Проблеми правового та організаційного захисту персональних даних (монографія). Способи захисту персональних даних у школі Короткий аналіз Федерального закону "Про персональні дані" у питаннях інформаційних технологій

Титульна сторінка

ДИПЛОМНА РОБОТА

ТЕМА: «ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ ПРАЦІВНИКА»

ВСТУП 3

ГЛАВА I. ПЕРСОНАЛЬНІ ДАНІ ПРАЦІВНИКА: ПОНЯТТЯ І СУТНІСТЬ 6

1.1. Обмеження персональних данихвід іншої інформації 16

1.2. Розвиток законодавства про захист персональних даних 26

1.3. Загальні вимоги до обробки персональних даних працівника та гарантія їх конфіденційності 33

РОЗДІЛ ІІ. ПОРЯДОК РОБОТИ З КОНФЕДЕНЦІЙНИМИ ВІДОМОСТЯМИ ПРО РОБОТНИКА 36

2.1. Робота кадрової служби з персональними даними 39

2.2. Основні аспекти передачі персональних даних працівника та захист інформації при роботі з персональними даними на ЕОМ 44

2.3. Контроль захисту персональної інформації працівника 59

ВИСНОВОК 65

СПИСОК ЛІТЕРАТУРИ 68

ВСТУП

Персональні дані сторін трудового договору, під якими розуміється інформація про роботодавця та працівника, має важливе значення для кожного з них. При укладанні трудового договору працівник отримує інформацію про роботодавця, про місце його знаходження, характер майбутньої роботи. Велике значення знання персональних даних працівника має для роботодавця, який при укладенні трудового договору отримує інформацію про працівника, про його вік, професію, спеціалізацію, кваліфікацію, стан здоров'я, сімейний стан.

Регулювання та забезпечення конфіденційності персоніфікованої інформації про працівників, присвячені норми, що містяться в статтях глави 14 «Захист персональних даних працівника», якою завершується розділ III «Трудовий договір» ТК РФ 1 .

Актуальність роботи. Поява в російському трудовому праві норм про захист персональних даних працівника продиктована необхідністю реалізації у сфері праці загальновизнаних норм та принципів міжнародного права, застосування яких гарантовано Конституцією Російської Федерації 2, яка у ст. 23 та 24 встановлює, що кожен має право на недоторканність приватного життя, особисту та сімейну таємницю; збирання, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди не допускається.

Предметом дослідження виступає інформаційне поле захисту персональних даних працівників підприємств, державних органів, муніципальних утворень та інших видів діяльності.

Об'єкт дослідження – персональні дані працівників та його захист від неправомірного втручання.

Мета роботи: розглянути питання захисту персональних даних працівників.

Для досягнення мети роботи необхідно виконати такі завдання:

Розглянути теоретичні основи питання: поняття та сутність персональних даних;

Вивчити особливості персональних даних та визначити їх відмінності від іншої інформації;

Простежити розвиток законодавства у цій галузі;

Виявити загальні вимоги до опрацювання персональних даних працівника;

Розглянути роботу кадрової служби з персональними даними;

Вивчити основні аспекти передачі персональних даних працівника, і навіть їх захисту під час роботи на ЕОМ;

Розглянути контроль за захистом персональних даних.

У роботі використовувалися методи порівняння та аналізу – при вивченні Російського законодавства у сфері захисту персональних даних, а також праць та узагальнення знань таких вчених та дослідників як Алавердов А.Р., Маркевич А.С., Кібанов А.Я., Орловський Ю. П., Петровський С.А., Янкова В.Ф. та інших, а також авторів тематичних статей – фахівців у галузі кадрового менеджменту та діловодства.

ГЛАВА I. ПЕРСОНАЛЬНІ ДАНІ ПРАЦІВНИКА: ПОНЯТТЯ І СУТНІСТЬ

Персональні дані сторін трудового договору, під якими розуміється інформація про роботодавця та працівника, має важливе значення для кожного з них. При укладанні трудового договору працівник отримує інформацію про роботодавця, про місце його знаходження, характер майбутньої роботи. 3 Велике значення знання персональних даних працівника має для роботодавця, який при укладенні трудового договору отримує інформацію про працівника, про його вік, професію, спеціалізацію, кваліфікацію, стан здоров'я, сімейний стан.

Після укладання трудового договору інформація про працівника необхідна роботодавцю для належного виконання його зобов'язань, що випливають не лише з трудового, а й із цивільного, сімейного, адміністративного, інших галузей законодавства (наприклад, для утримання із заробітної плати податків, коштів на відшкодування збитків, аліментів) , для надання працівнику пільг та переваг, наприклад, при переведенні на іншу роботу у зв'язку з хворобою, вагітністю, наявністю дітей.

Надаючи роботодавцю право отримувати об'ємну інформацію про персональні дані працівника, закон зобов'язує його вживати всіх заходів для запобігання несанкціонованому виходу цієї інформації з ведення роботодавця, щоб персональні дані працівника не стали надбанням третіх осіб без його відома та згоди.

Регулювання та забезпечення конфіденційності персоніфікованої інформації про працівників, присвячені норми, що містяться у статтях глави 14 «Захист персональних даних працівника», якою завершується розділ III «Трудовий договір» ТК РФ.

Ці норми виникли у вітчизняному трудовому праві нещодавно. Чинний до 1 лютого 2002 р. КзпПр РФ не тільки не містив таких норм, а й не вживав термінологію, якою охоплювалися б поняття персональних даних чи іншої інформації про працівників. І лише з прийняттям Трудового кодексу Російської Федерації, в якому є спеціальний розділ 14 «Захист персональних даних працівника», збирання, зберігання, використання конфіденційної інформаціїпро працівника стали предметом правового регулювання.

Поява у російському трудовому праві норм про захист персональних даних працівника продиктовано необхідністю реалізації у сфері праці загальновизнаних і принципів міжнародного права, застосування яких гарантовано Конституцією Російської Федерації 4 , що у ст. 23 та 24 встановлює, що кожен має право на недоторканність приватного життя, особисту та сімейну таємницю; збирання, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди не допускається.

В основі цього конституційного встановлення лежать акти міжнародного права, до яких належить Загальна декларація прав людини, ухвалена 10 грудня 1948 р. Генеральною Асамблеєю Організації Об'єднаних Націй, у ст. 12 якої проголошено: «Ніхто не може піддаватися довільному втручанню в його особисте та сімейне життя, довільним посяганням на недоторканність його житла, таємницю його кореспонденції або на його честь та репутацію. Кожна людина має право на захист закону від такого втручання або таких зазіхань»1. Такі ж норми містить Міжнародний пакт про громадянські та політичні права, прийнятий 16 грудня 1966 р. Генеральною Асамблеєю ООН та ратифікований Указом Президії Верховної Ради СРСР від 18 вересня 1&73 р., який встановив, що ніхто не може зазнавати довільного чи незаконного втручання у його особисту і сімейне життя, довільним чи незаконним посяганням на недоторканність його житла або таємницю його кореспонденції, на його честь та репутацію Дане правове положення продубльовано в Європейській конвенції про захист прав людини та основних свобод, укладеній у Мінську 26 травня 1995 р. Конвенції Содружі Держав «Про права та основні свободи людини»3, які зобов'язують країни-учасниці Конвенції забезпечити право кожної людини на повагу до її особистого та сімейного життя, недоторканність житла та кореспонденції, не допускати втручання у здійснення цього права державних органів, за винятком втручання, передбаченого ного законом і необхідного в демократичному суспільстві на користь державної безпеки та громадського спокою, економічного добробуту країни, а також з метою запобігання заворушенням чи злочинам для охорони здоров'я чи моральності, захисту прав і свобод інших осіб.

Проголошуючи відповідно до загальновизнаних норм і принципів міжнародного права неприпустимість збору, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди, Конституція Російської Федерації водночас надає кожному право вільно шукати, отримувати, передавати, виробляти та поширювати інформацію будь-яким законним. способом (ч. 4 ст. 29) 5 . Кожне з цих прав може бути обмежене виключно федеральним законом і лише тією мірою, якою це необхідно з метою захисту основ конституційного ладу, моральності, здоров'я, прав та законних інтересів інших осіб, забезпечення оборони країни та безпеки держави.

Регламентуючи ці права, Федеральний закон від 27 липня 2006 р. № 149-ФЗ «Про інформацію, інформаційні технології та захист інформації»1 відносить інформацію про працівника, його персональні дані до конфіденційної інформації, встановлення порядку використання та захисту якої знаходиться в спільному віданні Російської Федерації Федерації та її суб'єктів.

Подальший розвиток правових розпоряджень про конфіденційність інформації про особистість у правовій демократичній державі отримав у главі 14 Трудового кодексу Російської Федерації, яка складається з шести статей:

стаття 85 «Поняття персональних даних працівника. Обробка персональних даних працівника»;

стаття 86 « Загальні вимогипри обробці персональних даних працівника та гарантії їх захисту»;

стаття 87 «Зберігання та використання персональних даних працівників»;

стаття 88 "Передача персональних даних працівника";

стаття 89 «Права працівників з метою забезпечення захисту персональних даних, які зберігаються у роботодавця;

стаття 90 "Відповідальність за порушення норм, що регулюють обробку та захист персональних даних працівника".

Системно-порівняльний аналіз норм, які у цих статтях, дозволяє виявити їх деяку відособленість у системі трудового права, що дає підстави розглядати їх як самостійного інституту трудового права, який хоч і пов'язаний тісно з трудовим договором, але в той же час виходить за його рамки, набуваючи загальногалузевого значення. 6

Розгляд захисту персональних даних працівника як інституту трудового права виявляє його недостатню розробленість, відсутність необхідних зв'язків його з низкою важливих і положень трудового права.

Наприклад, встановивши у ст. 90 ТК РФ відповідальність порушення норм, регулюючих захист персональних даних працівників, законодавець не назвав у ст. 22 ТК РФ серед загальних обов'язківроботодавця як сторони трудових відносин обов'язок захисту персональних даних працівників. З метою усунення такої невідповідності було б логічно віднести захист персональних даних працівників до основних обов'язків роботодавця, внісши відповідне доповнення до ч. 2 ст. 22 ТК РФ «Основні правничий та обов'язки роботодавця» 7 .

Аналогічна невідповідність виявляється за порівнянню ст. 89 "Права працівника з метою забезпечення захисту персональних даних, що зберігаються у роботодавця" зі ст. 21 «Основні права та обов'язки працівників», яка серед основних прав працівника не згадує право на захист його персональних даних.

Загальне поняття персональних даних працівника наводиться у статті 85 ТК РФ, відповідно до якої персональні дані працівника - це інформація, необхідна роботодавцю у зв'язку з трудовими відносинами, що стосується конкретного працівника. У цій статті дається визначення обробки персональних даних працівника, під якою розуміється отримання, зберігання, комбінування, передача чи інше використання персональних даних працівника.

Наведені у ст. 85 ТК РФ визначення персональних даних та їх обробки не є вичерпними. Цілий ряд додаткових ознак містять інші нормативні правові акти, призначені регулювання захисту персональних даних у сфері трудових відносин, державної та муніципальної служби.

Таким актом є, наприклад, затверджене Указом Президента РФ від 30 травня 2005 р. № 609 Положення про персональні дані державного цивільного службовця Російської Федерації та ведення його особової справи. У статті 2 дане Положення встановлює, що під персональними даними цивільного службовця розуміються відомості про факти, події та обставини життя цивільного службовця, що дозволяють ідентифікувати його особу та які у його особовому справі чи підлягають включенню до його особисте дело. Персональні дані, внесені в особові справи цивільних службовців, стають відомостями конфіденційного характеру (за винятком відомостей, які у встановлених федеральними законами випадках можуть бути опубліковані у засобах масової інформації), а у випадках, встановлених федеральними законами та іншими нормативними правовими актами Російської Федерації, відомостями , що становить державну таємницю 8 .

Коло інформації, що відноситься до персональних даних працівника, визначається роботодавцем з урахуванням умов, встановлених трудовим законодавством стосовно того чи іншого виду трудового договору та трудової діяльності, а також з урахуванням характеру роботи, що виконується. Наприклад, спеціальна інформація знадобиться роботодавцю для укладання з працівником трудового договору виконання роботи, потребує спеціальних знань чи допуску до державної таємниці.

Інформація про працівника виходить роботодавцем насамперед із документів, які пред'являються працівником під час укладання трудового договору відповідно до ст. 65 ТК РФ: з паспорта та іншого документа, що засвідчує особу, з трудової книжки, страхового свідоцтва державного пенсійного страхування, з документів військового обліку, про освіту та кваліфікацію та з інших документів, необхідність пред'явлення яких під час укладання трудового договору може передбачатися Трудовим кодексом, іншими федеральними законами, указами Президента та постановами Уряду РФ.

Значна за обсягом інформація може бути почерпнута з паспорта громадянина, що є основним документом, що засвідчує його особу на території Російської Федерації, в якому відповідно до Положення про паспорт громадянина Російської Федерації, затвердженого постановою Уряду РФ від 8 липня 1997 № 8281 (в ред. .від 23 січня 2004 р.), проводяться позначки:

про реєстрацію громадянина за місцем проживання та зняття його з реєстраційного обліку;

про ставлення до військового обов'язку громадян, які досягли 18-річного віку;

про реєстрацію та розірвання шлюбу;

про дітей, які не досягли 14-річного віку;

про раніше видані основні документи, що засвідчують особу громадянина Російської Федерації біля Російської Федерації;

про видачу основних документів, що засвідчують особу громадянина України за межами України.

За бажанням громадянина в паспорті можуть проводитися позначки про його групу крові та резус-фактор і про ідентифікаційний номер платника податків.

Другим важливим джерелом інформації про працівника є його трудова книжка, яка називається трудовим паспортом громадянина. Вона містить повний обсяг відомостей про трудову діяльність працівника, а також іншу інформацію про нього.

Так, відповідно до ст. 66 ТК РФ «Трудова книжка» та з Правилами ведення та зберігання трудових книжок, виготовлення бланків трудової книжки та забезпечення ними роботодавців, затвердженими постановою Уряду РФ від 16 квітня 2003 р. № 2251 (в ред. від 6 лютого 2004 р.) у трудову книжку при її оформленні вносяться відомості про прізвище, ім'я, по батькові працівника, дата його народження (число, місяць, рік), відомості про його освіту, професію, спеціальність.

Надалі за місцем роботи у трудову книжку вносяться відомості про виконувану роботу, переведення на іншу постійну роботу, про звільнення із зазначенням підстави припинення трудового договору, відомості про заохочення та нагородження. За бажанням працівника в трудову книжку за місцем основної роботи вносяться відомості про роботу за сумісництвом на підставі документа, що підтверджує роботу за сумісництвом.

Записи в трудову книжку про причини припинення трудового договору проводяться у точній відповідності до формулювання Трудового кодексу або іншого федерального закону, з посиланнями на їх статті. Так, при припиненні трудового договору з працівником, засудженим вироком суду до покарання у вигляді позбавлення права обіймати певні посади або займатися певною діяльністю і таким, що не відбув це покарання, в трудову книжку вноситься запис про те, на якій підставі, на який термін і яку посаду він позбавлений права займати або якоюсь діяльністю позбавлений права займатися.

У трудові книжки осіб, які відбули виправні роботи без позбавлення волі, вноситься за місцем роботи запис про те, що час роботи у цей період не зараховується до безперервного трудового стажу. Зазначений запис вноситься до трудових книжок після закінчення фактичного терміну відбуття покарання, що встановлюється за довідками органів внутрішніх справ.

До трудової книжки за місцем роботи також вносяться записи про час військової служби відповідно до Федерального закону від 28 березня 1998 р. № 53-ФЗ «Про військовий обов'язок та військову службу», служби в органах внутрішніх справ, органах податкової поліції, органах контролю за обігом наркотичних засобів та психотропних речовин, у митних та інших правоохоронних органах, про час навчання на курсах та в школах щодо підвищення кваліфікації, перекваліфікації та підготовки кадрів.

Як бачимо, трудова книжка може містити значний обсяг різноманітної інформації про її власника, у тому числі і за межі його трудової діяльності.

Джерелами інформації про працівника є інші документи, що надаються їм при вступі на роботу: страхове свідоцтво державного пенсійного страхування, документи військового обліку, документи про освіту, про кваліфікацію, наявність спеціальних знань, наукових ступенів та звань.

Інформація про працівника, що відноситься до його персональних даних, концентрується в уніфікованих формах первинної облікової документації з обліку праці та оплати, затверджених постановою Державного комітету Російської Федерації за статистикою від 5 січня 2004 р. № 1 «Про затвердження уніфікованих форм первинної облікової документації з обліку праці та її оплати», узгодженим із Міністерством фінансів РФ, Міністерством економічного розвитку та торгівлі РФ, Міністерством праці та соціального розвитку РФ. 9

Обов'язковість ведення уніфікованих форм первинної облікової документації з обліку праці та її оплати поширена попри всі організації, здійснюють використання праці найманих працівників за трудовим договором біля Російської Федерації, незалежно від своїх організаційно-правових форм і форми власності. Деякі винятки щодо обліку робочого дня і розрахунків із персоналом з праці передбачені лише бюджетних установ і роботодавців - фізичних осіб.

