Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Провести проверку перональных данных

Провести проверку перональных данных

РКН начинает проверку работодателей по защите персональных данных. Как подготовиться

С этого года все работодатели должны быть готовы к проверкам соблюдения ими правил обработки персональных данных.

Такие проверки будет проводить Роскомнадзор.

Уже готов и вступил в силу регламент данных ревизий.

В связи с этим предлагаем ознакомиться с типичными нарушениями, которые могут быть выявлены при подобных проверках, с тем, чтобы не допустить их у себя.

Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.Объект проверки Проверять будут юрлиц и ИП, являющихся операторами персданных. Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.Виды проверок Ревизии могут проходить в виде:

  • внеплановых проверок – выездных;
  • мероприятий без взаимодействия инспекторов с операторами.
  • плановых проверок – выездных и документарных;

Плановые проверки Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет. Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года.

Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.Внеплановые проверки Проводятся на основании:

  1. обращений граждан;
  2. по требованию прокурора;
  3. в случае неисполнения оператором предписания.

Уведомление компании Роскомнадзор должен уведомить фирму:

  1. о проведении плановой проверки – не позднее чем за 3 рабочих дня:
  2. о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

  1. электронным документом с усиленной квалифицированной электронной подписью на электронную почту.
  2. заказным письмом с уведомлением о вручении;

Что будут проверять Инспекторы проверят:

  1. документы, локальные акты и принятые оператором меры по списку в ч.

    1 ст. 18.1 закона о персданных;

  2. информационные системы персданных.
  3. обработку персданных на предмет ее соответствия установленным требованиям;

Мероприятия без взаимодействия с компанией Такие мероприятия проводятся на основании заданий на их проведение, утверждаемых руководителем органа Роскомнадзора.

К данным мероприятиям относится контроль за соблюдением компанией требований при размещении информации в сети Интернет и СМИ, а также в федеральных государственных информационных системах. «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»Примечание редакции: По итогам таких проверок могут накладываться штрафы по ст.

«Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

Примечание редакции: По итогам таких проверок могут накладываться штрафы по ст.

13.11 КоАП РФ: санкции на юрлиц – от 30 до 75 тыс.

рублей. В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника.

Равно как и нет его и в Законе «О персональных данных».

В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника. Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу.

По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.Что у компании должно быть Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

  1. образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
  2. Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
  3. судимость (из справки о ее наличии или отсутствии);
  4. отношение работника к воинскому учету (из документов воинского учета);
  5. употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).
  6. трудовой стаж и предыдущие места работы (из трудовой книжки);
  7. регистрация в органах ПФР (из карточки СНИЛС);

Чего быть не должно Требовать от работника другие документы кодекс запрещает, поэтому иных персональных данных сотрудника у организации быть не должно – например, свидетельств о рождении и браке (по крайней мере, при приеме на работу они не требуются). Также компания не вправе настаивать на том, чтобы сотрудник при заполнении личной карточки (форма утверждена Постановлением Госкомстата РФ от 05.01.2004 № 1 и, кстати, уже давно необязательна), указывал в ней сведения о составе своей семьи, местах рождения и работы своих родственников, номера их телефонов и так далее. Исключение сделало только для иностранцев и госслужащих.

Для них дополнительные документы для трудоустройства определены отдельными федеральными законами. Кроме того, фирма не должна хранить копии документов, перечисленных в ст. 65 ТК РФ. В кодексе сказано, что оригиналы предоставляются работодателю лишь при заключении трудового договора.

Это значит, что после занесения сведений в договор оригинал возвращается, а снимать копии и хранить их кодекс не разрешает.Статья Проказина Е.А., редактора-эксперта журнала «Время Бухгалтера» Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников. Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным.

В организации числится лишь один работник, и он же является директором ООО.

Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо. Суд не внял этому аргументу и решил, что в соответствии со ст.

86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания. Роскомнадзор по итогам проверки банка выдал ему предписание устранить нарушения при работе с персональными данными сотрудников. А именно – не хранить в личных делах копии:

  1. военных билетов;
  2. свидетельств о браке.
  3. свидетельств о рождении детей;
  4. паспортов;

Банк обосновал необходимость копий тем, что они нужны ему во исполнение требований действующего законодательства по обеспечению актуализации сведений кадрового и воинского учета.

Кроме того, один из работников представил суду объяснения, что он осознанно и добровольно передал банку на хранение копии паспорта, военного билета, свидетельств о браке и о рождении ребенка.

