ГЕНЕРАЛЬНАЯ

ПРОКУРАТУРА РОССИЙСКОЙ ФЕДЕРАЦИИ

22.11.2013 № 506

Об утверждении и введении в действие Инструкции о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора

В соответствии с Федеральным законом от 23.07.2013 № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных», руководствуясь ст. 17 Федерального закона «О прокуратуре Российской Федерации»,

П Р И К А З Ы В А Ю:

1. Утвердить и ввести в действие прилагаемую Инструкцию о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора (далее - Инструкция).

2. Заместителям Генерального прокурора Российской Федерации, начальникам главных управлений, управлений и отделов Генеральной прокуратуры Российской Федерации, прокурорам субъектов Российской Федерации, городов и районов, другим территориальным, приравненным к ним военным прокурорам и прокурорам иных специализированных прокуратур организовать изучение Инструкции прокурорскими работниками и государственными гражданскими служащими органов прокуратуры Российской Федерации.

3. Обеспечить обработку и защиту персональных данных, полученных в связи с осуществлением прокурорского надзора, в строгом соответствии с требованиями Конституции Российской Федерации, федеральных законов от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации», от 27.07.2006 № 152-ФЗ «О персональных данных», от 25.12.2008 № 27Э-ФЗ «О противодействии коррупции», от 21.11.2011 № 323-ФЭ «Об основах охраны здоровья граждан в Российской Федерации» и Инструкции.

4. Работу по обработке персональных данных, полученных в связи с осуществлением прокурорского надзора, подчинить решению задач обеспечения защиты прав и свобод человека и гражданина, укрепления законности и правопорядка.

6. Контроль за исполнением приказа возложить на заместителей Генерального прокурора Российской Федерации по направлениям деятельности.

Приказ направить заместителям Генерального прокурора Российской Федерации, начальникам главных управлений и управлений Генеральной прокуратуры Российской Федерации, прокурорам субъектов Российской Федерации, приравненным к ним военным прокурорам и прокурорам иных специализированных прокуратур, ректору Академии Генеральной прокуратуры Российской Федерации, которым довести его содержание до сведения подчиненных работников.

Генеральный прокурор
Российской Федерации

действительный государственный
советник юстиции

Ю.Я.Чайка

УТВЕРЖДЕНА
приказом
Генерального прокурора
Российской Федерации
от 22.11.2013 №506

Инструкция о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии со ст. 4 Федерального закона от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации», федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 21.11.2011 № 323-ФЭ «Об основах охраны здоровья граждан в Российской Федерации», иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.

1.2. Инструкция регламентирует единый порядок обработки персональных данных в органах прокуратуры Российской Федерации при осуществлении прокурорского надзора, реализации прокурорами полномочий, предусмотренных Федеральным законом от 03.12.2012 № 230-ФЭ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам», а также другими законодательными актами Российской Федерации, содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.

1.3. Персональными данными в настоящей Инструкции признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), получаемая в связи с осуществлением прокурорского надзора, реализацией прокурорами иных полномочий, предусмотренных законодательством Российской Федерации.

При осуществлении установленных законодательством Российской Федерации полномочий прокуроры вправе получать следующую информацию о субъекте персональных данных:

1) анкетные и биографические данные, включая адрес места жительства и проживания;

2) сведения о гражданстве, паспортные данные или данные иного документа, удостоверяющего личность и гражданство (включая серию, номер, дату выдачи, наименование органа, выдавшего документ);

3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;

4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;

5) сведения о составе семьи и наличии иждивенцев, о месте работы или учебы членов семьи;

6) сведения о состоянии здоровья и наличии заболеваний, о нахождении на различных медицинских учетах;

7) сведения об отношении к воинской обязанности;

8) сведения о доходах, расходах, налоговых обязательствах и иных обязательствах имущественного характера;

9) сведения об идентификационном номере налогоплательщика;

10) сведения о социальных льготах и о социальном статусе;