Відповідно до вищезазначеної постанови всі уніфіковані форми первинної облікової документації з обліку праці та її оплати поділяються на дві групи. Перша - це документи з обліку кадрів, друга - документи з обліку робочого дня та розрахунків із персоналом з праці.

До документів з обліку кадрів відносяться наказ (розпорядження) про прийом працівника на роботу, особиста картка працівника або особиста картка державного (муніципального) службовця, облікова картка наукового, науково-педагогічного працівника, наказ (розпорядження) про переведення працівника на іншу роботу, наказ ( розпорядження) про надання відпустки працівникові, графік відпусток, наказ (розпорядження) про припинення (розірвання) трудового дрговору з працівником, наказ (розпорядження) про направлення працівника у відрядження, посвідчення про відрядження та службове завдання для направлення у відрядження, звіт про його виконання, наказ (розпорядження) про заохочення працівника.

До документів з обліку робочого часу та розрахунків з персоналом з оплати праці належать: табель обліку робочого часу та розрахунку оплати праці, розрахункова або платіжна відомість, особовий рахунок, записка-розрахунок про надання відпустки працівнику, записка-розрахунок при припиненні (розірванні) трудового договору з працівником, акт про прийом робіт, виконаних за строковим трудовим договором, укладеним на час виконання певної роботи.

Отримання інформації про працівника є правом роботодавця. Вона потрібна йому насамперед для ефективної організації трудового процесу. Але інформація про працівника може знадобитися роботодавцю і виконання обов'язків, покладених нею трудовим законодавством. Наприклад, для застосування особливих правил регулювання праці працівників віком до 18 років (гл. 41 ТК РФ) або осіб із сімейними обов'язками (гл. 42 ТК РФ) роботодавцю знадобиться інформація про вік працівника, наявність у нього дітей.

Отримання інформації про працівника може бути не тільки правом роботодавця, але і його обов'язком, передбаченим як трудовим правом, так і нормативними правовими актами іншої галузевої власності.

Наприклад, податкове законодавство, наділяючи роботодавця статусом податкового агента та покладаючи на нього обов'язки щодо обчислення, утримання у працівника як платника податків та перерахування їх до відповідних бюджетів або позабюджетних фондів, зобов'язує роботодавця враховувати цілий комплекс відомостей про працівника.

Подібні обов'язки щодо збору інформації про працівника покладає на роботодавця Федеральний закон від 1 квітня 1996 р. № 27-ФЗ

«Про індивідуальний (персоніфікований) облік у системі обов'язкового пенсійного страхування» (діє в ред. від 9 травня 2005 р.).

В результаті всього цього у роботодавця концентрується значний обсяг різноманітної інформації про працівника, сукупність якої і утворює його персональні дані, захист яких входить до обов'язків роботодавця як власника персональних даних працівника, який здійснює їх збір, зберігання, використання, передачу третім особам. 10

Обмеження персональних даних з іншої інформації

З появи персональних даних як категорії у російському законодавстві 1995 р. у Федеральному законі «Про інформацію, інформатизації і захист інформації» персональні дані відразу ж було віднесено до розряду конфіденційної інформації, тобто. інформації обмеженого доступу 11 . Ухвалений згодом Указ Президента РФ «Про затвердження Переліку відомостей конфіденційного характеру» 12 також містить їх згадку як конфіденційну інформацію. Чинний нині Федеральний закон «Про інформацію, інформаційні технології та захист інформації» 13 аналогічним чином говорить про персональні дані в статті про обмеження доступу до інформації, проте прямо не називає їх як конфіденційну інформацію або інформацію обмеженого доступу, вказуючи лише на особливий порядок доступу до них, передбачений спеціальним законом. Федеральний закон «Про персональні дані» 14 , що цікаво, також характеризує персональні дані загалом як конфіденційну інформацію, навіть більше, поруч із просто визначенням «персональних даних» містить визначення «загальнодоступних персональних даних» – термін, який неможливо логічно співвіднести з інформацією обмеженого доступу.

У ст. 4 Закону міститься визначення «конфіденційності персональних даних», що полягає у їхньому розповсюдженні, тобто. недопущення дій, спрямованих на передачу та ознайомлення з персональними даними третіми особами, їх опублікування, розміщення у відкритому доступі. Дотримання конфіденційності не потрібно у разі обробки загальнодоступних персональних даних та у разі їх знеособлення, тобто. втрати будь-якого зв'язку з суб'єктом, що не дозволяє, мабуть, їх надалі взагалі розглядати як персональні дані. Отже, розглядати персональні дані загалом як інформацію обмеженого доступу навряд чи є можливим, скоріше, було б правильним ввести у такому разі в обіг категорію «конфіденційні персональні дані». У результаті з усієї маси персональних даних це дозволило б виділити ті з них, на які законодавством поширюється вимога дотримання конфіденційності. Винятком із правила слід вважати випадки, згадані у ч. 2 ст. 1 Закону – персональні дані, що становлять державну таємницю, що зберігаються в архівах, що знаходяться в єдиному реєстрі індивідуальних підприємців та юридичних осіб, що обробляються виключно для побутових потреб. На частину їх буде поширюватися інший режим обмеження доступу – режим державної таємниці. Щодо двох інших випадків діятимуть зовсім інші правові режими, у межах яких говорити про обмеження доступу до персональних даних цілком неможливо. Законодавство про архівну справу передбачає загальну заборону на доступ до інформації про приватне життя особи, її особисту та сімейну таємницю, про що можна судити на підставі п. 3 ст. 25 Федерального закону «Про архівну справу до» 15 , враховуючи, що ні того, ні іншого визначення законодавчо немає. Відомості єдиних державних реєстрів юридичних осіб та індивідуальних підприємців є на підставі закону загальнодоступними, за винятком паспортних даних фізичних осіб (але не у разі індивідуальних підприємців) та інформації про банківські рахунки юридичних осіб, індивідуальних підприємців 16 . Останній згаданий випадок вилучення з правового режиму конфіденційності персональних даних, коли йдеться про їхню обробку для особистих побутових потреб, слід розглядати як досить спірний. Ймовірно, у такому разі складно вести мову про конфіденційність таких персональних даних у повній мірі, але можна говорити про існування загальної вимоги про повагу прав та свобод суб'єкта персональних даних, насамперед права на повагу до приватного життя, особисту та сімейну таємницю, при їх обробці , Встановленого Конституцією РФ у ст. 23 та 24 17 .

Повертаючись, власне, до режиму конфіденційності персональних даних, встановленого Законом, слід сказати, що його суть, за аналогією з іншими видами інформації обмеженого доступу, має полягати у встановленні особливого порядку доступу до них, їх використання та розповсюдження. Але в Законі (ст. 19) закріплено лише вкрай загальну вимогу – вжити організаційних та технічних заходів щодо охорони від неправомірного чи випадкового доступу до них, знищення, зміни, блокування, копіювання, поширення персональних даних, а також від інших неправомірних дій. Технічні заходи, які має вжити оператор, можна вважати досить певними, оскільки діють аналогічні нормативні положення, пов'язані із захистом інших видів конфіденційної інформації. Така діяльність із захисту конфіденційної інформації здійснюється шляхом ліцензування та сертифікації засобів захисту інформації Федеральною службою з технічного та експортного контролю, на підставі відповідних положень 18 . Але що стосується організаційних заходів, то тут немає жодних чітких вказівок з цього приводу. За аналогією з іншими категоріями інформації обмеженого доступу, такими, як державна таємниця 19 , комерційна таємниця 20 , службова таємниця (у тому числі на підставі проекту Федерального закону «Про службову таємницю» 21, що знаходиться на стадії розгляду в Державній Думі РФ,) до таких дій логічно слід віднести:

Встановлення переліку персональних даних.

Встановлення кола суб'єктів, які мають доступ до персональних даних.

Використання спеціального грифу та реквізитів, що дозволяють надалі ідентифікувати інформацію як конфіденційну, – «Конфіденційно».

Облік (реєстрація) осіб, які фактично отримали доступ до персональних даних.

Врегулювання відносин щодо охорони конфіденційності інформації працівниками та іншими особами на підставі трудових та цивільно-правових договорів. 22

В усіх випадках такі дії повинні вживатися своєчасно (завчасно), і режим конфіденційності/таємності буде встановлений щодо інформації, виключно після вживання всіх перерахованих заходів. Щодо персональних даних законодавець від такої чіткої регламентації дій оператора з незрозумілих причин відмовився. Зокрема, сформувати перелік персональних даних, обробка яких здійснюється конкретним оператором, є цілком можливим. Закон у ст. 5 вказує на те, що персональні дані не повинні бути надмірними та перевищувати обсяг, необхідний для досягнення заздалегідь заявлених цілей, а значить, їх конкретний перелік можна і потрібно сформувати завчасно. Те саме стосується персональних даних, обробка яких дозволена на підставі закону (персональні дані працівників) або у договорах між суб'єктом персональних даних та оператором (обробка персональних даних клієнтів, споживачів, абонентів тощо). Хоча їх обробка не вимагає відповідного повідомлення органу захисту прав суб'єктів персональних даних або згоди останнього їх також необхідно було б включити до переліку. Використання спеціального грифу також дало можливість чіткого позначення тієї інформації, на яку поширюється режим конфіденційності персональних даних, встановлений Законом.

Окремо варто розглянути проблему охорони конфіденційності персональних даних у межах трудових відносин. За аналогією з іншими видами конфіденційної інформації, такі положення необхідно включати до трудових договорів із працівниками, які мають доступ до конфіденційних персональних даних. Те саме стосується попередження працівників про можливу відповідальність за передачу, розповсюдження персональних даних, обов'язок працівників при звільненні передати всі носії та інші матеріальні об'єкти, що містять персональні дані, роботодавцю, обов'язок працівника зберігати конфіденційність персональних даних, які стали йому відомими при виконанні трудової функції, після розірвання трудового договору тощо. На жаль, Закон не містить жодного із зазначених положень і, більше, у принципі не виділяє працівника, тобто. фізична особа, що безпосередньо під час виконання своїх трудових обов'язків здійснює експлуатацію інформаційної системи, бази/банку персональних даних і має до них прямий доступ.

Аналогічна ситуація склалася щодо доступу до інформаційних систем, баз/банків персональних даних третіх осіб на підставі цивільно-правових договорів, зокрема договорів/ про технічну підтримку, спрямованих на забезпечення безперебійного функціонування інформаційних систем, баз/банків персональних даних, та інших подібних випадках.

Облік даних рекомендацій дозволив би вирішити безліч питань, пов'язаних із притягненням до юридичної відповідальності винних осіб, та більшою мірою її диференціювати. Оскільки, за аналогією коїться з іншими видами конфіденційної інформації, найчастіше суб'єктом відповідальності є спеціальний суб'єкт, тобто. особа, яка має допуск/доступ до неї на законній підставі та прийняла в добровільному порядку на себе зобов'язання щодо збереження конфіденційності.

Зазначимо ще один істотний аспект, пов'язаний із охороною конфіденційності персональних даних. Основним «конфідентом» щодо персональних даних, на підставі Закону, слід вважати «оператора», а в деяких випадках третіх осіб, які отримали до них доступ. При цьому сам суб'єкт персональних даних, будучи одним із учасників відносин щодо охорони їхньої конфіденційності, такого обов'язку за законом не несе. Більше того, він має низку «ексклюзивних прав» – право доступу до своїх персональних даних, включаючи право вимагати їх уточнення, а також, що найголовніше, має право в будь-який момент зняти режим конфіденційності – погодитися на їхню загальнодоступність, повідомити їх або передати їх третім. особам, іншим операторам, і загалом розпорядитися ними на власний розсуд. Проте оператор, як конфидент, імовірно, зобов'язаний зберігати іноді конфіденційність персональних даних, які фактично загальновідомими. Наприклад, якщо вони стали такими без згоди суб'єкта внаслідок протиправних дій, припустимо, шляхом публікації у ЗМІ. У таких випадках вимагати подальшого збереження конфіденційності інформації в більшості випадків було б просто нелогічним, оскільки ця інформація стала загальнодоступною. Загальнодоступність персональних даних чітко обумовлена двома умовами - це згода суб'єкта або пряма вимога закону (наприклад, положення ст. 7 Федерального закону «Про протидію легалізації (відмивання) доходів, отриманих злочинним шляхом, та фінансування тероризму» 23 , що передбачає ідентифікацію особи при вчиненні крупних угод та передачу цієї інформації у відповідні державні структури). Отже, зважаючи на відсутність згаданих вище двох умов у даній ситуації, оператор, як і раніше, був би зобов'язаний зберігати їхню «конфіденційність», хоч як це парадоксально. В іншому випадку це було б прямим порушенням прав суб'єкта, який міг постраждати, якби інформація про його приватне або особисте життя, що міститься в персональних даних, стала предметом загального обговорення.

Частина зазначених проблем у визначенні змісту правового режиму конфіденційності персональних даних можна пояснити особливостями природи персональних даних, яка тісно пов'язана з правом на повагу до приватного життя індивіда, особисту та сімейну таємницю. Деякі російські автори, наприклад, В.М. У зв'язку з цим Лопатин прямо вказують на персональні дані як на інститут охорони права на приватне життя 24 . Такий стан справ пояснює необхідність особливого підходу до персональних даних, при їх обробці незалежно від існування режиму обмеження доступу до них, оскільки їх використання не повинно порушувати загальні фундаментальні права індивіда, такі як право на приватне життя, особисту та сімейну таємницю.

Інша частина проблем пояснюється тим, що персональні дані у разі наявності вимоги їхньої конфіденційності, яка обґрунтовано презюмується, у тому числі на підставі послідовного аналізу положень Закону, можна віднести до «похідних» таємниць 25 або категорій інформації обмеженого доступу. Це, у свою чергу, вимагає від їхнього власника вжиття безумовних заходів щодо охорони їхньої конфіденційності, оскільки охороняються в даному випадку не його права та інтереси, а права та інтереси інших осіб, зокрема фундаментальні права та свободи людини. Тому, на думку авторів, без прямого інтересу власника у захисті конфіденційності персональних даних існує необхідність чіткого формулювання його обов'язки в цьому випадку.

Останнє, що варто відзначити при характеристиці персональних даних як конфіденційної інформації, пов'язане з їх співвідношенням у такій якості з іншими категоріями інформації з обмеженим доступом, що може бути складним. З одного боку, персональні дані пов'язані з необхідністю захисту приватного життя індивіда, сфери, на думку більшості сучасних авторів 26 , навряд чи піддається чіткому визначенню, з іншого боку, майже всі визначення, у тому числі і законодавче, характеризують їх як «будь-яку інформацію, яка може бути пов'язана з індивідом або ідентифікована з ним», а отже персональні дані можуть охоплювати практично всі сфери життя індивіда. Цілком очевидно, що через таку складну природу вони можуть потенційно охоронятися на умовах інших режимів конфіденційності/секретності, зокрема на умовах режиму державної таємниці, комерційної таємниці, службової таємниці та багатьох видів професійних таємниць (лікарської, нотаріальної, таємниці усиновлення тощо). ). Такий висновок наштовхує аналіз цілого ряду положень Закону, за змістом яких персональні дані становлять одночасно: державну таємницю (ч. 2 ст. 1), особисту, сімейну таємницю, таємницю приватного життя (ст. 2, 12), лікарську таємницю (п. 3–4 ч. 2 ст.10 та 12), таємницю слідства (л. 6 ч. 2 ст. 10), таємницю правосуддя та оперативно-розшукової діяльності (ст. 11). Цілком очевидно, що за деяким винятком щодо такої інформації діятимуть одночасно вимоги законодавства про захист персональних даних та іншого спеціального законодавства.

На закінчення висловимо загальне судження про деяку недосконалість російського Закону щодо визначення персональних даних як інформації обмеженого доступу або конфіденційної, що було зазначено вже й іншими авторами, зокрема Н.І. Петрикиної 27 . Як можливі шляхи вдосконалення положень законодавства авторам бачиться доцільним сформулювати такі пропозиції та висновки.

По-перше, варто запровадити у законодавчу матерію поняття «конфіденційні персональні дані», тобто. персональні дані, на які відповідно до закону про персональні дані поширюється спеціальний правовий режим обмеження доступу до них – режим конфіденційності персональних даних.

По-друге, слід виділити в законі про персональні дані основні організаційні заходи щодо встановлення режиму конфіденційності персональних даних. До таких заходів слід віднести: встановлення оператором переліку конфіденційних персональних даних, обробку яких він здійснює, визначити коло суб'єктів, які матимуть доступ до них, встановити правила використання відповідних реквізитів на матеріальних носіях, які містять конфіденційні персональні дані.

