплинарной ответственностью по ТК РФ (подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК РФ) в качестве одного из оснований наступления полной материальной ответственности работников, имеющих в связи с должностными обязанностями доступ к персональным данным работников, может быть разглашение сведений, составляющих служебную тайну (ст. 243 ТК РФ).
КТО И ЧТО МОЖЕТ ПРОВЕРИТЬ?
В соответствии с Законом о персональных данных контрольные и надзорные полномочия в сфере защиты персональных данных имеет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Также согласно установленным полномочиям определенные проверочные функции в данной сфере осуществляет Государственная инспекция труда.
Проверку проводит Роскомнадзор
Один из значимых документов для оператора персональных данных - Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее - Регламент), утв. приказом Минкомсвязи России от 14.11.2011 № 312.
Данный регламент определяет сроки и последовательность действий (административных процедур) Роскомнадзора и ее территориальных органов, а также порядок взаимодействия с государственными и муниципальными органами, юридическими или физическими лицами, организующими и (или) обрабатывающими персональные данные, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) соответствия обработки персональных данных требованиям законодательства РФ в области персональных данных.
Обратите внимание! Проверки Роскомнадзора и ее территориальных органов проходят в соответствии с требованиями Федерального закона от 2612.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
Обратите внимание! План проверок Роскомнадзора размещается на официальном сайте (http://www.rsoc.ru/)
Проводимые проверки могут быть плановыми и внеплановыми.
Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.
Основанием для включения плановой проверки в план является начало осуществления оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
- государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
- окончания проведения последней плановой проверки оператора. Внеплановые проверки проводятся по следующим основаниям:
Основание 1. Истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных.
Основание 2. Поступление в Роскомнадзор или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновении угрозы причинения вреда жизни, здоровью граждан; причинении вреда жизни, здоровью граждан.
Основание 3. Приказ руководителя Роскомнадзора, изданный в соответствии с поручениями Президента РФ или Правительства РФ.
Основание 4. Нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных.
Основание 5. Нарушение операторами требований законодательства РФ в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.
В ходе проведения проверки Роскомнадзор или ее территориальный орган рассматривают документы оператора, а также исследуют (обследуют) информационную систему персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.
Кстати сказать
|
Основополагающим документом, принятым на международном уровне в целях развития института частной жизни, является Всеобщая декларация прав человека, утвержденная 10.12.1948 на Генеральной Ассамблее ООН. В статье 12 Декларации указывается, что каждый человек имеет право на защиту закона от произвольного вмешательства в его личную и семейную жизнь, произвольного посягательства на его честь и репутацию. В статье 19 свобода убеждений и их выражения связана с правом искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ. Статья 23 провозгласила право на труд, на свободный выбор работы, на справедливые и благоприятные условия труда и защиту от безработицы. Статьи 8 и 10 Европейской конвенции о защите прав человека и основных свобод (1950 г.) закрепили право на уважение частной жизни, свободу получать и распространять информацию. В Международном пакте о гражданских и политических правах (1966 г.) провозглашается запрет на вмешательство в личную и семейную жизнь и незаконное посягательство на честь и репутацию. Каждый имеет право на защиту от такого вмешательства и таких посягательств (ст. 17). Данные положения нашли отражение и развитие в Руководстве ООН относительно компьютерных файлов персональных данных (1990 г.), ряде конвенций и рекомендаций МОТ, а также актах других международных организаций (например, в Основных положениях Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными (1980 г.)). С 28.01.1981 была открыта для подписания Конвенция Совета Европы! «О защите физических лиц в отношении автоматизированной обработки данных личного характера», вступившая в силу с 01.10.1985 (ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»). |
В этом году наша организация внесена в план проверок, размещенный на официальных сайтах Роскомнадзора и Генеральной прокуратуры. Подскажите, пожалуйста, наличие и содержание каких документов нам нужно проверить при подготовке к ней?
Вам и другим операторам персональных данных следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки.
К таким документам в соответствии с п. 67.1 Регламента относятся:
- уведомление об обработке персональных данных;
- документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Роскомнадзор или ее территориальный орган;
- документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
- письменное согласие субъекта персональных данных на обработку его персональных данных;
- документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
- документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки;
- локальные нормативные акты, регламентирующие порядок и условия обработки персональных данных.
Работодателю нелишне будет знать, какими правами при проведении проверки обладают должностные лица Роскомнадзора.