11) сведения о судимости, о привлечении к уголовной, административной или иного вида ответственности;

12) сведения об имуществе (недвижимости, транспортных средствах и др.);

13) сведения о предпринимательской деятельности субъекта персональных данных и членов его семьи;

14) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера и иные персональные данные лиц, на которых распространяются обязанности, предусмотренные ст. 8 Федерального закона от 25.12.2008 № 273-ФЗ «О противодействии коррупции» и иными правовыми актами Российской Федерации (в том числе сведения о доходах, расходах, об имуществе и обязательствах имущественного характера и иные персональные данные их супругов и несовершеннолетних детей);

15) персональные данные лиц, на которых распространяются установленные законодательством о противодействии коррупции запреты, ограничения и обязанности;

16) персональные данные иных лиц в целях выявления правонарушений (в том числе нарушений законодательства о противодействии коррупции);

17) иные персональные данные, необходимые для целей осуществления прокурорского надзора.

1.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. Вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, в настоящей Инструкции не рассматриваются и регулируются законодательством о государственной тайне.

1.6. Порядок обращения в органах и учреждениях прокуратуры Российской Федерации со служебной информацией ограниченного доступа регулируется соответствующим Положением, утвержденным приказом Генерального прокурора Российской Федерации от 27.04.2011 № 111.

2. Порядок обработки персональных данных

2.1. Получение персональных данных осуществляется в соответствии с федеральными законами, нормативными правовыми актами Российской Федерации в области противодействия коррупции, а также организационно - распорядительными документами Генерального прокурора Российской Федерации.

2.2. Запросы о представлении персональных данных вправе подписывать Генеральный прокурор Российской Федерации, его заместители, начальники главных управлений и управлений Генеральной прокуратуры Российской Федерации, прокуроры субъектов Российской Федерации, приравненные к ним военные прокуроры, прокуроры иных специализированных прокуратур и их заместители, а также прокуроры городов и районов, другие территориальные, приравненные к ним военные прокуроры, прокуроры иных специализированных прокуратур и их заместители.

Персональные данные могут быть получены прокурорами непосредственно при реализации полномочий, предоставленных федеральными законами, нормативными правовыми актами Российской Федерации в области противодействия коррупции, иными нормативными правовыми актами Российской Федерации.

2.3. Основанием для запроса персональных данных является проведение проверки в связи с поступившей в органы прокуратуры информации о фактах нарушения законов, требующих принятия мер прокурором, а также реализация плановых и иных проверочных мероприятий.

2.4. Обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Рассмотрение запросов субъектов персональных данных или их представителей

3.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей сведения:

1) о подтверждении факта обработки персональных данных в органах прокуратуры;

2) о правовых основаниях и целях обработки персональных данных;

3) о применяемых в органах прокуратуры способах обработки персональных данных;

4) о наименовании и месте нахождения прокуратуры, о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;

5) об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, об источнике их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) о сроках обработки персональных данных, в том числе сроках их хранения в органе прокуратуры;

7) о порядке осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

8) об осуществленной или предполагаемой трансграничной передаче данных;

9) о наименовании организации или лице (фамилия, имя, отчество и адрес), осуществляющем обработку персональных данных по поручению органа прокуратуры, если обработка поручена или будет поручена такой организации или лицу;

10) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.

3.2. Субъекты персональных данных вправе требовать от органа прокуратуры уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.3. Сведения, указанные в подпунктах 1-10 пункта 3.1 настоящей Инструкции, должны быть представлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3.4. Сведения, указанные в подпунктах 1-10 пункта 3.1 настоящей Инструкции, представляются субъекту персональных данных или его представителю уполномоченным должностным лицом органа прокуратуры, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

сведения, подтверждающие факт обработки персональных данных в органе прокуратуры, подпись субъекта персональных данных или его представителя.