По-третє, вказати в законі про персональні дані як суб'єкти відносин з охорони конфіденційності персональних даних, «володаря» інформаційної системи, бази/банку персональних даних, і безпосередньо «оператора» інформаційної системи, бази/банку персональних даних, тобто. особа, яка на підставі трудового чи цивільно-правового договору здійснює експлуатацію, обслуговування такої інформаційної системи та має доступ до персональних даних. Визначити особливості їх правового статусу та відповідальності.

Розвиток законодавства про захист персональних даних

Інститут персональних даних досить молодий за правовими мірками інститут. Його становлення був із розвитком конституційних права і свободи людини і громадянина, й у першу чергу, із правом недоторканність приватного життя.

Право на недоторканність приватної сфери як юридична категорія зародилося США. У англійській мовівсі сторони приватного життя позначаються єдиним терміном "privacy", який не має буквального еквівалента у російській мові. Однією з перших спроб сформулювати суть поняття «privacy» було зроблено у 1890 р. відомими американськими юристами Семюелем Уорреном і Луїсом Брандейсом, які визначили його як «the right to be alone» - право бути спокоєним чи право бути наданим самому себе 28 . У своїй статті «Право на приватність» у Гарвардському правовому журналі вони стверджували, що приватність наражається на небезпеку з боку нових винаходів та методів ведення бізнесу, і обґрунтовували необхідність створення спеціального «права приватності». З розвитком наукового та технічного прогресу ми все більше переконуємось у справедливості зазначених положень.

Величезну роль становленні та формулюванні права на приватне життя зіграла діяльність американських судів. Так було в 1965 р. у справі Griswold v. Connecticut суддя Верховного суду США Дуглас вивів право на прайвесі із перших п'яти поправок до Конституції США, визнавши, що ці поправки «охороняють різні аспекти недоторканності приватного життя». Широко відомі слова, які він промовив, резюмуючи рішення суду: «Ми маємо справу з правом на недоторканність приватного життя, яке старше за Білль про права».

Сформована США концепція прайвеси дуже вплинув становлення сучасної системи права і свободи людини. 10 грудня 1948 року на Генеральній Асамблеї ООН було затверджено Загальну Декларацію прав людини, у статті 12 якої встановлювалося, що ніхто не може піддаватися довільному втручанню в його особисте та сімейне життя, довільним посяганням на недоторканність житла, таємницю його кореспонденції або на його кореспонденцію чи на його кореспонденцію ; кожна людина має право на захист закону від такого втручання та таких зазіхань 29 .

У 1950 році аналогічна норма була закріплена у статті 8 Європейської конвенції про захист прав людини та основних свобод у наступному формулюванні: «кожен має право на повагу до його особистого та сімейного життя, його житла та його кореспонденції». Завдяки цим документам право на недоторканність приватного життя отримало визнання як невід'ємне право кожної людини.

З розвитком інформаційні технологіїувагу та інтерес до проблеми недоторканності приватного життя почали суттєво посилюватись. З'явилися нові технології та засоби для збирання, зберігання та обробки даних, що стосуються як особистого життя індивідів, так і їхньої публічної діяльності. У праві гостро постало питання про прийняття спеціальних правил регулювання збирання та обробки персональних даних як все більш популярного об'єкта господарського обороту. У цей час найбільш активний розвиток норм захисту персональних даних спостерігається в Європі.

Принципи, закладені в Європейській конвенції про захист прав та основних свобод, отримали свій розвиток у спеціальних нормах Конвенції 108 Ради Європи про захист прав фізичних осіб щодо автоматичної обробки персональних даних 1981 року, в якій захист даних розглядається як захист основних прав та свобод індивідів, зокрема їх права на недоторканність приватного життя щодо обробки персональних даних.

Згодом у Директиві Європейського Парламенту та Ради Європейського Союзу від 24 жовтня 1995 р. №95/46ЄС про захист прав приватних осіб стосовно обробки персональних даних та про вільний рух таких даних було закладено основи загальноєвропейської системи захисту персональних даних. У 2000 році в Хартії ЄС про основні права право на захист персональних даних було сформульовано як самостійне фундаментальне право.

Такі основні етапи формування нормативного механізму захисту персональних даних на європейському континенті. Завершальним етапом його формування стало ухвалення національних законів країн – учасниць ЄС, спрямованих на регулювання питань захисту персональних даних.

Перший у світі спеціальний Закон про захист персональних даних був прийнятий німецькою землею Гессен в 1970 р. До цього подібних законів ніде у світі не було. За останні 30 років більш ніж у 20 європейських державах було прийнято нормативні акти щодо захисту персональних даних, у яких було закріплено реальні механізми правового регулювання обігу персональних даних. Слід зазначити, що створення нормативних актів у сфері йшло самостійно поруч із розвитком законодавства про захист права недоторканність приватного життя. 30

У Росії її окремі елементи права на недоторканність приватного життя законодавчо закріплювалися і аналізувалися ще дореволюційний період. Так, Поштовий статут 1857р. та Телеграфний статут 1876р. закріплювали таємницю кореспонденції, кримінально-правова охорона зазначеної таємниці здійснювалася виходячи з норм Уложення про покарання кримінальних і виправних 1845г., Кримінального Уложення 1903 р. Так, у Кримінальному Уложенні 1903г. (ст. 162-170) встановлювалася заборона на втручання посадових осіб при відправленні ними правосуддя в особисте та сімейне життя людини.

Після революції підхід до проблеми прав людини суттєво змінився. Так, Конституція РРФСР 1918 р., хоч і містила розділ про права людини під назвою «Декларація прав трудящого та експлуатованого народу» (декларація була прийнята раніше на III Всеросійському з'їзді Рад), але не закріплювала навіть елементарних прав, мінімуму особистих, політичних, економічних, культурні права людини. До неї увійшли лише заборона експлуатації, право зрівняльного землекористування, звільнення трудящих мас з-під ярма капіталу, право трудящих в управлінні.

У 1924 р. було прийнято нову конституцію – Конституцію СРСР, у якій не містилося Декларації прав. З прав людини в ній було проголошено лише національну свободу, рівність, єдине союзне громадянство. Поряд з цим у Конституції СРСР окрема глава була присвячена установі з метою боротьби з політичною та економічною контрреволюцією, шпигунством і бандитизмом Об'єднаного державного політичного управління, яке керувало репресіями, що зневажають усі людські права.

Вперше глава про права та обов'язки громадян з'явилася в Конституції СРСР прийнятою 5 грудня 1936р. напередодні масових репресій 1937-1938рр. Конституція закріплювала широкий перелік особистих права і свободи таких, як свобода совісті (ст. 124), недоторканність особистості (ст. 127), недоторканність житла і таємниця листування (ст. 128). У теоретичному плані це було серйозним досягненням радянського права, а в практичному – лише формальністю.

Так, наказом НКВС СРСР від 29 грудня 1939 р. було наказано стенографувати всі без винятку міжнародні телефонні розмови співробітників іноземних посольств та іноземних кореспондентів, а також рішенням директивних органів було введено цензуру всієї вхідної та вихідної міжнародної кореспонденції.

Не лише міжнародні зв'язки контролювали органи державної безпеки, всередині держави «велике місце в контролі над людиною та суспільством відводилося діяльності з використання інформаторів».

Незважаючи на очевидне порушення такої практики права на недоторканність приватного життя, такі дії виправдовуються державами як необхідні заходи для забезпечення безпеки.

Вже в 1940-ті рр., з розширенням репресивно-каральної політики стосовно інакодумців, з посиленням тоталітарного режиму, проблема прав людини фактично була «закрита».

Знову питання про права людини було порушено лише в період політичної «відлиги» кінця 1950-х – початку 1960-х рр., коли в СРСР з'явилися перші теоретичні дослідження з політичних та правових навчань.

У 1977р. у зв'язку з ратифікацією Міжнародного пакту про громадянські та політичні права від 16 грудня 1966р. було прийнято нову Конституцію СРСР. Конституція СРСР 1977р. стала першою та єдиною за весь радянський період конституцією, що включала в окремому розділі стандартний для розвинених європейських країн комплекс цивільних, політичних, економічних, соціальних та культурних прав. Статтями 54-56 Конституції СРСР 1977р. громадянам було гарантовано недоторканність особи, житла, а також охорона законом особистого життя, таємниці листування, телефонних переговорів та телеграфних повідомлень. У ст. 57 Конституції СРСР 1977р. було обумовлено, що повага особи, охорона права і свободи громадян - обов'язок всіх державних органів, громадських організацій та посадових осіб.

Вперше у Росії декларація про недоторканність приватного життя як самостійне право було сформульовано у Декларації права і свободи людини і громадянина, прийнятої напередодні розпаду союзної держави Верховною Радою РРФСР 22 листопада 1991 року. У ній передбачається заборона на збирання, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди. Згодом ця норма буде закріплена в Конституції РФ 1993 31 .

У 1995 році Федеральним законом «Про інформацію, інформатизації та захист інформації» від 20 лютого 1995р. №24-ФЗ вперше було законодавчо закріплено поняття персональних даних. Відповідно до статті 2 зазначеного Федерального закону персональні дані - відомості про факти, події та обставини життя громадянина, що дозволяють ідентифікувати його особу. Крім того, зазначеним законом встановлювалися загальні принципи збору, використання інформації про громадян, відповідно до цього закону персональні дані були віднесені до інформації конфіденційного характеру.

Слід зазначити, що розробка спеціального закону про захист персональної інформації почалася в Росії ще до прийняття Директиви Європейського Парламенту та Ради Європи 95/46/ЄС 24 жовтня 1995 р. «Про захист особистості у відносинах обробки персональних даних та вільне звернення цих даних». Початковий проект закону з робочою назвою «Про інформацію персонального характеру» розроблявся в 1998 р. в Комітеті з інформаційної політики та зв'язку Державної Думи РФ за участю робочої групи експертів у сфері інформаційного законодавства. Однак цей проект закону так і не було розглянуто у Державній Думі РФ. Потім після більш ніж двох років у Раді Безпеки РФ була сформована інша робоча група, Якою і був підготовлений проект прийнятого згодом Федерального закону «Про персональні дані» від 27.07.2006р. №152-ФЗ 32 .

Основні норми, що регулюють відносини щодо персональних даних, містяться у Федеральному законі «Про персональні дані». Відповідно до п. 1 ст. 3 цього Закону персональними даними є будь-яка інформація, що відноситься до певної або визначається на підставі такої інформації фізичній особі (суб'єкту персональних даних), у тому числі її прізвище, ім'я, по батькові, рік, місяць, дата та місце народження, адреса, сімейне, соціальне , Майновий стан, освіта, професія, доходи, інша інформація.

Відповідно до ч. 1 ст. 85 Г К РФ під персональними даними працівника розуміється інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника. Оцінний характер цього визначення відбиває лише загальний підхід законодавця до категорії персональних даних працівника. Роботодавець може збирати та обробляти не будь-яку інформацію про особу, яка є її працівником, а лише ту, яка безпосередньо пов'язана з її трудовим правовідносинами.

Загальні вимоги до обробки персональних даних працівника та гарантія їх конфіденційності

Концентрація у роботодавця персоніфікованої інформації (персональних даних) про працівника передбачає її опрацювання. За визначенням, даним у ч. 2 ст. 85 ТК РФ, обробка персональних даних - це отримання, зберігання, комбінування, передача чи інше використання персональних даних працівника.

З цієї дефініції випливає, що обробка персональних даних працівника охоплює всі стадії роботи з інформацією про працівника - від отримання та передачі її іншим особам.

Загальні вимоги, що підлягають дотриманню при обробці персональних даних працівника, а також гарантії їх захисту встановлені з метою забезпечення прав та свобод людини та громадянина ст. 86 ТК РФ, яка включає дев'ять пунктів, кожен з яких формулює одну з вимог, віднесених до категорії загальних.

Так, п. 1 ст. 86 ТК РФ вимагає, щоб обробка персональних даних працівника здійснювалася виключно з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні, навчанні та просуванні по службі, забезпечення особистої безпеки працівників, контролю кількості та якості виконуваної роботи та забезпечення збереження майна. Аналогічним чином вирішується питання про цілі збору персональних даних та в системі державної служби. Так, у затвердженому Указом Президента РФ від 30 травня 2005 р. № 609 Положенні про персональні дані державного цивільного службовця Російської федерації та ведення його особової справи з цього приводу сказано, що при отриманні, обробці, зберіганні та передачі персональних даних цивільного службовця кадрова служба державного органу має дотримуватися вимог, перелік яких наводиться у ст. 5 цього Указу.

Перша з таких вимог свідчить, що обробка персональних даних цивільного службовця здійснюється з метою забезпечення дотримання конституції Російської Федерації, федеральних законів та інших нормативних правових актів Російської Федерації, сприяння цивільному службовцю у проходженні державної цивільної служби Російської Федерації, у навчанні та посадовому зростанні, забезпечення особистої безпеки цивільного службовця та членів його сім'ї, а також з метою забезпечення збереження належного йому майна та майна державного органу, урахування результатів виконання ним посадових обов'язків. 33

Пункт 2 ст. 86 ТК РФ встановлює, що з визначенні обсягу і змісту оброблюваних персональних даних працівника роботодавець має керуватися Конституцією Російської Федерації 34 , Трудовим кодексом Російської Федерації та інші федеральними законами.

Дану вимогу слід розглядати як таке, що обмежує право роботодавця самому визначати обсяг і характер відомостей про працівника, які необхідні йому для організації ефективних трудових відносин з працівником. Збираючи інформацію про працівника, роботодавець ні виходити межі, встановлені Конституцією Російської Федерації, Трудовим кодексом Російської Федерації та інші федеральними законами.

Так, роботодавець не повинен порушувати гарантовані Конституцією Російської Федерації права і свободи людини і громадянина і вимагати від працівника інформацію, що порушує його право на недоторканність приватного життя, особисту та сімейну таємницю (ст. 23), самостійно визначати та вказувати свою національну належність (ст. 26).

У Трудовому кодексі Російської Федерації обсяг та характер персональної інформації про працівника, яку роботодавець має отримати, визначаються ст. 65, яка встановлює перелік документів, що подаються громадянином роботодавцю при вступі на роботу, і забороняє вимагати від особи, яка надходить на роботу, інші документи, крім передбачених Трудовим кодексом Російської Федерації, іншими федеральними законами, указами Президента та постановами Уряду Російської Федерації.

Як уже зазначалося, з цих документів роботодавець може почерпнути інформацію про прізвище, ім'я, по батькові працівника, його вік, дату та місце народження, місце проживання, про наявність чи відсутність у нього дітей, сімейних обов'язків, про трудовий стаж, реєстрацію в системі державного пенсійного страхування, стан на військовому обліку, про освіту, кваліфікацію, наявність спеціальних знань тощо.

РОЗДІЛ ІІ. ПОРЯДОК РОБОТИ З КОНФЕДЕНЦІЙНИМИ ВІДОМОСТЯМИ ПРО РОБОТНИКА

Конфіденційними називаються документи, що містять відомості, відомі лише певному колу осіб, які не підлягають розголосу, доступ до яких обмежений.

До конфіденційних належать документи, які мають гриф обмеження доступу: «конфіденційно», «комерційна таємниця», «для службового користування».

Законодавством РФ передбачена відповідальність за несанкціонований доступ, розголошення чи продаж відомостей, що мають подібні грифи.

Співробітники, допущені до конфіденційних документів, повинні пройти інструктаж та ознайомитися з інструкцією щодо роботи з конфіденційними документами.

Організація діловодства, що забезпечує безпеку та облік конфіденційних документів, передбачає:

призначення посадової особи, відповідальної за їх облік, зберігання та використання;

порядок підготовки та розмноження документів;

окрему реєстрацію документів;

формування справ;

організацію видачі та зберігання документів;

перевірку наявності документів;

архівне зберігання та порядок знищення.

Надруковані та підписані документи передаються для реєстрації посадовцю, відповідальному за їх облік. Чернетки, варіанти документа, файли знищуються з підтвердженням факту знищення записом на копії документа.

Розмноження конфіденційних документів провадиться:

з дозволу керівництва підприємства;

з обмеженою кількістю копій;

у спеціально виділеному приміщенні;

у присутності посадової особи, відповідальної за документ;

з негайним знищенням бракованих копій.

Конфіденційні документи повинні реєструватися окремо від решти документації у «Журналі реєстрації конфіденційних документів».

Листи журналів реєстрації нумеруються, прошиваються, опечатуються, вказується їх загальна кількість (цифрами та прописом) у засвідчувальному аркуші.

Усі конфіденційні документи, що надходять, приймаються і розкриваються спеціально призначеною посадовою особою.

Під час вступу перевіряється: кількість листів; кількість екземплярів; наявність додатків до документа.

Конфіденційні документи формуються в окрему справу, яка повинна мати: - гриф обмеження доступу; список співробітників, які мають право користуватися цією справою; нумерацію листів; внутрішній опис документів; завірювальний лист.

Зберігання справ з конфіденційними документами проводиться в сейфі, що опечатується, в спеціально відведеному приміщенні, оснащеному засобами охорони.

Видача та повернення конфіденційних документів мають відображатися у «Журналі обліку видачі конфіденційних документів».

