Проверки Роскомнадзором соблюдения организациями законодательства о защите персональных данных регулярно приводят к судебным разбирательствам. На этот раз Арбитражному суду Иркутской области в июле 2012 года (дело № А19-7241/2012) пришлось оценивать правомочность претензий Управления Роскомнадзора по Иркутской области (далее – Роскомнадзор) в отношении порядка обработки персональных данных сотрудников в ОАО «Иркутскэнерго».
Роскомнадзор провел плановую выездную проверку общества, в ходе которой был выявлен ряд нарушений в плане защиты персональных данных работников. Давайте рассмотрим по каждому нарушению, на что ссылался Роскомнадзор, какие аргументы в свою защиту выдвинуло ОАО и какую оценку дал Арбитражный суд Иркутской области:
Претензия 1. Неуведомление Роскомнадзора о своем намерении осуществлять обработку персональных данных (по мнению Роскомнадзора, это нарушение части 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Общество осуществляло обработку персональных данных смешанным способом – как с использованием, так и без использования автоматизированной системы (АС). Без АС обрабатывались персональные данные тех, кто не заключил с ОАО трудовые договоры (например, работающие по гражданско-правовым договорам). А по тем, кто их заключил, сведения обрабатывались в АС управления персоналом «БОСС-Кадровик». Суд обратил внимание на ее функциональное назначение:
учет кадров и расчет заработной платы (организационный менеджмент, управление расстановкой и штатным расписанием, управление документооборотом, кадровый учет, планирование и управление рабочим временем, расчет заработной платы, формирование регламентированной отчетности для контрольных органов, формирование внутрифирменной отчетности);
управление кадровыми процессами (управление рекрутингом, управление мотивацией, управление аттестацией и оценкой, управление карьерой, планирование и прогнозирование фондов оплаты труда, управление обучением и развитием, расчет затрат на мероприятия);
расчет ключевых показателей и система поддержки принятия решений (анализ эффективности работы персонала).
По мнению суда, обработка персональных данных работников в указанном объеме посредством АС «БОСС-Кадровик» осуществлялась обществом в соответствии с трудовым законодательством. Следовательно, уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) о намерении осуществлять обработку персональных данных не требовалось, т.е. обществом требования законодательства не были нарушены.
А доказательств обработки посредством АС «БОСС-Кадровик» персональных данных физических лиц, не состоящих в трудовых отношения с ОАО «Иркутскэнерго», проверяющим органом представлено не было.
Претензия 2. Отсутствие документов, подтверждающих ознакомление работников с документами ОАО, устанавливающими порядок хранения и использования персональных данных работников (по мнению Роскомнадзора, это нарушение требований части 8 статьи 86 ТК РФ).
Суд не согласился с оценкой Роскомнадзора. Дело в том, что Стандартом предприятия СТП 011.563.008-2011 «О защите персональных данных» установлены принципы, условия, способы обработки персональных данных работников общества, способы хранения и уничтожения персональных данных, мероприятия по обеспечению безопасности персональных данных, права и обязанности работников. Приказом генерального директора ОАО «Иркутскэнерго» от 30.12.2011 № 586 о введении в действие этого стандарта руководителям структурных подразделений было дано указание об ознакомлении с ним подчиненного персонала. В обществе внедрен электронный документооборот, в рамках которого предусмотрена возможность руководителей подразделений ознакомить работников с необходимыми документами. Каждому работнику обеспечен доступ и возможность ознакомления с указанным стандартом, размещенным на корпоративном портале общества.
Суд обратил внимание на то, что Роскомнадзор не представил доказательств отсутствия факта ознакомления работников с этим стандартом, более того, в рамках проведенной проверки он даже не запросил у ОАО документов, которые свидетельствовали бы о факте такого ознакомления. В результате вторая претензия Роскомнадзора арбитражным судом тоже была отклонена.
Претензия 3. Отсутствие у ОАО сведений о местах хранения персональных данных, а также перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (по мнению Роскомнадзора, это нарушение пункта 13 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства РФ от 15.09.2008 № 687 (далее – Положение), а также части 1 статьи 19 Закона «О персональных данных»).
