К нам в организацию скоро придет проверка из прокуратуры, которая будет проверять персональные данные. Скажите, как проходят такие проверки? Что конкретно требуют представить сотрудники прокуратуры?
О выездной проверке
Проверка в организации порядка обработки персональных данных проводится в соответствии с Федеральными законами от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в ред. от 26.04.2010; далее — Федеральный закон № 294-ФЗ) и от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 27.12.2009), а также главой 14 ТК РФ. Из содержания вопроса следует, что вам предстоит «пережить» выездную проверку (ее порядок определяется ст. 12 Федерального закона № 294-ФЗ), которая может проводиться как в плановом, так и во внеплановом порядке.
Персональные данные работника — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (в данном случае — о работнике).
Обработка персональных данных — действия (операции) с персональными данными, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Уточним, что предметом плановой проверки является соблюдение работодателем (юридическим лицом, индивидуальным предпринимателем) в процессе осуществления деятельности обязательных требований (в данном случае) к обработке персональных данных. При проведении внеплановой проверки первоочередное внимание уделяется недостаткам, выявленным в ходе предшествующей проверки (проверяется, насколько полно и своевременно они были устранены).
Порядок проведения плановой проверки
О проведении плановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии соответствующего приказа (распоряжения) руководителя (заместителя руководителя) органа государственного (муниципального) контроля (надзора) — заказным почтовым отправлением с уведомлением о вручении или иным доступным способом. О проведении внеплановой выездной проверки (за исключением внеплановой выездной проверки, основания проведения которой указаны в п. 2 ч. 2 ст. 10 Федерального закона № 294-ФЗ) юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного (муниципального) контроля (надзора) не менее чем за 24 часа до начала ее проведения любым доступным способом.
Выездная проверка начинается с предъявления проверяющим руководителю (лицу, его замещающему) проверяемой организации служебного удостоверения и приказа (распоряжения) руководителя проверяющего (контрольного, надзорного) органа о назначении выездной проверки. Заверенная печатью копия приказа (распоряжения), если она не была получена юридическим лицом (индивидуальным предпринимателем) ранее, вручается под роспись одновременно с предъявлением служебных удостоверений.
Непосредственно после этого проверяющий должен ознакомить руководителя (лицо, его замещающее) проверяемой организации:
• с полномочиями проверяющего (проверяющих);
• с целями, задачами, основаниями проведения выездной проверки;
• с видами и объемом проверочных мероприятий;
• со сроками и условиями проведения проверки (проверочных мероприятий);
В большинстве случаев продолжительность проверки не может превышать 20 рабочих дней.
• с составом экспертов (представителями экспертных организаций), если таковые привлекаются к выездной проверке.
По просьбе руководителя (лица, его замещающего) предприятия проверяющий обязан ознакомить его с административными регламентами проведения проверочных мероприятий и порядком их проведения на объектах предприятия. Со своей стороны, руководитель (лицо, его замещающее) предприятия обязан предоставить проверяющим:
• возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, — в данном случае относящимися к организации обработки персональных данных (см. ниже);
• доступ на территорию и в соответствующие здания (помещения) предприятия (к примеру, в здание управления предприятия, помещения отдела кадров и пр.).
Организация обработки персональных данных работодателем (юридическим лицом или индивидуальным предпринимателем) регламентируется соответствующим локальным нормативным актом, например: Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом (далее — ЛНА) под роспись — как правило, перед подписанием трудового договора (либо при вступлении ЛНА в действие). Следовательно, в первую очередь проверяющий пожелает узнать:
1) имеется ли у работодателя ЛНА, регламентирующий организацию обработки персональных данных;
2) ознакомлены ли с ЛНА все работники организации.
Работников (их представителей) необходимо ознакомить под роспись с документами работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области (ст. 86 ТК РФ).
Ознакомление работников с ЛНА под роспись обычно оформляется либо в специальной книге (журнале), либо в листе-приложении к этому документу или к трудовому договору.
