text

🎁 УЛЁТНЫЕ СКИДКИ 30%! Поймать »

Здравоохранение

Проверки в сфере защиты персональных данных работников

  • 15 августа 2012
  • 48

Глава 14 Трудового кодекса РФ (далее — ТК РФ) и Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее — Закон о персональных данных) позволяют определить основные принципы защиты персональных данных работника.

Принцип 1. Конфиденциальность получаемых персональных данных, ограничение доступа к ним иных лиц.

Внимание! Для скачивания доступны новые образцы: Приказ о внедрении ВКК, Алгоритм создания СОПа, Приказ о Внедрении профстандартов

Работники не должны отказываться от своих прав на сохранение и защиту тайны. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами (например, Налоговым кодексом РФ, Федеральным законом от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" и др.).

Принцип 2. Достоверность и полнота персональной информации, а равно запрет включения в персональные данные недостоверных фактов и информации, полученной не от работника, в том числе информации, полученной от иных лиц без его письменного согласия, если это не предусмотрено федеральным законом.

Работник вправе требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее с получением от него письменного согласия. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В случае, описанном в начале статьи, руководителю центра следовало воздержаться от направления запросов в медучреждение либо получить согласие водителя на подобный запрос.

Принцип 3. Целевой характер персональной информации, законность целей и способов ее обработки и добросовестность.

Согласно ст. 86 ТК РФ обработку персональных данных работника можно проводить исключительно для того, чтобы обеспечить соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, личную безопасность работников, контроль количества и качества выполняемой работы и сохранность имущества.

Целевой характер означает, что персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежат уничтожению, если в них отпала надобность.

Принцип 4. Свободный доступ работника к своим персональным данным и право на полную информацию о них, а равно запрет для работодателя объединять созданные для несовместимых между собой целей базы персональных данных, недопустимость создания информационных ресурсов персонального характера, закрытых или ограниченных в доступе для работника, кроме случаев, предусмотренных федеральным законом.

Принцип 5. Гарантированность субъективных прав работника, связанных с защитой его персональных данных. Государственные органы и работодатели обязаны соблюдать эти права.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии с нормой ст. 90 ТК РФ несут:

— дисциплинарную ответственность (подп. "в" п. 6 ч. 1 ст. 81, ст. 192 ТК РФ);

— материальную ответственность (ст. 237 ТК РФ);

— административную ответственность (ст. 13.11 и 13.14 КоАП РФ);

— гражданско-правовую ответственность (ст. 277 ТК РФ для руководителя организации, ст. 1100 ГК РФ);

— уголовную ответственность (ст. 137 и 138 УК РФ).

Наряду с дисциплинарной ответственностью по ТК РФ в качестве одного из оснований наступления полной материальной ответственности работни

ков, имеющих в связи с должностными обязанностями доступ к персональным данным работников, может быть разглашение сведений, составляющих служебную тайну (ст. 243 ТК РФ).

В соответствии с Законом о персональных данных контрольные и надзорные полномочия в сфере защиты персональных данных имеет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Также согласно установленным полномочиям определенные проверочные функции в данной сфере осуществляет Государственная инспекция труда.

Проверка Роскомнадзора

Один из значимых документов для оператора персональных данных — Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее — Регламент), утв. приказом Минкомсвязи России от 14.11.2011 №312.

Данный регламент определяет сроки и последовательность действий (административных процедур) Роскомнадзора и ее территориальных органов, порядок взаимодействия с государственными и муниципальными органами, юридическими или физическими лицами, организующими и (или) обрабатывающими персональные данные, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) соответствия обработки персональных данных требованиям законодательства РФ в области персональных данных.

Проверки Роскомнадзора и территориальных органов Роскомнадзора проводятся в соответствии с требованиями Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Проверки могут быть плановыми и внеплановыми. Плановые проверки проводятся на основании ежегодного плана.

Основанием для включения проверки в план может служить начало осуществления оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

— государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;

— окончания проведения последней плановой проверки оператора.

Внеплановые проверки проводятся по следующим основаниям:

Основание 1. Истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных.

Основание 2. Поступление в Роскомнадзор или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновении угрозы причинения вреда жизни, здоровью граждан; причинении вреда жизни, здоровью граждан.

Основание 3. Приказ руководителя Роскомнадзора, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Основание 4. Нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных.

Основание 5. Нарушение операторами требований законодательства РФ в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

В ходе проведения проверки Роскомнадзор или ее территориальный орган рассматривают документы оператора, а также исследуют (обследуют) информационную систему персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Операторам персональных данных следует обращать особое внимание на документы, которые будут рассматриваться в ходе проведения проверки. К таким документам в соответствии с п. 67.1 Регламента относятся:

— уведомление об обработке персональных данных;

— документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан, и информации, поступившей в Роскомнадзор или ее территориальный орган; документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;

— письменное согласие субъекта персональных данных на обработку его персональных данных;

— документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;

— документы, подтверждающие уничтожение оператором персональных данных по достижении цели обработки;

— локальные нормативные акты, регламентирующие порядок и условия обработки персональных данных.