При видачі документа звіряється номер документа з номером у журналі; звіряється кількість листів; ставиться підпис одержувача документа та дата.

При поверненні документа звіряється номер документа з номером журналу; звіряється кількість листів; ставиться відмітка про повернення; ставиться підпис одержувача документа та дата повернення.

Забороняється:

вилучення конфіденційних документів із справ;

переміщення їх однієї справи в іншу без дозволу керівництва та позначок у «Журналі обліку видачі конфіденційних документів»;

несанкціонований винос конфіденційних документів із офісу. Конфіденційний документ особовий склад реєстраційного індексу.

Перевірка наявності конфіденційних документів проводиться з метою забезпечення їхньої безпеки; запобігання витоку конфіденційної інформації.

При встановленні факту втрати конфіденційного документа:

доводить до відома керівник підприємства:

служба безпеки;

вживаються заходи для розшуку документа.

На втрачений документ складається акт, вноситься відповідна відмітка про втрату в «Журналі реєстрації конфіденційних документів».

Експертна комісія підприємства щорічно відбирає конфіденційні документи для архівного зберігання чи знищення.

Архівне зберігання конфіденційних документів провадиться в опечатаних коробках, у приміщеннях, що виключають несанкціонований доступ.

Знищення конфіденційних документів провадиться зі складанням акта, що затверджується керівником підприємства; у присутності комісії; за допомогою спеціальної машини (шредера) або іншим способом, що виключає можливість відновлення наявної в них інформації.

Специфіка захисту персональних даних осіб, які здійснюють свою професійну діяльність на підставі трудового договору, проявляється в тому, що основні вимоги щодо обробки персональних даних встановлюються нормами федерального законодавства, а порядок здійснення окремих операцій із персональними даними працівника (збір, зберігання, використання, розповсюдження) може деталізуватись у локальних правових актах. Відповідно до абз. 7 ч. 1 ст. 22 ТК РФ за роботодавцями закріплено право приймати локальні нормативно-правові акти, в яких можуть бути відображені питання захисту конфіденційної інформації. 35

Одним із таких локальних нормативно-правових актів є Положення про персональні дані. Положення визначає основні вимоги до порядку отримання, зберігання, комбінування, передачі чи іншого використання персональних даних працівника у зв'язку з трудовими відносинами в організації.

Розробка та використання ефективної системи забезпечення безпеки персональних даних працівників є однією з важливих частин системи управління безпекою персоналу, системи охорони життя та здоров'я працівників. 36

Основним документом, що регламентує відносини між роботодавцем і працівником, є трудовий договір, під час укладання якого слід враховувати положення Федерального закону від 27.07.2006 N 152-ФЗ "Про персональні дані" 37 . Він набрав чинності з 1 січня 2007 року та регулює відносини в галузі збору, зміни та передачі відомостей федеральними органами державної влади РФ та її суб'єктів, а також юридичними та фізичними особами з використанням засобів автоматизації та без них. Мета цього закону - захист права і свободи людини при обробці його персональних даних, зокрема прав на недоторканність приватного життя, особисту та сімейну таємницю.

Відповідно до ст. 2 Закону про персональні дані будь-яка інформація, що відноситься до певної або визначеної на підставі такої інформації фізичної особи (суб'єкта персональних даних), у тому числі: 38

прізвище ім'я по батькові;

рік, місяць, дата та місце народження;

сімейний, соціальний, майновий стан;
освіта;
професія;
доходи та інша інформація, визнаються персональними даними.

Цей перелік не закритий - до нього можна включити практично всі відомості про працівника, які отримує роботодавець.

Крім цього, ст. 10 та 11 Закону про персональні дані встановлено спеціальні дані, щодо яких діють підвищені заходи захисту від несанкціонованої обробки та розповсюдження. Це інформація, що стосується:

расової, національної власності;

політичних поглядів, релігійних чи філософських переконань;

стану здоров'я, інтимного життя фізичної особи, а також біометричні персональні дані – відомості, що характеризують фізіологічні особливості людини. 39

Принципи та умови обробки інформації

Обробка персональних даних включає всі дії та операції з ними, у тому числі збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), використання, поширення (передачу), знеособлення, блокування та знищення. Згідно із законом, це звичайні господарські операції установи, з якими часто стикається як керівник, так і бухгалтерська служба.

Відповідно до п. 1 ст. 6 Закону про персональні дані обробка даних можлива лише за згодою працівника. Тому при оформленні працівника на роботу необхідно одержати від нього письмову заяву про згоду на обробку даних. У такій заяві працівник обов'язково повинен повідомити:

прізвище, ім'я, по батькові, свою адресу, номер документа, що засвідчує особу, відомості про дату видачі та орган, що його видав;

найменування та адреса установи, яка отримала згоду на використання персональних даних;

ціль обробки даних;

перелік персональних даних, на обробку яких згоден працівник;

перелік дій, на які надається згода, Загальний описвикористовуваних установою способів обробки відомостей;

строк, протягом якого діє згода, а також порядок його відкликання (п. 4 ст. 9 Закону про персональні дані).

Подаємо зразок заяви працівника (див. додаток).

У процесі трудової діяльності будь-який працівник може зіткнутися з пильною увагою з боку зловмисників чи конкурентів - як своїх, і конкурентів організації, у якій працює. Стаття присвячена питанням безпеки персоналу на основі захисту персональних даних працівників.

Безпека власного персоналу - це з тих напрямів, що має бути забезпечене організацією насамперед.

Безпека персоналу - це стан захищеності працівників - найважливішого ресурсу підприємства - від зовнішніх і внутрішніх загроз, заподіяння матеріальної, моральної чи фізичної шкоди внаслідок випадкових чи навмисних дій.

Управління безпекою персоналу є складною проблемою, яка є управління комплексом організаційних і технічних заходів, що знижують загрози безпеці персоналу на підприємствах. 40

Наведемо зразковий перелік деяких потенційних загроз персоналу: 41

пряме переманювання конкурентами провідних керівників та спеціалістів;

вербування співробітників конкуруючими та кримінальними структурами, а в окремих випадках – правоохоронними органами;

шантаж чи прямі загрози на адресу конкретних співробітників з метою схиляння їх до порушення довіри з боку роботодавця (тобто до скоєння різних посадових порушень);

замахи на співробітників (насамперед вищих керівників) та членів їх сімей.

Подібні загрози можуть бути реалізовані в будь-якій організації та стосовно будь-якого співробітника, до якого з тієї чи іншої причини виник інтерес з боку зловмисників. Здійснення таких загроз можливе за рахунок знання зловмисниками персональної інформації, особистих специфічних даних про працівника.

Робота кадрових служб завжди пов'язана з накопиченням, формуванням, обробкою та використанням значних обсягів відомостей про всі категорії співробітників. Ці відомості відносяться до персональних даних, які за своєю суттю відображають особисту та сімейну таємницю працівників, їхнє приватне життя та входять до кола інформації, що підлягає захисту від несанкціонованого доступу. Безконтрольне поширення персональних даних може завдати значної шкоди як фізичній особі - суб'єкту персональних даних, так і організації, у стінах якої стався витік конфіденційної інформації.

В організації захисту персональних даних на локальному рівні особлива увага має бути приділена елементарним вимогам щодо правильної, грамотної, кваліфікованої кадрової роботи, професійного рівня підготовки та інформаційно-правової культури співробітників кадрових підрозділів. Недотримання співробітниками кадрових підрозділів організаційних умов, спрямованих на захист персональних даних працівників, може сприяти утворенню каналів витоку конфіденційної інформації.

Основні аспекти передачі персональних даних працівника та захист інформації під час роботи з персональними даними на ЕОМ

Встановлені у ст. 86 ТК РФ загальні вимоги при обробці персональних даних працівника покликані забезпечувати безпечне зберігання та використання роботодавцем конфіденційної інформації про працівників. Основне призначення цих вимог - забезпечення дотримання конституційних прав працівників недоторканність персоніфікованих відомостей про них. Ці загальні вимоги роботодавець повинен знати і враховувати передусім розробки правил їх отримання, обробки, зберігання, використання, передачі третім особам. 42

Поклавши на роботодавця обов'язок розробити та ввести в дію зазначені правила, ст. 87 ТК РФ визначила, що це правила встановлюються роботодавцем з дотриманням вимог Трудового кодексу Російської Федерації та інших федеральних законів. Вони повинні забезпечувати дотримання законодавства під час зберігання персональних даних працівника, недоступність цих відомостей для осіб, які не мають допуску до роботи з документами та іншими джерелами інформації про особу працівника.

Усі документи та матеріали, що містять персональні дані працівника, у своїй сукупності утворюють його особисту справу. У нього містяться заява працівника про прийом на роботу, його анкета, копії документів про освіту, кваліфікацію, наказ (розпорядження) про прийняття на роботу, екземпляр трудового договору, всі передбачені нормативними актами стандартні уніфіковані форми первинної облікової документації з кадрової роботи та з обліку праці та її оплати. 43. У справу поміщається також заява працівника про звільнення, матеріали, що стали підставою розірвання трудового договору або його припинення, наказ (розпорядження) роботодавця, яким припинено трудові відносини з працівником.

Загальний порядок ведення та зберігання особової справи працівника встановлює роботодавець, а ведуть його, як правило, працівники відділів кадрів чи інших служб роботодавця. Для них роботодавцем встановлюються спеціальні обов'язки щодо забезпечення безпеки та конфіденційності інформації, що утворює персональні дані працівників. Ці обов'язки мають бути включені до трудових договорів працівників, трудовою функцією яких є обробка персональних даних працівників.

Розробляючи і приймаючи правила зберігання та використання персональних даних працівників, роботодавець повинен встановити терміни зберігання різних документів і матеріалів, які утворюють особисту справу працівника, так і не ввійшли до нього. 44 При цьому роботодавець повинен враховувати, що термін зберігання найбільш важливих документів, що містять персональні дані працівників, визначаються різними нормативними актами, серед яких можна назвати Перелік типових управлінських документів, що утворюються в діяльності організацій, із зазначенням термінів їх зберігання, затверджений керівником Федеральної архівної служби Росії 6 жовтня 2000 р.

Зокрема, відповідно до цього Переліку особисті справи (заяви, автобіографії, копії наказів та витяги з них, копії особистих документів, характеристики, листки з обліку кадрів, анкети, атестаційні листи та ін.) керівника організації, членів керівних, виконавчих, контрольних органів організації, а також працівників, які мають державні та інші звання, премії, нагороди, вчені ступені та звання, зберігаються постійно.

Аналогічні документи інших працівників зберігаються 75 років.

Також протягом 75 років зберігаються трудові договори, характеристики, особисті картки, інші матеріали (у тому числі тимчасових працівників), що не увійшли до складу особових справ.

Трудові книжки і дублікати трудових книжок, не отримані працівниками під час звільнення або у разі смерті працівника не отримані його найближчими родичами, зберігаються протягом двох років у кадровій службі роботодавця окремо від інших трудових книжок. Після закінчення зазначеного терміну незатребувані трудові книжки зберігаються в архіві організації протягом 50 років, після чого підлягають знищенню в установленому порядку.

Документи осіб, які не прийняті на роботу (анкети, автобіографії, листки з обліку кадрів, заяви, рекомендаційні листи, резюме та ін.) зберігаються роботодавцем один рік. 45

Протягом дії трудового договору з працівником, а також протягом термінів зберігання документів, що містять персональні дані про працівника, ці дані використовуються роботодавцем, у тому числі передаються іншим особам, внаслідок чого інформація про працівника може набути широкого поширення.

За загальним правилом, закріпленим у ст. 88 ТК РФ, передача роботодавцем персональних даних працівника іншим особам допускається лише за наявності добровільного волевиявлення працівника, підтвердженого його письмовою заявою. Винятки із цього правила можуть передбачатися Трудовим кодексом Російської Федерації та іншими федеральними законами, наприклад, з метою забезпечення безпеки працівників.

Загалом ст. 88 ТК РФ «Передача персональних даних працівника» встановлює сім вимог, яких роботодавець повинен дотримуватись при передачі інформації про працівника іншим особам. 46

Перше з таких вимог забороняє роботодавцю повідомляти персональні дані працівника третій стороні без письмової згоди працівника, крім випадків, коли це необхідно з метою попередження загрози життю та здоров'ю працівника, а також в інших випадках, передбачених Трудовим кодексом Російської Федерації або іншими федеральними законами.

З цього випливає, що роботодавець може повідомляти персональні дані працівника третій особі лише за письмовою згодою працівника. Без такої згоди роботодавець може повідомляти персональні дані працівника третій особі лише у двох випадках: а) коли це необхідно з метою попередження загрози життю та здоров'ю працівника, наприклад, передача відомостей про групу крові особи, яка перебуває у тяжкому стані; б) інших випадках, передбачених федеральним законодавством. 47

Так, федеральними законами передбачено обов'язкове направлення роботодавцем відповідної інформації про своїх працівників до Фонду соціального страхування, Пенсійний фонд, в податкові органи, в органи державного нагляду та контролю за дотриманням законодавства про працю, до органів виконавчої влади та професійних спілок, що беруть участь у розслідуванні нещасних випадків на провадженні, до суду, прокурору, до органів попереднього слідства та дізнання.

Відповідно до ст. 357 ТК РФ державні інспектори праці при здійсненні наглядово-контрольної діяльності мають право вимагати у роботодавців та безоплатно отримувати від них документи та інформацію, необхідні для виконання наглядових та контрольних функцій, включаючи персональні дані працівників.

За приписом, що міститься у ч. 2 ст. 228 ТК РФ, при нещасному випадку на виробництві, що спричинило заподіяння шкоди здоров'ю двом особам і більше або зі смертельним наслідком, роботодавець (його представник) протягом доби зобов'язаний направити про це необхідну інформацію: у відповідну державну інспекцію праці; до прокуратури за місцем пригоди нещасного випадку; до федерального органу виконавчої влади за відомчою належністю та до органу виконавчої влади суб'єкта Російської Федерації; до організації, що направила працівника, з яким стався нещасний випадок; до територіальних об'єднань організацій профспілок; страховику з питань обов'язкового соціального страхування від нещасних випадків на виробництві та професійних захворювань.

Цю інформацію до тих самих органів при нещасному випадку направляє будь-який роботодавець - як організація, і фізична особа. 48

Друга вимога, що міститься у ст. 88 ТК РФ, забороняє роботодавцю повідомляти персональні дані працівника з комерційною метою без його письмової згоди.

p align="justify"> Важливість персональних даних працівника, як і будь-якого громадянина, з точки зору їх комерційної та іншої значимості важко переоцінити. Вони завжди мали попит і в діяльності держави, яка збирала відомості про своїх громадян у різноманітних інформаційних банках, і кредиторами, і роботодавцями, які запитували або вимагали від громадян найрізноманітнішу інформацію про них - ім'я, дату та місце народження, адресу місця проживання, наявність сім'ї, освіти та ін.

З настанням епохи комп'ютерів і телекомунікаційних технологій конфіденційна інформація, утворює персональні дані громадянина, стає майже загальнодоступною. Зниження витрат часу та фінансових коштів на її одержання зробило подібну інформацію об'єктом бізнесу, прибутковим видом підприємницької діяльності (не завжди законною). Про це свідчить наявність на комп'ютерних ринках великої кількості різних баз даних, що містять інформацію персонального характеру про громадян як абонентів телефонних мереж, власників автомототранспортних засобів, власників нерухомого майна, платників податків. У них наводяться досить повні відомості про особу, дату та місце народження, місце проживання, інформація про захворювання, звички, захоплення, уподобання та ін.

Інформація про працівника в комерційних цілях може надаватися роботодавцем бізнес-партнерам як про своїх представників, щоб забезпечити довіру до них з боку контрагента. Про обсяг та характер такої інформації працівник повинен бути обізнаний, оскільки аналізована норма вимагає для використання персональної інформації з комерційною метою отримання письмової згоди працівника.

Третя вимога зобов'язує роботодавця попередити осіб, які отримують від нього персональні дані працівника, про те, що ці дані можуть бути використані лише з метою, для яких вони повідомлені, та вимагати від цих осіб підтвердження того, що це правило дотримано.

Особи, які отримують персональні дані працівника, зобов'язані дотримуватися режиму секретності (конфіденційності) обробки та використання отриманої інформації. Це положення не поширюється на обмін персональними даними працівників у порядку, встановленому Трудовим кодексом Російської Федерації та іншими федеральними законами.

По-четверте, роботодавець зобов'язаний забезпечити здійснення передачі персональних даних працівника в межах однієї організації, в одного індивідуального підприємця відповідно до локального нормативного акта, з яким працівник має бути ознайомлений під підпис.

Такі локальні нормативні акти можуть розроблятися як самостійний документ (положення, інструкції) або як додаток до колективного договору. Вони повинні враховувати чинне законодавство, інструкції та положення щодо допуску громадян до відомостей, що належать до державної та інших видів таємниці.

П'ята вимога, передбачена ст. 88 ТК РФ, встановлює, що роботодавець повинен дозволяти доступ до персональних даних працівників лише спеціально уповноваженим особам. При цьому зазначені особи повинні мати право отримувати лише ті персональні дані працівника, які необхідні для виконання конкретних функцій.

