Имеет ли право прокуратура запрашивать персональные данные. Прокурорская проверка персональных данных Прокуратура отказала в запросе персональных данных суда
К нам в организацию скоро придет проверка из прокуратуры, которая будет проверять персональные данные. Скажите, как проходят такие проверки? Что конкретно требуют представить сотрудники прокуратуры?
О выездной проверке
Проверка в организации порядка обработки персональных данных проводится в соответствии с Федеральными законами от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в ред. от 26.04.2010; далее - Федеральный закон № 294-ФЗ) и от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 27.12.2009), а также главой 14 ТК РФ. Из содержания вопроса следует, что вам предстоит «пережить» выездную проверку (ее порядок определяется ст. 12 Федерального закона № 294-ФЗ), которая может проводиться как в плановом, так и во внеплановом порядке.
Персональные данные работника - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (в данном случае - о работнике).
Обработка персональных данных - действия (операции) с персональными данными, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Уточним, что предметом плановой проверки является соблюдение работодателем (юридическим лицом, индивидуальным предпринимателем) в процессе осуществления деятельности обязательных требований (в данном случае) к обработке персональных данных. При проведении внеплановой проверки первоочередное внимание уделяется недостаткам, выявленным в ходе предшествующей проверки (проверяется, насколько полно и своевременно они были устранены).
Порядок проведения плановой проверки
О проведении плановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии соответствующего приказа (распоряжения) руководителя (заместителя руководителя) органа государственного (муниципального) контроля (надзора) - заказным почтовым отправлением с уведомлением о вручении или иным доступным способом. О проведении внеплановой выездной проверки (за исключением внеплановой выездной проверки, основания проведения которой указаны в п. 2 ч. 2 ст. 10 Федерального закона № 294-ФЗ) юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного (муниципального) контроля (надзора) не менее чем за 24 часа до начала ее проведения любым доступным способом.
Выездная проверка начинается с предъявления проверяющим руководителю (лицу, его замещающему) проверяемой организации служебного удостоверения и приказа (распоряжения) руководителя проверяющего (контрольного, надзорного) органа о назначении выездной проверки. Заверенная печатью копия приказа (распоряжения), если она не была получена юридическим лицом (индивидуальным предпринимателем) ранее, вручается под роспись одновременно с предъявлением служебных удостоверений.
Непосредственно после этого проверяющий должен ознакомить руководителя (лицо, его замещающее) проверяемой организации:
С полномочиями проверяющего (проверяющих);
С целями, задачами, основаниями проведения выездной проверки;
С видами и объемом проверочных мероприятий;
Со сроками и условиями проведения проверки (проверочных мероприятий);
В большинстве случаев продолжительность проверки не может превышать 20 рабочих дней.
С составом экспертов (представителями экспертных организаций), если таковые привлекаются к выездной проверке.
По просьбе руководителя (лица, его замещающего) предприятия проверяющий обязан ознакомить его с административными регламентами проведения проверочных мероприятий и порядком их проведения на объектах предприятия. Со своей стороны, руководитель (лицо, его замещающее) предприятия обязан предоставить проверяющим:
Возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, - в данном случае относящимися к организации обработки персональных данных (см. ниже);
Доступ на территорию и в соответствующие здания (помещения) предприятия (к примеру, в здание управления предприятия, помещения отдела кадров и пр.).
Организация обработки персональных данных работодателем (юридическим лицом или индивидуальным предпринимателем) регламентируется соответствующим локальным нормативным актом, например: Положением о порядке обработки персональных данных, Инструкцией о защите персональных данных и др. Работников нужно ознакомить с этим локальным нормативным актом (далее - ЛНА) под роспись - как правило, перед подписанием трудового договора (либо при вступлении ЛНА в действие). Следовательно, в первую очередь проверяющий пожелает узнать:
1) имеется ли у работодателя ЛНА, регламентирующий организацию обработки персональных данных;
2) ознакомлены ли с ЛНА все работники организации.
Работников (их представителей) необходимо ознакомить под роспись с документами работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области (ст. 86 ТК РФ).
Ознакомление работников с ЛНА под роспись обычно оформляется либо в специальной книге (журнале), либо в листе-приложении к этому документу или к трудовому договору.
