С персональными данными работника

6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:

а) замечание;

б) выговор;

в) предупреждение о неполном должностном соответствии;

г) освобождение от занимаемой должности;

д) увольнение.

6.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

6.3. Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.

6.4. Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.

Разработаны и рекомендованы к применению стандарты по защите информации, отнесенной к персональным данным, банковской и коммерческой тайнам.

ЦБ РФ совместно с Ассоциацией российских банков (при участии АРБР) разработали отраслевые документы по приведению деятельности организаций банковской системы РФ в соответствие с требованиями законодательства в области персональных данных.

Они включают в себя комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (Комплекс БР ИББС), которые позволяют организациям, работающим в банковской системе России, выполнять требования Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных». Документы согласованы ФСБ России, Роскомнадзором, ФСТЭК России.

 

	)
Что проверяет прокуратура в отделе кадров

 

О выездной проверке Проверка в организации порядка обработки персональных данных проводится в соответствии с Федеральными законами от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в ред. от 26.04.2010; далее — Федеральный закон № 294-ФЗ) и от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 27.12.2009), а также главой 14 ТК РФ. Из содержания вопроса следует, что вам предстоит «пережить» выездную проверку (ее порядок определяется ст. 12 Федерального закона № 294-ФЗ), которая может проводиться как в плановом, так и во внеплановом порядке. Персональные данные работника — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (в данном случае — о работнике). Обработка персональных данных — действия (операции) с персональными данными, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Уточним, что предметом плановой проверки является соблюдение работодателем (юридическим лицом, индивидуальным предпринимателем) в процессе осуществления деятельности обязательных требований (в данном случае) к обработке персональных данных. При проведении внеплановой проверки первоочередное внимание уделяется недостаткам, выявленным в ходе предшествующей проверки (проверяется, насколько полно и своевременно они были устранены). Порядок проведения плановой проверки О проведении плановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии соответствующего приказа (распоряжения) руководителя (заместителя руководителя) органа государственного (муниципального) контроля (надзора) — заказным почтовым отправлением с уведомлением о вручении или иным доступным способом. О проведении внеплановой выездной проверки (за исключением внеплановой выездной проверки, основания проведения которой указаны в п. 2 ч. 2 ст. 10 Федерального закона № 294-ФЗ) юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного (муниципального) контроля (надзора) не менее чем за 24 часа до начала ее проведения любым доступным способом. Выездная проверка начинается с предъявления проверяющим руководителю (лицу, его замещающему) проверяемой организации служебного удостоверения и приказа (распоряжения) руководителя проверяющего (контрольного, надзорного) органа о назначении выездной проверки. Заверенная печатью копия приказа (распоряжения), если она не была получена юридическим лицом (индивидуальным предпринимателем) ранее, вручается под роспись одновременно с предъявлением служебных удостоверений. Непосредственно после этого проверяющий должен ознакомить руководителя (лицо, его замещающее) проверяемой организации: • с полномочиями проверяющего (проверяющих); • с целями, задачами, основаниями проведения выездной проверки; • с видами и объемом проверочных мероприятий; • со сроками и условиями проведения проверки (проверочных мероприятий); В большинстве случаев продолжительность проверки не может превышать 20 рабочих дней. • с составом экспертов (представителями экспертных организаций), если таковые привлекаются к выездной проверке. По просьбе руководителя (лица, его замещающего) предприятия проверяющий обязан ознакомить его с административными регламентами проведения проверочных мероприятий и порядком их проведения на объектах предприятия. Со своей стороны, руководитель (лицо, его замещающее) предприятия обязан предоставить проверяющим: • возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, — в данном случае относящимися к организации обработки персональных данных (см. ниже); • доступ на территорию и в соответствующие здания (помещения) предприятия (к примеру, в здание управления предприятия, помещения отдела кадров и пр.). Организация обработки персональных данных работодателем (юридическим лицом или индивидуальным предпринимателем) регламентируется соответствующим локальным нормативным актом, например: Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом (далее — ЛНА) под роспись — как правило, перед подписанием трудового договора (либо при вступлении ЛНА в действие). Следовательно, в первую очередь проверяющий пожелает узнать: 1) имеется ли у работодателя ЛНА, регламентирующий организацию обработки персональных данных; 2) ознакомлены ли с ЛНА все работники организации. Работников (их представителей) необходимо ознакомить под роспись с документами работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области (ст. 86 ТК РФ). Ознакомление работников с ЛНА под роспись обычно оформляется либо в специальной книге (журнале), либо в листе-приложении к этому документу или к трудовому договору. Кроме того, при проверке выполнения требований нормативных правовых, а также действующих у данного работодателя локальных нормативных актов по