Проверки в сфере защиты персональных данных работников

46

Глава 14 Трудового кодекса РФ (далее — ТК РФ) и Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее — Закон о персональных данных) позволяют определить основные принципы защиты персональных данных работника.

Принцип 1. Конфиденциальность получаемых персональных данных, ограничение доступа к ним иных лиц.

Работники не должны отказываться от своих прав на сохранение и защиту тайны. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами (например, Налоговым кодексом РФ, Федеральным законом от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" и др.).

Принцип 2. Достоверность и полнота персональной информации, а равно запрет включения в персональные данные недостоверных фактов и информации, полученной не от работника, в том числе информации, полученной от иных лиц без его письменного согласия, если это не предусмотрено федеральным законом.

Работник вправе требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее с получением от него письменного согласия. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В случае, описанном в начале статьи, руководителю центра следовало воздержаться от направления запросов в медучреждение либо получить согласие водителя на подобный запрос.

Принцип 3. Целевой характер персональной информации, законность целей и способов ее обработки и добросовестность.

Согласно ст. 86 ТК РФ обработку персональных данных работника можно проводить исключительно для того, чтобы обеспечить соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, личную безопасность работников, контроль количества и качества выполняемой работы и сохранность имущества.

Целевой характер означает, что персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежат уничтожению, если в них отпала надобность.

Принцип 4. Свободный доступ работника к своим персональным данным и право на полную информацию о них, а равно запрет для работодателя объединять созданные для несовместимых между собой целей базы персональных данных, недопустимость создания информационных ресурсов персонального характера, закрытых или ограниченных в доступе для работника, кроме случаев, предусмотренных федеральным законом.

Принцип 5. Гарантированность субъективных прав работника, связанных с защитой его персональных данных. Государственные органы и работодатели обязаны соблюдать эти права.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии с нормой ст. 90 ТК РФ несут:

— дисциплинарную ответственность (подп. "в" п. 6 ч. 1 ст. 81, ст. 192 ТК РФ);

— материальную ответственность (ст. 237 ТК РФ);

— административную ответственность (ст. 13.11 и 13.14 КоАП РФ);

— гражданско-правовую ответственность (ст. 277 ТК РФ для руководителя организации, ст. 1100 ГК РФ);

— уголовную ответственность (ст. 137 и 138 УК РФ).

Наряду с дисциплинарной ответственностью по ТК РФ в качестве одного из оснований наступления полной материальной ответственности работни

ков, имеющих в связи с должностными обязанностями доступ к персональным данным работников, может быть разглашение сведений, составляющих служебную тайну (ст. 243 ТК РФ).

В соответствии с Законом о персональных данных контрольные и надзорные полномочия в сфере защиты персональных данных имеет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Также согласно установленным полномочиям определенные проверочные функции в данной сфере осуществляет Государственная инспекция труда.

Проверка Роскомнадзора

Один из значимых документов для оператора персональных данных — Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее — Регламент), утв. приказом Минкомсвязи России от 14.11.2011 №312.

Данный регламент определяет сроки и последовательность действий (административных процедур) Роскомнадзора и ее территориальных органов, порядок взаимодействия с государственными и муниципальными органами, юридическими или физическими лицами, организующими и (или) обрабатывающими персональные данные, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) соответствия обработки персональных данных требованиям законодательства РФ в области персональных данных.

Проверки Роскомнадзора и территориальных органов Роскомнадзора проводятся в соответствии с требованиями Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Проверки могут быть плановыми и внеплановыми. Плановые проверки проводятся на основании ежегодного плана.

Основанием для включения проверки в план может служить начало осуществления оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

— государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;

— окончания проведения последней плановой проверки оператора.

Внеплановые проверки проводятся по следующим основаниям:

Основание 1. Истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных.

Основание 2. Поступление в Роскомнадзор или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновении угрозы причинения вреда жизни, здоровью граждан; причинении вреда жизни, здоровью граждан.

Основание 3. Приказ руководителя Роскомнадзора, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Основание 4. Нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных.

Основание 5. Нарушение операторами требований законодательства РФ в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

В ходе проведения проверки Роскомнадзор или ее территориальный орган рассматривают документы оператора, а также исследуют (обследуют) информационную систему персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Операторам персональных данных следует обращать особое внимание на документы, которые будут рассматриваться в ходе проведения проверки. К таким документам в соответствии с п. 67.1 Регламента относятся:

— уведомление об обработке персональных данных;

— документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан, и информации, поступившей в Роскомнадзор или ее территориальный орган; документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;

— письменное согласие субъекта персональных данных на обработку его персональных данных;

— документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;

— документы, подтверждающие уничтожение оператором персональных данных по достижении цели обработки;

— локальные нормативные акты, регламентирующие порядок и условия обработки персональных данных.