Согласно п. 6 Регламента должностные лица Роскомнадзора или ее территориального органа при проведении проверок вправе в пределах своей компетенции:
1) выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных;
2) составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
3) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных;
4) использовать технику и оборудование, принадлежащие Роскомнадзору или ее территориальному органу;
Обратите внимание! Проверки могут проводиться как в отношении операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных, так и в отношении операторов, не включенных в Реестр, но осуществляющих такую обработку
5) запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки;
6) получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации;
7) направлять заявление в орган, лицензирующий деятельность оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
8) принимать меры по приостановлению или прекращению обработки персональных данных, проходящей с нарушениями требований законодательства РФ в области персональных данных;
9) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. Проверки могут проводиться в двух формах: документарной и выездной.
Форма проведения плановой и (или) внеплановой проверки определяется Роскомнадзором или ее территориальным органом самостоятельно.
Как проводится документарная проверка?
Документарная проверка проводится по месту нахождения Роскомнадзора или ее территориального органа. Предмет документарной проверки - сведения, содержащиеся в документах оператора, устанавливающих его организационно-правовую форму, права и обязанности; документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, предписаний Роскомнадзора или ее территориального органа.
Обратите внимание! В ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих
Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения либо эти данные не позволяют оценить исполнение оператором требований, установленных нормативными правовыми актами, то проверяющие вправе направить мотивированный запрос о предоставлении необходимых для проверки документов. Получив такой запрос, оператор персональных данных обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.
При этом все необходимые документы представляются оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя оператора.
В прошлом месяце Роскомнадзор проверяла наши документы в сфере обработки и защиты персональных данных. Проверяющие запрашивали у нас копии некоторых документов и просили заверить их у нотариуса. Правомерны ли такие действия?
Действия проверяющих в данном случае неправомерны.
Регламентом прямо запрещено истребование оригиналов документов, а также их нотариального удостоверения (п. 70.7). Все необходимые документы представляются оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя (п. 70.6 Регламента).
Обратите внимание! Выявление нарушений в ходе проведения документарной проверки является одним из оснований для проведения выездной проверки
В случае если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то оператору может быть направлено требование о представлении в течение 10 рабочих дней необходимых пояснений в письменной форме.
Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Роскомнадзора или ее территориального органа вправе провести выездную проверку.
Также решение о проведении выездной проверки может быть принято в случаях, если оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.
Как оформляются результаты проверки?
Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к акту проверки содержатся в п. 78 Регламента. Пунктом 85 Регламента предусмотрено, что при выявлении нарушений оператору вместе с актом выдается предписание об устранении нарушений.
В случае выявления нарушений по результатам проверок возможны следующие меры:
Мера 1. Выдача предписания об устранении выявленного нарушения.
Мера 2. Направление протокола с материалами проверки в суд либо в прокуратуру в случае выявления административного правонарушения и, соответственно, составления протокола об административном правонарушении.
Мера 3. Направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела, если в ходе проверки выявлено уголовно наказуемое деяние.
Основные положения Регламента представлены в таблице.
Правила проведения проверок Роскомнадзора
Проверку проводит Гострудинспекция
В рамках полномочий, предоставленных ГИТ положениями ТК РФ, в ходе проведения проверки государственный инспектор труда вправе проверить исполнение требований гл. 14 ТК РФ. Основным нарушением, которое может выявить проверяющий в этой области, является отсутствие в организации локального нормативного акта, регулирующего порядок обработки персональных данных работников и (или) то, что работники не осведомлены о его существовании и не ознакомлены под роспись с его положениями.
В ТК РФ прямо не указано, что работодатель должен иметь локальный нормативный акт, регулирующий порядок обработки персональных данных работников. Может ли трудовой инспектор проверить наличие этого документа?
Несмотря на то, что в ТК РФ напрямую отсутствует обязанность работодателя иметь локальный акт, регулирующий порядок обработки персональных данных работников, в гл. 14 можно найти неоднократные упоминания о наличии такого документа.
В соответствии с п. 8 ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать требование об ознакомлении работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать также требование осуществления передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.
Кроме того, согласно ст. 18.1 Закона о персональных данных оператор, являющийся юридическим лицом, должен издать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
Таким образом, организация обработки персональных данных работодателем должна регламентироваться соответствующим локальным нормативным актом, наличие которого может проверить трудовой инспектор.
Название такого локального акта законодательством не определено. Работодатель вправе обозначить его сам. Как правило, такой документ называют Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом под роспись в соответствии с требованиями ч. 3 ст. 68 ТК РФ до подписания трудового договора (либо при вступлении локального нормативного акта в действие).
Журнал: Справочник кадровика, По состоянию на: 06.04.2012, Год: 2012, Номер: №5
Автор: Иванова И.А.