Как подготовиться к проверке соблюдения закона «О персональных данных»

Закон «О защите персональных данных» был принят в 2006 г., но действовать в своей основной массе начал фактически с начала 2011 года. При этом часть норм вступает в силу с середины 2011 года. Однако проверки соблюдения правил защиты персональных данных государственными органами уже начались.
Первые несколько лет правила проведения проверок будут проходить испытание практикой, в том числе и судебной, так как спорных моментов в законе предостаточно. Но уже сейчас можно вычленить потенциально «узкие» места и попытаться заранее обезопасить бизнес от санкций со стороны проверяющих органов.

Закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных", вступивший в силу 26 января 2007 г., действует наряду с другими нормативно-правовыми актами, регулирующими защиту информации и персональных данных физических лиц, в том числе ТК РФ.
Согласно ст. 3 нового Закона "О персональных данных" к таковым относятся любые сведения об определенном физическом лице, в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, имущественное положение и другая информация.

Только для работы

В соответствии со ст. 85 Трудового кодекса РФ информация о работнике необходима работодателю, поскольку они связаны трудовыми отношениями. Работающий гражданин предоставляет свои персональные данные работодателю лишь в том объеме, который предусмотрен законами и необходим для его трудоустройства. Заметим, что руководство не вправе требовать от кандидата на вакансию предоставления каких-либо сведений, касающихся его частной жизни. Такие сведения можно получить лишь у самого работника или с его письменного согласия и при условии, что они имеют непосредственное отношение к трудовой деятельности.

Если какие-то сведения необходимо получить из других источников, организация должна поставить работника в известность об этом и заручиться его письменным согласием, а также разъяснить последствия при отказе дать такое согласие (п. 3 ст. 86 ТК РФ). Кроме того, письменное согласие сотрудника потребуется и на обработку биометрических персональных данных (например, на обработку фотографий работников), сведений о состоянии здоровья и некоторых других данных.

Работодатель не вправе сообщать персональную информацию о работнике кому бы то ни было без его письменного согласия, кроме предусмотренных законом случаев. При получении у сотрудника согласия на передачу его персональных данных третьим лицам руководство обязано разъяснить работнику цель такой передачи данных. Например, обработка персональных данных с целью добровольного медицинского страхования работника. Правда, отказ работника предоставить свои персональные данные страховой компании, осуществляющей дополнительное медицинское страхование, лишает работника возможности пользоваться услугами дополнительного страхования.

Примечание. Работодатель не вправе сообщать конфиденциальные сведения кому бы то ни было без письменного разрешения сотрудника, кроме предусмотренных законом случаев. "Добро" потребуется и на обработку биометрических персональных данных (например, фотографий), сведений о состоянии здоровья и проч.

Согласно ст. 86 ТК РФ работодатель должен за свой счет обеспечить защиту сведений о работнике от неправомерного использования другими лицами, в том числе путем введения определенного порядка обработки персональных данных, с которым каждый сотрудник компании должен быть ознакомлен под расписку. Как правило, порядок устанавливается локальным актом фирмы - положением или инструкцией о защите данных.

Примечание. Компания должна за свой счет обеспечить защиту данных работника от неправомерного использования другими лицами, в том числе путем введения определенного порядка обработки информации о сотрудниках.

Таким образом, работодатели нацелены на соблюдение законодательства о персональных данных и получение с каждого работника согласия на обработку их анкетных сведений в предусмотренных законом случаях.

Кто придет с проверкой?

Как уже говорилось выше, проверки относительно защиты персональных данных при их обработке проводятся в соответствии с Законом N 152-ФЗ "О персональных данных".

Уполномоченным органом по защите прав субъектов персональных данных, на который возложено обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, является Роскомнадзор. Много полезной информации можно найти на официальном портале персональных данных этого ведомства - www.pd.rsoc.ru. Там же вы найдете ежегодный план проверок: обычно он публикуется на сайте в январе - феврале и с ним можно ознакомиться на портале персональных данных (www.rsoc.ru/personal-data/portal). Кроме того, ведомство заранее в письменной форме информирует компанию о запланированной проверке. В извещении указываются дата проведения и продолжительность проверки, а также ее правовое обоснование.

К чему готовиться?

Чтобы выполнить те или иные требования, прежде всего следует знать об их существовании. Поэтому знание Закона "О персональных данных", его положений и требований является основополагающим. Время, необходимое для реализации на практике требований Закона и подготовки к проверке Роскомнадзором, оценить сложно, так как все зависит от организации дел в самой компании. Если на фирме внедрена система менеджмента или имеются ее основные элементы, выполняются требования трудового законодательства и кадрового учета, то реализовать требования Закона "О персональных данных" не составит труда.

Все работники компании должны участвовать во внедрении требований Закона "О персональных данных" и в подготовке к аудиту. Поэтому важно, чтобы люди были осведомлены: в организации проводятся изменения, внедряются определенные процедуры. Члены коллектива должны сознавать свою значимость и степень личного участия в общем деле.

Безусловно, основная нагрузка при подготовке к аудиту ляжет на отдел по работе с персоналом, хотя активное участие также должны принимать руководители тех подразделений, которые имеют отношение к обработке личной информации сотрудников.
Главная проблема, с которой наверняка столкнется компания при подготовке к аудиту, - дефицит свободного времени у сотрудников.
Аудит в нашей компании проходил в два этапа. На первом этапе в Роскомнадзор на основании его официального запроса были представлены копии внутренних нормативных документов компании для документарной проверки off-site.

Второй этап аудита проводился непосредственно в офисе группой аудиторов из контролирующего ведомства. В ходе проверки ими были просмотрены:
- учредительные документы компании;
- содержание уведомления об обработке персональных данных для реестра операторов;
- наличие и актуальность нормативно-распорядительных актов, определяющих допуск к персональным данным, ответственность и полномочия работников при их обработке;
- наличие письменных инструкций, регламентирующих обработку персональных данных;
- условия хранения носителей информации, содержащей персональные данные, и доступ к ним;
- мероприятия и методы физической и логической защиты персональных данных;
- наличие согласия субъектов персональных данных на обработку информации о них.
По результатам аудита Роскомнадзором был составлен Акт проверки, в котором ведомство сформулировало выводы относительно соблюдения требований Закона N 152-ФЗ "О персональных данных".


В.Гончарова
Менеджер по качеству
компании Intercomp Global Services

Е.Павлова
Руководитель группы юридических услуг
компании Intercomp Global Services

    
Другие новости по теме:
  • Какие персональные данные работодатель имеет право запросить у работника
  • Обработка персональных данных: оформление согласия и его отзыв
  • Согласие на обработку персональных данных ОБРАЗЕЦ
  • Дворкович: новых переносов сроков закона "О персональных данных" не будет
  • Отзыв согласия на обработку персональных данных ОБРАЗЕЦ
  • Разработка положения о защите персональных данных: что необходимо учесть?
  • {mtn}