Однако суд оставил предписание в силе. Для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом паспорта, в котором содержатся все необходимые сведения. Хранение копий указанных документов превышает объем обрабатываемых персональных данных работника, действующим законодательством не предусмотрено, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.

Более того, у банка отсутствуют законные основания для обработки специальной категории персданных – национальности сотрудников, которая указана в свидетельствах о рождении и браке.

Что касается доводов банка, то хранение и дальнейшее использование копий паспортов и военных билетов, полученных от сотрудников банка при трудоустройстве, не только не обеспечивает точность и актуальность персональных данных, а напротив, может привести к использованию недостоверных сведений.

Используя в качестве источников информации такие копии документов, банк не учитывает реальное состояние указанных в них сведений, что свидетельствует о признаках нарушения ст.

5 закона № 152-ФЗ.Примечание редакции: Другая компания пошла еще дальше – не только хранила копии трудовых книжек, но и выдавала их сотрудникам за плату.

В правилах внутреннего трудового распорядка было прямо прописано, что работник вправе получить заверенную копию трудовой книжки. Только один экземпляр – бесплатно, а второй и последующие – за установленную плату. Трудовая инспекция оштрафовала фирму за это. Та оспорила штраф, ссылаясь на то, что нарушение если и есть, то малозначительное, ведь плата была невысока и не причинила сотрудника большого ущерба.
Та оспорила штраф, ссылаясь на то, что нарушение если и есть, то малозначительное, ведь плата была невысока и не причинила сотрудника большого ущерба.

Суд решил, что размер платы значения не имеет. Компания в принципе не имела права вводить платную выдачу копий трудовых книжек, что противоречит трудовому законодательству ().

Вместе с тем Роструд считает, что с письменного согласия сотрудников компания вправе хранить копии их документов (

«Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 2 квартал 2017 г.»

). Аналогично можно хранить у себя анкеты соискателей, если от них получено согласие (, ).

Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий. Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ). Организация возразила:

  • фотографии к своим пропускам люди прикрепляли добровольно;
  • посетители бассейна давали общее согласие на обработку их персданных;
  • закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.
  • пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;

Судьи с этим не согласились.

В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.

На основании ст. 11 закона о персданных для обработки фотографии необходимо получить отдельное письменное согласие человека, который на ней изображен. Данная статья является специальной по отношению к общей ст.

9 того же закона, на основании которой люди давали общее согласие. Под обработкой же персданных понимается любое действие с ними.Примечание редакции: Аналогичная позиция у Роскомнадзора (разъяснения от 02.09.2013). Важно, что это касается не только клиентов организации, но и ее работников, то есть использовать фото сотрудников на пропуске без их специального на то согласия работодатель не вправе.

То же касается и фотографий, прикрепленных к личным карточкам работников (форма № Т-2).

Несколько попыток доказать обратное не увенчались успехом (, Пятнадцатого ААС от 14.03.2014 № 15АП-22502/2013).

Использовать фото сторонних людей на сайте компании и вовсе рискованное занятие.

Изображенный на нем гражданин, не дававший на это своего согласия, вправе подать в суд на компанию и потребовать возмещения морального вреда. Например, некто потребовал с организации за это 200 тыс. рублей, суд присудил в его пользу 50 тыс. рублей (Апелляционное Определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016).
рублей (Апелляционное Определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016).

Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.

Компания оспорила это предписание и выиграла суд по всем пунктам. Почему – читайте в таблице.ТАБЛИЦА: «Пять законных способов работы с персданными»Действия компании по работе с персональными даннымиПозиция РоскомнадзораПозиция компании и судов При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа. Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)» Компания обязана уведомлять Роскомнадзор об обработке персональных данных такими способами, поскольку она проводится с использованием информационных систем.

Поэтому не подпадает под исключения, предусмотренные ч. 2 ст. 22 закона о персональных данных Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных.

Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором. Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения.

Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется Используется система «1С:Зарплата и управление персоналом 8» Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками. При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки.

Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником.

Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством Используется система БСУВ «Биометрическая система учета времени» В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала Компания обязана уведомлять Роскомнадзор об обработке персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством.

В связи с этим обработка личных данных не подпадает под исключения ч.

2 ст. 22 закона о персданных Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ). Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения. Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве.