Не будет лишним для работодателя знать, какими правами при проведении проверки обладают должностные лица Роскомнадзора.

Согласно п. 6 Регламента должностные лица Роскомнадзора или ее территориального органа при проведении проверок вправе в пределах своей компетенции:

— выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных;

— составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

— обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных;

— использовать технику и оборудование, принадлежащие Роскомнадзору или ее территориальному органу;

— запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки;

— получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации;

— направлять заявление в орган, лицензирующий деятельность оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

— принимать меры по приостановлению или прекращению обработки персональных данных, проходящей с нарушениями требований законодательства РФ в области персональных данных;

— требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

Проверки могут проводиться в двух формах: документарной и выездной. Форма проведения плановой и (или) внеплановой проверки определяется Роскомнадзором или ее территориальным органом самостоятельно, с учетом оснований, предусмотренных п. 33, 38 Регламента.

Документарная проверка проводится по месту нахождения Роскомнадзора или ее территориального органа. Предмет документарной проверки — сведения, содержащиеся в документах оператора, устанавливающих его организационно-правовую форму, права и обязанности; документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, предписаний Роскомнадзора или ее территориального органа.

Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения либо эти данные не позволяют оценить исполнение оператором требований, установленных нормативными правовыми актами, то проверяющие вправе направить мотивированный запрос о предоставлении необходимых для проверки документов. Получив такой запрос, оператор персональных данных обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса. Такие документы представляются оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя оператора (п. 70.6 Регламента). Регламентом прямо запрещено истребование оригиналов документов, а также их нотариального удостоверения (п. 70.7).

В случае если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то оператору может быть направлено требование о представлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Роскомнадзора или ее территориального органа вправе провести выездную проверку.

Решение о проведении выездной проверки может быть принято и в тех случаях, когда оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.

Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к акту проверки содержатся в п. 78 Регламента. Пунктом 85 Регламента предусмотрено, что при выявлении нарушений оператору вместе с актом выдается предписание об устранении нарушений.

В случае выявления нарушений по результатам проверок возможны следующие меры:

— выдача предписания об устранении выявленного нарушения;

— составление протокола об административном правонарушении при его выявлении, направление протокола с материалами проверки в суд либо в прокуратуру;

— при выявлении уголовно наказуемого деяния направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела.

Проверка Гострудинспекции

В рамках полномочий, предоставленных Государственной трудовой инспекции (далее — ГИТ) положениями ТК РФ, в ходе проведения проверки государственный инспектор труда вправе проконтролировать исполнение требований гл. 14 ТК РФ. Проверяющий в этой области может выявить следующие основные нарушения:

— в организации отсутствует локальный нормативный акт, регулирующий порядок обработки персональных данных работников;

— Локальный нормативный акт существует, но работники не осведомлены о нем и не ознакомлены под роспись с его положениями.

Несмотря на то что в ТК РФ напрямую отсутствует обязанность работодателя иметь локальный акт, регулирующий порядок обработки персональных данных работников, в гл. 14 можно найти неоднократные упоминания о наличии такого документа.

В соответствии с п. 8 ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать требование об ознакомлении работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.

В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать также требование передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

Кроме того, согласно ст. 18.1 Закона о персональных данных оператор, являющийся юридическим лицом, должен издать документы,

определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Название локального акта законодательством не определено. Работодатель вправе обозначить его сам. Как правило, такой документ называют Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом под роспись в соответствии с требованиями ч. 3 ст. 68 ТК РФ до подписания трудового договора (либо при вступлении локального нормативного акта в действие).

Читайте в ближайших номерах журнала «Правовые вопросы в здравоохранении»
    Читать >>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Мероприятия

      Мероприятия

      Повышаем квалификацию

      Посмотреть

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...








      Наши продукты






















      © МЦФЭР, 2006 – 2017. Все права защищены.

      Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

      Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
      Свидетельство о регистрации средства массовой информации ПИ № ФС77-64203 от 31.12.2015.

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Сайт предназначен для медицинских работников!

      Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 9400 статей
      — 4000 ответов на вопросы
      — 80 видеосеминаров
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы

      Вы также получите подарок — журнал в формате pdf

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Сайт предназначен для медицинских работников!

      Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 9400 статей
      — 4000 ответов на вопросы
      — 80 видеосеминаров
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы

      Вы также получите подарок — pdf- журнал «Здравоохранение»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Сайт предназначен для медицинских работников!

      Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 9400 статей
      — 4000 ответов на вопросы
      — 80 видеосеминаров
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы

      Вы также получите подарок — pdf- журнал «Здравоохранение»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Сайт предназначен для медицинских работников!

      Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 9400 статей
      — 4000 ответов на вопросы
      — 80 видеосеминаров
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы

      Вы также получите подарок — pdf- журнал «Здравоохранение»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×