3.5. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

4. Организация работы по обеспечению безопасности персональных данных в органах прокуратуры Российской Федерации

4.1. Прокурорские работники и государственные гражданские служащие органов прокуратуры, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.2. В случае достижения целей обработки персональных данных прокурорские работники и государственные гражданские служащие органов прокуратуры обязаны передать материалы, содержащие персональные данные, в службу делопроизводства в соответствии с Инструкцией по делопроизводству в органах и учреждениях прокуратуры Российской Федерации, утвержденной приказом Генерального прокурора Российской Федерации от 29.12.2011 № 450.

4.3. Прокурорские работники и государственные гражданские служащие органов прокуратуры при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.4. Структурным подразделением прокуратуры, ответственным за документооборот и архивирование, в соответствии с Инструкцией по делопроизводству в органах и учреждениях прокуратуры Российской Федерации, утвержденной приказом Генерального прокурора Российской Федерации от 29.12.2011 № 450, осуществляются систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению, и последующее их уничтожение.

5. Лица, ответственные за организацию обработки персональных данных, полученных в связи с осуществлением прокурорского надзора

5.1. Лица, ответственные в органах прокуратуры за организацию обработки персональных данных, полученных в связи с осуществлением прокурорского надзора, назначаются отдельным приказом из числа прокурорских работников и государственных гражданских служащих в соответствии с распределением обязанностей.

5.2. Ответственные за обработку персональных данных в своей работе руководствуются законодательством Российской Федерации в области персональных данных и настоящей Инструкцией.

5.3. Ответственные за обработку персональных данных, полученных в связи с осуществлением прокурорского надзора, обязаны:

1) осуществлять внутренний контроль за соблюдением прокурорскими работниками и государственными гражданскими служащими органов прокуратуры требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения прокурорских работников и государственных гражданских служащих органов прокуратуры положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в органах прокуратуры;

4) в случае нарушения в органах прокуратуры требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

5.4. Ответственный за обработку персональных данных вправе иметь доступ к информации, касающейся обработки персональных данных, полученных в связи с осуществлением прокурорского надзора в органах прокуратуры, включающей:

1) цели обработки персональных данных;

4) правовые основания обработки персональных данных;

5) перечень действий с персональными данными, общее описание используемых в органах прокуратуры способов обработки персональных данных, полученных в связи с осуществлением прокурорского надзора;

6) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7) дату начала обработки персональных данных, полученных в связи с осуществлением прокурорского надзора;

8) срок или условия прекращения обработки персональных данных;

9) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Он также имеет право привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в органах прокуратуры, иных прокурорских работников и государственных гражданских служащих органов прокуратуры с возложением на них соответствующих обязанностей и закреплением ответственности.

5.5. Ответственный в органе прокуратуры за обработку персональных данных, полученных в связи с осуществлением прокурорского надзора, несет ответственность за надлежащее выполнение возложенных на него функций по организации обработки указанных персональных данных в соответствии с положениями законодательства Российской Федерации в области персональных данных.

Имеющая непосредственное отношение к физическому лицу . Под предоставлением этих данных подразумеваются действия, направленные на выдачу подобной ограниченной информации одному или нескольким лицам.

Получение подобного запроса может произойти как от организаций, представляющих трудовое законодательство (налоговые органы, пенсионный фонд и т.д), так и от представителей полиции или прокуратуры. Последний случай объясняется участием в уголовном или административном процессе. При этом согласие гражданина на предоставление этих сведений не требуется.

Правила рассмотрения обращений от субъектов или их представителей

Рассмотрение названных обращений называется — регламентом по реагированию на запросы или их представителей и занимается ими начальник, заместитель или уполномоченное должностное лицо, в число обязанностей которых входит . Данные должностные лица обеспечивают:

1. Своевременное, объективное и всестороннее рассмотрение документа.
2. Отправку ответов в письменной форме по существу запроса.
3. Принятие мер для восстановления или защиты нарушенных прав и интересов субъекта.
4. Все поступающиеся запросы фиксируются в день поступления. На бумагах ставится штамп с указанием даты и входящего номера.

