Вопрос в рубрику: Что проверяет прокуратура в отделе кадров? Прокурорам упрощен доступ к персональным данным россиян Предоставление персональных данных депутатов по запросу прокуратуры.

Установленные федеральным законодательством общие ограничения на доступ к персональным данным многим государственным органам мешают выполнять порученные им обязанности, поэтому они стремятся внести в специальное законодательство, регламентирующее их деятельность, положения, позволяющее им не исполнять некоторые требования закона «О персональных данных».

Очередные изменения коснулись прав прокуратуры. Федеральным законом от 23 июля 2013 г. № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных» статья 4 федерального закона «О прокуратуре Российской Федерации» дополнена пунктом, расширяющим возможности прокуратуры получать информацию ограниченного доступа, и в том числе обрабатывать персональные данные:

Федеральный закон «О прокуратуре Российской Федерации»

Статья 4. Принципы организации и деятельности прокуратуры Российской Федерации

2.1. Органы прокуратуры в связи с осуществлением ими в соответствии с настоящим Федеральным законом прокурорского надзора вправе получать в установленных законодательством Российской Федерации случаях доступ к необходимой им для осуществления прокурорского надзора информации , доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных .

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Статья 10. Специальные категории персональных данных

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора ;

Федеральный закон от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»

Статья 13. Соблюдение врачебной тайны

4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора , по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

Имеющая непосредственное отношение к физическому лицу . Под предоставлением этих данных подразумеваются действия, направленные на выдачу подобной ограниченной информации одному или нескольким лицам.

Получение подобного запроса может произойти как от организаций, представляющих трудовое законодательство (налоговые органы, пенсионный фонд и т.д), так и от представителей полиции или прокуратуры. Последний случай объясняется участием в уголовном или административном процессе. При этом согласие гражданина на предоставление этих сведений не требуется.

Правила рассмотрения обращений от субъектов или их представителей

Рассмотрение названных обращений называется — регламентом по реагированию на запросы или их представителей и занимается ими начальник, заместитель или уполномоченное должностное лицо, в число обязанностей которых входит . Данные должностные лица обеспечивают:

1. Своевременное, объективное и всестороннее рассмотрение документа.
2. Отправку ответов в письменной форме по существу запроса.
3. Принятие мер для восстановления или защиты нарушенных прав и интересов субъекта.
4. Все поступающиеся запросы фиксируются в день поступления. На бумагах ставится штамп с указанием даты и входящего номера.

Документ прочитывается и проверяется на повторность. В некоторых случаях сверяется с прошлой перепиской (если таковая есть). При наличии обращений в прошлом, запрос может быть повторен спустя 30 дней после последнего обращения.

После прохождения регистрации запросы отправляются руководителю компании или его заместителю, которым определяется срок и порядок рассмотрения. После чего даются указания исполнителям.

Во время рассмотрения запроса должностным лицам следует :

При отказе в предоставлении указанной в обращении информации о выбранном субъекте, уполномоченные должностные лица должны предоставить мотивированный ответ в письменной форме со ссылкой на часть 8 ст. 14 Федерального закона или иного закона, который может послужить основание для отказа, в течении 30 дней со дня обращения или с даты получения запроса.

Кому можно предоставлять личные сведения?

Получить названные сведения на основе законодательства имеют право:

• Фонд социального страхования РФ.
• Налоговые органы.
• Федеральная инспекция труда.
• Пенсионный фонд РФ.
• Иные органы государственного контроля и надзора за выполнением трудового законодательства.

В этих случаях не требуется получения нового согласия со стороны субъекта, кроме того, что было предоставлено работодателю.

Имеют ли право их запрашивать определенные органы и какие?

В пункте выше уже были указаны организации, которые по закону имеют право на получение информации. Однако существуют другие лица и организации, которые могут затребовать персональные сведения .

Адвокаты

Названные лица имеют право запрашивать любые данные, значимые для дела:

• Справки от уполномоченных лиц.
• Сведения о деятельности гражданина.
• Характеристики.

Но не вся информация подлежит разглашению. Адвокат может получить отказ в следующих случаях:

• Лицо, к которому поступил запрос, не обладает этими документами.
• Нарушены требования по форме запроса.
• Сведения имеют ограниченный доступ (коммерческие, государственные или личные тайны).

Также адвокат не имеет права требовать информацию о персональных данных, за исключением случаев, когда на это дается официальное согласие.

Сотрудники полиции

В соответствии с п.4 ч.1 ст.13 Федерального закона от 07.02.2011 «О Полиции» , сотрудник имеет право при расследовании уголовных дел или административных правонарушений, а также при проверке заявлений о возможных нарушениях, запрашивать и получать персональные данные граждан на безвозмездной основе. Подобные обращения должны быть мотивированы. При передаче этих персональных данных работникам полиции по их запросу, согласие самих граждан не нужно.