Без додаткового дозволу до документів, які містять персональні дані працівника, допускаються лише особи, які подають такі документи, їх виконавці, працівники, які візували, підписували або затверджували документ, а також особи, зазначені або названі у тексті документа.

Шоста вимога свідчить, що роботодавець немає права вимагати інформацію про стан здоров'я працівника, крім тих відомостей про його здоров'я, які необхідні розгляду питання та прийняття рішення про можливість виконання працівником конкретної трудової функції, обумовленої трудовим договором.

Інформація про стан здоров'я громадянина становить лікарську таємницю. Передача її будь-кому допускається тільки за згодою працівника або його законного представника. Виняток становлять випадки, коли інформація про стан здоров'я працівника передається роботодавцю при загрозі поширення інфекційних захворювань, масових отруєнь та уражень або за наявності підстав, що дозволяють вважати, що шкода здоров'ю громадянина заподіяна внаслідок протиправних дій. Інформація про стан психічного здоров'я громадянина може передаватися роботодавцю лише у випадках, встановлених федеральними законами, наприклад, законом «Про психіатричну допомогу та гарантії прав громадян при її наданні».

Роботодавцю інформація про стан здоров'я працівника, необхідна для вирішення питання про можливість виконання ним конкретної трудової функції, подається у формі медичного висновку з висновком про відповідність або невідповідність працівника за станом здоров'я конкретної посади або видом роботи.

Зрештою, сьома вимога, передбачена у ст. 88 ТК РФ, говорить, що роботодавець зобов'язаний передавати персональні дані працівника представникам працівників у порядку, встановленому Трудовим кодексом та іншими федеральними законами, та обмежувати цю інформацію лише тими персональними даними працівника, які необхідні для виконання зазначеними представниками їх функцій.

Представники працівників, наприклад, виборний профспілковий орган стосовно отримання персональних даних працівника є третьою стороною. Тому передача роботодавцем їм цієї інформації здійснюється відповідно до обмежень та правил, встановлених ст. 88 ТК РФ. Представники працівників зобов'язані дотримуватися режиму конфіденційності отриманих ними персональних даних працівника. 50

Коло інформації про працівника, що передається представникам працівників, визначається функціями та повноваженнями представників. Загальною функцією будь-якого представника працівників у сфері трудових відносин є участь у колективних переговорах щодо укладання колективного договору, при вирішенні колективних трудових спорів, при захисті працівника у процесі індивідуального трудового спору. Тому персональна інформація про працівників може бути вироблення умов колективного договору, вирішення колективного конфлікту, прийняття рішення щодо індивідуального трудового спору, забезпечення інтересів даного працівника, поліпшення умов роботи всім або окремим категоріям працівників. 51

Важлива роль захисті персоніфікованої інформації про працівника приділяється і самому працівникові як стороні трудового договору. З метою забезпечення захисту персональних даних, що зберігаються у роботодавця, ст. 89 ТК РФ наділяє працівників правом: 52

на повну інформацію про їх персональні дані та обробку цих даних;

вільний безкоштовний доступ до своїх персональних даних, включаючи декларація про отримання копій будь-якої записи, що містить персональні дані працівника, крім випадків, передбачених федеральним законом;

визначення своїх представників для захисту своїх персональних даних;

доступ до медичних даних, що належать до них, за допомогою медичного фахівця з їх вибору;

вимога про виключення чи виправлення невірних чи неповних персональних даних, і навіть даних, оброблених із порушенням вимог цього Кодексу чи іншого федерального закону. У разі відмови роботодавця виключити чи виправити персональні дані працівника він має право заявити у письмовій формі роботодавцю про свою незгоду з відповідним обґрунтуванням такої незгоди. Персональні дані оцінного характеру працівник має право доповнити заявою, яка виражає його власну точку зору;

вимога про повідомлення роботодавцем всіх осіб, яким раніше були повідомлені невірні або неповні персональні дані працівника, про всі зроблені в них винятки, виправлення або доповнення;

оскарження до суду будь-яких неправомірних дій або без дії роботодавця під час обробки та захисту його персональних даних.

Передбачаючи правничий та обов'язки сторін трудового договору, створені задля захист персональних даних працівника, у ст. 90 ТК РФ «Відповідальність за порушення норм, що регулюють обробку та захист персональних даних працівника» Кодекс встановлює, що особи, винні у порушенні норм, що регулюють отримання, обробку та захист персональних даних працівника, притягуються до дисциплінарної та матеріальної відповідальності в порядку, встановленому Трудовим кодексом та іншими федеральними законами, а також залучаються до цивільно-правової, адміністративної та кримінальної відповідальності у порядку, встановленому федеральними законами. 53

Як можна помітити, дана норма носить відсилочно-бланкетний характер, оскільки відсилає до норм трудового права, що передбачають дисциплінарну відповідальність, а також до норм інших галузей права, що встановлює правила отримання, обробки та захисту персональних даних працівника, за порушення яких встановлено адміністративну, цивільну -правова чи кримінальна відповідальність.

На думку авторів Коментар до Трудового кодексу Російської Федерації 54 , перелік видів юридичної відповідальності, зазначених у ст. 90 ТК РФ, не є вичерпним, оскільки особи, винні у порушенні правил роботи з персональними даними працівника, також можуть бути притягнуті до матеріальної відповідальності. При цьому до матеріальної відповідальності за винне порушення норм, що регулюють порядок отримання, обробки та захисту персональних даних працівника, можуть залучатися як роботодавець, так і працівники, які безпосередньо обробляють персональні дані працівників.

Адміністративна відповідальність у вигляді штрафу у розмірі від 5 до 10 мінімальних розмірів оплати праці для посадових осіб, а для юридичних осіб - від 50 до 100 або більше мінімальних розмірів оплати праці може наступити за вчинення таких провин, передбачених Кодексом Російської Федерації про адміністративні правопорушення, як :

відмова у наданні громадянину інформації, зібраних в установленому порядку документів, матеріалів, що безпосередньо зачіпають його права та свободи, або несвоєчасне надання таких документів та матеріалів, ненадання іншої інформації у випадках, передбачених законом, або надання громадянину неповної або свідомо недостовірної інформації (ст. 5.39) );

порушення встановленого законом порядку збору, зберігання, використання чи розповсюдження інформації про громадян (персональні дані) (ст. 13.11);

порушення правил захисту інформації, крім інформації, що становить державну таємницю (ст. 13.12);

незаконна діяльність у сфері захисту інформації (ст. 13.13);

розголошення інформації, доступ до якої обмежений федеральним законом (за винятком випадків, якщо розголошення такої інформації тягне за собою кримінальну відповідальність), особою, яка отримала доступ до такої інформації у зв'язку з виконанням службових або професійних обов'язків (ст. 13.14 КоАП РФ).

Суб'єктами адміністративної відповідальності за порушення встановленого законом порядку збору, зберігання, використання або розповсюдження інформації про громадян та за порушення правил захисту інформації можуть бути як роботодавці – фізичні особи, так і роботодавці – юридичні особи (організації), їх керівники та конкретні працівники, які виконують трудові функції, пов'язані із збиранням, зберіганням, використанням персональних даних працівників. 55

Цивільно-правова відповідальність за порушення норм, що регулюють отримання, обробку та захист персональних даних працівника, настає у разі, якщо таке порушення завдає шкоди невідчужуваним правам і свободам людини та іншим нематеріальним благам, до яких належать честь і добре ім'я, ділова репутація, недоторканність приватного життя, особиста та сімейна таємниця (ст. 2, 150 ДК РФ).

Цивільно-правова відповідальність може виражатися у покладенні обов'язку щодо відшкодування майнової шкоди або компенсації моральної шкоди. Наприклад, моральна шкода працівникові може бути заподіяна в результаті винного поширення персональних даних працівника, у разі подання третім особам недостовірної інформації про працівника, що містить відомості, що ганьблять його честь, гідність, ділову репутацію.

Компенсація моральної шкоди та захист честі, гідності та ділової репутації працівника здійснюється на підставах, встановлених ст. 151, 152 ЦК України, в порядку цивільного судочинства.

Кримінальна відповідальність порушення правил роботи з персональними даними працівника може наступити за умови, якщо це порушення містить ознаки складу будь-якого злочину проти конституційних права і свободи людини.

Серед них може бути порушення недоторканності приватного життя (ст. 137 КК РФ), що виражається в незаконному збиранні або розповсюдженні відомостей про приватне життя особи, що становлять її особисту чи сімейну таємницю, без її згоди або у поширенні цих відомостей у публічному виступі, що публічно демонструється творі або засобах масової інформації, якщо ці діяння вчинені з корисливої чи іншої особистої зацікавленості та завдали шкоди правам та законним інтересам громадян. Карається цей злочин штрафом до 200 000 руб. (Ч. 1) або штрафом до 300 000 руб. (ч. 2), якщо воно скоєно з використанням службового становища, або іншими покараннями, які альтернативно передбачені у санкціях ч. 1 і 2 ст. 137 КК України.

Іншим злочином у цій сфері є відмова у наданні громадянину інформації. Відповідно до ст. 140 КК РФ цей злочин виявляється у неправомірному відмові посадової особи у наданні зібраних у порядку документів і матеріалів, безпосередньо які стосуються правничий та свободи громадянина, чи надання громадянину неповної чи свідомо хибної інформації, якщо ці діяння завдали шкоди правам і законним інтересам громадян.

Карається цей злочин штрафом у розмірі до 200 000 руб. або у розмірі заробітної плати або іншого доходу засудженого за період до 18 місяців або позбавленням права обіймати певні посади або займатися певною діяльністю на строк від двох до п'яти років.

Як зазначає А.М. Лушников, особи, винні у порушенні законодавства про обробку персональних даних працівника, можуть бути залучені до кримінальної також за ст. 129 КК РФ за наклеп, якщо представники роботодавця допустять при обробці персональних даних працівника поширення про нього свідомо неправдивих відомостей, що ганьблять його честь і гідність або ділову репутацію, а також за ст. 130 КК РФ, якщо при обробці персональних даних працівника буде допущено приниження його честі та гідності у непристойній формі, наприклад, з використанням нецензурної лайки. 56

Неправомірний доступ до комп'ютерної інформації, що охороняється законом, в електронно-обчислювальній машині, системі ЕОМ або їх мережі, якщо це діяння спричинило знищення, блокування, модифікацію або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі – карається штрафом, або виправними роботами на строк від шести місяців до одного року або позбавленням волі на строк до двох років. 57

Як відомо, реалізація Федерального закону № 152-ФЗ неодноразово відкладалася. Справа в тому, що досягнення відповідності ФЗ вимагає впровадження нових ІТ-продуктів, вжиття організаційних заходів та модернізації бізнес-процесів компанії. Але найбільші складнощі у російських фахівців викликають самі вимоги закону, а точніше їх неконкретність. Виконання деяких вимог стало практично нездійсненним завданням, оскільки для цього потрібні чималі фінансові, технічні та організаційні ресурси. Так, відповідно до зроблених розрахунків захист персональних даних відповідно до закону потребує збільшення фінансових коштів у 3-5 разів.

Технічні заходи щодо захисту інформації мають на увазі: 58

засоби захисту інформації від несанкціонованого доступу (НСД) (системи розмежування доступу до інформації; антивірусний захист; міжмережеві екрани; засоби блокування пристроїв введення-виведення інформації, криптографічні засоби тощо);

засоби захисту інформації від витоку технічних каналів (використання екранованих кабелів; встановлення високочастотних фільтрів на лінії зв'язку; встановлення активних систем зашумлення і т.д.).

Усі програмні засоби захисту інформації повинні пройти оцінку відповідності в установленому порядку.

Отже, щоб забезпечити дотримання вимог Федерального закону № 152 – ФЗ доведеться істотно змінити роботу з інформацією та документацією, що містять персональні дані.

Дії щодо реалізації вимог Федерального закону № 152-ФЗ включають:

1. Проведення інвентаризації всіх систем, що обробляють персональні дані.

2. Наявність згод суб'єктів на обробку їх персональних даних.

3. Формування списку персональних даних, оцінка законності обробки ПД.

5. Формування документів, що регламентують роботу з персональними даними.

6. Формування моделі загроз, що містять актуальні загрози інформаційній безпеці персональних даних під час їх обробки.

7. Визначення класу ІСПД та вироблення рішень щодо зниження класу інформаційної системи. Порядок проведення класифікації інформаційних систем затверджено спільним Наказом ФСТЕК РФ, ФСБ РФ та Міністерства інформаційних технологій та зв'язку РФ від 13.02.2008 р. № 55/86/20. Мета проведення класифікації – встановлення методів та засобів захисту інформації, необхідних для забезпечення безпеки персональних даних.

8. Твердження акта класифікації.

10. Контроль ІСПД.

При виконанні зазначених дій інформаційна система персональних даних буде відповідати вимогам закону. 59

Контроль захисту персональної інформації працівника

Контроль за виконанням вимог закону покладено на Федеральну службу безпеки (ФСБ Росії), Федеральну службу з технічного та експортного контролю (ФСТЕК) та Федеральну службу з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій (Роскомнагляд).

Кожне із цих відомств виконує своє завдання. Так, ФСБ Росії займається питаннями безпеки персональних даних при їх обробці в інформаційних системах, у тому числі захист інформації з використанням засобів шифрування (криптографії).

Компетенції ФСТЕК Росії - захист інформації із застосуванням технічних засобів, у тому числі підтвердження відсутності в засобах захисту можливостей, що не декларуються. Технічні засоби захисту персональних даних слід сертифікувати.

Роскомнагляд є основним регулятором у сфері захисту прав фізичних осіб, чиї персональні дані обробляються. Співробітники цього відомства мають право:

перевіряти відомості в повідомленні, поданому оператором;

вживати заходів щодо зупинення або припинення обробки персональних даних, що здійснюється з порушенням вимог закону;

звертатися до суду з позовними заявами на захист прав суб'єктів та представляти їх інтереси у суді. А також надсилати заяви до органу, який здійснює ліцензування діяльності оператора, для розгляду питання про вжиття заходів щодо зупинення дії його ліцензії;

направляти матеріали до правоохоронних органів для вирішення питання про порушення кримінальної справи у зв'язку з порушенням прав суб'єктів персональних даних;

притягувати до адміністративної відповідальності осіб, винних у порушенні закону.

Порушення встановленого законом порядку збору, зберігання, використання чи розповсюдження інформації тягне за собою накладення адміністративного штрафу на громадян від п'ятисот до тисячі рублів з конфіскацією несертифікованих засобів захисту інформації, на посадових осіб - від однієї до двох тисяч рублів, а на юридичних осіб - від десяти до двадцяти тисяч рублів із конфіскацією несертифікованих коштів.

Розголошення інформації, доступ до якої обмежений федеральним законом (за винятком випадків, якщо розголошення такої інформації тягне за собою кримінальну відповідальність) особою, яка мала до неї доступ за службовими або професійними обов'язками, тягне за собою накладення на посадових осіб адміністративного штрафу – від чотирьох тисяч до п'яти тисяч рублів . 60

Як відомо, реалізація Федерального закону №152-ФЗ неодноразово відкладалася. Справа в тому, що досягнення відповідності ФЗ вимагає впровадження нових ІТ-продуктів, вжиття організаційних заходів та модернізації бізнес-процесів компанії. Але найбільші складнощі у російських фахівців викликають самі вимоги закону, а точніше їх неконкретність. Виконання деяких вимог стало практично нездійсненним завданням, оскільки для цього потрібні чималі фінансові, технічні та організаційні ресурси. Так, відповідно до зроблених розрахунків захист персональних даних відповідно до закону потребує збільшення фінансових коштів у 3-5 разів. 62

Усе це свідчить необхідність подальшого вдосконалення нормативно-правової бази, регулюючої відносини з обробці персональних даних.

Відповідно до чинного законодавства передбачено кілька видів відповідальності за порушення норм у сфері захисту персональних даних (цивільно-правова, матеріальна, дисциплінарна, адміністративна та кримінальна). Для окремих складів правопорушень встановлено санкції щодо як фізичних і посадових, а й юридичних. Таким чином, притягнення до окремих видів відповідальності можливе і для працівників, і для роботодавців.

Стаття 150 ЦК України до невід'ємних і невідчужуваних нематеріальних прав, що підлягають правовому захисту, відносить особисту недоторканність, недоторканність приватного життя, особисту та сімейну таємницю. Цивільно-правова відповідальність за посягання на недоторканність приватного життя безпосередньо з категорією моральної шкоди. Якщо громадянину заподіяно моральну шкоду (фізичні чи моральні страждання) діями, що порушують його особисті немайнові права або зазіхають інші нематеріальні блага, що належать громадянину, а також в інших випадках, передбачених законом, суд може покласти на порушника обов'язок грошової компенсації зазначеної шкоди.