ОАО в ходе проверки представило такие документы, как номенклатура дел (из которой следовало, в каком отделе какие документы хранятся) и должностные инструкции работников, обеспечивающих хранение указанных в номенклатуре документов. Но суд (так же как и Роскомнадзор) посчитал, что пункты 5 и 13 Положения требуют от работодателя издания локального документа, определяющего конкретные места хранения (наименование, номер помещения, кабинета, шкафа, сейфа) и позволяющего установить расположение каждой категории обрабатываемых персональных данных.
Претензия 4. Невключение в договор, заключенный между работодателем (оператором) и третьим лицом, существенного условия о соблюдении конфиденциальности и безопасности персональных данных при их обработке третьим лицом по поручению оператора (по мнению Роскомнадзора, это нарушение части 3 статьи 6 Закона «О персональных данных»).
Общество в целях выпуска и обслуживания пластиковых карт для последующего начисления заработной платы на счета сотрудников заключило договоры со Сберегательным банком и ОАО «Газпромбанк». Кроме того, был заключен договор на медицинское обслуживание с ООО Клиника «Сибирское здоровье».
В договорах со Сбербанком и Газпромбанком не было положений о конфиденциальности, зато суду были продемонстрированы отдельные соглашения о конфиденциальности с этими банками. Роскомнадзору данные соглашения были представлены только после получения обществом акта проверки; причиной их непредставления в момент проверки общество называло отсутствие запроса Роскомнадзора об их предоставлении, а также возможность их демонстрации только после согласования с банками. Суд отклонил доводы Роскомнадзора о необходимости указания сведений о конфиденциальности непосредственно в договорах, поскольку такое требование законодательством не предусмотрено.
Согласно пункту 2.1.4 договора на медицинское обслуживание клиника обязана была не передавать и не показывать третьим лицам находящуюся у нее документацию об обществе и его работниках. Иного условия об обеспечении безопасности обрабатываемых данных в этом договоре действительно не было.
В следующей инстанции (Четвертым арбитражным апелляционным судом) в октябре 2012 года рассматривались только первые 2 претензии Роскомнадзора, по которым Арбитражный суд Иркутской области оправдал ОАО «Иркутскэнерго»:
Суд апелляционной инстанции счел правильными выводы суда первой инстанции. Ведь в части 2 статьи 22 Закона о персональных данных прямо предусмотрен перечень из 9 случаев, когда оператор освобождается от обязанности представлять в уполномоченный орган уведомление об обработке (о намерении осуществлять обработку) персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством. И в таком случае не важно, используется ли при этом информационная система.
Претензия 2. Ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных.
Апелляционный суд напомнил, что согласно пункту 8 статьи 86 ТК РФ работодатель при обработке персональных данных работников обязан их (либо их представителей) ознакомить под подпись с документами, устанавливающими порядок обработки их персональных данных, а также об их правах и обязанностях в этой области.
Иного способа ознакомления работников с указанными документами, кроме как путем проставления личной подписи, закон не предусматривает. Т.е. для подтверждения исполнения требований пункта 8 статьи 86 ТК РФ общество должно было представить доказательства личного ознакомления (под подпись) каждого работника с действующим в обществе Стандартом предприятия СТП 011.563.008-2011 «О защите персональных данных». А таких доказательств не было!
В результате из четырех претензий Роскомнадзора к ОАО «Иркутскэнерго» была признана обоснованной только одна – о неознакомлении работников. Кстати, по данным официального сайта «Иркутскэнерго», численность его персонала на 1 января 2011 года составляла более 8 тысяч человек (см.: Для такой крупной организации выполнение требования об уведомлении всех сотрудников «под подпись» на бумажном документе, безусловно, потребует значительных усилий.
Читайте все накопления сайта по своему профилю, начиная с 2010 г. Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:
его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение
действия комплексной подписки.
А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои
рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей
помощью!
Очередные отпуска предоставляются работникам
на основании приказов, оформляемых не позднее 14 календарных дней до даты предоставления отпуска. В приказе работник расписывается в графе «с приказом ознакомлен», проставляет дату ознакомления (дату приказа). Заявления о предоставлении отпусков работники у нас не пишут. Каковы правовые последствия отсутствия заявлений на отпуск и графика отпусков?
Просим разъяснить, склоняется ли фамилия
РачЁк? Носитель утверждает, что не склоняется. Чем можно аргументировать?
Вера Иритикова
профессиональный управляющий документами,
документовед, приглашенный лектор Российской академии народного хозяйства и государственной службы при Президенте РФ
Показываем, как оформить приказ о назначении
ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.