Не будет лишним для работодателя знать, какими правами при проведении проверки обладают должностные лица Роскомнадзора.

Согласно п. 6 Регламента должностные лица Роскомнадзора или ее территориального органа при проведении проверок вправе в пределах своей компетенции:

— выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных;

— составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

— обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных;

— использовать технику и оборудование, принадлежащие Роскомнадзору или ее территориальному органу;

— запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки;

— получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации;

— направлять заявление в орган, лицензирующий деятельность оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

— принимать меры по приостановлению или прекращению обработки персональных данных, проходящей с нарушениями требований законодательства РФ в области персональных данных;

— требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

Проверки могут проводиться в двух формах: документарной и выездной. Форма проведения плановой и (или) внеплановой проверки определяется Роскомнадзором или ее территориальным органом самостоятельно, с учетом оснований, предусмотренных п. 33, 38 Регламента.

Документарная проверка проводится по месту нахождения Роскомнадзора или ее территориального органа. Предмет документарной проверки — сведения, содержащиеся в документах оператора, устанавливающих его организационно-правовую форму, права и обязанности; документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, предписаний Роскомнадзора или ее территориального органа.

Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения либо эти данные не позволяют оценить исполнение оператором требований, установленных нормативными правовыми актами, то проверяющие вправе направить мотивированный запрос о предоставлении необходимых для проверки документов. Получив такой запрос, оператор персональных данных обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса. Такие документы представляются оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя оператора (п. 70.6 Регламента). Регламентом прямо запрещено истребование оригиналов документов, а также их нотариального удостоверения (п. 70.7).

В случае если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то оператору может быть направлено требование о представлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Роскомнадзора или ее территориального органа вправе провести выездную проверку.

Решение о проведении выездной проверки может быть принято и в тех случаях, когда оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.

Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к акту проверки содержатся в п. 78 Регламента. Пунктом 85 Регламента предусмотрено, что при выявлении нарушений оператору вместе с актом выдается предписание об устранении нарушений.

В случае выявления нарушений по результатам проверок возможны следующие меры:

— выдача предписания об устранении выявленного нарушения;

— составление протокола об административном правонарушении при его выявлении, направление протокола с материалами проверки в суд либо в прокуратуру;

— при выявлении уголовно наказуемого деяния направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела.

Проверка Гострудинспекции

В рамках полномочий, предоставленных Государственной трудовой инспекции (далее — ГИТ) положениями ТК РФ, в ходе проведения проверки государственный инспектор труда вправе проконтролировать исполнение требований гл. 14 ТК РФ. Проверяющий в этой области может выявить следующие основные нарушения:

— в организации отсутствует локальный нормативный акт, регулирующий порядок обработки персональных данных работников;

— Локальный нормативный акт существует, но работники не осведомлены о нем и не ознакомлены под роспись с его положениями.

Несмотря на то что в ТК РФ напрямую отсутствует обязанность работодателя иметь локальный акт, регулирующий порядок обработки персональных данных работников, в гл. 14 можно найти неоднократные упоминания о наличии такого документа.

В соответствии с п. 8 ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать требование об ознакомлении работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.

В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать также требование передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

Кроме того, согласно ст. 18.1 Закона о персональных данных оператор, являющийся юридическим лицом, должен издать документы,

определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Название локального акта законодательством не определено. Работодатель вправе обозначить его сам. Как правило, такой документ называют Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом под роспись в соответствии с требованиями ч. 3 ст. 68 ТК РФ до подписания трудового договора (либо при вступлении локального нормативного акта в действие).

Рекомендации по теме

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Мы в соцсетях
А еще:
Сайт предназначен для медицинских работников!


Материалы для zdrav.ru готовят лучшие эксперты в сфере здравоохранения. Чтобы защитить их авторские права, многие статьи на нашем сайте закрыты

Подтвердите ваш статус медработника - регистрация займет одну минуту.

Пакет готовых инструкций, чтобы пройти проверку Росздравнадзора в подарок!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться
Сайт предназначен для медицинских работников!


Материалы для zdrav.ru готовят лучшие эксперты в сфере здравоохранения. Чтобы защитить их авторские права, многие статьи на нашем сайте закрыты

Подтвердите ваш статус медработника - регистрация займет одну минуту.

Пакет готовых инструкций, чтобы пройти проверку Росздравнадзора в подарок!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться
×
Журнал
Гость, Ваш бесплатный доступ к журналу «Здравоохранение» сгорает через

Гость, вам предоставлен VIP-доступ к журналу «Здравоохранение»:
возможность скачивать шаблоны • доступ к видеотренингамкниги  для начмедов
Активировать доступ  
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.