Документ прочитывается и проверяется на повторность. В некоторых случаях сверяется с прошлой перепиской (если таковая есть). При наличии обращений в прошлом, запрос может быть повторен спустя 30 дней после последнего обращения.

После прохождения регистрации запросы отправляются руководителю компании или его заместителю, которым определяется срок и порядок рассмотрения. После чего даются указания исполнителям.

Во время рассмотрения запроса должностным лицам следует :

При отказе в предоставлении указанной в обращении информации о выбранном субъекте, уполномоченные должностные лица должны предоставить мотивированный ответ в письменной форме со ссылкой на часть 8 ст. 14 Федерального закона или иного закона, который может послужить основание для отказа, в течении 30 дней со дня обращения или с даты получения запроса.

Кому можно предоставлять личные сведения?

Получить названные сведения на основе законодательства имеют право:

• Фонд социального страхования РФ.
• Налоговые органы.
• Федеральная инспекция труда.
• Пенсионный фонд РФ.
• Иные органы государственного контроля и надзора за выполнением трудового законодательства.

В этих случаях не требуется получения нового согласия со стороны субъекта, кроме того, что было предоставлено работодателю.

Имеют ли право их запрашивать определенные органы и какие?

В пункте выше уже были указаны организации, которые по закону имеют право на получение информации. Однако существуют другие лица и организации, которые могут затребовать персональные сведения .

Адвокаты

Названные лица имеют право запрашивать любые данные, значимые для дела:

• Справки от уполномоченных лиц.
• Сведения о деятельности гражданина.
• Характеристики.

Но не вся информация подлежит разглашению. Адвокат может получить отказ в следующих случаях:

• Лицо, к которому поступил запрос, не обладает этими документами.
• Нарушены требования по форме запроса.
• Сведения имеют ограниченный доступ (коммерческие, государственные или личные тайны).

Также адвокат не имеет права требовать информацию о персональных данных, за исключением случаев, когда на это дается официальное согласие.

Сотрудники полиции

В соответствии с п.4 ч.1 ст.13 Федерального закона от 07.02.2011 «О Полиции» , сотрудник имеет право при расследовании уголовных дел или административных правонарушений, а также при проверке заявлений о возможных нарушениях, запрашивать и получать персональные данные граждан на безвозмездной основе. Подобные обращения должны быть мотивированы. При передаче этих персональных данных работникам полиции по их запросу, согласие самих граждан не нужно.

Следователи прокуратуры

В была дополнена пунктом, который расширяет права организации на получение доступа к информации, в число которой входят и . Обработка поступивших данных в установленных законом РФ случаях проводится органами прокураторы из-за осуществления прокурорского надзора.

Это документ должен составляться в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» . В документе следует указать следующую информацию :

• ФИО субъекта, сведения о котором необходимо предоставить, или его официального представителя.
• Номер документа, удостоверяющего личность человека, дата получения и орган, который его выдал.
• Дата написания запроса и подпись 3-й стороны, т.е тех от кого он исходит.

Составление документа выполняется по следующему алгоритму:

1. Прописывается шапка запроса (с указанием того, кто направляет документ и его идентификационные данные).
2. Кому предназначается данный запрос (наименование и адрес организации).
3. Содержание (указываются причины, по которым требуется предоставить выбранные сведения и их обоснование в соответствии с фактами и законодательством).
4. Подпись и печать отправляющего органа.

Ответное обращение

В ответ на поступивший запрос требуется составить ответное обращение , в котором должна содержаться следующая информация:

1. Название органа, от которого поступил запрос.
2. Наименование и адрес оператора.
3. Гражданство сотрудника, чьи данные были затребованы.
4. ФИО, паспортные данные субъекта, адрес регистрации.
5. Занимаемая должность.
6. Сведения о трудовой деятельности в соответствии с отметками в трудовой книге (прилагаемые номера приказов также записываются).