Кроме того, при проверке выполнения требований нормативных правовых, а также действующих у данного работодателя локальных нормативных актов по организации обработки персональных данных основное внимание проверяющих будет обращено на следующие вопросы:
1) производится ли обработка персональных данных работников исключительно в целях обеспечения соблюдения нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой ими работы и обеспечения сохранности имущества работодателя;
Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Однако в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника - но только с письменного согласия последнего. Кроме того, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2) выполняется ли требование федерального законодательства о порядке получения персональных данных работников (см. ниже);
3) соблюдается ли порядок принятия решений, затрагивающих интересы работников, в части обоснования таких решений не только персональными данными, полученными исключительно в результате их автоматизированной обработки (электронного получения), но и иными разрешенными к применению методами (способами), например при принятии решений о переводе на другую работу, о прекращении трудового договора и пр.;
4) за счет каких средств обеспечивается защита персональных данных от неправомерного использования (утраты);
5) обеспечено ли право работников на сохранение и защиту тайны (в части, относящейся к персональным данным);
6) участвуют ли работники (их представители) в выработке мер, направленных на защиту персональных данных.
В частности, для проверки соблюдения работодателем порядка получения персональных данных работников проверяющий вправе запросить для ознакомления:
1) переписку работодателя по вопросам обработки персональных данных;
2) письменные заявления работников с выражением согласия на обработку персональных данных (в том числе на получение таких данных от третьих лиц и передачу их третьим лицам).
Персональные данные о работнике следует получать непосредственно у него самого. Если персональные данные работника можно получить только у третьей стороны, то работника следует уведомить об этом заранее и от него необходимо получить письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Несомненно, проверяющий обратит внимание и на то, как выполняются требования к обработке персональных данных в повседневной деятельности уполномоченными должностными лицами (в общем случае - работниками отдела кадров).
Отметим, что право должностных лиц (работников) на обработку персональных данных (в более широком смысле - на доступ к персональным данным) нужно зафиксировать в соответствующем ЛНА работодателя, а также при необходимости (дополнительно, на факультативной основе) в следующих документах:
Трудовых договорах;
Должностных инструкциях;
Инструкциях по видам деятельности;
Приказах (о назначении на должность и по отдельным вопросам организации обработки персональных данных).
К тому же проверке подлежит организация хранения персональных данных (содержащих их документов). Учитывая, что хранение персональных данных в настоящее время осуществляется не только в традиционном (бумажном), но и в электронном виде, следует ожидать и проверки информационной системы, применяемой работодателем для обработки (в том числе хранения) персональных данных. Скорее всего, к выполнению этой части проверочных мероприятий проверяющим будет привлечен эксперт (специалист по информационным технологиям), для которого наибольший интерес будут представлять следующие вопросы:
1) какой класс присвоен информационной системе, насколько это обосновано (см. в этой связи Порядок проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20);
2) какие методы и способы защиты персональных данных (с учетом класса информационной системы) (см. в этой связи Положение о методах и способах защиты информации в информационных системах персональных данных (приложение к приказу Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58) применяются, позволяют ли они обеспечить надежную защиту от несанкционированного доступа или утраты?
Кроме того, проверяющий, несомненно, обратит внимание на то, насколько соответствуют целям обеспечения защиты персональных данных помещения и рабочие места, в (на) которых выполняется их обработка. Как правило, доступ в эти помещения (обособленные части (зоны) помещений) должны иметь только лица (работники), допущенные к обработке персональных данных. Помещения следует защитить от проникновения в них посторонних лиц, они должны быть оборудованы сигнализацией, а также надежными средствами хранения. Соответствующие средства защиты должны иметь и установленные на рабочих местах средства программно-технической обработки персональных данных.
Оформление результатов проверки
По результатам проверки составляется акт, в котором указываются:
1) дата, время и место составления акта проверки;
2) наименование проверяющего органа;
3) дата и номер приказа (распоряжения) о назначении проверки;
4) фамилии, имена, отчества и должности проверяющих;
5) наименование проверяемой организации, а также фамилия, имя, отчество и должность его руководителя (лица, его замещающего);
6) дата, время, продолжительность и место проведения проверки;
7) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований к обращению с персональными данными, их характере и о лицах, допустивших указанные нарушения;
8) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя (лица, его замещающего) организации, о наличии его подписи или об отказе от совершения подписи;
9) сведения о внесении в журнал учета проверок организации записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у предприятия указанного журнала;
10) подпись (подписи) проверяющего (проверяющих).