При визначенні розмірів компенсації моральної шкоди суд бере до уваги ступінь вини порушника та інші обставини, що заслуговують на увагу. Суд повинен також враховувати ступінь фізичних та моральних страждань, пов'язаних з індивідуальними особливостями особи, якій завдано шкоди (ст. 151 ЦК України) 63 . Крім того, громадянин має право вимагати по суду спростування відомостей, що ганьблять його честь, гідність або ділову репутацію, якщо той, хто поширив такі відомості, не доведе, що вони відповідають дійсності. Оприлюднення та подальше використання зображення громадянина (у тому числі його фотографії, а також відеозаписи або твори образотворчого мистецтва, в яких він зображений) допускаються лише за згодою цього громадянина (ст. 152 та 153 ЦК України). Роз'яснення питань, пов'язаних із заподіянням моральної шкоди, містяться в постанові Пленуму Верховного Суду РФ від 20 грудня 1994 № 10 «Деякі питання застосування законодавства про компенсацію моральної шкоди». Компенсація моральної шкоди здійснюється у грошовій формі. Характер фізичних та моральних страждань оцінюється судом з урахуванням фактичних обставин, за яких було завдано моральної шкоди, та індивідуальних особливостей потерпілого (ст. 1101 ЦК України).

Матеріальна відповідальність працівника за розголошення відомостей, що стосуються персональних даних інших працівників, покладається нею в повному розмірі заподіяної шкоди (п. 7 ст. 243 ТК РФ). Випадки повної матеріальної відповідальності є винятками з загального правилащо підтверджує особливе значення інституту захисту персональних даних працівників у вітчизняному трудовому праві.

Дисциплінарна відповідальність у вигляді звільнення настає для працівника, який розголосив таємницю, що охороняється законом (у тому числі персональні дані іншого працівника). Однак необхідно, щоб ці відомості стали відомі працівнику у зв'язку з виконанням своїх трудових обов'язків (мабуть, «в» п. 6 ст. 81 ТК РФ). Відповідно до ст. 192 ТК РФ залучення працівника, який зробив дисциплінарний провина, є правом, а не обов'язком роботодавця. При накладенні дисциплінарного стягнення роботодавець повинен врахувати тяжкість вчиненої провини та обставини, за яких він був скоєний. Тому замість звільнення роботодавець має право накласти на винну особу стягнення у вигляді зауваження чи догани. Права та обов'язки працівника щодо доступу до персональних даних інших працівників визначаються сто трудовою функцією, іншими умовами трудового договору, а також змістом локальних нормативних правових актів, що визначають перелік його посадових обов'язків.

Адміністративна відповідальність за порушення встановленого законом порядку збору, зберігання, використання або розповсюдження інформації про громадян (персональних даних) тягне за собою попередження або накладення адміністративного штрафу на громадян у розмірі від 0,3 тис. до 0,5 тис. руб.; на посадових осіб – від 0,5 тис. до 1 тис. руб.; на юридичних - від 5 тис. до 10 тис. руб. (Ст. 13.11 Кодексу РФ про адміністративні правопорушення (далі - КоАП РФ)). Розголошення інформації обмеженого доступу особою, яка отримала доступ до такої інформації у зв'язку з виконанням службових або професійних обов'язків, тягне за собою накладення адміністративного штрафу на громадян у розмірі від 0,5 тис. до 1 тис. руб.; на посадових осіб – від 4 тис. до 5 тис. руб. (Ст. 13.14 КпАП РФ).

Кримінальну відповідальність за порушення недоторканності приватного життя передбачено ст. 137 Кримінального кодексу РФ 64 . Незаконне збирання чи поширення відомостей про приватне життя особи, що становлять її особисту чи сімейну таємницю, без її згоди або поширення цих відомостей у публічному виступі, публічно демонструється творі або засобах масової інформації караються штрафом у розмірі до 200 тис. руб. або у розмірі заробітної плати або іншого доходу засудженого за період до 18 місяців, або обов'язковими роботами терміном від 120 до 180 годин, або виправними роботами терміном до одного року, або арештом терміном до чотирьох місяців. Ті ж дії, вчинені особою з допомогою свого службового становища, караються штрафом у вигляді від 100 тис. до 300 тис. крб. або у розмірі заробітної плати або іншого доходу засудженого за період від одного року до двох років, або позбавленням права обіймати певні посади або займатися певною діяльністю на строк від двох до п'яти років, або арештом терміном від чотирьох до шести місяців.

ВИСНОВОК

Захист персональних даних працівника можна розглядати у кількох аспектах. По-перше, це гарантії, закріплені у трудовому праві, що є сукупність норм, регулюючих відносини щодо персональних даних працівника. По-друге, це система заходів організаційно-правового характеру, спрямованих на реалізацію законодавчих положень та виражають політику роботодавця у цій сфері. По-третє, це забезпечення суб'єктивного права працівника захисту своїх персональних даних.

Інформаційні відносини виникають як між працівником та роботодавцем, так і між кожною з них та третіми особами. Відносини між працівником та роботодавцем є основними інформаційними відносинами. Тому їх регулюванню у законодавстві про працю віддасться пріоритет. Працівник як зобов'язаний надавати відомості себе, а й має право отримувати достовірну інформацію про умови праці та вимоги охорони праці робочому місці (ст. 21 ТК РФ). Кожен працівник має право на отримання від роботодавця достовірної інформації про умови та охорону праці на робочому місці, про існуючий ризик пошкодження здоров'я, а також про заходи щодо захисту від впливу шкідливих та (або) небезпечних виробничих факторів (ч. 3 ст. 219 ТК РФ) ). Стаття 210 цього Кодексу містить термін „єдина інформаційна система охорони праці”. Отримання від роботодавця інформації з питань, що безпосередньо торкаються інтересів працівників, є однією з основних форм участі працівників в управлінні організацією (ст. 53 ТК РФ). Роботодавець зобов'язаний надавати представникам працівників повну та достовірну інформацію, необхідну для укладання колективного договору, угоди та контролю за їх виконанням (ст. 22 ТК РФ).

Певні норми вітчизняного кодифікованого закону про працю регулюють відносини щодо конфіденційної інформації. Відповідно до ч. 3 ст. 57 ТК РФ у трудовому договорі можуть передбачатися умови про нерозголошення таємниці, що охороняється законом (державної, службової, комерційної та іншої). Роботодавець має право розірвати трудовий договір у випадках розголошення працівником таємниці, що охороняється законом, стала відомою йому у зв'язку з виконанням ним трудових обов'язків, припинення допуску до державної таємниці, якщо виконувана робота вимагає допуску до державної таємниці (підп. «в» п. 6 ст. 81 ТК РФ). На працівника покладається матеріальна відповідальність у повному розмірі заподіяної шкоди у разі розголошення відомостей, що становлять таємницю, що охороняється законом. Відповідно до ч. 8 ст. 37 ТК РФ учасники колективних переговорів, інші особи, пов'язані з наказом колективних переговорів, не повинні розголошувати отримані відомості, якщо ці відомості відносяться до таємниці, що охороняється законом. Особи, які розголосили зазначені відомості, притягуються до дисциплінарної, адміністративної, цивільно-правової, кримінальної відповідальності у встановленому законодавством порядку. Персональні дані громадянина відповідно до чинних нормативних актів належать до відомостей конфіденційного характеру1. Тому положення ТК РФ з приводу таємниці, що охороняється законом, також відносяться до персональних

У ринкових умовах господарювання ефективність та результативність діяльності роботодавця безпосередньо пов'язані з її своєчасним забезпеченням інформаційними ресурсами. Діяльність роботодавця щодо персональних даних працівника регулюється імперативними нормами, що з публічної складової галузі трудового права загалом та інституту захисту персональних даних працівника зокрема. Право захисту персональних даних має абсолютний характер. Воно надано кожному працівникові безвідносно до розміру його внеску досягнення організацією поставлених завдань. Тому згідно з п. 9 ст. 86 ТК РФ працівники не повинні відмовлятися від своїх прав на збереження та захист таємниці.

Своє право на захист персональних даних працівники можуть реалізувати шляхом вільного безкоштовного доступудо своїх персональних даних, включаючи декларація про отримання копій будь-якої записи, що містить персональні дані працівника; шляхом визначення своїх представників захисту своїх персональних даних; шляхом отримання повної інформації про персональні дані та їх обробку; шляхом пред'явлення до роботодавця вимоги про виключення чи виправлення невірних чи неповних персональних даних, а також даних, опрацьованих з порушенням законодавчих вимог; шляхом оскарження до суду будь-яких неправомірних дій чи бездіяльності роботодавця при обробці та захисті персональних даних працівника та ін. (Ст. 89 ТК РФ).

Таким чином, всі поставлені у вступі завдання були виконані в ході написання роботи, а отже, мети роботи досягнуто.

СПИСОК ЛІТЕРАТУРИ

Нормативні правові акти

Загальну декларацію прав людини Організації Об'єднаних Націй від 10 грудня 1948 року ухвалено Генеральною Асамблеєю ООН 10 грудня 1948 року. // Міжнародне громадське право: збірник документов.-М.: БЕК, 1996.-Т. 1.-С. 460-464.

Закон РФ від 27.12.1991 № 2124-1 «Про засоби масової інформації» Електронний ресурс.: [текст у ред. від 27.07.2012] // Консультант Плюс-довідкова правова система. Версія 3000.02.12. М: ЗАТ «Консультант Плюс», 1992-2006.

Сімейний кодекс Російської Федерації від 29.12.1995 № 223-Ф3 Електронний ресурс.: [Прийнятий ДД ФС РФ 08.12.1995: текст у ред. від 03.06.2012] // Консультант Плюс Довідкова правова система. Версія 3000.02.12.-М.: ЗАТ "Консультант Плюс", 1992-2006.

Трудовий кодекс Російської Федерації від 30.12.2001 № 197-ФЗ Електронний ресурс.: [Прийнятий ДД ФС РФ 21.12.2001: текст у ред. від 30.06.2012] // Консультант Плюс Довідкова правова система. Версія 3000.02.12. -М: ЗАТ «Консультант Плюс», 1992-2006.

Кримінальний кодекс Російської Федерації від 13.06.1996 № 63-Ф3 Електронний ресурс.: [Прийнятий ДД ФС РФ 24.05.1996: текст у ред. від 27.07.2012] // Консультант Плюс Довідкова правова система. Версія 3000.02.12. - М: ЗАТ «Консультант Плюс», 1992-2006.

Федеральний закон від 27.07.2006 № 152-ФЗ «Про персональні дані» Електронний ресурс.: [Прийнятий ДД ФС РФ 08.07.2006] // Консультант Плюс довідкова правова система. Версія 3000.02.12. - М: ЗАТ «Консультант Плюс», 1992-2012.

Наукова література

Алавердов А. Р. Організація та управління безпекою в кредитно-фінансових організаціях: Навчальний посібник. М.: Московський державний університет статистики та інформатики, 2004.

Балашкіна І.В. Особливості конституційного регулювання права на недоторканність приватного життя в Російській Федерації // Право та політика. 2007. №7. С. 92-105.

Бачило І..Л., Сергієнко Л.А., Кришталевий Б.В., Арешев А.Г. Персональні дані у структурі інформаційних ресурсів. Основи правового регулирования. Мінськ. 2006. с.473.

Блоцький В.М. Конституційне забезпечення прав людини на недоторканність приватного життя в Російській Федерації: Автореф. дис. канд. Юрид. наук. М., 2007. с. 31.

Борисова С. А. Загальні вимоги при обробці персональних даних працівника та гарантії їх захисту // Трудове право. – 2005. – N 11. – С. 30-36.

Глушкова С.І. Права людини у Росії: теорія, історія, практика: навч. Допомога. Єкатеринбург. 2008. с.748.

Іщейнов В. Я. Персональні дані в законодавчих та нормативних документах Російської Федерації та інформаційних системах // Діловодство. – 2008. – N 3. – С. 87-90.

Кібанов А. Я. Управління персоналом організації: Навч. 4-те вид., Дод. та перероб. М: Інфра-М, 2010. 695 с.

Кужукеєва Г. Право на приватне життя та право на свободу вираження: проблеми співвідношення. [Електронний ресурс]. URL: http://medialaw.asia

Лушніков А.М. Захист персональних даних працівника: порівняльно-правовий коментар гл.14 Трудового кодексу РФ // Трудове право. 2009. № 9. С. 93-101.

Маркевич А. С. Організаційно-правовий захист персональних даних у службових та трудових відносинах: Автореф. дис. на соїск. уч. ст. канд. Юрид. наук. Воронеж, 2006.

Новичкова Ю. В. Персональні дані – без права передачі, або Особливості розірвання трудового договору за розголошення персональних даних // Довідник кадровика. – 2007. – N 1. – С. 14-23.

Орловський Ю. П., Кузнєцов Д. Л., Білицька І. Я., Корякіна Ю. С. Кадрове діловодство (правові основи): Практичний посібник / За ред. Ю. П. Орловського. М: Контракт, 2009. 239 с.

Преображенський, Е. Інсайдер: варіант із заклеюванням USB-порту не допоможе / Управління персоналом. – 2009. – N 7 (209). – С. 8-15.

Савінцева М. Правовий захист персональної інформації громадян у Росії // Законодавство та практика мас-медіа. – 2006. – № 9. [Електронний ресурс]. URL: http://www.medialaw.ru/publications

Соколова О. С. Проблеми реалізації Федерального закону "Про персональні дані" // Сучасне право. – 2006. – N 9. – С. 37-41.

Федосова, М. А. Захист персональних даних працівника // Фінансові та бухгалтерські консультації. – 2007. – N 11. – С. 71-74.

Хачатурян Ю. А. Право працівника на захист персональних даних // Сучасне право. – 2006. – N 1. – С. 43-51.

Чаннов, С. Є. Правовий режим персональних даних на державній та муніципальній службі // Відомості Верховної Ради. – 2008. – N 1. – С. 21-23.

Чиркін В.Є. Конституційне право розвинених країн: Підручник. 4-те вид., перероб. та дод. - М.: Юрист, 2005. с. 391.

Янкова В. Ф. Положення про захист персональних даних працівників. М.: ТОВ "Професійне видавництво"// Секретар-референт. 2008. N 2.

додаток

Керівнику музичного театру,

розташованого за адресою:
м. Москва, вул. Невідома, 6,
Іванову Івану Івановичу
від Сидорова Петра Михайловича
(паспорт N 33 00 612745, виданий
Ленінським ОВС м. Москви 25.02.2001)

Заява.

Я, Сидоров Петро Михайлович, даю свою згоду на збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, поширення (передачу), знеособлення, блокування та знищення своїх персональних даних:

Прізвище ім'я по батькові;

Рік, місяць, дата та місце народження;

Сімейне, соціальне, становище;

Освіта;

Професія;

Доходи, отримані мною в даній установі, для передачі до податкової інспекції за формою 2-ПДФО та органи ПФР індивідуальних відомостей про нараховані страхові внески на обов'язкове пенсійне страхування та дані про трудовий стаж.

8 Трудовий кодекс Російської Федерації від 30.12.2001 № 197-ФЗ

9 Бачіло І..Л., Сергієнко Л.А., Кришталевий Б.В., Арешев А.Г. Персональні дані у структурі інформаційних ресурсів. Основи правового регулирования. Мінськ. 2006. с.473.

10 Борисова С. А. Загальні вимоги при обробці персональних даних працівника та гарантії їх захисту // Трудове право. – 2005. – N 11. – С. 30-36.

11 Про інформацію, інформатизації та захист інформації: федеральний закон від 20 лютого 1995 р. № 24-ФЗ, ч. 1 ст. 11// Російська газета. 2003

12 Про затвердження Переліку відомостей конфіденційного характеру: указ Президента РФ від 6 березня 1997 р. № 188 // Довідкова правова система "Гарант" станом на 1 вересня 2008 р. URL: http://www.garant.ru

13 Про інформацію, інформаційні технології та про захист інформації: федеральний закон від 27 липня 2006 р. № 149-ФЗ // Російська газета. 2006

14 Федеральний закон від 27.07.2006 № 152-ФЗ «Про персональні дані» Електронний ресурс.: [Прийнятий ДД ФС РФ 08.07.2006] // Консультант Плюс довідкова правова система. Версія 3000.02.12. - М: ЗАТ «Консультант Плюс», 1992-2012.

15 Про архівну справу: федеральний закон від 22 жовтня 2004 р. № 125-ФЗ (в ред. Федерального закону від 4 грудня 2006 р. № 202-ФЗ) // Довідкова правова система "Гарант" станом на 1 вересня 2008 р. URL: http://www.garant.ru

16 Про державну реєстрацію юридичних та індивідуальних підприємців: федеральний закон 8 серпня 2001 р. № 129-ФЗ, ст. 6 (в ред. Федерального закону від 4 грудня 2006 р. № 202-ФЗ) // Правова система "Гарант" станом на 1 травня 2008 р. URL: http://www.garant.ru

17 Конституція РФ. Прийнято всенародним голосуванням 12.12.1993р. // Російська газета. 25.12.1993.

