ruhynlenkadeltpluk

Не так давно в разделе нашего сайта «FAQ» был рассмотрен вопрос о «сведениях личного характера», являющихся «собственностью потребителя», упоминающихся в п. 7.5.4 стандарта ISO 9001 версии 2008 года. А точнее о возможности исключения данного пункта из Руководства по качеству и области действия системы менеджмента качества (СМК).

Для компаний, предоставляющих услуги, не связанные с материальным производством (например, страховыми компаниями, организациями банковского сектора или компаниями, оказывающими медицинские услуги), для которых собственность потребителя может выглядеть как личные данные или сведения о заказчике, можно сказать однозначно, что п.7.5.4 не может быть исключением. Об этом и было подробно рассказано в ответе специалиста компании ООО «ИНТЕРСЕРТ-УКРАИНА».

Однако вопрос остался открытым для производственных предприятий. Может ли подобная проблема касаться и их деятельности? На первый взгляд, кажется, что не может. Однако ответ на данный вопрос не так однозначен и требует более детального рассмотрения. Процитируем еще раз автора вопроса «…Обязательно ли в РК включать раздел 7 п. 7.5.4, если в договоре не предусматривается использование информации о потребителе при изготовлении продукции или производстве работ по данному договору (договорам). Может ли в этом случае требование п. 7.5.4 быть исключено из СМК

Давайте обратим внимание на несколько моментов:

1. В вопросе, видимо, был использован текст стандарта ГОСТ Р ИСО 9001:2008, а именно: «п. 7.5.4 Примечание – Собственность потребителя может включать в себя интеллектуальную собственность и сведения личного характера». В украинской версии стандарта ДСТУ ISO 9001:2009 мы уже видим: «…и його особисті данні». Английская же версия Примечания к п.7.5.4 ISO 9001:2008 звучит следующим образом: «Customer property can include intellectual property and personal data» (дословный перевод - «Собственность клиента может включать интеллектуальную собственность и личные (персональные) данные»)
В целом можно сказать, что под персональными данными Заказчика подразумеваются, те данные, по которым можно установить его личность, место проживания или подобная информация, которая может содержаться, например, в договорах (личные телефоны, e-mail или Ф.И.О. сотрудников компании-заказчика).

2. В стандарте ISO 9001:2008 в п.1.2 говорится о возможности исключения из области действия СМК тех пунктов требований в рамках раздела 7, которые «…не влияют на способность или ответственность организации поставлять продукцию, отвечающую требованиям потребителя и применимым законодательным и нормативным требованиям». Кроме того, ISO/TC 176/SC 2/N 524R6 «Guidance on ISO 9001:2008 Sub-clause 1.2 Application» говорит следующее: «…Если организация определяет, может ли она исключить требования из своей системы менеджмента качества, следует тщательно оценить влияние таких исключений с точки зрения своих клиентов. Если есть влияние на клиента, исключение не будет оправданным, так как обеспечение соответствия поставляемой продукции требованиям заказчика является ключевым элементом ISO 9001:2008».
Из вышесказанного мы делаем вывод о том, что стандарт все-таки оговаривает личные (персональные) данные, которыми Ваша компания может обладать и, соответственно, намеренно или не намеренно использовать и/или разгласить, чем повлиять на удовлетворенность клиента с одной стороны и нарушить требования клиента и/или установленные нормативно-правовые требования с другой.

3. А теперь вспомним о соблюдении нормативно-правовых требований в данной области. На Европейском уровне такие требования оговорены в первую очередь Директивой ЕС 95/46 «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных». Законодательные требования Украины относительно физических лиц, которые могут осуществлять у Вашего предприятия закупку продукции, также предполагают не разглашения их персональных данных и, кроме того, официальную регистрацию баз данных Заказчиков согласно ЗУ «Про захист персональних даних».
Получается, что если Ваша компания не работает с физическими лицами, а договора с юридическими лицами не содержат вышеописанной информации, то можно смело исключить данный пункт из СМК, НО…

4. В положениях стандарта ISO 10001:2007 указано, что «…обязательства, установленные в правилах достижения удовлетворенности потребителей, могут содержаться в заключаемых организацией договорах». Таким образом, если обязательства, оговоренные в договоре с Вашим заказчиком, требуют соблюдения конфиденциальности в вопросах связанных с обоюдной финансовой деятельностью или деятельностью по поставке продукции (объемах, местах поставки и т.п.), то, естественно, пункт 7.5.4 не может быть исключен из области действия СМК.

5. А теперь самое главное. Можете ли вы привести убедительные доводы того, что Ваша компания не владеет все-таки личными данными заказчиков? Ведь до сих пор мы обсуждали только договорную деятельность, но ни разу не вспомнили, что информация подобного характера может накапливаться и в других местах, например:

  • в бюро пропусков и на проходной;
  • при отгрузке продукции по доверенности;
  • в отделе кадров и отделе охраны труда и т.п.

А ведь там довольно часто можно узнать не только паспортные данные человека, но и получить  даже видеоинформацию о нем, его автомобиле и т.д.

Вывод: исключение п. 7.5.4 ISO 9001:2008 в любом случае не целесообразно, так как его выполнение позволит не только обеспечить соответствующую коммуникацию с Заказчиками, но и идентифицировать те места и подразделения, где накапливается информация о клиентах и, таким образом, учесть еще и требования ЗУ «Про захист персональних даних».

Автор: В.О. Савина