Кроме того, при проверке выполнения требований нормативных правовых, а также действующих у данного работодателя локальных нормативных актов по организации обработки персональных данных основное внимание проверяющих будет обращено на следующие вопросы:
1) производится ли обработка персональных данных работников исключительно в целях обеспечения соблюдения нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой ими работы и обеспечения сохранности имущества работодателя;
Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Однако в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника — но только с письменного согласия последнего. Кроме того, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2) выполняется ли требование федерального законодательства о порядке получения персональных данных работников (см. ниже);
3) соблюдается ли порядок принятия решений, затрагивающих интересы работников, в части обоснования таких решений не только персональными данными, полученными исключительно в результате их автоматизированной обработки (электронного получения), но и иными разрешенными к применению методами (способами), например при принятии решений о переводе на другую работу, о прекращении трудового договора и пр.;
4) за счет каких средств обеспечивается защита персональных данных от неправомерного использования (утраты);
5) обеспечено ли право работников на сохранение и защиту тайны (в части, относящейся к персональным данным);
6) участвуют ли работники (их представители) в выработке мер, направленных на защиту персональных данных.
В частности, для проверки соблюдения работодателем порядка получения персональных данных работников проверяющий вправе запросить для ознакомления:
1) переписку работодателя по вопросам обработки персональных данных;
2) письменные заявления работников с выражением согласия на обработку персональных данных (в том числе на получение таких данных от третьих лиц и передачу их третьим лицам).
Персональные данные о работнике следует получать непосредственно у него самого. Если персональные данные работника можно получить только у третьей стороны, то работника следует уведомить об этом заранее и от него необходимо получить письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Несомненно, проверяющий обратит внимание и на то, как выполняются требования к обработке персональных данных в повседневной деятельности уполномоченными должностными лицами (в общем случае — работниками отдела кадров).
Отметим, что право должностных лиц (работников) на обработку персональных данных (в более широком смысле — на доступ к персональным данным) нужно зафиксировать в соответствующем ЛНА работодателя, а также при необходимости (дополнительно, на факультативной основе) в следующих документах:
• трудовых договорах;
• должностных инструкциях;
• инструкциях по видам деятельности;
• приказах (о назначении на должность и по отдельным вопросам организации обработки персональных данных).
К тому же проверке подлежит организация хранения персональных данных (содержащих их документов). Учитывая, что хранение персональных данных в настоящее время осуществляется не только в традиционном (бумажном), но и в электронном виде, следует ожидать и проверки информационной системы, применяемой работодателем для обработки (в том числе хранения) персональных данных. Скорее всего, к выполнению этой части проверочных мероприятий проверяющим будет привлечен эксперт (специалист по информационным технологиям), для которого наибольший интерес будут представлять следующие вопросы:
1) какой класс присвоен информационной системе, насколько это обосновано (см. в этой связи Порядок проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20);
2) какие методы и способы защиты персональных данных (с учетом класса информационной системы) (см. в этой связи Положение о методах и способах защиты информации в информационных системах персональных данных (приложение к приказу Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58) применяются, позволяют ли они обеспечить надежную защиту от несанкционированного доступа или утраты?
Кроме того, проверяющий, несомненно, обратит внимание на то, насколько соответствуют целям обеспечения защиты персональных данных помещения и рабочие места, в (на) которых выполняется их обработка. Как правило, доступ в эти помещения (обособленные части (зоны) помещений) должны иметь только лица (работники), допущенные к обработке персональных данных. Помещения следует защитить от проникновения в них посторонних лиц, они должны быть оборудованы сигнализацией, а также надежными средствами хранения. Соответствующие средства защиты должны иметь и установленные на рабочих местах средства программно-технической обработки персональных данных.
Оформление результатов проверки
По результатам проверки составляется акт, в котором указываются:
1) дата, время и место составления акта проверки;
2) наименование проверяющего органа;
3) дата и номер приказа (распоряжения) о назначении проверки;
4) фамилии, имена, отчества и должности проверяющих;
5) наименование проверяемой организации, а также фамилия, имя, отчество и должность его руководителя (лица, его замещающего);
6) дата, время, продолжительность и место проведения проверки;
7) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований к обращению с персональными данными, их характере и о лицах, допустивших указанные нарушения;
8) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя (лица, его замещающего) организации, о наличии его подписи или об отказе от совершения подписи;
9) сведения о внесении в журнал учета проверок организации записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у предприятия указанного журнала;
10) подпись (подписи) проверяющего (проверяющих).
К акту могут прилагаться связанные с результатами проверки документы (их копии).
Один экземпляр акта вручается руководителю (лицу, его замещающему) организации.
Для физических лиц
Для юридических лиц
Подписка по каталогам