При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26). Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в социальных сетях «ВКонтакте», «Одноклассниках», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в социальных сетях «ВКонтакте», «Одноклассниках», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру». По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

Роскомнадзор решил, что компания ошибается, и суд с ним согласился.

В соответствии с ч. 1 ст. 8 закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги).

В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными.

Следовательно, не допускается обработка таких данных без согласия субъекта.

Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 закона о персданных компания обрабатывала их, не получив у граждан согласия. Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.

Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.

Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала. Таким образом, компания нарушила ст. 3 закона о персональных данных и ст.

87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу. Однако суд решил, что адвокат является именно уполномоченным лицом.

Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ

«Об адвокатской деятельности и адвокатуре в Российской Федерации»

. Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций.

Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.

Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений. Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности). Таким образом, нормы права не были нарушены.

В соответствии с п. 2 и 3 ч. 1 ст.

6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу. Гражданин обратился в Конституционный Суд РФ с просьбой признать не соответствующим Конституции РФ абзац 7 ст. 88 ТК РФ, согласно которому работодатель вправе запрашивать информацию о состоянии здоровья работника, которая относится к вопросу о возможности выполнения им трудовой функции.

Дело в том, что данному гражданину был выдан больничный лист. Работодатель решил проверить факт выдачи и обратился в медорганизацию. Там сообщили, что больничный действительно выдан в связи с тем, что гражданин получил травму и находился на амбулаторном лечении в травмпункте.

По мнению заявителя, тем самым медорганизация разгласила сведения, составляющие врачебную тайну. Однако КС РФ так не посчитал.

Он указал, что оспариваемое положение ст. 88 ТК РФ, вопреки утверждению заявителя, направлено на сохранение конфиденциальной информации о состоянии здоровья работника.

Возможность соответствующего запроса работодателя допускается только в случаях, непосредственно связанных с осуществлением работодателем своих полномочий по организации управления производственным процессом.

Поэтому не может расцениваться как нарушающее права работника.

«Об отказе в принятии к рассмотрению жалобы гражданина Целуковского Дмитрия Юрьевича на нарушение его конституционных прав абзацем седьмым статьи 88 Трудового кодекса Российской Федерации»

и частью 1 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» Роскомнадзор выдал компании предписание об устранении нарушений законодательства в области персданных и одновременно возбудил дело по ст.

13.11 КоАП РФ. Суд признал возбуждение дела преждевременным за отсутствием состава правонарушения. Предписание же оставил в силе ввиду следующих нарушений.

1. В направленном в Роскомнадзор уведомлении не были указаны категории персданных:

  1. почтовый адрес данного лица;
  2. адрес электронной почты физлица, ответственного за организацию обработки персданных;
  3. гражданство физлиц;
  4. сведения о месте нахождения базы данных сайта компании.
  5. полный перечень стран, на территории которых осуществляется трансграничная передача персданных;

2.

Отсутствует согласие уволенных работников на трансграничную передачу их персданных на территорию Ирландии и Великобритании.

3. Анкеты, которые соискатели могут заполнить непосредственно в офисе на замещение вакантной должности, не соответствуют положению, утвержденному Постановлением Правительства РФ от 15.09.2008 № 687, в части отсутствия информации о цели и сроках обработки, перечне действий, которые будут совершаться в процессе обработки, и общего описания используемых способов обработки данных.

4. В составе личного дела работника были обнаружены резюме и согласие на обработку персданных кандидата – несовершеннолетнего работника, распечатанные с сайта. 5. Отсутствуют внутренние локальные акты, регламентирующие обработку персональных данных при включении уволенных работников в кадровый резерв, а также отсутствует отдельное письменное согласие соискателей, принявших решение вступить в кадровый резерв.

6. В личном деле работника в унифицированной форме Т-2 от руки указан номер телефона родителя работника, при этом согласие близкого родственника работника на обработку персданных в личном деле отсутствует.

7. Компания обрабатывает персданные работников, уволенных свыше 5 лет назад, после достижения цели обработки этих данных работников. 8. Осуществляется трансграничная передача персданных на территорию США на основании согласия в письменной форме работника, не соответствующего требованиям закона № 152-ФЗ.

Попытка оспорить предписание не увенчалась успехом, суд согласился с нарушениями. Источник: Материал предоставлен журналом Рубрика: Подписывайтесь на «Утреннего бухгалтера». Все для бухгалтера.

  1. © 2001–2020, Клерк.Ру.

