Проверка охраны персональных данных (Н.И. Бородина, "Отдел кадров коммерческой организации", N 2, февраль 2012 г.)

Проверка охраны персональных данных

Закон о персональных данных*(1) и положения Трудового кодекса определяют, какую информацию считать персональной и какие права и обязанности по обработке, хранению и распространению таких данных есть у работника и у работодателя. Для защиты персональных данных от получения их третьими лицами работодатель должен принимать меры, предусмотренные различными постановлениями Правительства РФ, устанавливающими правила обеспечения безопасности таких данных при обработке как в информационных системах, так и без использования средств автоматизации. Сегодня поговорим о том, как контролируется соблюдение работодателями требований нормативных актов в части обеспечения сохранности персональных данных работников.

Немного о персональных данных

Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 ТК РФ). Трудовым законодательством установлено, что обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (ст. 86 ТК РФ). При этом все персональные данные работника следует получать у него самого. Если их можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами. Правила такой защиты работодатель определяет в локальном нормативном акте с учетом требований Закона о персональных данных, положений ТК РФ, постановлений Правительства РФ от 17.11.2007 N 781 *(2), от 15.09.2008 N 687 *(3) и некоторых других нормативных актов.

Напомним, что на основании Федерального закона от 25.07.2011 N 261*(4) в Закон о персональных данных была введена новая ст. 22.1, которая обязывает работодателя назначить лицо, ответственное за организацию обработки персональных данных. Такое ответственное лицо должно:

- осуществлять внутренний контроль за соблюдением работодателем и его работниками законодательства РФ о персональных данных, в том числе требований к их защите;

- доводить до сведения работников положения законодательства РФ о персональных данных, локальных актов по вопросам их обработки, требований к защите таких данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) контролировать прием и обработку таких обращений и запросов.

Кто может проверить правильность обработки персональных данных?

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)*(5).

Проверке подлежат любые операторы персональных данных, то есть государственные и муниципальные органы, юридические или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними (ст. 3 Закона о персональных данных).

Приказом Минкомсвязи РФ от 14.11.2011 N 312 утвержден административный регламент исполнения данной службой функций по осуществлению государственного контроля (надзора) за правильностью обработки персональных данных (далее - Регламент). Предметом контроля являются:

- документы, характер информации в которых предполагает или допускает включение в них персональных данных;

- информационные системы персональных данных;

- деятельность по их обработке.

Напомним, что под обработкой персональных данных в трудовых отношениях в силу ст. 85 ТК РФ понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Расскажем о контроле подробнее.

Виды проверочных мероприятий

Роскомнадзор может осуществлять плановые и внеплановые проверки, которые могут быть документарными или выездными.

Плановые проверки проводятся в отношении операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных. Отметим, что такой реестр ведется Роскомнадзором на основании уведомлений от операторов о начале обработки персональных данных, причем ст. 27 Закона о персональных данных установлено, что если данные обрабатываются в связи с трудовыми отношениями, то такие операторы не подлежат включению в Реестр, однако все же проверяются на соблюдение законности мероприятий, осуществляемых с персональными данными работников.

О проведении плановой проверки оператор должен быть уведомлен не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя (заместителя руководителя) Роскомнадзора или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом. Напомним, что форма приказа о проведении проверки утверждена Приказом Минэкономразвития РФ от 30.04.2009 N 141 "О реализации положений Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Приказ N 141). В таком приказе должны быть следующие сведения:

- наименование органа, осуществляющего контроль;

- фамилии, имена, отчества должностных лиц, проводящих проверку;

- наименование (фамилия, имя, отчество) оператора;

- цели, задачи, предмет проверки и срок ее проведения;

- основания проведения проверки, в том числе подлежащие проверке обязательные требования законодательства в области персональных данных;

- сроки проведения и перечень мероприятий по контролю, необходимых для достижения целей и задач проведения проверки;

- перечень документов, которые необходимо предоставить проверяемым;

- даты начала и окончания контрольных мероприятий.

Внеплановые проверки проводятся по следующим основаниям:

1. Истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных.

2. Поступление обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации из средств массовой информации, в том числе о возникновении угрозы причинения вреда жизни, здоровью граждан.

3. Приказ руководителя Роскомнадзора или руководителя его территориального органа, изданный по поручениям Президента РФ или Правительства РФ.

4. Нарушение прав и законных интересов граждан действиями (бездействием) оператора при обработке их персональных данных.

5. Нарушение требований законодательства в области персональных данных.

Примечание. Обращения и заявления, не позволяющие установить лицо, их направившее, не могут стать основанием для проведения внеплановой проверки.