Являются ли положения ГОСТ Р 7.0.97-2016 обязательными?
Если нет, то можно ли заложить иные правила оформления организационно-распорядительных документов в локальном нормативном акте организации? Как документировать добровольное присоединение организации к стандарту? Что в этом случае необходимо детализировать в Инструкции по делопроизводству организации об оформлении документов? Объясняем на примере приказов и распоряжений. Вопросы читателя стали поводом для подробного разбора этой интересной темы.
Вера Иритикова
профессиональный управляющий документами,
документовед, приглашенный лектор Российской академии народного хозяйства и государственной службы при Президенте РФ
Новый ГОСТ Р 7.0.97-2016 немного скорректировал
правила оформления приказов – в этой статье мы предлагаем их полное актуальное изложение. Даны примеры оформления каждого реквизита (с тонкостями для различных ситуаций). Особо детально рассмотрели документирование согласования в бумажном и электронном виде. Объяснили, как визуализировать электронную подпись, если невозможно воспользоваться единственным вариантом, предусмотренным в ГОСТ. Показали, где ГОСТ расходится с методическими рекомендациями для федеральных органов исполнительной власти.
Лариса Доронина
к.э.н., эксперт Национальной ассоциации
офисных специалистов и административных работников при Президенте Российской Федерации, разработчик профстандартов в области документоведения, доцент кафедры Государственного университета управления
Только правильно составленный и оформленный
протокол в полной мере может обеспечить юридическую силу решений, которые принимаются на основе принципа коллегиальности. Мы подробно объясняем, как следует оформлять каждый реквизит этого документа. Отмечаем, что в оформлении протокола является обязательным, а что факультативным. Демонстрируем множество примеров. Общий алгоритм составления и оформления протоколов заслуживает самого внимательного и подробного изучения не только секретарями, ведущими делопроизводство, но и руководителями, специалистами, организующими процедуры корпоративного управления.
Вера Иритикова
профессиональный управляющий документами,
документовед, приглашенный лектор Российской академии народного хозяйства и государственной службы при Президенте РФ
Основное внимание мы уделили отечественным
правилам адресования корреспонденции. Какими документами осуществляется нормативное регулирование в этой сфере? Как указать адресата – частное лицо, организацию или должностное лицо (здесь возникают вопросы с инициалами и падежом)? В какой последовательности указывать элементы адреса? Какие общепринятые сокращения можно использовать? Что писать с заглавной буквы? Как правильно указывать простой, двойной и литерный номера домов? Когда перед городом не ставится буква «г.»? В каких случаях кроме непосредственно населенного пункта нужно включить в адрес его вхождение в определенные административно-территориальные единицы (это касается не только поселков и деревень, но и городов)? Что нужно учесть при использовании отметок «до востребования» и «лично»?
Быкова Т.А.
доцент кафедры документоведения РГГУ,
кандидат исторических наук
В тексте некоторых документов встречаются
числа, которые сначала приводятся цифрами, а следом в скобках – буквенным способом. В каких случаях и в каких документах требуется текстовое дублирование суммы? В каком падеже следует делать такую расшифровку и необходимо ли писать число с заглавной буквы? Если речь идет о сумме, то возможно ли применение сокращений «руб.» и «коп.» и какую часть текста брать в скобки?
Юсипова Е.Г.
заместитель начальника правового управления,
начальник договорного отдела фармацевтической компании, член Гильдии Управляющих Документацией
Раздел не найден.
Используем Cookies на нашем веб-сайте для того, чтобы обеспечить пользователям максимальное удобство. Подробнее
Пожалуйста, укажите e-mail, который Вы использовали для входа на сайт
Подписка на почте
Оформить подписку на журнал издательства ООО "Бизнес-Арсенал" можно в любом отделении почты:
Журнал / Каталог
Индекс на полугодие / год
Делопроизводство и документооборот на предприятии
«Почта России»
П1501 / П3473
Кадровая служба и управление персоналом предприятия
«Почта России»
П2576 / П3474
Юридический справочник руководителя
«Почта России»
П2577 / П3454
Подпишитесь на бесплатную рассылку материалов!
Получайте материалы по интересующему вас направлению - лучшие статьи от надежных экспертов, ответы на волнующие вопросы. Только самые актуальные материалы и ничего лишнего!
Письмо с подтверждением подписки выслано вам на почту
