Глава 21. Проверки организации обработки персональных данных

Глава 21. Проверки организации обработки

персональных данных

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В свою очередь, персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 ТК РФ). Обработка таких данных подразумевает получение, хранение, комбинирование, передачу или любое другое их использование с соблюдением установленного порядка.

Организация обработки персональных данных осуществляется работодателем в соответствии с Федеральным законом от 01.01.2001 N 152-ФЗ "О персональных данных", гл. 14 ТК РФ, локальными нормативными актами работодателя.

Проверки выполнения обязательных требований по вопросам организации обработки персональных данных работодателями проводят органы местного самоуправления, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, а в части соблюдения обязательных требований к защите персональных данных - Федеральная служба по техническому и экспортному контролю (в т. ч. во взаимодействии с Рострудом).

Проверке подлежат следующие основные вопросы:

- создание работодателем условий для надлежащей организации обработки персональных данных работников, выполнение им соответствующих общих требований;

- соблюдение работодателем установленного порядка передачи персональных данных работников;

- соблюдение работодателем прав работников на защиту персональных данных;

- принятие работодателем мер, направленных на надлежащую защиту персональных данных работников.

Нарушения, допускаемые работодателями в части создания условий для надлежащей организации обработки персональных данных работников, выполнения ими соответствующих общих требований, обычно выражаются в следующем:

1) персональные данные работника получены работодателем не у него самого, без надлежащего уведомления и в отсутствие письменного согласия работника (в случаях, когда такое уведомление и предварительное получение согласия обязательны);

2) персональные данные работника (в т. ч. относящиеся к его частной жизни) обрабатываются работодателем:

- без предварительного письменного согласия работника, либо такое согласие получено, но не соответствует обязательным требованиям;

- без уведомления о намерении осуществлять обработку персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (рис. 14);

- работодатель обрабатывает персональные данные работника, относящиеся к его членству в общественных объединениях, профсоюзной деятельности и др., в нарушение установленного запрета;

- работодатель принимает решения, затрагивающие интересы работника, на основе персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения (например, на основании результатов теста, выполненного работником с использованием соответствующих программно-технических средств, и т. п.);

- работодателем не обеспечена надлежащая защита персональных данных работника от неправомерного их использования, утраты, произвольной модификации (искажения) и т. п.;

- работник (в необходимых случаях - его полномочный представитель) не ознакомлен под роспись с локальными нормативными актами работодателя, устанавливающими порядок обработки персональных данных работников, своими правами и обязанностями в этой области.

Уведомление

об обработке (о намерении осуществлять обработку)

персональных данных

Рис. 14 <1>

--------------------------------

<1> Форма утверждена Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.01.2001 N 706.

Письменное согласие на обработку персональных данных должно включать:

1) фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес уполномоченного представителя работника, номер основного документа, удостоверяющего его личность; сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от уполномоченного представителя);

3) наименование или фамилию, имя, отчество и адрес юридического лица, индивидуального предпринимателя, получающего согласие на обработку персональных данных;

4) перечень персональных данных, на обработку которых дается согласие, цель их обработки;

5) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных (третьего лица) по поручению юридического лица, индивидуального предпринимателя, получающего согласие, - если такая обработка будет поручена третьему лицу;

6) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов их обработки;

7) срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;

8) подпись работника (его уполномоченного представителя).

Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций

К типичным нарушениям, допускаемым работодателем в части соблюдения установленного порядка передачи персональных данных работников, относятся:

- персональные данные работника переданы работодателем третьим лицам без письменного согласия работника в случаях, когда обязательно получение на то предварительного согласия работника (в т. ч., например, в коммерческих целях);

- работодатель не предупредил надлежащим образом третьих лиц, получающих персональные данные работника, о том, что эти данные они могут использовать лишь в целях, для которых они сообщены, и не требовал от этих лиц подтверждения соблюдения этого правила;

- у работодателя отсутствует локальный нормативный акт, регламентирующий передачу персональных данных работника в пределах одной организации, и (или) работники не ознакомлены с таким актом под роспись;

- работодателем не разграничен доступ к персональным данным работников посредством назначения (наделения соответствующими обязанностями) специально уполномоченных лиц, либо в отношении указанных лиц работодателем не принято (не оформлено документально) решение, предоставляющее им право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- работодателем запрашивается информация о состоянии здоровья работника, не относящаяся к вопросу о возможности выполнения порученной ему работы (трудовой функции).