Полномочия контролеров

Должностные лица территориальных органов Роскомнадзора при проведении контрольно-надзорных мероприятий вправе (п. 6 Регламента):

- выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных;

- составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

- обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных;

- запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки;

- получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации;

- направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства РФ в области персональных данных;

- требовать от компании уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

В пункте 7 Регламента определены обязанности контролеров, в частности:

- своевременно и в полной мере исполнять предоставленные полномочия по предупреждению, выявлению и пресечению нарушений требований в области персональных данных;

- соблюдать законодательство РФ, права и законные интересы оператора, проверка которого проводится;

- проводить проверку на основании приказа руководителя Роскомнадзора или его территориального органа в соответствии с ее назначением;

- осуществлять контрольно-надзорные мероприятия только во время исполнения служебных обязанностей, выездную проверку - только при предъявлении служебных удостоверений, копии приказа о ее проведении;

- не препятствовать руководителю или иному уполномоченному представителю оператора присутствовать при проведении проверки и давать разъяснения по вопросам, относящимся к предмету проверки, предоставлять информацию и документы, относящиеся к предмету проверки;

- ознакомить руководителя или иного уполномоченного представителя компании с результатами проверки;

- учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов оператора;

- соблюдать установленные сроки проведения проверки;

- не требовать от проверяемых документы и иные сведения, представление которых не предусмотрено законодательством;

- вносить запись о проведенной проверке в журнале учета проверок.

Примечание. В каждой организации необходимо вести журнал учета проверок (п. 8 ст. 16 Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля"). Он должен быть прошит, пронумерован и удостоверен печатью юридического лица, индивидуального предпринимателя. Форма такого журнала утверждена Приказом N 141.

Права и обязанности лиц, в отношении которых осуществляются мероприятия по контролю (надзору)

Организация или индивидуальный предприниматель при проведении проверки имеют право:

- присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки;

- получать от должностных лиц органа, осуществляющих контрольно-надзорные мероприятия, информацию, которая относится к предмету проверки;

- ознакомиться с результатами проверки и сделать в акте проверки отметки о своем согласии или несогласии с результатами проверки или отдельными действиями проверяющих;

- обжаловать действия или бездействие контролеров, повлекшие за собой нарушение прав проверяемой компании или индивидуального предпринимателя, в административном или судебном порядке.

Обратите внимание! Руководитель или иное уполномоченное лицо проверяемой организации (индивидуального предпринимателя) обязаны предоставить контролерам возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, если таковой не предшествовала документарная. Кроме этого, необходимо обеспечить доступ проверяющих должностных лиц на территорию, в используемые при осуществлении обработки персональных данных здания, строения, сооружения, помещения, к используемому оборудованию (п. 9 Регламента).

Порядок проведения мероприятий по контролю

При проведении проверки должностные лица Роскомнадзора составляют план (программу) проверки, который утверждается руководителем или заместителем руководителя контролирующего органа или его территориального отделения не менее чем за три рабочих дня до начала проверки.

О проведении внеплановой выездной проверки организация или индивидуальный предприниматель уведомляется Роскомнадзором или его территориальным органом не менее чем за 24 часа до начала ее проведения любым доступным способом. Если в результате обработки персональных данных причиняется или причинен вред жизни и здоровью граждан, уведомление о внеплановой проверке не требуется.

Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней. При необходимости данный срок может быть продлен, но не более чем на 20 рабочих дней.

Итак, копия приказа о проведении проверки, заверенная печатью контролирующего органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю проверяемой организации или индивидуальному предпринимателю одновременно со служебным удостоверением. При этом на втором экземпляре проверяемая компания должна проставить отметку о получении копии приказа о проведении проверки и указать должность, фамилию, имя, отчество представителя компании, а также дату и время получения этого документа.

Обратите внимание! Проверку могут проводить только должностные лица, названные в приказе о ее проведении (п. 62 Регламента).

Руководитель (иной уполномоченный представитель) проверяемой компании должен обеспечить все условия для проведения проверки и по требованию контролеров организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки. В случае необоснованного препятствования проведению проверки, уклонения от участия в ее проведении руководитель (иной представитель) проверяемого лица несет ответственность по КоАП РФ. Так, в силу его ст. 19.4 за неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), граждане и должностные лица могут быть подвергнуты административному штрафу в размере от 500 до 4 000 руб. Кроме этого, в соответствии со ст. 19.4.1 КоАП РФ воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора) по проведению проверок или уклонение от таких проверок влечет наложение административного штрафа:

- на граждан - в размере от 500 до 1 000 руб.;

- на должностных лиц - от 2 000 до 4 000 руб.;

- на юридических лиц - от 5 000 до 10 000 руб.

Если в результате воспрепятствования мероприятиям по контролю нельзя провести проверку или завершить ее, возможно также наложение административного штрафа:

- на должностных лиц - в размере от 5 000 до 10 000 руб.;

- на юридических лиц - от 20 000 до 50 000 руб.

За повторное воспрепятствование проведению проверки возможна дисквалификация должностных лиц проверяемой компании на срок от шести месяцев до года и наложение штрафа:

- на должностных лиц - в размере от 10 000 до 20 000 руб.;

- на юридических - от 50 000 до 100 000 руб.