18 Положення про сертифікацію засобів захисту. Затверджено Постановою Уряду Російської Федерації від 26 червня 1995 р. № 608 (зі змінами та доповненнями від 23 квітня 1996 р. № 509; від 29 березня 1999 р. № 342; від 17 грудня 2004 р. № 808); Положення про сертифікацію засобів захисту інформації щодо вимог безпеки інформації. Затверджено Наказом Голови Державної технічної комісії при Президентові Російської Федерації від 27 жовтня 1995 № 199; Положення про ліцензування діяльності з технічного захисту конфіденційної інформації. Затверджено Постановою Уряду Російської Федерації від 15 серпня 2006 р. № 504

19 Про державну таємницю: закон Російської Федерації від 21 липня 1993 р. № 5485-1, розділ 3 «Віднесення відомостей до державної таємниці та їх засекречування»

20 Про комерційну таємницю: федеральний закон від 29 липня 2004 р. № 98-ФЗ, ст. 10 у ред. Федерального закону від 2 лютого 2006 р. № 19-ФЗ, від 18 грудня 2006 р. № 231-ФЗ)

21 Про службову таємницю: проект федерального закону, законопроект № 124871-4, глава 2 «Віднесення відомостей до службової таємниці та зняття обмежень з їхньої поширення».

22 Бачіло І..Л., Сергієнко Л.А., Кришталевий Б.В., Арешев А.Г. Персональні дані у структурі інформаційних ресурсів. Основи правового регулирования. Мінськ. 2006. с.473.

23 Про протидію легалізації (відмиванню) доходів, отриманих злочинним шляхом, та фінансуванню тероризму: федеральний закон від 7 серпня 2001 р. № 115-ФЗ // Російська газета. 2001

24 Бачіло І.Л., Лопатін В.М., Федотов МА Інформаційне право. СПб.: Вид. "Юридичний центр Прес", 2005. С. 243.

25 Про класифікацію конфіденційної інформації на «первинні» та «похідні» таємниці див.: Вовчинська О.К. Комерційна таємниця у системі конфіденційної інформації

26 Бачіло І.Л., Лопатін В.М., Федотов М.А. Указ. тв. С. 220; Головкін Р.Б. Правове та моральне регулювання приватного життя в сучасній Росії: дис. ... д-ра юрид. наук: 12.00.01. Н. Новгород/2005. С. 117; Баранов В.М. Категорія «приватне життя» // Право громадян інформацію та захист недоторканності приватного життя. Н. Новгород, 1999. С. 34-37.

27 Петрікіна Н.І. До питання конфіденційності персональних даних // Правова система «Гарант» станом на 1 травня 2008 р.

28 Борисова С. А. Загальні вимоги при обробці персональних даних працівника та гарантії їх захисту // Трудове право. – 2005. – N 11. – С. 30-36.

29 Борисова С. А. Загальні вимоги при обробці персональних даних працівника та гарантії їх захисту // Трудове право. – 2005. – N 11. – С. 30-36.

36 Бачіло І..Л., Сергієнко Л.А., Кришталевий Б.В., Арешев А.Г. Персональні дані у структурі інформаційних ресурсів. Основи правового регулирования. Мінськ. 2006. с.473.

37 Федеральний закон від 27.07.2006 № 152-ФЗ «Про персональні дані» Електронний ресурс.: [Прийнятий ДД ФС РФ 08.07.2006] // Консультант Плюс довідкова правова система. Версія 3000.02.12. - М: ЗАТ «Консультант Плюс», 1992-2012.

38 Кібанов А. Я. Управління персоналом організації: Навч. 4-те вид., Дод. та перероб. М: Інфра-М, 2010. 695 с.

39 Федеральний закон від 27.07.2006 № 152-ФЗ «Про персональні дані» Електронний ресурс.: [Прийнятий ДД ФС РФ 08.07.2006] // Консультант Плюс довідкова правова система. Версія 3000.02.12. - М: ЗАТ «Консультант Плюс», 1992-2012.

40 Бачіло І..Л., Сергієнко Л.А., Кришталевий Б.В., Арешев А.Г. Персональні дані у структурі інформаційних ресурсів. Основи правового регулирования. Мінськ. 2006. с.473.

49 Преображенський, Е. Інсайдер: варіант із заклеюванням USB-порту не допоможе / Управління персоналом. – 2009. – N 7 (209). – С. 8-15.

50 Хачатурян Ю. А. Право працівника на захист персональних даних // Сучасне право. - 2006

51 Бачіло І..Л., Сергієнко Л.А., Кришталевий Б.В., Арешев А.Г. Персональні дані у структурі інформаційних ресурсів. Основи правового регулирования. Мінськ. 2006. с.473.

52 Лушніков А.М. Захист персональних даних працівника: порівняльно-правовий коментар гл.14 Трудового кодексу РФ // Трудове право. 2009

53 Хачатурян Ю. А. Право працівника на захист персональних даних // Сучасне право. - 2006

54 Лушніков А.М. Захист персональних даних працівника: порівняльно-правовий коментар гл.14 Трудового кодексу РФ // Трудове право. 2009

55 Лушніков А.М. Захист персональних даних працівника: порівняльно-правовий коментар гл.14 Трудового кодексу РФ // Трудове право. 2009

56 Лушніков А.М. Захист персональних даних працівника: порівняльно-правовий коментар гл.14 Трудового кодексу РФ // Трудове право. 2009

57 Преображенський, Е. Інсайдер: варіант із заклеюванням USB-порту не допоможе / Управління персоналом. – 2009. – N 7 (209). – С. 8-15.

58 Преображенський, Е. Інсайдер: варіант із заклеюванням USB-порту не допоможе / Управління персоналом. – 2009. – N 7 (209).

59 Преображенський, Е. Інсайдер: варіант із заклеюванням USB-порту не допоможе / Управління персоналом. – 2009. – N 7 (209).

60 Бачіло І..Л., Сергієнко Л.А., Кришталевий Б.В., Арешев А.Г. Персональні дані у структурі інформаційних ресурсів. Основи правового регулирования. Мінськ. 2006. с.473.

61 Преображенський, Е. Інсайдер: варіант із заклеюванням USB-порту не допоможе / Управління персоналом. – 2009. – N 7 (209). – С. 8-15.

62 Борисова С. А. Загальні вимоги при обробці персональних даних працівника та гарантії їх захисту // Трудове право. – 2005. – N 11. – С. 30-36.

63 Лушніков А.М. Захист персональних даних працівника: порівняльно-правовий коментар гл.14 Трудового кодексу РФ // Трудове право. 2009

64 Кримінального кодексу Російської Федерації від 13.06.1996 № 63-Ф3 Електронний ресурс. [Прийнятий ДД ФС РФ 24.05.1996: текст у ред. від 27.07.2012] // Консультант Плюс Довідкова правова система. Версія 3000.02.12. - М: ЗАТ «Консультант Плюс», 1992-2006.

Вступ… 3

Глава I… 4

Персональні дані

Правове регулювання… 4

Поняття персональних даних відмежування їх від іншої інформації… 6

Робота кадрової служби з персональними даними… 7

Загальні вимоги при обробці персональних даних працівника та

гарантії їх захисту… 9

Передача персональних даних працівників… 14

Захист інформації під час роботи з ЕОМ… 15

Контроль захисту інформації… 20

Глава II… 26

Відповідальність за порушення правил роботи з персональними даними

Кримінальна відповідальність… 26

Адміністративна відповідальність… 28

Дисциплінарна відповідальність… 29

Висновок… 32

Список літератури… 33

додаток… 34

Особиста картка працівника… 34

Наказ про прийом працівника на роботу… 40

Наказ про переведення працівника на іншу роботу… 41

Наказ про припинення дії трудового договору… 42

Наказ про заохочення працівника… 43

Вступ

У XXI столітті у людства з'являється все більше нових об'єктів, які потребують захисту шляхом закріплення відповідних норм у законі. Основний об'єкт на сьогодні – це інформація. У наш час суспільство повністю залежить від одержуваних, оброблюваних і переданих даних. З цієї причини дані самі по собі набувають високої цінності. І тим більша ціна корисної інформації, Що вище її безпеку.

Зважаючи на вищесказане, законодавчими актами як у Росії, так і зарубіжних країн передбачають чималу кількість норм, спрямованих на регулювання створення, користування, передачі та захисту інформації у всіх її формах.

Особливу цінність має інформація, що несе в собі дані про особисте, індивідуальне або сімейне життя людини. Ст.2 Конституції Російської Федерації закріплює основний принцип сучасного демократичного суспільства: «Людина, її правничий та свободи є найвищою цінністю». Відповідно й інформація, що безпосередньо зачіпає приватні інтереси людини, повинні поважатися і захищатися державою.

У повсякденному житті людини збереження інформації про його життя залежить від нього самого. Але зовсім інша ситуація, коли ми повинні надати дані про себе відповідно до закону третій особі, а саме – роботодавцю. Працівник у цій ситуації передає конфіденційну інформацію себе на відповідальне зберігання. Далі за збереження даних відповідає роботодавець. Він повинен оберігати відомості про працівника від посягань третіх осіб та нести відповідальність за поширення зазначених даних.

Мета цієї роботи полягає у дослідженні трудових відносин у сфері захисту персональних даних працівника. Розглядається порядок роботи з конфіденційними відомостями про працівника, способи їх захисту, а також відповідальність роботодавця за невиконання зобов'язань щодо забезпечення безпеки персональних даних.

Глава I

Персональні дані

Правове регулювання

У світі до захисту конфіденційних відомостей висувають дедалі більші вимоги. Оскільки персональні дані працівників містять дані особистого характеру, до забезпечення гарантій щодо їх збереження та нерозголошення ставляться дуже серйозно. У зв'язку з цим нормативні акти, що регулюють забезпечення збереження персональних даних загалом та працівників зокрема передбачені не лише національним законодавством, а й міжнародними актами.

Стаття 12 Загальної декларації прав людини 1948 року говорить «Ніхто не може піддаватися довільному втручанню в його особисте та сімейне життя… Кожна людина має право на захист закону від такого втручання або таких посягань» . Право на повагу до особистого та сімейного життя міститься так само і в Конвенції про захист прав людини та основних свобод. Ці міжнародні правові акти заклали основу створення національних правових систем. Необхідно відзначити, що приймалися вони через кілька років після руйнівної Світової війни, в той час, коли права людини були дуже далекими від реальності. Проте право недоторканності приватного життя (у тому числі конфіденційних відомостей) було вписано в Декларацію як одну з основних.

Надалі, коли у світовому співтоваристві відбувалася серйозна боротьба за закріплення політичних прав людини, право недоторканності особистого життя було підтверджено Міжнародним пактом про громадянські та політичні права.

У 1995 році Співдружністю Незалежних Держав (до складу якої входить Росія) було прийнято Конвенцію про права та основні свободи людини, яка закріпила основні права на території Союзу СРСР, що розпався.

Що стосується Російської Федерації, то на сьогоднішній день збереження конфіденційних відомостей на її території забезпечується наступними нормативними актами.

По-перше, це Конституція РФ. У її положеннях визнається як право на недоторканність особистого життя, особисту та сімейну таємницю (ч.1 ст.23), а й що забезпечують це право додаткові гарантії. Відповідно до ст. 2 Конституції «людина, її правничий та свободи є найвищою цінністю. Визнання, дотримання та захист права і свободи людини і громадянина - обов'язок держави». Т.о. Російська Федерація як встановлює право, а й зобов'язується захищати його; ставить інтереси людини і громадянина на щабель вище, ніж інтереси держави, суспільства чи громадських чи комерційних організацій. Відповідно до ч.1 ст. 15 Конституція РФ документом прямої дії, тобто. її норми не вимагають додаткового визнання та виконуються «як є». ч.4 ст. 15 визнає Міжнародні договори (в т.ч. зазначені Конвенції) джерелом права та відводить їм чільну роль. ч.1 ст. 24 забороняє збирання, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди. І, нарешті, згідно зі ст. 46 кожному гарантується судовий захист його прав, зокрема у міждержавних органах.

Крім того, цю сферу регулює Федеральний Закон «Про інформацію, інформатизацію та захист інформації». Зокрема, ч.1 ст. 11 Закону визначає, що персональні дані є конфіденційною інформацією, а ч.3 цієї статті попереджає про настання відповідальності юридичних та фізичних осіб за порушення режиму захисту, обробки та порядку використання цієї інформації.

Персональні дані віднесені до категорії конфіденційних відомостей (відповідно до ФЗ «Про інформацію…») та відповідного Переліку, який дає їм таке визначення: «відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати його особу» .

Сфера відносин, що стосується персональних даних працівника регулюється гл.14 Трудового кодексу Російської Федерації. Де встановлено поняття персональних даних працівника, встановлено порядок роботи з ними та закріплюється відповідальність роботодавця за порушення відповідних норм.

Поняття персональних даних, їхнє відмежування від іншої інформації

У Трудовому кодексі вперше з'явилася спеціальна глава, присвячена захисту персональних даних працівника (ст. 85-90). Роботодавець завжди збирав дані про особу працівника. Для цієї мети використовувалися «Особистий листок» та різні анкети, а також письмові характеристики тощо. Проте офіційна правова регламентація обробки цих даних, доступна працівникові, була відсутня.

У ст. 85 ТК та наступних статтях цієї глави стосовно трудових відносин отримали конкретизацію конституційні положення про право кожного на недоторканність приватного життя, особисту та сімейну таємницю, захист своєї честі та доброго імені (ст. 23 Конституції РФ) .

У Трудовому кодексі під персональними даними працівника розуміється інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника (ч.1 ст.85 ТК РФ).

Легко помітити, що під це визначення можна підбити будь-яку інформацію про працівника. І роботодавці нерідко збирають всю інформацію про співробітника, мотивуючи це тим, що хочуть мати максимально повне уявлення про нього.

Досить часто від працівника вимагають повідомити вичерпну інформацію про його сімейний стан та найближчих родичів, про житлові умови, стан здоров'я, про факти притягнення до кримінальної відповідальності, про наявність постійної реєстрації за місцем проживання та багато іншого. Але така інформація ніяким чином не відноситься до трудової діяльності працівника. Навпаки, цим роботодавець переходить тонку грань, отделяющую персональні дані від відомостей, що становлять таємницю приватного життя, особисту чи сімейну таємницю громадянина.

Серед документів та матеріалів, що містять інформацію, необхідну роботодавцю у зв'язку з трудовими відносинами, основне місце посідають:

1) документи, що пред'являються під час укладання трудового договору (див. ст. 65 ТК);

2) документи про склад сім'ї працівника, необхідні для надання йому гарантій, пов'язаних із виконанням сімейних обов'язків;

3) документи про стан здоров'я працівника, якщо відповідно до законодавства він має пройти попередній та періодичні медичні огляди;

4) документи, що підтверджують право на додаткові гарантії та компенсації з певних підстав, передбачених законодавством (про інвалідність, донорство, перебування в зоні впливу радіації у зв'язку з аварією на Чорнобильській АЕС та ін.);

5) документ про вагітність робітниці та вік дітей для надання матері встановлених законом умов праці, гарантій та компенсацій.

Серед персональних даних працівника мають бути трудовий договір, наказ (розпорядження) про прийом на роботу, накази (розпорядження) про зміну умов трудового договору, його припинення, а також накази (розпорядження) про заохочення та дисциплінарні стягнення, застосовані до працівника. У період дії трудового договору серед персональних даних працівника має бути його трудова книжка.

Для того щоб встановити, в якому обсязі роботодавець має право отримувати від працівника інформацію про його персональні дані, необхідно звернути увагу на дуже важливе обмеження - це цільовий характер використання персональних даних. Обробка цього виду інформації може проводитись виключно з метою, зазначеною у пункті 1 статті 86 ТК РФ.

Робота кадрової служби з персональними даними

З огляду на специфіки своєї діяльності обробкою персональних даних, у організації займається відділ кадрів. Саме тут осідає весь обсяг відомостей про працівників. Ось чому процеси обробки, передачі та захисту конфіденційної інформації про працівників мають бути впорядковані насамперед у цій службі.

Правила ведення конфіденційного діловодства повинні застосовуватися насамперед щодо особових справ працівників, у яких містяться персональні дані. Комплектація особових справ є найбільш складною та відповідальною роботою, що вимагає особливої ретельності та акуратності при оформленні. Кожне підприємство має право самостійно вирішувати питання, які документи включати до складу особових справ.

Працівники відділу кадрів повинні пам'ятати, що особисті справи співробітників повинні зберігатися строго окремо від усіх інших документів у шафах або ящиках, що закриваються. Необхідно мати на увазі також та обставина, що документи, які включені до складу особових справ, мають різні терміни зберігання. Для деяких з них (наказів, особистих карток) встановлені тривалі терміни зберігання та обов'язкова вимога щодо їх передачі до державних архівів.

Відділу кадрів доцільно вести журнал обліку, до якого заноситимуться всі факти ознайомлення з персональними даними працівників, а також інформація про рух документів, включених до особових справ, та самих особових справ. У такому журналі повинні бути передбачені графи про дату видачі та повернення документів (особистих справ), термін користування, мету видачі, найменування документів, що видаються (особистих справ). У присутності особи, яка повертає особисту справу, обов'язково звіряється за описом наявність усіх документів. Особи, які отримують документи (особисті справи) у тимчасове користування, не мають права робити в них позначки, виправлення, вносити нові записи, витягувати документи з особової справи або поміщати до неї нові.