К акту могут прилагаться связанные с результатами проверки документы (их копии).
Один экземпляр акта вручается руководителю (лицу, его замещающему) организации.
М. Ю. Рогожин,
эксперт
Установленные федеральным законодательством общие ограничения на доступ к персональным данным многим государственным органам мешают выполнять порученные им обязанности, поэтому они стремятся внести в специальное законодательство, регламентирующее их деятельность, положения, позволяющее им не исполнять некоторые требования закона «О персональных данных».
Очередные изменения коснулись прав прокуратуры. Федеральным законом от 23 июля 2013 г. № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных» статья 4 федерального закона «О прокуратуре Российской Федерации» дополнена пунктом, расширяющим возможности прокуратуры получать информацию ограниченного доступа, и в том числе обрабатывать персональные данные:
Федеральный закон «О прокуратуре Российской Федерации»В законе «О персональных данных» уточнено, что прокуратура имеет право обрабатывать специальные категории персональных данных:Статья 4. Принципы организации и деятельности прокуратуры Российской Федерации
2.1. Органы прокуратуры в связи с осуществлением ими в соответствии с настоящим Федеральным законом прокурорского надзора вправе получать в установленных законодательством Российской Федерации случаях доступ к необходимой им для осуществления прокурорского надзора информации , доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных .
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»Внесены изменения и в закон «Об основах охраны здоровья граждан в Российской Федерации». Теперь сведения, составляющих врачебную тайну, будут предоставляться органам прокуратуры без согласия гражданина или его законного представителя:Статья 10. Специальные категории персональных данных
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора ;
Федеральный закон от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»Мой комментарий: Думаю, что это не последние изменения в законодательстве о персональных данных. Интересно, какой из государственных органов станет следующим? :)Статья 13. Соблюдение врачебной тайны
4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора , по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
ГЕНЕРАЛЬНАЯ
ПРОКУРАТУРА РОССИЙСКОЙ ФЕДЕРАЦИИ
22.11.2013 № 506
Об утверждении и введении в действие Инструкции о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора
В соответствии с Федеральным законом от 23.07.2013 № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных», руководствуясь ст. 17 Федерального закона «О прокуратуре Российской Федерации»,
П Р И К А З Ы В А Ю:
1. Утвердить и ввести в действие прилагаемую Инструкцию о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора (далее - Инструкция).
2. Заместителям Генерального прокурора Российской Федерации, начальникам главных управлений, управлений и отделов Генеральной прокуратуры Российской Федерации, прокурорам субъектов Российской Федерации, городов и районов, другим территориальным, приравненным к ним военным прокурорам и прокурорам иных специализированных прокуратур организовать изучение Инструкции прокурорскими работниками и государственными гражданскими служащими органов прокуратуры Российской Федерации.
3. Обеспечить обработку и защиту персональных данных, полученных в связи с осуществлением прокурорского надзора, в строгом соответствии с требованиями Конституции Российской Федерации, федеральных законов от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации», от 27.07.2006 № 152-ФЗ «О персональных данных», от 25.12.2008 № 27Э-ФЗ «О противодействии коррупции», от 21.11.2011 № 323-ФЭ «Об основах охраны здоровья граждан в Российской Федерации» и Инструкции.
4. Работу по обработке персональных данных, полученных в связи с осуществлением прокурорского надзора, подчинить решению задач обеспечения защиты прав и свобод человека и гражданина, укрепления законности и правопорядка.
6. Контроль за исполнением приказа возложить на заместителей Генерального прокурора Российской Федерации по направлениям деятельности.
Приказ направить заместителям Генерального прокурора Российской Федерации, начальникам главных управлений и управлений Генеральной прокуратуры Российской Федерации, прокурорам субъектов Российской Федерации, приравненным к ним военным прокурорам и прокурорам иных специализированных прокуратур, ректору Академии Генеральной прокуратуры Российской Федерации, которым довести его содержание до сведения подчиненных работников.