Перечислим наиболее характерные нарушения, допускаемые работодателем в части соблюдения прав работников на защиту персональных данных:

- работодателем ограничен доступ работников к информации об их персональных данных и обработке этих данных (включая право на бесплатное получение копий записей, содержащих персональные данные работника, кроме случаев, предусмотренных законодательством), в т. ч. к медицинским данным с помощью медицинского специалиста. При этом подразумевается, что каждый работник имеет право на неограниченное ознакомление с собственными персональными данными, имеющимися в распоряжении работодателя;

- работодателем не принимается к рассмотрению (не исполняется) требование работника об исключении (исправлении) неверных (неполных) персональных данных, а также персональных данных, обработанных с нарушением обязательных требований;

- работодателем не принимается к рассмотрению (не исполняется) требование работника об извещении работодателем всех лиц, которым ранее были сообщены неверные (неполные) персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Значительная часть нарушений обусловлена непринятием работодателем мер, направленных на надлежащую защиту персональных данных работников. Как правило, это связано с неудовлетворительной правовой подготовкой руководителей (иных уполномоченных представителей) работодателей в вопросах организации обработки персональных данных, незнанием соответствующих нормативных актов и (или) их неумением организовать практическое исполнение обязательных требований в части защиты персональных данных.

Между тем в нормативных актах такие меры определены. Например, Положение о методах и способах защиты информации в информационных системах персональных данных, утв. Приказом Федеральной службы по техническому и экспортному контролю от 01.01.2001 N 58, устанавливает методы и способы защиты информации при обработке персональных данных работников в соответствующих информационных системах. В частности, Положение распространяется на организации и предпринимателей, обрабатывающих персональные данные работников в корпоративных информационных системах, применяемых в целях надлежащей организации кадровой работы (работы с персоналом).

Примерный перечень мероприятий, организуемый работодателями в целях защиты информации при обработке персональных данных работников, представлен ниже.

Примерный перечень мероприятий, организуемых работодателями в целях защиты информации при обработке персональных данных работников:

1. Издание приказа (распоряжения) о защите персональных данных работников.

2. Издание приказа (распоряжения) о назначении персонала (подразделения), ответственного за защиту персональных данных работников.

3. Принятие локальных нормативных актов по вопросам организации защиты персональных данных работников, в т. ч. о порядке осуществления контроля за соблюдением обязательных требований в указанной области деятельности, порядке разграничения прав доступа к защищаемым персональным данным работников.

4. Определение состава и категорий защищаемых персональных данных (в форме перечня), классификации информационных систем, применяемых в целях обработки персональных данных (в форме акта).

5. Определение наиболее вероятных угроз защищаемым персональным данным работников (в форме модели (соответствующего описания)).

6. Утверждение плана мероприятий по защите персональных данных работников, осуществление контроля за его исполнением.

7. Утверждение должностных инструкций лиц, допущенных к обработке персональных данных работников (администратора, администратора безопасности, пользователя, пользователя по обеспечению безопасности обработки персональных данных), а также инструкции по действиям указанных лиц при возникновении внештатных ситуаций, форм учетной документации (журналов обращений и т. п.).

8. Утверждение порядка резервирования и восстановления работоспособности информационной системы, в составе которой осуществляется обработка персональных данных работников.

9. Утверждение графика внутренних проверок состояния защиты персональных данных работников.

10. Утверждение перечня по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

В качестве примеров нарушения работодателем обязательных требований по обеспечению защиты персональных данных работников можно назвать:

- ненадлежащее проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным работников;

- непринятие мер по недопущению воздействия на технические средства автоматизированной обработки персональных данных работников (в т. ч. в составе информационной системы), в результате которого может быть нарушено их функционирование;

- непринятие мер, обеспечивающих незамедлительное восстановление персональных данных работников, в т. ч. модифицированных (уничтоженных), вследствие несанкционированного доступа к ним;

- отсутствие действенного контроля над обеспечением надлежащего уровня защищенности персональных данных работников.

За нарушения в области обработки персональных данных, в т. ч. за нарушение правил защиты соответствующей информации, юридическое лицо (предприниматель), руководитель (иной уполномоченный представитель) организации (предпринимателя) могут быть привлечены к административной ответственности (ст. ст. 13.11 и 13.12 КоАП РФ). Уголовная ответственность за нарушения в области обработки персональных данных предусмотрена ст. ст. 137, 173.2 УК РФ.