Во время отправления ответа нельзя нарушать передаваемой информации, поэтому бланк с соответствующими сведениями должен заполняться и отправлять уполномоченным лицом – оператором.

Получить персональную информацию могут многие законодательные органы без предварительного разрешения со стороны субъекта . Причиной этому может служить участие в уголовном или административном процессе. Также многие организации, связанные с трудовым законодательством, имеют право запрашивать эти данные у работодателя.

У нас запросили данные для прокуратуры по штатному расписанию, где просят указать, должность работника,ФИО, адрес и телефон. Не противоречить ли это закону о защите персональных данных работника.

нет, не противоречит.

Закон о персональных данных содержит специальную оговорку, предусматривающую возможность передачи персональной информации органам прокуратуры, в связи с осуществлением ими прокурорского надзора, оперативно-розыскных мероприятий или в связи с осуществлением правосудия (п. 2 ст. 10 Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

Обоснование данной позиции приведено ниже в материалах Системы Главбух

1. Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»

«Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);*

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности*, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора*;

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом».

2. Закон от 17.01.1992 N 2202-1 «О прокуратуре Российской Федерации»

«Статья 6. Обязательность исполнения требований прокурора

1. Требования прокурора, вытекающие из его полномочий, перечисленных в статьях 9.1, 22, 27, 30 и 33 настоящего Федерального закона, подлежат безусловному исполнению в установленный срок.

2. Статистическая и иная информация, справки, документы и их копии, необходимые при осуществлении возложенных на органы прокуратуры функций, представляются по требованию прокурора безвозмездно.

3. Неисполнение требований прокурора, вытекающих из его полномочий, а также уклонение от явки по его вызову влечет за собой установленную законом ответственность*.

Статья 22. Полномочия прокурора

1. Прокурор при осуществлении возложенных на него функций вправе:

по предъявлении служебного удостоверения беспрепятственно входить на территории и в помещения органов, указанных в пункте 1 статьи 21 настоящего Федерального закона, иметь доступ к их документам и материалам, проверять исполнение законов в связи с поступившей в органы прокуратуры информацией о фактах нарушения закона;

требовать от руководителей и других должностных лиц указанных органов представления необходимых документов, материалов, статистических и иных сведений; выделения специалистов для выяснения возникших вопросов; проведения проверок по поступившим в органы прокуратуры материалам и обращениям, ревизий деятельности подконтрольных или подведомственных им организаций;

вызывать должностных лиц и граждан для объяснений по поводу нарушений законов»*.

С уважением,

Алла Пыжова, эксперт БСС «Система Главбух».

Ответ утвержден Варварой Абрамовой,

ведущим экспертом БСС «Система Главбух».

К нам в организацию скоро придет проверка из прокуратуры, которая будет проверять персональные данные. Скажите, как проходят такие проверки? Что конкретно требуют представить сотрудники прокуратуры?

О выездной проверке

Проверка в организации порядка обработки персональных данных проводится в соответствии с Федеральными законами от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в ред. от 26.04.2010; далее - Федеральный закон № 294-ФЗ) и от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 27.12.2009), а также главой 14 ТК РФ. Из содержания вопроса следует, что вам предстоит «пережить» выездную проверку (ее порядок определяется ст. 12 Федерального закона № 294-ФЗ), которая может проводиться как в плановом, так и во внеплановом порядке.

Персональные данные работника - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (в данном случае - о работнике).

Обработка персональных данных - действия (операции) с персональными данными, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Уточним, что предметом плановой проверки является соблюдение работодателем (юридическим лицом, индивидуальным предпринимателем) в процессе осуществления деятельности обязательных требований (в данном случае) к обработке персональных данных. При проведении внеплановой проверки первоочередное внимание уделяется недостаткам, выявленным в ходе предшествующей проверки (проверяется, насколько полно и своевременно они были устранены).