18+

Проверки в сфере защиты персональных данных работников

Вы здесь Опубликовано 2013-01-16 19:28 пользователем HRTrud В№3 журнала «Справочник кадровика» мы вспомнили, какие новые правила необходимо соблюдать в сфере защиты персональных данных работников*.

Теперь самое время поговорить о том, кто и как может проконтролировать соблюдение работодателем этих правил.

Сегодня мы определим, когда и на каком основании вашу организацию может проверить Роскомнадзор, какими правами и обязанностями наделены проверяющие и на что вам следует обратить особое внимание при подготовке к таким проверкам.

А также ответим на вопрос о том, могут ли другие государственные органы проверить, как в вашей компании организована работа с персональными данными сотрудников.Глава 14 Трудового кодекса РФ и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) позволяют определить основные принципы защиты персональных данных работника.

Принцип 1. Конфиденциальность получаемых персональных данных, ограничение доступа к ним иных лиц.

Работники не должны отказываться от своих прав на сохранение и защиту тайны. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами (например, Налоговым кодексом РФ, Федеральным законом от 01.04.1996 № 27-ФЗ

«Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»

и др.).

Принцип 2. Достоверность и полнота персональной информации, а равно запрет включения в персональные данные недостоверных фактов и информации, полученной не от работника или от иных лиц без его письменного согласия, если это не предусмотрено федеральным законом. Работник вправе требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ.

Вправе ли мы направить запрос в медучреждение о правомерности работы нашего сотрудника в период временной нетрудоспособности у другого работодателя?

Дело в том, что наш сотрудник, будучи на больничном, был замечен работающим водителем на автомобиле другой организации.

Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Так как указанные мероприятия работодателем проведены не были, следует их исполнить либо воздержаться от направления запросов в медучреждение, дабы не нарушить требования законодательства и прав работника.

Обратите внимание! Целевой характер означает, что персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежат уничтожению, если в них миновала надобность Принцип 3. Целевой характер персональной информации, законность целей и способов ее обработки и добросовестность. Согласно ст. 86 ТК РФ обработку персональных данных работника можно проводить исключительно для того, чтобы обеспечить соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, личную безопасность работников, контроль количества и качества выполняемой работы и сохранность имущества.

Принцип 4. Свободный доступ работника к своим персональным данным и право на полную информацию о них, а равно запрет работодателю объединять созданные для несовместимых между собой целей базы персональных данных, недопустимость создания информационных ресурсов персонального характера, закрытых или ограниченных в доступе для работника, кроме случаев, предусмотренных федеральным законом.

Принцип 5. Гарантированность субъективных прав работника, связанных с защитой его персональных данных.

Государственные органы, работодатели обязаны соблюдать эти права.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии с нормой ст. 90 ТК РФ несут дисциплинарную, административную (ст. 13.11 и 13.14 КоАП РФ), гражданско-правовую (ст.

277 ТК РФ для руководителя организации, ст. 1100 ГК РФ) или уголовную ответственность (ст. 137 и 138 УК РФ). Наряду с дисциплинарной ответственностью по ТК РФ (подп.

«в» п. 6 ч. 1 ст. 81, ст. 192 ТК РФ) в качестве одного из оснований наступления полной материальной ответственности работников, имеющих в связи с должностными обязанностями доступ к персональным данным работников, может быть разглашение сведений, составляющих служебную тайну (ст.

243 ТК РФ). В соответствии с Законом о персональных данных контрольные и надзорные полномочия в сфере защиты персональных данных имеет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Также согласно установленным полномочиям определенные проверочные функции в данной сфере осуществляет Государственная инспекция труда.

Один из значимых документов для оператора персональных данных — Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее — Регламент), утв. приказом Минкомсвязи России от 14.11.2011 № 312.

Данный регламент определяет сроки и последовательность действий (административных процедур) Роскомнадзора и ее территориальных органов, а также порядок взаимодействия с государственными и муниципальными органами, юридическими или физическими лицами, организующими и (или) обрабатывающими персональные данные, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) соответствия обработки персональных данных требованиям законодательства РФ в области персональных данных. Обратите внимание! Проверки Роскомнадзора и ее территориальных органов проходят в соответствии с требованиями Федерального закона от 2612.2008 № 294-ФЗ

«О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

Обратите внимание! План проверок Роскомнадзора размещается на официальном сайте () Проводимые проверки могут быть плановыми и внеплановыми.

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.