Следователи прокуратуры

В была дополнена пунктом, который расширяет права организации на получение доступа к информации, в число которой входят и . Обработка поступивших данных в установленных законом РФ случаях проводится органами прокураторы из-за осуществления прокурорского надзора.

Это документ должен составляться в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» . В документе следует указать следующую информацию :

• ФИО субъекта, сведения о котором необходимо предоставить, или его официального представителя.
• Номер документа, удостоверяющего личность человека, дата получения и орган, который его выдал.
• Дата написания запроса и подпись 3-й стороны, т.е тех от кого он исходит.

Составление документа выполняется по следующему алгоритму:

1. Прописывается шапка запроса (с указанием того, кто направляет документ и его идентификационные данные).
2. Кому предназначается данный запрос (наименование и адрес организации).
3. Содержание (указываются причины, по которым требуется предоставить выбранные сведения и их обоснование в соответствии с фактами и законодательством).
4. Подпись и печать отправляющего органа.

Ответное обращение

В ответ на поступивший запрос требуется составить ответное обращение , в котором должна содержаться следующая информация:

1. Название органа, от которого поступил запрос.
2. Наименование и адрес оператора.
3. Гражданство сотрудника, чьи данные были затребованы.
4. ФИО, паспортные данные субъекта, адрес регистрации.
5. Занимаемая должность.
6. Сведения о трудовой деятельности в соответствии с отметками в трудовой книге (прилагаемые номера приказов также записываются).

Во время отправления ответа нельзя нарушать передаваемой информации, поэтому бланк с соответствующими сведениями должен заполняться и отправлять уполномоченным лицом – оператором.

Получить персональную информацию могут многие законодательные органы без предварительного разрешения со стороны субъекта . Причиной этому может служить участие в уголовном или административном процессе. Также многие организации, связанные с трудовым законодательством, имеют право запрашивать эти данные у работодателя.

ГЕНЕРАЛЬНАЯ

ПРОКУРАТУРА РОССИЙСКОЙ ФЕДЕРАЦИИ

22.11.2013 № 506

Об утверждении и введении в действие Инструкции о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора

В соответствии с Федеральным законом от 23.07.2013 № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных», руководствуясь ст. 17 Федерального закона «О прокуратуре Российской Федерации»,

П Р И К А З Ы В А Ю:

1. Утвердить и ввести в действие прилагаемую Инструкцию о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора (далее - Инструкция).

2. Заместителям Генерального прокурора Российской Федерации, начальникам главных управлений, управлений и отделов Генеральной прокуратуры Российской Федерации, прокурорам субъектов Российской Федерации, городов и районов, другим территориальным, приравненным к ним военным прокурорам и прокурорам иных специализированных прокуратур организовать изучение Инструкции прокурорскими работниками и государственными гражданскими служащими органов прокуратуры Российской Федерации.

3. Обеспечить обработку и защиту персональных данных, полученных в связи с осуществлением прокурорского надзора, в строгом соответствии с требованиями Конституции Российской Федерации, федеральных законов от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации», от 27.07.2006 № 152-ФЗ «О персональных данных», от 25.12.2008 № 27Э-ФЗ «О противодействии коррупции», от 21.11.2011 № 323-ФЭ «Об основах охраны здоровья граждан в Российской Федерации» и Инструкции.

4. Работу по обработке персональных данных, полученных в связи с осуществлением прокурорского надзора, подчинить решению задач обеспечения защиты прав и свобод человека и гражданина, укрепления законности и правопорядка.

6. Контроль за исполнением приказа возложить на заместителей Генерального прокурора Российской Федерации по направлениям деятельности.

Приказ направить заместителям Генерального прокурора Российской Федерации, начальникам главных управлений и управлений Генеральной прокуратуры Российской Федерации, прокурорам субъектов Российской Федерации, приравненным к ним военным прокурорам и прокурорам иных специализированных прокуратур, ректору Академии Генеральной прокуратуры Российской Федерации, которым довести его содержание до сведения подчиненных работников.

Генеральный прокурор
Российской Федерации

действительный государственный
советник юстиции

Ю.Я.Чайка

УТВЕРЖДЕНА
приказом
Генерального прокурора
Российской Федерации
от 22.11.2013 №506

Инструкция о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии со ст. 4 Федерального закона от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации», федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 21.11.2011 № 323-ФЭ «Об основах охраны здоровья граждан в Российской Федерации», иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.

