• В марте 2010 г. в нашей организации прошел сертификационный аудит на соответствие требованиям стандарта ISO 9001:2008. При этом было зафиксировано следующее несоответствие по п. 5.1 а): «В представленных трудовых договорах с сотрудниками в разделе «Обязанности работодателя» отсутствуют сведения об исполнении организацией требований Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006», вызвавшее спор между нами и аудиторами. Аудиторы считают, что необходимо подготовить дополнительные соглашения к трудовым договорам, в которых должна быть записана фраза о том, что работодатель обеспечивает сохранность персональных данных согласно требованиям законодательства Российской Федерации. Мы со своей стороны объясняли, что трудовой договор не относится к документации СМК, а п. 5.1 а) стандарта ISO 9001:2008 понимается нами как то, что высшее руководство доводит до сведения организации важность выполнения нормативных требований в части разработки, внедрения и повышения результативности СМК. Другими словами, мы считаем, что требования закона о защите персональных данных никак не влияют на СМК. Аудиторы же аргументировали свою позицию следующим образом: они должны проверять систему на соответствие действующему законодательству, а в п. 5.1 а) конкретно подразумевается выполнение организацией действующего законодательства.
  • Вопрос: Помогите разобраться, насколько правы аудиторы в этом вопросе!
  • Автор: Качалов В.А.

Аудиторы здесь не правы. К этому выводу автор пришел на основе совокупности трех заключений.

Заключение первое. Оно связано с результатами анализа обоснованности тех двух тезисов, которыми аудиторы аргументируют свою позицию.

Первый из них касается заявления о том, что в обязанности аудиторов органа по сертификации входит проверка соответствия СМК действующему за­конодательству. Оно не выдерживает никакой крити­ки, поскольку, чтобы провести ТАКУЮ проверку, в законодательстве ДОЛЖНЫ БЫТЬ ТРЕБОВАНИЯ к СМК, а таковые в нашем законодательстве просто-напросто отсутствуют. Другое дело, что они существуют и установлены в стандарте ISO 9001:2008. И поэтому СМК анализируют при аудите третьей стороны на соответствие не действующему законодательству, а требованиям стандарта ISO 9001:20081.

Если же говорить о втором аргументе аудиторов от­носительно того, что в п. 5.1 а) требуется от организации выполнения законодательства, то и он несостояте­лен, поскольку анализ соответствия СМК требованиям п. 5.1 а) никак не подразумевает оценивание деятель­ности организации с подобной точки зрения.

Это становится очевидным, если вспомнить, что содержание обсуждаемого требования стандарта ISO 9001:2008 состоит в том, что высшее руководство должно представить доказательства наличия своих ОБЯ­ЗАТЕЛЬСТВ по разработке и внедрению системы менеджмента качества, а также постоянному повышению ее ре­зультативности посредством доведения до сведения организации ВАЖНОСТИ ВЫПОЛНЕНИЯ законодательных и нормативных требований. Иными словами, в этом пункте говорится о ВАЖНОСТИ ВЫПОЛНЕНИЯ требований, а не о САМОМ их выполнении. А это — разные вещи.

Заключение второе. Оно связано с результатом анализа того, в какой связи находятся требования п. 5.1 а) и информация об отсутствии в трудовых договорах с сотрудниками сведений об исполнении организаци­ей требований закона о защите персональных данных.

Нетрудно заметить, что этот факт, возможно и негативный по своей сути, тем не менее, никакого отношения к содержанию приведенного выше требования не имеет, поскольку не отражает ни наличия, ни отсутствия тех обязательств со стороны руководства, о которых идет речь в этом пункте. А поскольку данное требование является КРИТЕРИЕМ для оценивания соответствия СМК при аудите третьей стороны, это означает (и для нас это очень важно), что полученная аудиторами информация никакого отношения к данному критерию аудита НЕ ИМЕЕТ.

По этой причине отраженная в описанном несоот­ветствии информация НЕ МОЖЕТ рассматриваться как свидетельство аудита по п. 5.1 а), поскольку это понятие определено в п. 3.2 стандарта ISO 19011:2002 как записи, изложения фактов или другая информация, которые ИМЕЮТ ОТНОШЕНИЕ к критериям аудита. Тогда, не являясь свидетельством аудита, зафиксиро­ванная аудиторами информация не может быть расценена ни как соответствие, ни как несоответствие.

Из этого следует, что осуществленное аудиторами «превращение» рассматриваемой ИНФОРМАЦИИ в НЕСООТВЕТСТВИЕ требованиям п. 5.1 а) стандарта ISO 9001:2008 является искусственным и полностью расходится с правилами проведения аудита, изложен­ными в стандарте ISO 19011:2002.

Заключение третье. Оно связано с результатами анализа того, о КАКИХ законодательных и норматив­ных требованиях говорится в п. 5.1 а).

Нет никаких сомнений (и это следует подчеркнуть), что, хотя в этом пункте и использовано слово­сочетание «законодательные и нормативные требования», речь здесь идет далеко НЕ О ВСЕХ законода­тельных и нормативных требованиях ВООБЩЕ,как это, видимо, поняли аудиторы (и о чем можно, на первый взгляд, подумать, рассматривая положения этого пункта стандарта ОТДЕЛЬНО от других).