Основанием для включения плановой проверки в план является начало осуществления оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

  1. государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
  2. окончания проведения последней плановой проверки оператора. Внеплановые проверки проводятся по следующим основаниям:

Основание 1. Истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных. Основание 2. Поступление в Роскомнадзор или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновении угрозы причинения вреда жизни, здоровью граждан; причинении вреда жизни, здоровью граждан.

Основание 3. Приказ руководителя Роскомнадзора, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Основание 4. Нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных. Основание 5. Нарушение операторами требований законодательства РФ в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности. В ходе проведения проверки Роскомнадзор или ее территориальный орган рассматривают документы оператора, а также исследуют (обследуют) информационную систему персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Основополагающим документом, принятым на международном уровне в целях развития института частной жизни, является Всеобщая декларация прав человека, утвержденная 10.12.1948 на Генеральной Ассамблее ООН. В статье 12 Декларации указывается, что каждый человек имеет право на защиту закона от произвольного вмешательства в его личную и семейную жизнь, произвольного посягательства на его честь и репутацию. В статье 19 свобода убеждений и их выражения связана с правом искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ.

Статья 23 провозгласила право на труд, на свободный выбор работы, на справедливые и благоприятные условия труда и защиту от безработицы. Статьи 8 и 10 Европейской конвенции о защите прав человека и основных свобод (1950 г.) закрепили право на уважение частной жизни, свободу получать и распространять информацию. В Международном пакте о гражданских и политических правах (1966 г.) провозглашается запрет на вмешательство в личную и семейную жизнь и незаконное посягательство на честь и репутацию.

Каждый имеет право на защиту от такого вмешательства и таких посягательств (ст. 17). Данные положения нашли отражение и развитие в Руководстве ООН относительно компьютерных файлов персональных данных (1990 г.), ряде конвенций и рекомендаций МОТ, а также актах других международных организаций (например, в Основных положениях Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными (1980 г.)). С 28.01.1981 была открыта для подписания Конвенция Совета Европы!

«О защите физических лиц в отношении автоматизированной обработки данных личного характера»

, вступившая в силу с 01.10.1985 (ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»).

В этом году наша организация внесена в план проверок, размещенный на официальных сайтах Роскомнадзора и Генеральной прокуратуры.

Подскажите, пожалуйста, наличие и содержание каких документов нам нужно проверить при подготовке к ней?

Вам и другим операторам персональных данных следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки.

К таким документам в соответствии с п. 67.1 Регламента относятся:

  1. документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
  2. документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Роскомнадзор или ее территориальный орган;
  3. письменное согласие субъекта персональных данных на обработку его персональных данных;
  4. документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки;
  5. документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
  6. уведомление об обработке персональных данных;
  7. локальные нормативные акты, регламентирующие порядок и условия обработки персональных данных.

Работодателю нелишне будет знать, какими правами при проведении проверки обладают должностные лица Роскомнадзора.

Согласно п. 6 Регламента должностные лица Роскомнадзора или ее территориального органа при проведении проверок вправе в пределах своей компетенции: 1) выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных; 2) составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью; 3) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных; 4) использовать технику и оборудование, принадлежащие Роскомнадзору или ее территориальному органу; Обратите внимание! Проверки могут проводиться как в отношении операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных, так и в отношении операторов, не включенных в Реестр, но осуществляющих такую обработку 5) запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки; 6) получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации; 7) направлять заявление в орган, лицензирующий деятельность оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; 8) принимать меры по приостановлению или прекращению обработки персональных данных, проходящей с нарушениями требований законодательства РФ в области персональных данных; 9) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

Проверки могут проводиться в двух формах: документарной и выездной. Форма проведения плановой и (или) внеплановой проверки определяется Роскомнадзором или ее территориальным органом самостоятельно. Как проводится документарная проверка?

Документарная проверка проводится по месту нахождения Роскомнадзора или ее территориального органа. Предмет документарной проверки — сведения, содержащиеся в документах оператора, устанавливающих его организационно-правовую форму, права и обязанности; документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, предписаний Роскомнадзора или ее территориального органа.

Обратите внимание! В ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения либо эти данные не позволяют оценить исполнение оператором требований, установленных нормативными правовыми актами, то проверяющие вправе направить мотивированный запрос о предоставлении необходимых для проверки документов.

Получив такой запрос, оператор персональных данных обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.

При этом все необходимые документы представляются оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя оператора.