1.2. Инструкция регламентирует единый порядок обработки персональных данных в органах прокуратуры Российской Федерации при осуществлении прокурорского надзора, реализации прокурорами полномочий, предусмотренных Федеральным законом от 03.12.2012 № 230-ФЭ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам», а также другими законодательными актами Российской Федерации, содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.

1.3. Персональными данными в настоящей Инструкции признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), получаемая в связи с осуществлением прокурорского надзора, реализацией прокурорами иных полномочий, предусмотренных законодательством Российской Федерации.

При осуществлении установленных законодательством Российской Федерации полномочий прокуроры вправе получать следующую информацию о субъекте персональных данных:

1) анкетные и биографические данные, включая адрес места жительства и проживания;

2) сведения о гражданстве, паспортные данные или данные иного документа, удостоверяющего личность и гражданство (включая серию, номер, дату выдачи, наименование органа, выдавшего документ);

3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;

4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;

5) сведения о составе семьи и наличии иждивенцев, о месте работы или учебы членов семьи;

6) сведения о состоянии здоровья и наличии заболеваний, о нахождении на различных медицинских учетах;

7) сведения об отношении к воинской обязанности;

8) сведения о доходах, расходах, налоговых обязательствах и иных обязательствах имущественного характера;

9) сведения об идентификационном номере налогоплательщика;

10) сведения о социальных льготах и о социальном статусе;

11) сведения о судимости, о привлечении к уголовной, административной или иного вида ответственности;

12) сведения об имуществе (недвижимости, транспортных средствах и др.);

13) сведения о предпринимательской деятельности субъекта персональных данных и членов его семьи;

14) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера и иные персональные данные лиц, на которых распространяются обязанности, предусмотренные ст. 8 Федерального закона от 25.12.2008 № 273-ФЗ «О противодействии коррупции» и иными правовыми актами Российской Федерации (в том числе сведения о доходах, расходах, об имуществе и обязательствах имущественного характера и иные персональные данные их супругов и несовершеннолетних детей);

15) персональные данные лиц, на которых распространяются установленные законодательством о противодействии коррупции запреты, ограничения и обязанности;

16) персональные данные иных лиц в целях выявления правонарушений (в том числе нарушений законодательства о противодействии коррупции);

17) иные персональные данные, необходимые для целей осуществления прокурорского надзора.

1.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. Вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, в настоящей Инструкции не рассматриваются и регулируются законодательством о государственной тайне.

1.6. Порядок обращения в органах и учреждениях прокуратуры Российской Федерации со служебной информацией ограниченного доступа регулируется соответствующим Положением, утвержденным приказом Генерального прокурора Российской Федерации от 27.04.2011 № 111.

2. Порядок обработки персональных данных

2.1. Получение персональных данных осуществляется в соответствии с федеральными законами, нормативными правовыми актами Российской Федерации в области противодействия коррупции, а также организационно - распорядительными документами Генерального прокурора Российской Федерации.

2.2. Запросы о представлении персональных данных вправе подписывать Генеральный прокурор Российской Федерации, его заместители, начальники главных управлений и управлений Генеральной прокуратуры Российской Федерации, прокуроры субъектов Российской Федерации, приравненные к ним военные прокуроры, прокуроры иных специализированных прокуратур и их заместители, а также прокуроры городов и районов, другие территориальные, приравненные к ним военные прокуроры, прокуроры иных специализированных прокуратур и их заместители.

Персональные данные могут быть получены прокурорами непосредственно при реализации полномочий, предоставленных федеральными законами, нормативными правовыми актами Российской Федерации в области противодействия коррупции, иными нормативными правовыми актами Российской Федерации.

2.3. Основанием для запроса персональных данных является проведение проверки в связи с поступившей в органы прокуратуры информации о фактах нарушения законов, требующих принятия мер прокурором, а также реализация плановых и иных проверочных мероприятий.

2.4. Обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Рассмотрение запросов субъектов персональных данных или их представителей

3.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей сведения:

1) о подтверждении факта обработки персональных данных в органах прокуратуры;

2) о правовых основаниях и целях обработки персональных данных;

3) о применяемых в органах прокуратуры способах обработки персональных данных;

4) о наименовании и месте нахождения прокуратуры, о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;

5) об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, об источнике их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) о сроках обработки персональных данных, в том числе сроках их хранения в органе прокуратуры;

7) о порядке осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

8) об осуществленной или предполагаемой трансграничной передаче данных;

9) о наименовании организации или лице (фамилия, имя, отчество и адрес), осуществляющем обработку персональных данных по поручению органа прокуратуры, если обработка поручена или будет поручена такой организации или лицу;

10) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.

