Защита личности: закон о защите персональных данных в 2010

Виктория Гончарова, Евгения Павлова

03.11.2010. Журнал "Расчет"

Закон о защите персональных данных вступил в силу еще в 2006 году, но только недавно контролирующие органы начали проводить проверки и выяснять, насколько информация о сотрудниках защищена по месту их работы. Сотрудники компании Intercomp Global Services Виктория Гончарова – менеджер по качеству, и Евгения Павлова – руководитель группы юридических услуг, рассказали, к чему нужно быть готовыми организациям при подготовке к проверке.

Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», вступивший в силу 26 января 2007 года, действует наряду с другими нормативно-правовыми актами, регулирующими защиту информации и персональных данных физических лиц, в том числе ТК РФ.

Согласно статье 3 нового закона «О персональных данных» к таковым относятся любые сведения об определенном физическом лице, в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, имущественное положение и другая информация.


Только для работы

В соответствии со статьей 85 Трудового кодекса РФ информация о работнике необходима работодателю, поскольку они связаны трудовыми отношениями. Работающий гражданин предоставляет свои персональные данные работодателю лишь в том объеме, который предусмотрен законами и необходим для его трудоустройства. Заметим что руководство не вправе требовать от кандидата на вакансию предоставления каких-либо сведений, касающихся его частной жизни. Такие сведения можно получить лишь у самого работника или с его письменного согласия и при условии, что они имеют непосредственное отношение к трудовой деятельности.

Если какие-то сведения необходимо получить из других источников, организация должна поставить работника в известность об этом и заручиться его письменным согласием, а также разъяснить последствия при отказе дать такое согласие (п. 3 ст. 86 ТК РФ). Кроме того, письменное согласие сотрудника потребуется и на обработку биометрических персональных данных (например, на обработку фотографий работников), сведений о состоянии здоровья и некоторых других данных.

Работодатель не вправе сообщать персональную информацию о работнике кому бы то ни было без его письменного согласия, кроме предусмотренных законом случаев. При получении у сотрудника согласия на передачу его персональных данных третьим лицам руководство обязано разъяснить работнику цель такой передачи данных. Например, обработка персональных данных с целью добровольного медицинского страхования работника. Правда, отказ работника предоставить свои персональные данные страховой компании, осуществляющей дополнительное медицинское страхование, лишает работника возможности пользоваться услугами дополнительного страхования.

Согласно статье 86 ТК РФ работодатель должен за свой счет обеспечить защиту сведений о работнике от неправомерного использования другими лицами, в том числе путем введения определенного порядка обработки персональных данных, с которым каждый сотрудник компании должен быть ознакомлен под расписку. Как правило, порядок устанавливается локальным актом фирмы – положением или инструкцией о защите данных. Таким образом, работодатели нацелены на соблюдение законодательства о персональных данных и получение с каждого работника согласия на обработку их анкетных сведений в предусмотренных законом случаях.

Компания должна за свой счет обеспечить защиту данных работника от неправомерного использования другими лицами, в том числе путем введения определенного порядка обработки информации о сотрудниках.


Кто придет с проверкой?

Как уже говорилось выше, проверки относительно защиты персональных данных при их обработке проводятся в соответствии с Законом № 152-ФЗ «О персональных данных».

Уполномоченным органом по защите прав субъектов персональных данных, на который возложено обеспечение контроля и надзора за соответствием обработки персональных данных требованиям федерального закона, является Роскомнадзор. Много полезной информации можно найти на официальном портале персональных данных этого ведомства – www.pd.rsoc.ru.

Там же вы найдете ежегодный план проверок: обычно он публикуется на сайте в январе-феврале и с ним можно ознакомиться на портале персональных данных (www.rsoc.ru/personaldata/portal). Кроме того, ведомство заранее в письменной форме информирует компанию о запланированной проверке. В извещении указываются дата проведения и продолжительность проверки, а также ее правовое обоснование.


К чему готовиться?

Чтобы выполнить те или иные требования, прежде всего следует знать об их существовании. Поэтому знание закона «О персональных данных», его положений и требований является основополагающим. Время, необходимое для реализации на практике требований закона и подготовки к проверке Роскомнадзором, оценить сложно, так как все зависит от организации дел в самой компании. Если на фирме внедрена система менеджмента или имеются ее основные элементы, выполняются требования трудового законодательства и кадрового учета, то реализовать требования закона «О персональных данных» не составит труда.

Все работники компании должны участвовать во внедрении требований закона «О персональных данных» и в подготовке к аудиту. Поэтому важно, чтобы люди были осведомлены: в организации проводятся изменения, внедряются определенные процедуры. Члены коллектива должны сознавать свою значимость и степень личного участия в общем деле.

Безусловно, основная нагрузка при подготовке к аудиту ляжет на отдел по работе с персоналом, хотя активное участие также должны принимать руководители тех подразделений, которые имеют отношение к обработке личной информации сотрудников.

Работодатель не вправе сообщать конфиденциальные сведения кому бы то ни было без письменного разрешения сотрудника, кроме предусмотренных законом случаев. «Добро» потребуется и на обработку биометрических персональных данных (например, фотографий), сведений о состоянии здоровья и проч.

Главная проблема, с которой наверняка столкнется компания при подготовке к аудиту, – дефицит свободного времени у сотрудников.

Аудит в нашей компании проходил в два этапа. На первом этапе в Роскомнадзор, на основании его официального запроса, были представлены копии внутренних нормативных документов компании для документарной проверки off-site.

Второй этап аудита проводился непосредственно в офисе группой аудиторов из контролирующего ведомства. В ходе проверки ими были просмотрены:

учредительные документы компании;
содержание уведомления об обработке персональных данных для реестра операторов;
наличие и актуальность нормативно-распорядительных актов, определяющих допуск к персональным данным, ответственность и полномочия работников при их обработке;
наличие письменных инструкций, регламентирующих обработку персональных данных;
условия хранения носителей информации, содержащей персональные данные, и доступ к ним;
мероприятия и методы физической и логической защиты персональных данных;
наличие согласия субъектов персональных данных на обработку информации о них.


По результатам аудита Роскомнадзором был составлен «Акт проверки», в котором ведомство сформулировало выводы относительно соблюдения требований Закона № 152-ФЗ «О персональных данных».

Что конкретно необходимо предпринять, намереваясь пройти проверку персональных данных, мы рассмотрим в следующем номере «Расчета».

Источник:
Журнал "Расчет"