В прошлом месяце Роскомнадзор проверяла наши документы в сфере обработки и защиты персональных данных.

Проверяющие запрашивали у нас копии некоторых документов и просили заверить их у нотариуса. Правомерны ли такие действия?

Действия проверяющих в данном случае неправомерны. Регламентом прямо запрещено истребование оригиналов документов, а также их нотариального удостоверения (п.

70.7). Все необходимые документы представляются оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя (п. 70.6 Регламента). Обратите внимание! Выявление нарушений в ходе проведения документарной проверки является одним из оснований для проведения выездной проверки В случае если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то оператору может быть направлено требование о представлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Роскомнадзора или ее территориального органа вправе провести выездную проверку.

Также решение о проведении выездной проверки может быть принято в случаях, если оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней. Как оформляются результаты проверки?

Независимо от вида и формы по результатам проведения проверки составляется акт проверки.

Требования к акту проверки содержатся в п. 78 Регламента. Пунктом 85 Регламента предусмотрено, что при выявлении нарушений оператору вместе с актом выдается предписание об устранении нарушений. В случае выявления нарушений по результатам проверок возможны следующие меры: Мера 1.

Выдача предписания об устранении выявленного нарушения.

Мера 2. Направление протокола с материалами проверки в суд либо в прокуратуру в случае выявления административного правонарушения и, соответственно, составления протокола об административном правонарушении.

Мера 3. Направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела, если в ходе проверки выявлено уголовно наказуемое деяние.

Основные положения Регламента представлены в таблице. Правила проведения проверок Роскомнадзора В рамках полномочий, предоставленных ГИТ положениями ТК РФ, в ходе проведения проверки государственный инспектор труда вправе проверить исполнение требований гл.

14 ТК РФ. Основным нарушением, которое может выявить проверяющий в этой области, является отсутствие в организации локального нормативного акта, регулирующего порядок обработки персональных данных работников и (или) то, что работники не осведомлены о его существовании и не ознакомлены под роспись с его положениями.

В ТК РФ прямо не указано, что работодатель должен иметь локальный нормативный акт, регулирующий порядок обработки персональных данных работников.

Может ли трудовой инспектор проверить наличие этого документа?

Несмотря на то, что в ТК РФ напрямую отсутствует обязанность работодателя иметь локальный акт, регулирующий порядок обработки персональных данных работников, в гл.

14 можно найти неоднократные упоминания о наличии такого документа. В соответствии с п. 8 ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать требование об ознакомлении работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.

В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать также требование осуществления передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

Кроме того, согласно ст. 18.1 Закона о персональных данных оператор, являющийся юридическим лицом, должен издать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Таким образом, организация обработки персональных данных работодателем должна регламентироваться соответствующим локальным нормативным актом, наличие которого может проверить трудовой инспектор.

Название такого локального акта законодательством не определено.

Работодатель вправе обозначить его сам. Как правило, такой документ называют Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом под роспись в соответствии с требованиями ч.

3 ст. 68 ТК РФ до подписания трудового договора (либо при вступлении локального нормативного акта в действие). Журнал: Справочник кадровика, По состоянию на: 06.04.2012, Год: 2012, Номер: №5Автор: Иванова И.А. Рубрика: Ключевые слова: Оцените публикацию +1 0 -1

Как нас проверял РОСКОМНАДЗОР: переживания и неожиданный итог

28 февраля 2020Что такое Роcкомнадзор?Роcкомнадзор (Официальный сайт: ) — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.В задачи службы входят надзор за соблюдением Российского законодательства в сфере связи, информационных технологий и СМИ, а также надзор по защите персональных данных.Иногда Роcкомнадзор осуществляет выездные проверки организаций.

Так дошло и до учреждения, в котором я работал.Роcкомнадзор на официальном сайте размещает план проверок на год. Так мы узнали, что нас будут проверять.

Когда узнали — уволилась начальник отела кадров. Назначили нового. А меня (начальник отдела информационных технологий) дали ей в помощь.

Теперь начальник отдела кадров отвечала за организацию, хранение и обработку персональных данных, а мне вменили ответственность за информационные системы персональных данных (ИСПДН).Мы с отделом кадров изучили законодательство, методические рекомендации, посмотрели опыт проверок и впали в депрессию. В организации никто не занимался учетом законов о персональных данных.

Не было никаких согласий, регламентов, распорядков, инструкций – ничего. Мы попытались сделать документы на основе тех, что были в других организациях, прошедших проверку. Но один и тот же документ в двух однотипных организациях выглядел по-разному.