3.2. Субъекты персональных данных вправе требовать от органа прокуратуры уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.3. Сведения, указанные в подпунктах 1-10 пункта 3.1 настоящей Инструкции, должны быть представлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3.4. Сведения, указанные в подпунктах 1-10 пункта 3.1 настоящей Инструкции, представляются субъекту персональных данных или его представителю уполномоченным должностным лицом органа прокуратуры, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

сведения, подтверждающие факт обработки персональных данных в органе прокуратуры, подпись субъекта персональных данных или его представителя.

3.5. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

4. Организация работы по обеспечению безопасности персональных данных в органах прокуратуры Российской Федерации

4.1. Прокурорские работники и государственные гражданские служащие органов прокуратуры, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.2. В случае достижения целей обработки персональных данных прокурорские работники и государственные гражданские служащие органов прокуратуры обязаны передать материалы, содержащие персональные данные, в службу делопроизводства в соответствии с Инструкцией по делопроизводству в органах и учреждениях прокуратуры Российской Федерации, утвержденной приказом Генерального прокурора Российской Федерации от 29.12.2011 № 450.

4.3. Прокурорские работники и государственные гражданские служащие органов прокуратуры при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.4. Структурным подразделением прокуратуры, ответственным за документооборот и архивирование, в соответствии с Инструкцией по делопроизводству в органах и учреждениях прокуратуры Российской Федерации, утвержденной приказом Генерального прокурора Российской Федерации от 29.12.2011 № 450, осуществляются систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению, и последующее их уничтожение.

5. Лица, ответственные за организацию обработки персональных данных, полученных в связи с осуществлением прокурорского надзора

5.1. Лица, ответственные в органах прокуратуры за организацию обработки персональных данных, полученных в связи с осуществлением прокурорского надзора, назначаются отдельным приказом из числа прокурорских работников и государственных гражданских служащих в соответствии с распределением обязанностей.

5.2. Ответственные за обработку персональных данных в своей работе руководствуются законодательством Российской Федерации в области персональных данных и настоящей Инструкцией.

5.3. Ответственные за обработку персональных данных, полученных в связи с осуществлением прокурорского надзора, обязаны:

1) осуществлять внутренний контроль за соблюдением прокурорскими работниками и государственными гражданскими служащими органов прокуратуры требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения прокурорских работников и государственных гражданских служащих органов прокуратуры положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в органах прокуратуры;

4) в случае нарушения в органах прокуратуры требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

5.4. Ответственный за обработку персональных данных вправе иметь доступ к информации, касающейся обработки персональных данных, полученных в связи с осуществлением прокурорского надзора в органах прокуратуры, включающей:

1) цели обработки персональных данных;

4) правовые основания обработки персональных данных;

5) перечень действий с персональными данными, общее описание используемых в органах прокуратуры способов обработки персональных данных, полученных в связи с осуществлением прокурорского надзора;

6) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7) дату начала обработки персональных данных, полученных в связи с осуществлением прокурорского надзора;

8) срок или условия прекращения обработки персональных данных;

9) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Он также имеет право привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в органах прокуратуры, иных прокурорских работников и государственных гражданских служащих органов прокуратуры с возложением на них соответствующих обязанностей и закреплением ответственности.

5.5. Ответственный в органе прокуратуры за обработку персональных данных, полученных в связи с осуществлением прокурорского надзора, несет ответственность за надлежащее выполнение возложенных на него функций по организации обработки указанных персональных данных в соответствии с положениями законодательства Российской Федерации в области персональных данных.

К нам в организацию скоро придет проверка из прокуратуры, которая будет проверять персональные данные. Скажите, как проходят такие проверки? Что конкретно требуют представить сотрудники прокуратуры?

О выездной проверке

Проверка в организации порядка обработки персональных данных проводится в соответствии с Федеральными законами от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в ред. от 26.04.2010; далее - Федеральный закон № 294-ФЗ) и от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 27.12.2009), а также главой 14 ТК РФ. Из содержания вопроса следует, что вам предстоит «пережить» выездную проверку (ее порядок определяется ст. 12 Федерального закона № 294-ФЗ), которая может проводиться как в плановом, так и во внеплановом порядке.

Персональные данные работника - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (в данном случае - о работнике).

Обработка персональных данных - действия (операции) с персональными данными, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Уточним, что предметом плановой проверки является соблюдение работодателем (юридическим лицом, индивидуальным предпринимателем) в процессе осуществления деятельности обязательных требований (в данном случае) к обработке персональных данных. При проведении внеплановой проверки первоочередное внимание уделяется недостаткам, выявленным в ходе предшествующей проверки (проверяется, насколько полно и своевременно они были устранены).