Генеральный прокурор
Российской Федерации
действительный государственный
советник юстиции
Ю.Я.Чайка
УТВЕРЖДЕНА
приказом
Генерального прокурора
Российской Федерации
от 22.11.2013 №506
Инструкция о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора
1. Общие положения
1.1. Настоящая Инструкция разработана в соответствии со ст. 4 Федерального закона от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации», федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 21.11.2011 № 323-ФЭ «Об основах охраны здоровья граждан в Российской Федерации», иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.
1.2. Инструкция регламентирует единый порядок обработки персональных данных в органах прокуратуры Российской Федерации при осуществлении прокурорского надзора, реализации прокурорами полномочий, предусмотренных Федеральным законом от 03.12.2012 № 230-ФЭ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам», а также другими законодательными актами Российской Федерации, содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
1.3. Персональными данными в настоящей Инструкции признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), получаемая в связи с осуществлением прокурорского надзора, реализацией прокурорами иных полномочий, предусмотренных законодательством Российской Федерации.
При осуществлении установленных законодательством Российской Федерации полномочий прокуроры вправе получать следующую информацию о субъекте персональных данных:
1) анкетные и биографические данные, включая адрес места жительства и проживания;
2) сведения о гражданстве, паспортные данные или данные иного документа, удостоверяющего личность и гражданство (включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;
5) сведения о составе семьи и наличии иждивенцев, о месте работы или учебы членов семьи;
6) сведения о состоянии здоровья и наличии заболеваний, о нахождении на различных медицинских учетах;
7) сведения об отношении к воинской обязанности;
8) сведения о доходах, расходах, налоговых обязательствах и иных обязательствах имущественного характера;
9) сведения об идентификационном номере налогоплательщика;
10) сведения о социальных льготах и о социальном статусе;
11) сведения о судимости, о привлечении к уголовной, административной или иного вида ответственности;
12) сведения об имуществе (недвижимости, транспортных средствах и др.);
13) сведения о предпринимательской деятельности субъекта персональных данных и членов его семьи;
14) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера и иные персональные данные лиц, на которых распространяются обязанности, предусмотренные ст. 8 Федерального закона от 25.12.2008 № 273-ФЗ «О противодействии коррупции» и иными правовыми актами Российской Федерации (в том числе сведения о доходах, расходах, об имуществе и обязательствах имущественного характера и иные персональные данные их супругов и несовершеннолетних детей);
15) персональные данные лиц, на которых распространяются установленные законодательством о противодействии коррупции запреты, ограничения и обязанности;
16) персональные данные иных лиц в целях выявления правонарушений (в том числе нарушений законодательства о противодействии коррупции);
17) иные персональные данные, необходимые для целей осуществления прокурорского надзора.
1.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5. Вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, в настоящей Инструкции не рассматриваются и регулируются законодательством о государственной тайне.
1.6. Порядок обращения в органах и учреждениях прокуратуры Российской Федерации со служебной информацией ограниченного доступа регулируется соответствующим Положением, утвержденным приказом Генерального прокурора Российской Федерации от 27.04.2011 № 111.
2. Порядок обработки персональных данных
2.1. Получение персональных данных осуществляется в соответствии с федеральными законами, нормативными правовыми актами Российской Федерации в области противодействия коррупции, а также организационно - распорядительными документами Генерального прокурора Российской Федерации.
2.2. Запросы о представлении персональных данных вправе подписывать Генеральный прокурор Российской Федерации, его заместители, начальники главных управлений и управлений Генеральной прокуратуры Российской Федерации, прокуроры субъектов Российской Федерации, приравненные к ним военные прокуроры, прокуроры иных специализированных прокуратур и их заместители, а также прокуроры городов и районов, другие территориальные, приравненные к ним военные прокуроры, прокуроры иных специализированных прокуратур и их заместители.
Персональные данные могут быть получены прокурорами непосредственно при реализации полномочий, предоставленных федеральными законами, нормативными правовыми актами Российской Федерации в области противодействия коррупции, иными нормативными правовыми актами Российской Федерации.
2.3. Основанием для запроса персональных данных является проведение проверки в связи с поступившей в органы прокуратуры информации о фактах нарушения законов, требующих принятия мер прокурором, а также реализация плановых и иных проверочных мероприятий.