Чем больше мы вникали – тем больше у нас возникало вопросов.Ближе к проверке нам прислали перечень главных пунктов, на которые ориентируются проверяющие.

Это немного помогло понять какие-то базовые вещи. Но в принципе проблему подготовки не решало.За пару недель до проверки с нами связалась компания, которая занимается подготовкой документов для соответствия требованиям закона №152-ФЗ «О персональных данных» и прохождения проверок Роcкомнадзора. Как впоследствии оказалось, такие компании отслеживают план проверок на сайте Роcкомнадзора и предлагают услуги тем, кто в этой «очереди».Мы согласились.

Другого выхода не было. Оплатили доступ в сервис, внесли данные организации, ответственных и т.д.

На выходе получили перечень документов (всего около 30 документов). Пришли 2 мужчины. Рассказали о том, как будет проходить процедура проверки.

В общем, вся проверка должна была проходить в течение месяца или около того. Смотреть будут документы (перечень указали), беседовать с сотрудниками.

Если будут проблемы, то дадут время на исправление.

Но все в течение 1 месяца.По сути, первая встреча была консультационной. Мы задали некоторые организационные вопросы.

Кое-что сто из содержательной части. То, что решились спросить.Второй раз к нам пришли через неделю. За это время проверяющие изучили наши сайты, информационные системы.

Ко времени второго прихода мы сделали новый вариант документов, провели учебу с сотрудниками.

Мы с кадровичкой были уже подкованными в области работы с персональными данными.

По крайней мере – в сравнении с другими сотрудниками.Один специалист Роскомнадзора принялся изучать документы.

А второй пошел беседовать с сотрудниками нашей организации.

Я сопровождал гостя. Первым делом зашли в бухгалтерию.

Задал вопросы о том, где хранятся базы данных с персональными данными сотрудниками, как к ним осуществляется доступ, и кто за что отвечает. Я ответил на все интересующие вопросы.У главного бухгалтера спросили, поздравляет ли организация пенсионеров, дарит ли подарки, деньги на праздник?

Главный бухгалтер гордо ответила «Да, конечно, мы помним о наших ветеранах!». И это был «залет». Суть претензии по ветеранам – люди уволились, а персональные данные обрабатываются… Какие основания?Дальше зашли к завхозу и ответственному за технику безопасности.

Про это мы даже и не думали. У них поинтересовались, покупается ли спец. одежда для разнорабочих? Здесь тоже гордо ответили «Да», показали журнал с данными по закупкам, по размерам одежды.

И это тоже был залет. Не было согласий, условий хранения этих биометрических ПД (персональных данных). В общем, куда ни заходил проверяющий — везде находил серьезные проблемы или хотя бы недочеты. А я-то изначально думал, что мы классно подготовились за последнюю неделю!

Теперь думал уже о худшем, о многотысячных штрафах, об административной ответственности. Но нам дали шанс — 2 недели, чтобы все исправить. В том числе и документы, в которых нашли много недочетов.Мы все исправили.

В следующий, последний раз – никуда не ходили. Посмотрели исправленные документы. Дали рекомендации, советы. Мы еще задали интересующие вопросы.

А также пригласили проверяющего провести беседу с сотрудниками организации. Проверку мы прошли. Никаких официальных претензий, штрафов нам предъявлено не было. Специалист из Роскомнадзора провел, как и обещал, беседу с сотрудниками.

Вопросы по большей части были личные, о том, как вести себя в банке, магазине, как избавить от навязчивых телефонных звонков, на что обратить внимание при работе в Интернет, при регистрации на различных сайтах и сервисах.

Профессионал ответил на все вопросы.Мы готовились к худшему, а получилось все очень даже неплохо!Я сделал для себя некоторые выводы по результатам проверки Роскомнадзора.

Самый важный такой:Докопаться можно до чего угодно. Но если при проверках ставить во главу угла не штрафы и наказания, а повышение уровня понимания сути законов, выполнение которых проверяется, то будет качественный результат. И для проверяющих – у них будут организации, где люди разбираются и не нарушают закон.

И для самих организаций – они будут знать не только законы, но и понимать в деталях — для чего эти законы создаются. И это касается любых проверок! Если понравился материал, то не забудьте кликнуть «палец вверх».

Не возражаю, если поделитесь публикацией в соц.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+