Порядок проведения плановой проверки

О проведении плановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии соответствующего приказа (распоряжения) руководителя (заместителя руководителя) органа государственного (муниципального) контроля (надзора) - заказным почтовым отправлением с уведомлением о вручении или иным доступным способом. О проведении внеплановой выездной проверки (за исключением внеплановой выездной проверки, основания проведения которой указаны в п. 2 ч. 2 ст. 10 Федерального закона № 294-ФЗ) юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного (муниципального) контроля (надзора) не менее чем за 24 часа до начала ее проведения любым доступным способом.

Выездная проверка начинается с предъявления проверяющим руководителю (лицу, его замещающему) проверяемой организации служебного удостоверения и приказа (распоряжения) руководителя проверяющего (контрольного, надзорного) органа о назначении выездной проверки. Заверенная печатью копия приказа (распоряжения), если она не была получена юридическим лицом (индивидуальным предпринимателем) ранее, вручается под роспись одновременно с предъявлением служебных удостоверений.

Непосредственно после этого проверяющий должен ознакомить руководителя (лицо, его замещающее) проверяемой организации:

С полномочиями проверяющего (проверяющих);

С целями, задачами, основаниями проведения выездной проверки;

С видами и объемом проверочных мероприятий;

Со сроками и условиями проведения проверки (проверочных мероприятий);

В большинстве случаев продолжительность проверки не может превышать 20 рабочих дней.

С составом экспертов (представителями экспертных организаций), если таковые привлекаются к выездной проверке.

По просьбе руководителя (лица, его замещающего) предприятия проверяющий обязан ознакомить его с административными регламентами проведения проверочных мероприятий и порядком их проведения на объектах предприятия. Со своей стороны, руководитель (лицо, его замещающее) предприятия обязан предоставить проверяющим:

Возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, - в данном случае относящимися к организации обработки персональных данных (см. ниже);

Доступ на территорию и в соответствующие здания (помещения) предприятия (к примеру, в здание управления предприятия, помещения отдела кадров и пр.).

Организация обработки персональных данных работодателем (юридическим лицом или индивидуальным предпринимателем) регламентируется соответствующим локальным нормативным актом, например: Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом (далее - ЛНА) под роспись - как правило, перед подписанием трудового договора (либо при вступлении ЛНА в действие). Следовательно, в первую очередь проверяющий пожелает узнать:

1) имеется ли у работодателя ЛНА, регламентирующий организацию обработки персональных данных;

2) ознакомлены ли с ЛНА все работники организации.

Работников (их представителей) необходимо ознакомить под роспись с документами работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области (ст. 86 ТК РФ).

Ознакомление работников с ЛНА под роспись обычно оформляется либо в специальной книге (журнале), либо в листе-приложении к этому документу или к трудовому договору.

Кроме того, при проверке выполнения требований нормативных правовых, а также действующих у данного работодателя локальных нормативных актов по организации обработки персональных данных основное внимание проверяющих будет обращено на следующие вопросы:

1) производится ли обработка персональных данных работников исключительно в целях обеспечения соблюдения нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой ими работы и обеспечения сохранности имущества работодателя;

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Однако в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника - но только с письменного согласия последнего. Кроме того, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

2) выполняется ли требование федерального законодательства о порядке получения персональных данных работников (см. ниже);

3) соблюдается ли порядок принятия решений, затрагивающих интересы работников, в части обоснования таких решений не только персональными данными, полученными исключительно в результате их автоматизированной обработки (электронного получения), но и иными разрешенными к применению методами (способами), например при принятии решений о переводе на другую работу, о прекращении трудового договора и пр.;

4) за счет каких средств обеспечивается защита персональных данных от неправомерного использования (утраты);

5) обеспечено ли право работников на сохранение и защиту тайны (в части, относящейся к персональным данным);

6) участвуют ли работники (их представители) в выработке мер, направленных на защиту персональных данных.

В частности, для проверки соблюдения работодателем порядка получения персональных данных работников проверяющий вправе запросить для ознакомления:

1) переписку работодателя по вопросам обработки персональных данных;

2) письменные заявления работников с выражением согласия на обработку персональных данных (в том числе на получение таких данных от третьих лиц и передачу их третьим лицам).