2.4. Обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Рассмотрение запросов субъектов персональных данных или их представителей
3.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей сведения:
1) о подтверждении факта обработки персональных данных в органах прокуратуры;
2) о правовых основаниях и целях обработки персональных данных;
3) о применяемых в органах прокуратуры способах обработки персональных данных;
4) о наименовании и месте нахождения прокуратуры, о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
5) об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, об источнике их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) о сроках обработки персональных данных, в том числе сроках их хранения в органе прокуратуры;
7) о порядке осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) об осуществленной или предполагаемой трансграничной передаче данных;
9) о наименовании организации или лице (фамилия, имя, отчество и адрес), осуществляющем обработку персональных данных по поручению органа прокуратуры, если обработка поручена или будет поручена такой организации или лицу;
10) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.
3.2. Субъекты персональных данных вправе требовать от органа прокуратуры уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.3. Сведения, указанные в подпунктах 1-10 пункта 3.1 настоящей Инструкции, должны быть представлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3.4. Сведения, указанные в подпунктах 1-10 пункта 3.1 настоящей Инструкции, представляются субъекту персональных данных или его представителю уполномоченным должностным лицом органа прокуратуры, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие факт обработки персональных данных в органе прокуратуры, подпись субъекта персональных данных или его представителя.
3.5. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
4. Организация работы по обеспечению безопасности персональных данных в органах прокуратуры Российской Федерации
4.1. Прокурорские работники и государственные гражданские служащие органов прокуратуры, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.2. В случае достижения целей обработки персональных данных прокурорские работники и государственные гражданские служащие органов прокуратуры обязаны передать материалы, содержащие персональные данные, в службу делопроизводства в соответствии с Инструкцией по делопроизводству в органах и учреждениях прокуратуры Российской Федерации, утвержденной приказом Генерального прокурора Российской Федерации от 29.12.2011 № 450.
4.3. Прокурорские работники и государственные гражданские служащие органов прокуратуры при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.4. Структурным подразделением прокуратуры, ответственным за документооборот и архивирование, в соответствии с Инструкцией по делопроизводству в органах и учреждениях прокуратуры Российской Федерации, утвержденной приказом Генерального прокурора Российской Федерации от 29.12.2011 № 450, осуществляются систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению, и последующее их уничтожение.
5. Лица, ответственные за организацию обработки персональных данных, полученных в связи с осуществлением прокурорского надзора
5.1. Лица, ответственные в органах прокуратуры за организацию обработки персональных данных, полученных в связи с осуществлением прокурорского надзора, назначаются отдельным приказом из числа прокурорских работников и государственных гражданских служащих в соответствии с распределением обязанностей.
5.2. Ответственные за обработку персональных данных в своей работе руководствуются законодательством Российской Федерации в области персональных данных и настоящей Инструкцией.
5.3. Ответственные за обработку персональных данных, полученных в связи с осуществлением прокурорского надзора, обязаны:
1) осуществлять внутренний контроль за соблюдением прокурорскими работниками и государственными гражданскими служащими органов прокуратуры требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения прокурорских работников и государственных гражданских служащих органов прокуратуры положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в органах прокуратуры;
4) в случае нарушения в органах прокуратуры требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
5.4. Ответственный за обработку персональных данных вправе иметь доступ к информации, касающейся обработки персональных данных, полученных в связи с осуществлением прокурорского надзора в органах прокуратуры, включающей:
1) цели обработки персональных данных;
4) правовые основания обработки персональных данных;
5) перечень действий с персональными данными, общее описание используемых в органах прокуратуры способов обработки персональных данных, полученных в связи с осуществлением прокурорского надзора;
6) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7) дату начала обработки персональных данных, полученных в связи с осуществлением прокурорского надзора;
8) срок или условия прекращения обработки персональных данных;
9) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Он также имеет право привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в органах прокуратуры, иных прокурорских работников и государственных гражданских служащих органов прокуратуры с возложением на них соответствующих обязанностей и закреплением ответственности.
5.5. Ответственный в органе прокуратуры за обработку персональных данных, полученных в связи с осуществлением прокурорского надзора, несет ответственность за надлежащее выполнение возложенных на него функций по организации обработки указанных персональных данных в соответствии с положениями законодательства Российской Федерации в области персональных данных.