Порядок проведения плановой проверки

О проведении плановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии соответствующего приказа (распоряжения) руководителя (заместителя руководителя) органа государственного (муниципального) контроля (надзора) - заказным почтовым отправлением с уведомлением о вручении или иным доступным способом. О проведении внеплановой выездной проверки (за исключением внеплановой выездной проверки, основания проведения которой указаны в п. 2 ч. 2 ст. 10 Федерального закона № 294-ФЗ) юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного (муниципального) контроля (надзора) не менее чем за 24 часа до начала ее проведения любым доступным способом.

Выездная проверка начинается с предъявления проверяющим руководителю (лицу, его замещающему) проверяемой организации служебного удостоверения и приказа (распоряжения) руководителя проверяющего (контрольного, надзорного) органа о назначении выездной проверки. Заверенная печатью копия приказа (распоряжения), если она не была получена юридическим лицом (индивидуальным предпринимателем) ранее, вручается под роспись одновременно с предъявлением служебных удостоверений.

Непосредственно после этого проверяющий должен ознакомить руководителя (лицо, его замещающее) проверяемой организации:

С полномочиями проверяющего (проверяющих);

С целями, задачами, основаниями проведения выездной проверки;

С видами и объемом проверочных мероприятий;

Со сроками и условиями проведения проверки (проверочных мероприятий);

В большинстве случаев продолжительность проверки не может превышать 20 рабочих дней.

С составом экспертов (представителями экспертных организаций), если таковые привлекаются к выездной проверке.

По просьбе руководителя (лица, его замещающего) предприятия проверяющий обязан ознакомить его с административными регламентами проведения проверочных мероприятий и порядком их проведения на объектах предприятия. Со своей стороны, руководитель (лицо, его замещающее) предприятия обязан предоставить проверяющим:

Возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, - в данном случае относящимися к организации обработки персональных данных (см. ниже);

Доступ на территорию и в соответствующие здания (помещения) предприятия (к примеру, в здание управления предприятия, помещения отдела кадров и пр.).

Организация обработки персональных данных работодателем (юридическим лицом или индивидуальным предпринимателем) регламентируется соответствующим локальным нормативным актом, например: Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом (далее - ЛНА) под роспись - как правило, перед подписанием трудового договора (либо при вступлении ЛНА в действие). Следовательно, в первую очередь проверяющий пожелает узнать:

1) имеется ли у работодателя ЛНА, регламентирующий организацию обработки персональных данных;

2) ознакомлены ли с ЛНА все работники организации.

Работников (их представителей) необходимо ознакомить под роспись с документами работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области (ст. 86 ТК РФ).

Ознакомление работников с ЛНА под роспись обычно оформляется либо в специальной книге (журнале), либо в листе-приложении к этому документу или к трудовому договору.

Кроме того, при проверке выполнения требований нормативных правовых, а также действующих у данного работодателя локальных нормативных актов по организации обработки персональных данных основное внимание проверяющих будет обращено на следующие вопросы:

1) производится ли обработка персональных данных работников исключительно в целях обеспечения соблюдения нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой ими работы и обеспечения сохранности имущества работодателя;

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Однако в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника - но только с письменного согласия последнего. Кроме того, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

2) выполняется ли требование федерального законодательства о порядке получения персональных данных работников (см. ниже);

3) соблюдается ли порядок принятия решений, затрагивающих интересы работников, в части обоснования таких решений не только персональными данными, полученными исключительно в результате их автоматизированной обработки (электронного получения), но и иными разрешенными к применению методами (способами), например при принятии решений о переводе на другую работу, о прекращении трудового договора и пр.;

4) за счет каких средств обеспечивается защита персональных данных от неправомерного использования (утраты);

5) обеспечено ли право работников на сохранение и защиту тайны (в части, относящейся к персональным данным);

6) участвуют ли работники (их представители) в выработке мер, направленных на защиту персональных данных.

В частности, для проверки соблюдения работодателем порядка получения персональных данных работников проверяющий вправе запросить для ознакомления:

1) переписку работодателя по вопросам обработки персональных данных;

2) письменные заявления работников с выражением согласия на обработку персональных данных (в том числе на получение таких данных от третьих лиц и передачу их третьим лицам).

Персональные данные о работнике следует получать непосредственно у него самого. Если персональные данные работника можно получить только у третьей стороны, то работника следует уведомить об этом заранее и от него необходимо получить письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Несомненно, проверяющий обратит внимание и на то, как выполняются требования к обработке персональных данных в повседневной деятельности уполномоченными должностными лицами (в общем случае - работниками отдела кадров).

Отметим, что право должностных лиц (работников) на обработку персональных данных (в более широком смысле - на доступ к персональным данным) нужно зафиксировать в соответствующем ЛНА работодателя, а также при необходимости (дополнительно, на факультативной основе) в следующих документах:

Трудовых договорах;

Должностных инструкциях;

Инструкциях по видам деятельности;

Приказах (о назначении на должность и по отдельным вопросам организации обработки персональных данных).