К сведению. Контролирующий орган не вправе осуществлять проверочные мероприятия в случае отсутствия при их проведении руководителя или иного уполномоченного представителя оператора (п. 64 Регламента).

В ходе контроля проверяющий орган может рассматривать документы компании (письменное согласие работников на обработку их персональных данных, локальные нормативные акты работодателя, регламентирующие порядок и условия обработки, документы, подтверждающие выполнение ранее выданного предписания, и др.). Также контролеры могут исследовать информационную систему в части, касающейся обрабатываемых в этой системе персональных данных работников.

Отдельно рассмотрим порядок документарной проверки. Она проводится по месту нахождения территориального органа Роскомнадзора, ее осуществляющего. Предметом документарной проверки являются сведения, содержащиеся в документах работодателя:

- устанавливающих его организационно-правовую форму;

- определяющих права и обязанности по обработке, хранению и использованию персональных данных;

- используемых при осуществлении деятельности по обработке персональных данных и связанных с исполнением обязательных требований, установленных нормативными актами в области персональных данных;

- об исполнении предписаний Роскомнадзора.

Уведомление о проведении документарной проверки направляется в адрес работодателя не позднее чем в течение трех рабочих дней до ее начала. Если достоверность сведений, содержащихся в документах, имеющихся в распоряжении контролирующего органа, вызывает сомнения либо эти сведения не позволяют оценить исполнение работодателем требований, установленных нормативными актами, в его адрес направляется запрос с требованием представить иные необходимые для рассмотрения в ходе проверки документы. К запросу прилагается заверенная печатью копия приказа о проведении документарной проверки.

В течение десяти рабочих дней со дня получения запроса работодатель должен представить контролерам указанные в запросе документы. В соответствии с п. 70.6 Регламента документы представляются в виде копий, заверенных надлежащим образом - печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя проверяемой организации. В случае несовпадения данных в представленных работодателем документов со сведениями, имеющимися в Роскомнадзоре, или противоречия таким сведениям проверяемой организации придется представить в этот орган пояснения в письменном виде.

При обнаружении признаков нарушения законодательства о персональных данных проверяющие могут назначить выездную проверку. Решение об этом может быть принято также при отказе в предоставлении документов, запрашиваемых проверяющими.

Выездная проверка проводится по месту нахождения работодателя или по месту фактического осуществления деятельности и тогда, когда при документарной проверке не представляется возможным удостовериться в полноте и достоверности сведений, содержащихся в документах проверяемой организации, и оценить соответствие деятельности проверяемой компании требованиям, установленным нормативными правовыми актами в области персональных данных.

Выездная проверка начинается с предъявления служебного удостоверения должностными лицами Роскомнадзора и ознакомления руководителя или иного уполномоченного представителя работодателя с приказом о назначении выездной проверки, видами и объемом мероприятий по контролю, сроками их проведения.

При проведении проверки должностные лица не вправе требовать представления документов, информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов и распространять информацию, полученную в результате контрольно-надзорных мероприятий и составляющую любую охраняемую законом тайну.

Примечание. Предметом выездной проверки являются содержащиеся в документах оператора сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных (п. 73.1 Регламента).

Результат проверки

По итогам контрольных мероприятий проверяющие составляют акт проверки, в котором должны быть указано:

- дата, время и место составления;

- наименование проверяющего органа;

- дата и номер приказа о назначении проверки;

- фамилии, имена, отчества должностных лиц, проводивших проверку;

- фамилия, имя, отчество представителя проверяемой организации;

- дата, время и сроки проведения проверочных мероприятий;

- сведения о результатах проверки, выявленных нарушениях, их характере и лицах, допустивших такие нарушения;

- информацию об ознакомлении или отказе проверенной организации в ознакомлении с актом.

Акт должен быть подписан должностными лицами, проводившими проверку, и содержать одно из следующих заключений: об отсутствии в деятельности оператора нарушений требований законодательства в области персональных данных или о наличии таких нарушений. Акт составляется в двух экземплярах, один из которых вручается руководителю проверенной компании под расписку. При выявлении нарушений вместе с актом работодателю может быть выдано предписание об устранении нарушения законодательства в области персональных данных.

Также результатом проверки может стать составление протоколов об административном правонарушении и подготовка и направление материалов проверки в прокуратуру и иные правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении или уголовного дела по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

Н.И. Бородина,

эксперт журнала "Отдел кадров коммерческой организации"

"Отдел кадров коммерческой организации", N 2, февраль 2012 г.

-------------------------------------------------------------------------

*(1) Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

*(2) "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

*(3) "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

*(4) "О внесении изменений в федеральный закон "О персональных данных".

*(5) Пункт 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. Постановлением Правительства РФ от 16.03.2009 N 228.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.