Персональные данные о работнике следует получать непосредственно у него самого. Если персональные данные работника можно получить только у третьей стороны, то работника следует уведомить об этом заранее и от него необходимо получить письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Несомненно, проверяющий обратит внимание и на то, как выполняются требования к обработке персональных данных в повседневной деятельности уполномоченными должностными лицами (в общем случае - работниками отдела кадров).

Отметим, что право должностных лиц (работников) на обработку персональных данных (в более широком смысле - на доступ к персональным данным) нужно зафиксировать в соответствующем ЛНА работодателя, а также при необходимости (дополнительно, на факультативной основе) в следующих документах:

Трудовых договорах;

Должностных инструкциях;

Инструкциях по видам деятельности;

Приказах (о назначении на должность и по отдельным вопросам организации обработки персональных данных).

К тому же проверке подлежит организация хранения персональных данных (содержащих их документов). Учитывая, что хранение персональных данных в настоящее время осуществляется не только в традиционном (бумажном), но и в электронном виде, следует ожидать и проверки информационной системы, применяемой работодателем для обработки (в том числе хранения) персональных данных. Скорее всего, к выполнению этой части проверочных мероприятий проверяющим будет привлечен эксперт (специалист по информационным технологиям), для которого наибольший интерес будут представлять следующие вопросы:

1) какой класс присвоен информационной системе, насколько это обосновано (см. в этой связи Порядок проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20);

2) какие методы и способы защиты персональных данных (с учетом класса информационной системы) (см. в этой связи Положение о методах и способах защиты информации в информационных системах персональных данных (приложение к приказу Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58) применяются, позволяют ли они обеспечить надежную защиту от несанкционированного доступа или утраты?

Кроме того, проверяющий, несомненно, обратит внимание на то, насколько соответствуют целям обеспечения защиты персональных данных помещения и рабочие места, в (на) которых выполняется их обработка. Как правило, доступ в эти помещения (обособленные части (зоны) помещений) должны иметь только лица (работники), допущенные к обработке персональных данных. Помещения следует защитить от проникновения в них посторонних лиц, они должны быть оборудованы сигнализацией, а также надежными средствами хранения. Соответствующие средства защиты должны иметь и установленные на рабочих местах средства программно-технической обработки персональных данных.

Оформление результатов проверки

По результатам проверки составляется акт, в котором указываются:

1) дата, время и место составления акта проверки;

2) наименование проверяющего органа;

3) дата и номер приказа (распоряжения) о назначении проверки;

4) фамилии, имена, отчества и должности проверяющих;

5) наименование проверяемой организации, а также фамилия, имя, отчество и должность его руководителя (лица, его замещающего);

6) дата, время, продолжительность и место проведения проверки;

7) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований к обращению с персональными данными, их характере и о лицах, допустивших указанные нарушения;

8) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя (лица, его замещающего) организации, о наличии его подписи или об отказе от совершения подписи;

9) сведения о внесении в журнал учета проверок организации записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у предприятия указанного журнала;

10) подпись (подписи) проверяющего (проверяющих).

К акту могут прилагаться связанные с результатами проверки документы (их копии).

Один экземпляр акта вручается руководителю (лицу, его замещающему) организации.

М. Ю. Рогожин,
эксперт

Правообладатель иллюстрации RIA Novosti Image caption Российские прокуроры получили дополнительные полномочия

Владимир Путин подписал закон, дающий органам прокуратуры практически неограниченный доступ к персональным данным граждан, в том числе к сведениям, составляющим врачебную тайну.

Документ был без особого шума и публичного обсуждения принят Госдумой 5 июля и спустя пять дней одобрен Советом Федерации.

Согласно внесенным поправкам в законы "О прокуратуре Российской Федерации", "О персональных данных" и "Об охране здоровья граждан в Российской Федерации" информация может предоставляться без согласия граждан или их полномочных представителей.