К тому же проверке подлежит организация хранения персональных данных (содержащих их документов). Учитывая, что хранение персональных данных в настоящее время осуществляется не только в традиционном (бумажном), но и в электронном виде, следует ожидать и проверки информационной системы, применяемой работодателем для обработки (в том числе хранения) персональных данных. Скорее всего, к выполнению этой части проверочных мероприятий проверяющим будет привлечен эксперт (специалист по информационным технологиям), для которого наибольший интерес будут представлять следующие вопросы:

1) какой класс присвоен информационной системе, насколько это обосновано (см. в этой связи Порядок проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20);

2) какие методы и способы защиты персональных данных (с учетом класса информационной системы) (см. в этой связи Положение о методах и способах защиты информации в информационных системах персональных данных (приложение к приказу Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58) применяются, позволяют ли они обеспечить надежную защиту от несанкционированного доступа или утраты?

Кроме того, проверяющий, несомненно, обратит внимание на то, насколько соответствуют целям обеспечения защиты персональных данных помещения и рабочие места, в (на) которых выполняется их обработка. Как правило, доступ в эти помещения (обособленные части (зоны) помещений) должны иметь только лица (работники), допущенные к обработке персональных данных. Помещения следует защитить от проникновения в них посторонних лиц, они должны быть оборудованы сигнализацией, а также надежными средствами хранения. Соответствующие средства защиты должны иметь и установленные на рабочих местах средства программно-технической обработки персональных данных.

Оформление результатов проверки

По результатам проверки составляется акт, в котором указываются:

1) дата, время и место составления акта проверки;

2) наименование проверяющего органа;

3) дата и номер приказа (распоряжения) о назначении проверки;

4) фамилии, имена, отчества и должности проверяющих;

5) наименование проверяемой организации, а также фамилия, имя, отчество и должность его руководителя (лица, его замещающего);

6) дата, время, продолжительность и место проведения проверки;

7) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований к обращению с персональными данными, их характере и о лицах, допустивших указанные нарушения;

8) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя (лица, его замещающего) организации, о наличии его подписи или об отказе от совершения подписи;

9) сведения о внесении в журнал учета проверок организации записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у предприятия указанного журнала;

10) подпись (подписи) проверяющего (проверяющих).

К акту могут прилагаться связанные с результатами проверки документы (их копии).

Один экземпляр акта вручается руководителю (лицу, его замещающему) организации.

М. Ю. Рогожин,
эксперт

Как известно, в соответствии с п. 3 ст. 1 Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" проверки, проводимые прокуратурой, не подпадают под действие вышеуказанного Федерального закона. Однако это не говорит о том, что данный вид проверочных мероприятий находится вне зоны правового регулирования.