Глава 22. Проверки организации

социального страхования работников

В соответствии со ст. 22 ТК РФ работодатель должен осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами <1>. В связи с этим работодатели должны соблюдать обязательные требования в части правильности исчисления, полноты и своевременности уплаты страховых взносов в государственные внебюджетные фонды (Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный фонд обязательного медицинского страхования), представления сведений индивидуального (персонифицированного) учета о застрахованных лицах (работниках).

--------------------------------

<1> См. Федеральный закон от 01.01.2001 N 165-ФЗ "Об основах обязательного социального страхования".

В число документов, предъявляемых при заключении трудового договора, входит страховое свидетельство государственного пенсионного страхования. В случаях когда такое свидетельство у лица, поступающего на работу, отсутствует, работодатель обязан оформить его в установленном порядке. В дальнейшем по письменному заявлению работника работодатель обязан выдавать ему надлежащим образом оформленные справки о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование.

Проверки выполнения работодателями обязательных требований по указанным вопросам осуществляют преимущественно органы местного самоуправления и Пенсионный фонд РФ (его территориальный орган). Основными вопросами, подлежащими проверке, являются:

- установление категории плательщика страховых взносов;

- своевременность и полнота представления расчетов и индивидуальных сведений в ПФР (его территориальный орган);

- правильность определения объекта обложения страховыми взносами и базы для начисления страховых взносов;

- правильность определения сумм, не подлежащих обложению страховыми взносами;

- правильность начисления и уплаты страховых взносов;

- правильность выплат и иных вознаграждений, начисляемых в пользу физических лиц по трудовым и гражданско-правовым договорам, в т. ч. производимых через кассу, безналичным путем, в натуральной форме; выплат по операциям, связанным с расчетами с подотчетными лицами; операциям, связанным с реализацией или безвозмездной передачей материальных ценностей, и др.

Примерный перечень документов, подлежащих проверке, приведен в Приложении к Методическим рекомендациям по организации проведения выездных проверок плательщиков страховых взносов (утв. Распоряжением Правления ПФР от 01.01.2001 N 34р):

1. Учредительные документы.

2. Приказы об учетной политике.

3. Лицензии.

4. Расчет РСВ-1 ПФР.

5. Карточки индивидуального учета сумм начисленных выплат (иных вознаграждений) и страховых взносов.

6. Информация о страховых свидетельствах государственного пенсионного страхования, имеющихся у работников.

7. Список внештатных работников, список работников, работающих по договорам гражданско-правового характера, предметом которых является выполнение работ и оказание услуг.

8. Договоры между предприятием и страховой медицинской организацией (СМО) на обязательное медицинское страхование граждан, работающих на предприятии, с приложением списка граждан, застрахованных на ОМС.

9. Регистры бухгалтерского учета: главная книга; журналы-ордера; мемориалы-ордера; оборотно-сальдовые ведомости; аналитические карточки (карточки субконто и др.); своды по заработной плате; разработочные таблицы-машинограммы.

10. Формы первичной учетной документации, в т. ч. унифицированные по учету кадров: N Т-1 - N Т-3, N Т-5, N Т-6, N Т-8, N Т-11 - N Т-13, N Т-51, N Т-53, N Т-54.

11. Документы, используемые при проверке кассовых операций (приказ о назначении кассира, журнал регистрации приходных и расходных кассовых ордеров, кассовая книга, отчет кассира (второй лист кассовой книги), приходные и расходные кассовые ордера). При наличии ККТ проверяются: договор с центром технического обслуживания, журнал кассира-операциониста, справки-отчеты кассира-операциониста, X-отчеты, Z-отчеты.

12. Банковские документы, в т. ч. платежные (выписки банка, платежные поручения (требования) и проч.).

13. Расчетные документы (счета и проч.).

14. Трудовые договоры.

15. Трудовые книжки работников.

16. Договоры гражданско-правового характера.

17. Акты приема-сдачи выполненных работ (оказанных услуг).

18. Документы по подотчетным суммам (авансовые отчеты и прилагаемые к ним документы; командировочные удостоверения, билеты, счета отелей, чеки ККТ, квитанции и проч.).

19. Унифицированная форма государственного статистического наблюдения N П-4.

20. Документы, подтверждающие дополнительные показатели (факторы) занятости во вредных условиях труда.

21. Налоговая карточка по учету доходов и налога на доходы физических лиц (рекомендуемая форма N 1-НДФЛ).

22. При необходимости иные документы.