Российские СМИ в своих сообщениях сосредоточились почти исключительно на врачебной тайне, вероятно, из-за особой эмоциональной чувствительности этой сферы жизни. Между тем, судя по тексту закона, речь идет о неограниченном круге данных, а сведения медицинского характера - лишь частный случай.

Член Общественной палаты, адвокат Елена Лукьянова находит новый закон в его нынешнем виде противоречащим конституции.

"Согласно букве и духу Основного закона, права и свободы человека, в том числе право на частную жизнь и конфиденциальность персональных данных, могут ограничиваться только судом. Наделение такими полномочиями кого-либо еще неконституционно. Проблема в том, что у нас вообще достаточно плохо соблюдается конституция", - заявила юрист Русской службе Би-би-си.

Противоположные оценки

"Этого [судебной санкции] было вполне достаточно для того, чтобы тот или иной врач дал информацию о том или ином больном. Других оснований для того, чтобы раскрывать врачебную тайну, не должно быть", - заявила радиостанции "Коммерсант FM" главный врач московской клиники "Профессиональная медицина" Эркена Иманбаева.

"Если кто-то из прокурорских или полицейских работников решит проверить лечебную карточку больного или залезть в историю болезни просто из-за того, что ему любопытно, я считаю это вторжением в частную жизнь и абсолютно недопустимым", - добавила она.

Такие вещи могут решаться только судом Елена Лукьянова,
адвокат, член Общественной палаты РФ

Управляющий партнер адвокатского бюро "Корельский и партнеры" Андрей Корельский, напротив, полагает, что новый закон защищает пациентов, облегчая расследование злоупотреблений со стороны медиков и врачебных ошибок.

"Очень часто медицинские учреждения, когда возникают различные вопросы, связанные с ответственностью за совершение тех или иных манипуляций со здоровьем граждан, пытаются ссылаться на врачебную тайну и не предоставлять информацию, всячески противодействуя правоохранительным органам при раскрытии преступлений", - говорит он.

Безразмерные полномочия

В новом законе определен круг органов, уполномоченных запрашивать персональные данные: суды при рассмотрении дел; органы следствия и дознания в ходе расследования; прокуратура в порядке надзора; подразделения Федеральной службы исполнения наказаний в отношении осужденных и условно освобожденных.

Российские прокуроры наделены огромными правами. В отличие от коллег в подавляющем большинстве стран, они не только борются с преступностью, но и осуществляют в инициативном порядке так называемый общий надзор практически над всем, включая, например, соблюдение правил техники безопасности на производстве или качество пищевых продуктов.

Получается, что закон наделяет прокуратуру неограниченным правом получать персональные данные без всякого формального повода. Не нужно ни факта преступления, ни возбуждения уголовного дела. Захотели - и истребовали.

"Такие вещи могут решаться только судом", - настаивает Елена Лукьянова.

Впрочем, по мнению юриста, в России и судебная власть не может рассматриваться в качестве надежного гаранта прав граждан.

"Постепенное сужение контрольных функций прокуратуры за последние 20 лет, особенно после отделения от нее Следственного комитета, в ряде случаев дает отрицательный эффект, оборачиваясь вынесением неправосудных приговоров и увеличением числа заказных дел. Ситуация сложная и неоднозначная, специфическая для нашей страны", - говорит она.

Мировая практика

Законы США не только позволяют, но и предписывают медикам по собственной инициативе разглашать врачебную тайну, если есть основания полагать, что человек может совершить самоубийство или нанести вред другим людям, а также в целях предотвращения жестокого обращения пациента с детьми, инвалидами и престарелыми гражданами.

В Британии врач может предоставить правоохранительным органам соответствующую информацию, если она "затрагивает общественные интересы".

В Японии врачебная тайна в ряде случаев не распространяется на государственных служащих.

Во Франции ее раскрытие без санкции суда запрещено безусловно и карается годом тюрьмы или 15 тысячами евро штрафа.