Прокуратура, как и другие государственные органы, обязана руководствоваться конституционным принципом законности, установленным ч. 2 ст. 15 Конституции Российской Федерации, и строить свою деятельность по проведению проверок юридических лиц на основании Конституции Российской Федерации и федеральных законов.
На особенностях проверок, проводимых органами прокуратуры, полагаю, останавливаться не имеет смысла, они неоднократно были описаны в юридической литературе, но вот вопросы обоснованности проведения таких проверок, как правило, остаются нераскрытыми либо раскрываются не в полном объеме.
Нередко руководитель организации узнает о проведении прокуратурой проверки в отношении юридического лица только в момент появления сотрудника прокуратуры, предъявляющего служебное удостоверение и требующего предоставить необходимые для проведения проверки документы. На требования руководителя организации пояснить основания проведения проверки, как правило, следует стандартная фраза: "На основании ст. 22 Закона о прокуратуре".
Действительно, ст. 22 Закона Российской Федерации от 17.01.1992 N 2202-1 "О прокуратуре Российской Федерации" (далее - Закон о прокуратуре) предоставляет прокурору право при осуществлении функций по предъявлении служебного удостоверения беспрепятственно входить на территории и в помещения поднадзорных органов, иметь доступ к их документам и материалам, проверять исполнение законов в связи с поступившей в органы прокуратуры информацией о фактах нарушения закона.
Но является ли ссылка на Закон о прокуратуре основанием для проведения проверки юридического лица? Нет, не является. Поясню почему.
Необходимо учитывать, что деятельность органов прокуратуры довольно подробно регламентирована приказами Генерального прокурора Российской Федерации, и, если часто приходится сталкиваться с прокуратурой, необходимо знать основные приказы.
Так, наиболее значимым для хозяйствующих субъектов является Приказ Генерального прокурора от 07.12.2007 N 195 "Об организации прокурорского надзора за исполнением законов, соблюдением прав и свобод человека и гражданина" (далее - Приказ N 195), регламентирующий сферу деятельности прокурора по надзору за соблюдением федерального законодательства, так называемый общий надзор.
Пунктом 6 вышеуказанного Приказа N 195 установлено, что проверки исполнения законов надлежит проводить на основании поступившей в органы прокуратуры информации (обращений граждан, должностных лиц, сообщений средств массовой информации и т.п.), а также других материалов о допущенных правонарушениях, требующих использования прокурорских полномочий, в первую очередь для защиты общезначимых или государственных интересов, прав и законных интересов групп населения, трудовых коллективов, репрессированных лиц, малочисленных народов, граждан, нуждающихся в особой социальной и правовой защите.
Кроме того, позицию относительно полномочий, предоставленных органам прокуратуры ст. 22 Закона о прокуратуре, высказал Верховный Суд Российской Федерации еще в 2003 году (Постановление от 06.06.2003 N 86-В03-2).
Так, согласно позиции Верховного Суда, Закон о прокуратуре не предоставляет прокурору произвольного права на проведение проверок (в том числе вызов в прокуратуру для дачи объяснения), ст. 22 Закона о прокуратуре связывает это право с нарушением закона.
Таким образом, у прокуратуры должны быть веские основания для проведения проверки того или иного хозяйствующего субъекта, и руководитель предприятия вправе требовать предъявления данных оснований. Основания для проведения проверки должны быть надлежащим образом оформлены, а не являться лишь словами сотрудника прокуратуры.
В случае если основания для проведения проверки действительно отсутствуют и сотрудник прокуратуры не может внятно предъявить такие основания, полагаю, необходимо отказать сотруднику прокуратуры в предоставлении информации, а также обратиться в соответствующую прокуратуру субъекта Российской Федерации, Генеральную прокуратуру Российской Федерации с жалобой на действия подчиненных сотрудников либо в суд.
С основаниями разобрались, прокуратура должна иметь достаточные основания для проведения проверки субъекта хозяйственной деятельности, но также необходимо понять, какую информацию прокуратура может запрашивать, а какую не может.
В соответствии с п. 6 Приказа N 195 при рассмотрении сигналов о правонарушениях в сферах, на которые распространяется действие законодательства о банковской, налоговой и иной тайне, надлежит руководствоваться порядком, установленным для таких случаев законом.
По смыслу текста Приказа N 195 в качестве иной тайны можно рассматривать тайну частной жизни (персональные данные граждан), коммерческую тайну, семейную тайну и так далее.
Относительно персональных данных все понятно, Верховный Суд Российской Федерации окончательно определился с вопросом, имеет ли право прокуратура запрашивать персональные данные без согласия субъекта персональных данных. Сейчас можно смело ответить - не имеет (Постановление Верховного Суда Российской Федерации от 07.10.2013 N 94-АД-13-1, Постановление Верховного Суда Российской Федерации от 20.08.2013 N 19-АД13-1).
Верховный Суд в Постановлении от 07.10.2013 указал, что прокурор при осуществлении деятельности должен руководствоваться требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", ограничивающего доступ лиц к персональным данным без согласия субъекта персональных данных.
Кроме того, Закон о прокуратуре не предоставляет прокурору права требовать раскрытия персональных данных без соответствующего согласия субъекта персональных данных на раскрытие его персональных данных.
Вышеуказанные Постановления Верховного Суда Российской Федерации имеют принципиальное значение, ведь до этого у судей не было единого мнения по данному вопросу.
В основном практика шла по пути признания права прокурора на запрос персональных данных без согласия субъекта персональных данных (например, решение Перевозского районного суда Нижегородской области от 03.07.2012 по делу N 2-340/2012, Апелляционное определение Нижегородского областного суда от 18.09.2012 по делу N 33-6896/2012 и другие). Однако была и другая позиция судов, хотя она встречалась существенно реже (например, решение Пуровского районного суда Ямало-Ненецкого автономного округа от 15.06.2011 по делу N 12-42/11).