организации обработки персональных данных основное внимание проверяющих будет обращено на следующие вопросы: 1) производится ли обработка персональных данных работников исключительно в целях обеспечения соблюдения нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой ими работы и обеспечения сохранности имущества работодателя; Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Однако в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника — но только с письменного согласия последнего. Кроме того, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами. 2) выполняется ли требование федерального законодательства о порядке получения персональных данных работников (см. ниже); 3) соблюдается ли порядок принятия решений, затрагивающих интересы работников, в части обоснования таких решений не только персональными данными, полученными исключительно в результате их автоматизированной обработки (электронного получения), но и иными разрешенными к применению методами (способами), например при принятии решений о переводе на другую работу, о прекращении трудового договора и пр.; 4) за счет каких средств обеспечивается защита персональных данных от неправомерного использования (утраты); 5) обеспечено ли право работников на сохранение и защиту тайны (в части, относящейся к персональным данным); 6) участвуют ли работники (их представители) в выработке мер, направленных на защиту персональных данных. В частности, для проверки соблюдения работодателем порядка получения персональных данных работников проверяющий вправе запросить для ознакомления: 1) переписку работодателя по вопросам обработки персональных данных; 2) письменные заявления работников с выражением согласия на обработку персональных данных (в том числе на получение таких данных от третьих лиц и передачу их третьим лицам). Персональные данные о работнике следует получать непосредственно у него самого. Если персональные данные работника можно получить только у третьей стороны, то работника следует уведомить об этом заранее и от него необходимо получить письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Несомненно, проверяющий обратит внимание и на то, как выполняются требования к обработке персональных данных в повседневной деятельности уполномоченными должностными лицами (в общем случае — работниками отдела кадров). Отметим, что право должностных лиц (работников) на обработку персональных данных (в более широком смысле — на доступ к персональным данным) нужно зафиксировать в соответствующем ЛНА работодателя, а также при необходимости (дополнительно, на факультативной основе) в следующих документах: • трудовых договорах; • должностных инструкциях; • инструкциях по видам деятельности; • приказах (о назначении на должность и по отдельным вопросам организации обработки персональных данных). К тому же проверке подлежит организация хранения персональных данных (содержащих их документов). Учитывая, что хранение персональных данных в настоящее время осуществляется не только в традиционном (бумажном), но и в электронном виде, следует ожидать и проверки информационной системы, применяемой работодателем для обработки (в том числе хранения) персональных данных. Скорее всего, к выполнению этой части проверочных мероприятий проверяющим будет привлечен эксперт (специалист по информационным технологиям), для которого наибольший интерес будут представлять следующие вопросы: 1) какой класс присвоен информационной системе, насколько это обосновано (см. в этой связи Порядок проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20); 2) какие методы и способы защиты персональных данных (с учетом класса информационной системы) (см. в этой связи Положение о методах и способах защиты информации в информационных системах персональных данных (приложение к приказу Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58) применяются, позволяют ли они обеспечить надежную защиту от несанкционированного доступа или утраты? Кроме того, проверяющий, несомненно, обратит внимание на то, насколько соответствуют целям обеспечения защиты персональных данных помещения и рабочие места, в (на) которых выполняется их обработка. Как правило, доступ в эти помещения (обособленные части (зоны) помещений) должны иметь только лица (работники), допущенные к обработке персональных данных. Помещения следует защитить от проникновения в них посторонних лиц, они должны быть оборудованы сигнализацией, а также надежными средствами хранения. Соответствующие средства защиты должны иметь и установленные на рабочих местах средства программно-технической обработки персональных данных. Оформление результатов проверки По результатам проверки составляется акт, в котором указываются: 1) дата, время и место составления акта проверки; 2) наименование проверяющего органа; 3) дата и номер приказа (распоряжения) о назначении проверки; 4) фамилии, имена, отчества и должности проверяющих; 5) наименование проверяемой организации, а также фамилия, имя, отчество и должность его руководителя (лица, его замещающего); 6) дата, время, продолжительность и место проведения проверки; 7) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований к обращению с персональными данными, их характере и о лицах, допустивших указанные нарушения; 8) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя (лица, его замещающего) организации, о наличии его подписи или об отказе от совершения подписи; 9) сведения о внесении в журнал учета проверок организации записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у предприятия указанного журнала; 10) подпись (подписи) проверяющего (проверяющих). К акту могут прилагаться связанные с результатами проверки документы (их копии). Один экземпляр акта вручается руководителю (лицу, его замещающему) организации.