ПРАВОМЕРНО, КАК СВЯЗАННОЕ С ОСУЩЕСТВЛЕНИЕМ ПРОКУРОРСКОГО НАДЗОРА.
Определение СК по административным делам Верховного Суда РФ от 30 марта 2011 г. N 16-Впр11-3.
"...Отказывая в удовлетворении заявления, суд первой инстанции, руководствуясь частью 1 статьи 21, частью 1 статьи 22 Федерального закона "О прокуратуре Российской Федерации" от 17 января 1992 г. N 2202-1, статьей 1, пунктом 2 статьи 4 Федерального закона "О службе в таможенных органах Российской Федерации" от 21 июля 1997 г. N 114-ФЗ, пунктом 6 части 1 статьи 42 Федерального закона "О государственной гражданской службе Российской Федерации" от 27 июля 2004 г. N 79-ФЗ, статьей 3 Федерального закона "О персональных данных" N 152-ФЗ от 27 июля 2006 г., статьями 86, 88 Трудового кодекса Российской Федерации, пришел к выводу о том, что предоставление персональных данных сотрудников таможенных органов по запросу прокурора, а также представление прокурору для ознакомления личных дел сотрудников таможни без их согласия, законом не предусмотрено.
С таким выводом согласилась и судебная коллегия по гражданским делам Волгоградского областного суда.
Судебная коллегия по административным делам Верховного Суда Российской Федерации находит данный вывод судебных инстанций постановленным на ошибочном толковании норм материального права, без учета следующих положений действующего законодательства, вступившего в силу после приведенных выше законов....
Из системного толкования приведенных правовых норм, которые не были приняты во внимание судебными инстанциями при рассмотрении настоящего гражданского дела, следует, что органы прокуратуры, реализуя полномочия по надзору за исполнением Федерального закона от 25 декабря 2008 года N 273-ФЗ, вправе затребовать информацию, необходимую для выявления и устранения нарушений закона.
Приведенные нормы права и фактические обстоятельства дела свидетельствуют о соответствии требований Волгоградского транспортного прокурора действующему законодательству...."
Статья 7. Конфиденциальность персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных , если иное не предусмотрено федеральным законом.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
(п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ)
Федеральный закон от 17.01.1992 N 2202-1
(ред. от 21.07.2014)
"О прокуратуре Российской Федерации"
Статья 22. Полномочия прокурора
1. Прокурор при осуществлении возложенных на него функций вправе:
по предъявлении служебного удостоверения беспрепятственно входить на территории и в помещения органов, указанных в пункте 1 статьи 21 настоящего Федерального закона, иметь доступ к их документам и материалам, проверять исполнение законов в связи с поступившей в органы прокуратуры информацией о фактах нарушения закона;
требовать от руководителей и других должностных лиц указанных органов представления необходимых документов, материалов, статистических и иных сведений; выделения специалистов для выяснения возникших вопросов; проведения проверок по поступившим в органы прокуратуры материалам и обращениям, ревизий деятельности подконтрольных или подведомственных им организаций;
вызывать должностных лиц и граждан для объяснений по поводу нарушений законов.
2. Прокурор или его заместитель по основаниям, установленным законом, возбуждает производство об административном правонарушении, требует привлечения лиц, нарушивших закон, к иной установленной законом ответственности, предостерегает о недопустимости нарушения закона.
В пятницу Госдума приняла закон, наделяющий органы прокуратуры правом знакомиться с персональными сведениями, в том числе составляющими врачебную тайну, без согласия гражданина. Соответствующие уточнения внесены в законы «О персональных данных» и «Об основах охраны здоровья граждан в РФ». В соответствии с законом органы прокуратуры при осуществлении ими прокурорского надзора получают доступ к необходимой им для этого информации, в том числе могут осуществлять обработку персональных данных. А медучреждения по запросу органов прокуратуры будут обязаны предоставить информацию о состоянии здоровья пациентов, не спрашивая разрешения у самих граждан или их законных представителей.
В частности, это касается информации о лицах, страдающих наркоманией, алкоголизмом, имеющих психические расстройства и состоящих на соответствующем учете.
До сих пор прокуратура была не вправе напрямую запрашивать конфиденциальную информацию о гражданах. При расследовании уголовного дела сотрудники прокуратуры должны действовать через органы дознания и следствия, в случае гражданского процесса (например, при определении дееспособности гражданина или признании недействительными сделок) — через суд, в ходе прокурорских проверок получать согласие граждан.