Проблема в том, что указанные Постановления Верховного Суда не получили большой огласки в юридической среде, и о них мало кто знает, тем более те, кто наиболее часто является объектом проверок, проводимых прокуратурой, - органы местного самоуправления, государственные органы, предприятия малого бизнеса.
Таким образом, предоставляя персональные данные по запросу прокуратуры, необходимо помнить об административной ответственности по ст. 13.11 КоАП РФ за неправомерное распространение персональных данных.
Теперь необходимо обратить внимание на коммерческую тайну.
Пока Верховный Суд Российской Федерации свою позицию относительно защиты коммерческой тайны не высказал, однако решение данного вопроса требует скорейшего правового разрешения.
Несмотря на отсутствие внятной судебной практики по данному вопросу, на основании системного анализа нормативных правовых актов, судебных решений можно сделать определенные выводы.
Напомню, что в соответствии с п. 6 Приказа N 195 прокурор должен руководствоваться положениями законов о банковской, налоговой и иной тайне. Законом о прокуратуре прямо не предусмотрено право прокурора запрашивать информацию, составляющую коммерческую тайну без наличия достаточных оснований.
Правильные выводы относительно правового режима коммерческой тайны сделаны в Постановлении ФАС Поволжского округа от 19.05.2010 по делу N А12-22719/2009.
В соответствии с требованиями ч. 1 ст. 6 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (далее - Закон о коммерческой тайне) обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления предоставляет им на безвозмездной основе информацию, составляющую коммерческую тайну. Мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, составляющей коммерческую тайну, и срок предоставления этой информации, если иное не установлено федеральными законами.
При этом суд указал, что основания направления запроса типа "в связи с необходимостью рассмотрения дела" и "необходимые для осуществления своих полномочий" (аналогично "в связи с возникшей необходимостью") не могут быть рассмотрены в качестве мотивировки требования. По мнению суда, законодатель вкладывал в термин "мотивированное требование" иное содержание цели предоставления сведений и информации, не связанное с необходимостью исполнения полномочий государственного органа в связи с рассмотрением дел об административных нарушениях. Это означает, что мотивировка запроса не должна представлять собой просто отсылку к полномочиям государственного органа, в рамках исполнения которых необходимы запрашиваемые документы, и указание на номер дела. Мотивировка запроса должна быть описана отдельно, обязательно содержать сведения, обосновывающие необходимость направления запроса, а также необходимость предоставления запрашиваемой информации.
Таким образом, для запроса сведений, составляющих коммерческую тайну, органы прокуратуры должны иметь определенные основания и строго руководствоваться положениями Закона о коммерческой тайне.
Полагаю, что требования прокурора о предоставлении указанной информации с мотивировкой "на основании ст. 22 Закона о прокуратуре" являются не соответствующими действующему законодательству.
В случае поступления запроса при отсутствии оснований предоставления информации, полагаю необходимым разъяснить прокуратуре право, предусмотренное ч. 2 ст. 6 Закона о коммерческой тайне, на истребование информации, составляющей коммерческую тайну, в судебном порядке.
Кроме того, в рамках рассматриваемого вопроса хотелось бы обратить внимание коллег на значимый вывод, который сделал Верховный Суд Российской Федерации в Постановлении от 20.08.2013 N 19-АД13-1 относительно направления запросов органами прокуратуры по факсу. Согласно позиции Верховного Суда, документ, направленный по средствам факсимильной связи, не является официальным документом и подлежит обязательному дублированию по почте.
Необходимо уточнить, что вышеуказанное Постановление Верховного Суда Российской Федерации не является единственным судебным актом, где рассматривался вопрос о законности направления запросов государственных органов по факсу.
Так, Арбитражный суд Республики Башкортостан в решении от 15.08.2008 N А07-9726/2008 установил, что запрос судебного пристава-исполнителя, направленный по средствам факсимильной связи, не является официальным документом и не может служить основанием для привлечения лица к ответственности в случае непредоставления на него ответа. Выводы Арбитражного суда Республики Башкортостан подтвердил Федеральный арбитражный суд Уральского округа (Постановление от 23.01.2009 N Ф09-10531/08).
Полагаю, что аналогичные выводы можно сделать и в отношении запросов иных (кроме прокуратуры и судебных приставов-исполнителей) государственных органов.
В связи с тем, что запрос, направленный по средствам факсимильной связи не является официальным документом, ответственность за его неисполнение не наступает.
На основании всего вышеизложенного можно сделать определенные выводы.
1. Полномочия прокуратуры не настолько широки, как может показаться на первый взгляд, в судебной практике намечается устойчивая тенденция по ограничениям полномочий прокурора в отношении проверок деятельности хозяйствующих субъектов, в дальнейшем неизбежно формирование судебной практики и по другим ключевым вопросам, касающимся взаимодействия прокуратуры с хозяйствующими субъектами.
2. Слово "прокуратура" не должно внушать страх. Необходимо помнить, что основной целью прокуратуры является обеспечения верховенства закона, единства и укрепления законности, защиты прав и свобод человека и гражданина, и указанная цель может быть достигнута только в ходе двухстороннего диалога прокуратуры и поднадзорных субъектов, при условии строгого соблюдения требований закона со стороны самой прокуратуры.
3. Практикующие юристы и руководители организаций должны четко знать свои права при проведении проверок органами прокуратуры, ведь, как показывает судебная практика, не всегда указанные проверки основываются на требовании действующего законодательства.