Если бы это было действительно так, то разработ­чики стандарта вошли бы в противоречие с положением разд. 0.4 стандарта ISO 9001:2008, в котором четко указано на то, что данный стандарт НЕ СОДЕРЖИТ требований к ДРУГИМ системам менеджмента и что в модели данного стандарта НЕ РАС­СМАТРИВАЮТСЯ требования, НЕ ОТНОСЯЩИЕСЯ к менеджменту качества2. А это значит, что в рамках стандарта ISO 9001:2008 ИЗНАЧАЛЬНО НЕТ положений о соблюдении организацией требований, выходящих за рамки проблем менеджмента качества.

По этой причине при проведении анализа СМК предметом оценивания не являются законодательные и нормативные требования, относящиеся к социаль­ной сфере, куда, без сомнения, входят и законода­тельные требования к обеспечению сохранности пер­сональных данных.

Но и это еще не все. Во введении к стандарту ISO 9001:2008 круг рассматриваемых в нем проблем ограничен областью менеджмента качества, примени­тельно к законодательным и нормативным документам этот круг в стандарте сужен еще больше. Судите сами.

Простой анализ показывает, что выделенное выше словосочетание «законодательные и нормативные требования» именно в ТАКОМ виде применяется в составе требований стандарта всего ОДИН раз — только в п. 5.1 а)3. Во всех же других местах ISO 9001:2008 используется оборот «законодательные и нормативные требования, применимые к продукции». Именно этот оборот применен вначале в самых первых (фактически объясняющих основу и цели механизмов менеджмента качества) разделах стандарта, а затем в составе других требований, где говорится:

об оценке способности организации выполнять законодательные и нормативные требования, применимые кпродукции— разд. 0.1. Заметим: выполнять требова­ния, только применимые к продукции,а не вообще все законодательные и нормативные требования;

о демонстрации организацией способности поставлять продукцию, которая отвечает применимым законодательным и нормативным требованиям (т. е. отвечает требованиям, применимым к продук­ции, а не вообще всем законодательным и нормативным требованиям) — разд. 1.1;

об определении законодательных и нормативных требований, применимых к продукции п. 7.2.1 в).

Здесь опять: определение только требований, применимых к продукции, а не вообще всех законода­тельных и нормативных требований;

• наконец, о том, что входные данные, относящиеся к продукции, должны включать соответствующие за­конодательные и нормативные требования, а не вообще все законодательные и нормативные требования — п. 7.3.2 б).

Это позволяет уверенно говорить о том, что и в п. 5.1 а) контекстный смысл законодательных и нор­мативных требований также ограничен и заключается в том, что здесь говорится лишь о тех законодатель­ных и нормативных требованиях, которые применимы к продукции.

Из этого следует, что аудиторы необоснованно расширили трактовку понятия законодательных и нормативных требований, о которых идет речь в п. 5.1 а), включив в них, в частности, требования, относящиеся к социальной сфере. Подведем итоги:

1. Исходные аргументы аудиторов в защиту своей позиции полностью несостоятельны.

2. Включение требований Федерального закона «О персональных данных» в число требований, о которых говорится в п. 5.1 а) стандарта ISO 9001:2008, является необоснованным.

3. Информация, собранная аудиторами, не являет­ся свидетельством аудита, и по этой причине не мо­жет быть «превращена» в несоответствие требованиям стандарта ISO 9001:2008.

Общее заключение. Зафиксированное аудиторами несоответствие является необоснованным. В лучшем случае выявленное обстоятельство могло служить лишь рекомендацией руководству данной организации рассмотреть вопрос о целесообразности включения соответствующего тезиса в текст типового трудового соглашения с работниками.

Необходимое дополнение. Объективности ради, к вышесказанному следует добавить комментарии к позиции и самих авторов письма.

Да, они правы, заявляя, что требования закона о защите персональных данных никак не влияют на СМК.

Однако они, как и аудиторы, не правы, ошибочно трактуя требования п. 5.1 а) как обязанность высшего руководства доводить до сведения организации важность выполнения нормативных требований в части разработки, внедрения и повышения результативности СМК. Объяснение этому дано выше и кратко сводится к следующему: во-первых, ТАКИХ НОРМАТИВНЫХ требований в России нет, а во-вторых, в этом пункте речь идет все-таки о ДРУГИХ требованиях.

_____________________

1Заметим, что, хотя в России действует национальный стандарт ГОСТ Р ИСО 9001-2008, его применение является добровольным, и поэтому он НЕ ЯВЛЯЕТСЯ ни законодательным, ни нормативным документом в том смысле, который обычно вкладывают в словосочетание «законодательные и нормативные документы», понимая под этим документы, требования которых ОБЯЗАТЕЛЬНЫ для выполнения.

2Ранее автор уже высказывался по этой проблеме в статье «Рас­пространяются ли требования пункта 6.4 стандарта ISO 9001:2000 на охрану труда?» (ММК, 2008, № 7, 8).

3Заметим, что примечание 3 к п. 4.1 стандарта ISO 9001:2008, где тоже применяется данное словосочетание, ТРЕБОВАНИЕМ этого стандарта не является.