Однако, как сказано в пояснительной записке к документу, «в ходе проводимых органами прокуратуры проверок исполнения законодательства (в том числе о противодействии незаконному обороту наркотических средств и психотропных веществ, о безопасности дорожного движения, о труде и образовании и др.) возникает необходимость получения из медицинских учреждений сведений о состоянии здоровья граждан». И принятые изменения позволят устранить «имеющуюся коллизию между нормами законодательства об охране здоровья граждан и о персональных данных и нормами законодательства о прокуратуре».
Подготовленной группой законопроект был скоропалительно принят . Поступив в парламент 15 мая, документ был одобрен в первом чтении 21 июня и принят сразу во втором и окончательном чтениях 5 июля.
Как рассказал «Газете.Ru» депутат от «Справедливой России» Алексей Лысяков, у не имевших отношения к разработке законопроекта парламентариев были «определенные сомнения».
«В целом получение персональных данных без разрешения человека, за исключением случаев расследования уголовных дел, конечно, неправильно, — считает Лысяков. — А прокуратура сейчас уголовные дела не расследует, а лишь проводит проверки. Но, поскольку у нас за предоставление поддельных справок существует только административная ответственность, пришлось расширить полномочия прокуратуры, которой нужны сведения о том, является ли человек алкоголиком или наркоманом».
Именно огромное число поддельных медицинских справок, выдаваемых гражданам для получения права на владение оружием или вождение автомобиля и требующих проверок, вызвало необходимость появления этого закона, объяснил депутат. «Это просто результат всеобъемлющей коррупции. Поэтому и приходится принимать такие вещи», — заявил он.
Мнения независимых экспертов разделились. «У и так есть право истребовать в установленном законом порядке медицинскую документацию, — напоминает адвокат «Лиги защиты прав пациентов» Дмитрий Айвазян. — Но до сих пор для того, чтобы собирать сведения личного характера, в том числе составляющие врачебную тайну, силовым структурам были нужны конкретные основания (заявление о преступлении, возбужденные проверочные действия, возбужденное уголовное дело). Сейчас, по всей видимости, в связи с возросшим оборотом наркотиков им понадобились дополнительные полномочия, позволяющие собирать информацию на каких-то иных основаниях.
Но мне думается, что наступление на личные права граждан в данном случае необоснованно и необходимо в законодательном порядке урезонивать силовые структуры, попирающие под маской борьбы с наркотрафиком права человека».
Известный нарколог, занимающийся реабилитацией наркоманов и алкоголиков, Яков Маршак заявил «Газете.Ru», что опасается предоставления прокуратуре дополнительных полномочий, поскольку «прокуратура интерпретирует все в смысле своей целесообразности», понимая эту целесообразность в отрыве от интересов конкретных граждан. А сами граждане становятся безоружными, когда выплывают наружу их проблемы со здоровьем. «Понимаете, это бывает стыдно, — пояснил врач. — Наши пациенты-алкоголики стремятся к трезвости, и им не хочется показывать свою болезнь на людях, и вдруг обнаруживается, что они больны. Это их дело, они с этим справятся и потом будут гордиться. Но обнародование болезни может этому сильно помешать».
Президент Национального агентства по безопасности пациентов и независимой медицинской экспертизе, член Национальной медицинской палаты Алексей , в свою очередь, считает, что прокуратура должна иметь право запрашивать персональную, в том числе медицинскую, документацию, «иначе в стране не будет правосудия». «Некоторые родственники пациентов скрывают его заболевание, не лечат и после его смерти получают какую-либо выгоду, — привел пример Старченко. — И такие ситуации, к сожалению, не редкость».
Главное при этом, подчеркивает эксперт, обеспечить ограничительные меры, чтобы информация личного характера не распространялась дальше (например, передача дела в суд — это уже основание для распространения информации, в том числе в СМИ), не становилась достоянием работодателя и соседей. «Но сама прокуратура должна иметь доступ к любой информации, имеющей отношение к нарушению прав граждан, — считает он. — Конечно, это справедливо в том случае, если мы доверяем прокуратуре и считаем, что там нет злоупотреблений. Но это уже другой вопрос».