Уполномоченными органами также практикуется проведение тематических проверок соблюдения работодателями обязательных требований в сфере социального страхования работников, в т. ч. по вопросам реализации прав работников на получение обеспечения по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, а также порядка назначения, исчисления и выплаты пособий по временной нетрудоспособности за счет средств работодателей.

Роструд организует такие проверки в соответствии с Административным регламентом, утвержденным Приказом Минздравсоцразвития России от 01.01.2001 N 1325н. Документ начал применяться с 27 марта 2012 г.

Проверке подлежат:

1) относящиеся к предмету проверки документы работодателя, в т. ч.:

- подтверждающие регистрацию работодателя в установленном порядке в качестве страхователя (в соответствующем территориальном органе ФСС РФ);

- подтверждающие выплату работодателем работникам (своевременную и в полном объеме) в текущем и предыдущем годах пособий по временной нетрудоспособности;

- персональные сведения о работниках, уволенных работодателем в течение трех лет, предшествовавших проверке, вследствие их смерти либо установления стойкой утраты трудоспособности (с указанием наименований структурных подразделений, в которых они работали);

- сведения о предоставлении работникам, нуждающимся в лечении по причинам, связанным с наступлением страхового случая, оплачиваемого отпуска для санаторно-курортного лечения (помимо ежегодного оплачиваемого отпуска, установленного законодательством Российской Федерации) на весь период лечения и проезда к месту лечения и обратно;

- подтверждающие назначение работодателем, исчисление и выплату работникам пособий по социальному страхованию в текущем и в предыдущем годах за свой счет через бухгалтерию работодателя;

2) решения и действия работодателя, в т. ч. направленные на:

- формирование и представление за свой счет страховщику в установленные им сроки документов (их заверенных копий), являющихся основанием для назначения обеспечения по страхованию, и иных сведений, необходимых для осуществления обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний;

- своевременное назначение работодателем, исчисление и выплату работникам пособий по социальному страхованию работникам за свой счет в текущем и предыдущем годах через бухгалтерию работодателя;

- соблюдение установленного порядка расследования и оформления страховых случаев, включая своевременное извещение о них страховщика и иных заинтересованных органов, а также обеспечение реализации права на участие в расследовании работников и их полномочных представителей;

- обеспечение мер по предотвращению наступления страховых случаев и выполнение мероприятий по устранению причин страховых случаев, выработанных и предложенных в ходе их расследования;

- обеспечение направления работников, получивших повреждение здоровья в результате страхового случая, в учреждение медико-социальной экспертизы на освидетельствование (переосвидетельствование) в установленные учреждением медико-социальной экспертизы сроки;

- информирование работников об их правах и обязанностях, а также об установленном порядке и условиях обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.

К основным нарушениям обязательных требований по вопросам социального страхования работников, выявленным в ходе проверок (помимо тематических), относятся:

1) в части представления документов:

- документы представлены не в полном объеме;

- имеются ошибки в оформлении первичных учетных документов;

- первичные учетные документы подписаны неуполномоченными лицами (лицами, отсутствующими в соответствующем списке);

- заполнение реквизитов документов произведено с отклонением от установленных требований;

- имеются несоответствия дат записей хозяйственных операций периоду начисления;

- неверно произведен подсчет итогов в документах;

- не соблюдается порядок внесения в документы исправлений, в документах имеются подчистки, помарки и проч.;

2) работодатель, относящийся одновременно к нескольким категориям плательщиков страховых взносов, не исчисляет и не уплачивает страховые взносы отдельно по каждому основанию;

3) расчеты и индивидуальные сведения представляются работодателем в ПФР (его территориальный орган) не в полном объеме и (или) несвоевременно (с учетом данных в составе уточненных расчетов);

4) работодателем неверно определены объекты обложения страховыми взносами и (или) база для начисления страховых взносов, ошибочно исчислены суммы, не подлежащие обложению страховыми взносами (в т. ч. в связи с неправильным применением методов округления);

5) работодателем допущены ошибки при начислении и уплате (перечислении) страховых взносов (в том числе в связи с неправильным применением пониженного тарифа);

6) работодателем допущены ошибки при начислении выплат и иных вознаграждений физическим лицам по трудовым и гражданско-правовым договорам (выплат по операциям, связанным с расчетами с подотчетными лицами; операциям, связанным с реализацией или безвозмездной передачей материальных ценностей, и др.).

р. 4, "Проверки работодателя" () ("Налоговый вестник", 2012) {КонсультантПлюс}