Принциповою вимогою правил роботи з персональними даними є встановлення особистої відповідальності співробітників за нерозголошення довіреної ним конфіденційної інформації, за збереження відомостей та їх носіїв. У зв'язку з цим особа, яка отримала право працювати з персональними даними, повинна прийняти на себе низку зобов'язань: не розголошувати довірені ним відомості, обов'язково виконувати правила роботи з персональними даними, забезпечувати надійне зберігання носіїв конфіденційної інформації.

Також слід негайно повідомляти уповноваженим особам про втрату ключів, печаток та штампів, давати усні та письмові пояснення за фактами порушення правил. До обмежень входять також заборони на здійснення певних дій, які можуть спричинити втрату носіїв інформації або розголошення конфіденційних відомостей, зокрема, на передачу персональних даних особам, які не мають до них доступу; на винесення документів з робочого приміщення без службової необхідності та ін. Перелік зазначених зобов'язань доцільно відобразити у Положенні чи посадовій інструкції спеціаліста.

Більше того, відповідно до частини 3 статті 57 Трудового кодексу умова про нерозголошення працівником відомостей, що становлять таємницю, що охороняється законом, стала відомою у зв'язку з виконанням своїх посадових обов'язків, може бути включена до трудового договору з таким фахівцем. І тут на роботодавці лежить обов'язок ознайомити працівника з локальними нормативними актами підприємства, містять правила обробки та захисту персональних даних. Саме така процедура доступу може бути використана щодо фахівців кадрових служб.

Система захисту конфіденційних відомостей має передбачати проведення регулярних перевірок наявності документів та інших носіїв інформації, які містять персональні дані працівників, а також дотримання правил роботи з ними.

Як показує досвід, застосування лише адміністративних заходів не гарантує повноцінну охорону конфіденційних відомостей. Надійність захисту залежить багато в чому від розміщення та внутрішньофірмового розвитку співробітників. Крім того, персонал - один із головних каналів витоку інформації. Діяльність кадрової служби має бути спрямована на виховання працівників, допущених до роботи з персональними даними, вироблення навичок роботи з носіями конфіденційної інформації, закриття побутових каналів витоку даних. Тут можуть бути корисними індивідуальна бесіда, попередження про відповідальність, роз'яснення юридичних наслідків розголошення інформації.

Загальні вимоги щодо обробки персональних даних працівника та гарантії їх захисту.

Конфіденційність, збереження та захист персональних даних у відділі кадрів забезпечується віднесенням їх до службової таємниці. Робота з персональними даними повинна бути організована у суворій відповідності до вимог щодо обробки та зберігання інформації обмеженого доступу. Режим конфіденційності персональних даних знімається у випадках знеособлення їх або після 75 років терміну зберігання, якщо інше не визначено законом.

Персональні дані містяться у документації відділу кадрів. Це:

¾ документи, пов'язані з підбором персоналу;

¾ документи, що супроводжують процес оформлення трудових правовідносин громадянина (при вирішенні питань про прийом на роботу, переведення, звільнення тощо);

¾ матеріали анкетування, тестування, проведення співбесід із кандидатами на посаду;

¾ трудові договори, угоди, що встановлюють взаємини сторін;

¾ оригінали та копії наказів за особовим складом;

¾ особисті справи та трудові книжки співробітників;

¾ довідково-інформаційний банк даних з персоналу - обліково-довідковий апарат (картотеки, журнали, бази даних та ін.);

¾ оригінали та копії звітних, аналітичних та довідкових матеріалів, що передаються керівництву підприємства, керівникам структурних підрозділів та служб;

¾ копії звітів, що направляються до державних органів статистики, податкові інспекції, вищі органи управління, муніципальні та інші установи.

При роботі з персональними даними співробітниками відділів кадрів повинні дотримуватися такі основні принципи щодо їх захисту:

· Особиста відповідальність керівництва підприємства та працівників відділу кадрів за збереження та конфіденційність відомостей про роботу відділу та персональних даних, а також про носіїв цієї інформації;

· Розбиття (дроблення) персональних даних між різними керівниками підприємства та працівниками відділу кадрів;

· Наявності чіткої дозвільної системи доступу керівництва підприємства та працівників відділу кадрів до документів, що містять персональні дані;

· проведення регулярних перевірок наявності традиційних та електронних документів, справ та баз даних у працівників відділу та кадрових документів у підрозділах підприємства.

Головним тут є чітка регламентація функцій працівників відділу кадрів з різних видів документів, справ, карток, журналів персонального обліку та баз даних. Сторонні особи не повинні знати розподіл цих функцій, робочі процеси, технологію складання, оформлення, ведення та зберігання документів, справ та робочих матеріалів у відділі кадрів. Під сторонніми особамирозуміються як зловмисники чи його спільники, а й співробітники підприємства, функціональні обов'язки яких пов'язані з роботою відділу кадрів. Слід також враховувати, що працівника відділу кадрів не повинен бути поінформований про порядок роботи інших співробітників відділу.

Для цього перший керівник підприємства повинен видати наказ про закріплення за працівниками відділу кадрів певних масивів документів, який буде необхідний для інформаційного забезпечення функцій, зазначених у посадових інструкціях. Повинна також бути схема доступу працівників відділу кадрів та керівного складу підприємства, структурних підрозділів до документів відділу, запроваджено особисту відповідальність зазначених посадових осіб та працівників за збереження та конфіденційність персональних даних.

Не допускається, щоб працівник відділу кадрів міг знайомитися з будь-якими документами та матеріалами відділу. Доцільно, щоб кожен із них був закріплений за певною групою персоналу підприємства та виконував увесь обсяг функцій від підбору кандидата на вакантну посаду до зберігання документації.

У разі потреби перерозподілу обов'язків серед працівників відділу (наприклад, при хворобі одного з них) видається відповідне розпорядження начальника відділу кадрів, в якому регламентується характер змін, їх термін та доповнення до документів, справ та баз даних.

Слід дотримуватися таких особливостей обробки та зберігання документів.

Накази з особового складу складаються, оформляються і зберігаються у відділі кадрів, а чи не у діловодній службі.

Операції з оформлення, формування, ведення та зберігання особових справ виконуються одним працівником відділу кадрів, який несе особисту відповідальність за збереження документів у справах та доступ до справ інших працівників.

Матеріали, пов'язані з анкетуванням, тестуванням, проведенням співбесід із кандидатами на посаду, поміщаються не в особисту справу співробітника, а у спеціальну справу з грифом «Строго конфіденційно». Пояснюється це тим, що подібні матеріали розкривають особисті та моральні якості співробітника і можуть при розголошенні відомостей, що містяться в них, стати корисними зловмиснику.

Матеріали тестування працюючих співробітників, їх атестації формуються в окрему справу також із грифом суворої конфіденційності. У разі вилучення з особової справи документа в описі справи провадиться запис із зазначенням підстави для його вилучення та нового місцезнаходження. З документа, що підлягає вилученню, знімається копія, яка підшивається місце вилученого документа. Відмітка в описі та копія засвідчуються начальником та працівником відділу кадрів. Заміна документів в особистій справі будь-ким заборонена. Нові виправлені документи містяться з раніше підшитими.

Наказом першого керівника підприємства має бути встановлено порядок видачі та ознайомлення керівного складу з особовими справами працівників. Особисті справи можуть видаватися лише на робочі місця першого керівника підприємства, його заступника з кадрів та начальника відділу (управління) кадрів. Справи видаються (у тому числі начальнику відділу кадрів або за наявності письмового дозволу – працівнику відділу) під розпис у контрольній картці. При поверненні справи ретельно перевіряється збереження документів, відсутність пошкоджень та включень у справу інших документів або їх заміни. Перегляд справи провадиться у присутності керівника. Передача особових справ керівникам через їхніх секретарів чи референтів не допускається.

Інші керівники підприємства можуть знайомитися з особовими справами (або за відсутності особових справ – картками форми Т-2 (Додаток 1)) лише безпосередньо підлеглих їм працівників; до довідково-інформаційного банку даних та іншої документації відділу кадрів вони не допускаються. Ознайомлення зі справами здійснюється у приміщенні відділу кадрів під наглядом працівника, відповідального за безпеку та ведення особових справ. Факт ознайомлення фіксується контрольною карткою особистої справи. Працівник підприємства має право ознайомитися тільки зі своєю особистою справою та трудовою книжкою, обліковими картками, що відображають його персональні дані. Факт ознайомлення з особистою справою також фіксується у контрольній картці.

Не менш суворого контролю потребує робота з довідково-інформаційним банком даних із персоналу підприємства (картками, журналами та книгами персонального обліку працівників).

Звітна та довідкова робота відділу формує канали несанкціонованого отримання та незаконного використання персональних даних. У зв'язку з Тім першим керівником встановлюється: хто, коли, які відомості та з якою метою може вимагати у відділі кадрів. І, що особливо важливо – визначається порядок подальшого зберігання відомостей, робота з якими закінчена: де ці відомості будуть, хто несе відповідальність за їх збереження та конфіденційність.

На документах, які виходять за межі відділу кадрів, може ставитися гриф конфіденційно або для службового користування. У відділі кадрів обов'язково залишаються копії всіх звітних та довідкових документів. Доцільно, щоб оригінали цих документів після проходження в них потреби поверталися до відділу кадрів для включення в справу замість копії, що зберігається там.

У структурних підрозділах підприємства можуть бути такі документи, що містять персональні дані:

· Журнал табельного обліку із зазначенням посад, прізвищ та ініціалів співробітників (перебуває у працівника, який веде табельний облік, - табельника),

· штатний розпис (штатний формуляр) підрозділу, в якому може додатково вказуватися, хто із співробітників обіймає ту чи іншу посаду, вакантні посади (перебуває у керівника підрозділу),

· Справа з виписками з наказів за особовим складом, що стосуються персоналу підрозділу (перебуває у табельника).

Керівник підрозділу може мати список співробітників із зазначенням основних біографічних даних кожного з них (рік народження, освіта, місце проживання, домашній телефонта ін.). Усі перелічені документи слід зберігати у відповідних справах, які включені до номенклатури справ і мають обмеження доступу до грифа. Не рідше одного разу на рік працівники відділу кадрів перевіряють наявність цих справ у підрозділах, їхню комплектність, правильність ведення та знищення.

У відділі кадрів справи, картотеки, облікові журнали та книги обліку зберігаються в робочий і неробочий час у металевих шафах, що замикаються і опечатуються. Працівникам не дозволяється за будь-якого за тривалістю виходу з приміщення залишати будь-які документи на робочому столі або залишати шафи незачиненими. У кожного працівника має бути своя шафа для зберігання закріплених за ним справ та картотек. Трудові книжки зберігаються у сейфі. Залишати на робочому столі у неробочий час документи, картотеки, службові записи та інші матеріали категорично забороняється.

Крім операцій із документами працівники відділу кадрів значну частину часу витрачають приймання відвідувачів. Цей вид роботи також може бути суворо регламентований, т.к. відвідувачі можуть становити певну загрозу інформаційній безпеці відділу кадрів та фізичній безпеці працівників відділу. Приймальний годинник повинен бути різним для співробітників підприємства та осіб, які не входять до цієї категорії. У години прийому відвідувачів працівники відділу не повинні виконувати функції, не пов'язані з прийомом, вести службові та особисті телефонні переговори.

На столі працівника, який веде прийом, не повинно бути жодних документів, крім тих, що стосуються цього відвідувача. Відповіді на запитання даються лише особисто тій особі, якої вони стосуються. Не допускається відповідати на запитання, пов'язані з передачею персональної інформації, телефоном або факсом. Відповіді на правомірні письмові запити інших установ та організацій даються у письмовій формі та в тому обсязі, що дозволяє не розголошувати зайвий обсяг персональних відомостей.

Підбір персоналу для роботи у відділі кадрів ведеться з урахуванням вимог, які розроблені для посад, пов'язаних із володінням та опрацюванням конфіденційних відомостей та документів. Тут: аналіз особистісних та моральних якостей претендентів на посаду; підписання зобов'язання про нерозголошення відомостей, що захищаються; оформлення наказом першого керівника підприємства допуску до конфіденційної інформації; навчання правил захисту конфіденційної інформації та регулярне інструктування з окремих питань захисту; контроль за дотриманням діючих інструкцій щодо роботи з конфіденційними документами.

Іншими словами, порядок функціонування відділу кадрів має бути підпорядкований вирішенню завдань забезпечення безпеки персональних відомостей, їх захисту від різноманітних зловмисників.

Передача персональних даних працівників

Інформація, що стосується персональних даних працівника, може бути надана державним органаму порядку, встановленому федеральним законом.

Роботодавець немає права надавати персональні дані працівника третій стороні без письмової згоди працівника, крім випадків, коли це необхідно з метою попередження загрози життю та здоров'ю працівника, а також у випадках, встановлених федеральним законом.

Якщо особа, що звернулася із запитом, не уповноважена федеральним законом отримання персональних даних працівника чи відсутня письмову згоду працівника на надання його персональних відомостей, роботодавець зобов'язаний відмовити у наданні персональних даних. Особі, яка звернулася із запитом, видається письмове повідомлення про відмову у наданні персональних даних.

Персональні дані працівника можуть бути передані представникам працівників у порядку, встановленому Трудовим кодексом, у тому обсязі, в якому це необхідно для виконання зазначеними представниками їх функцій.

Роботодавець забезпечує ведення журналу обліку виданих персональних даних працівників, у якому реєструються запити, фіксуються відомості про особу, яка направила запит, дату передачі персональних даних або дату повідомлення про відмову у наданні персональних даних, а також наголошується, яка саме інформація була передана.

У разі якщо особа, яка звернулася із запитом, не уповноважена федеральним законом або цим Положенням на отримання інформації, що відноситься до персональних даних працівника, роботодавець зобов'язаний відмовити особі у видачі інформації. Особі, яка звернулася із запитом, видається повідомлення про відмову у видачі інформації, копія повідомлення підшивається в особисту справу працівника.

Захист інформації під час роботи з ЕОМ

Витік конфіденційної інформації від персональних ЕОМ може відбуватися такими каналами:

· Організаційному каналу через персонал, зловмисника, його спільника, силовим кримінальним шляхом,

· Побічних електромагнітних випромінювань від ЕОМ та ліній зв'язку,

· Наведення зловмисником небезпечного сигналу на лінії зв'язку, ланцюга заземлення та електроживлення,

· Акустичних сигналів,

· через вмонтовані радіозакладки, знімання інформації з погано стертих дискет, стрічки принтера.

Основним джерелом високочастотного електромагнітного випромінювання є екран. Картинку дисплея можна вловити і відтворити на екрані іншого дисплея з відривом 200 - 300 м. Друкувальні пристрої всіх видів випромінюють інформацію через проводи. Проте основним винуватцем втрати електронної інформації є людина.

Захист даних повинен забезпечуватися на всіх технологічних етапах обробки інформації та у всіх режимах функціонування, у тому числі під час проведення ремонтних та регламентних робіт. Програмно-технічні засоби захисту повинні істотно погіршувати основні функціональні характеристики ЕОМ (надійність, швидкодія).

Організація системи захисту інформації включає:

· Захист кордонів території, що охороняється,

· Захист ліній зв'язку між ЕОМ в одному приміщенні,

· Захист ліній зв'язку в різних приміщеннях, захист ліній зв'язку, що виходять за межі зони, що охороняється (території).

Захист інформації включає низку певних груп заходів:

· Заходи організаційно-правового характеру: режим та охорона приміщень, ефективне діловодство за електронними документами – позамашинний захист інформації, підбір персоналу,

· Заходи інженерно-технічного характеру: місце розташування ЕОМ, екранування приміщень, ліній зв'язку, створення перешкод та ін,

· Заходи, що вирішуються шляхом програмування: регламентація права на доступ, захист від вірусів, стирання інформації при несанкціонованому доступі, кодування інформації, що вводиться в ЕОМ,

· Заходи апаратного захисту: відключення ЕОМ при помилкових діях користувача або спробі несанкціонованого доступу.

Приміщення, де відбувається обробка інформації на ЕОМ, повинні мати апаратуру протидії технічним засобам промислового шпигунства. Мати сейфи для зберігання носіїв інформації, мати безперебійне електроживлення та кондиціонери, обладнані засобами технічного захисту.

Комплекс програмно-технічних засобів та організаційних (процедурних) рішень щодо захисту інформації від несанкціонованого доступу складається з чотирьох елементів:

· Управління доступом;

· Реєстрації та обліку;

· Криптографічної;

· Забезпечення цілісності.

Правильна організація доступу – управління доступом до конфіденційної інформації є найважливішою складовою системи захисту електронної інформації. Реалізація системи доступу як до традиційних, так і електронних документів ґрунтується на аналізі їх змісту, який є головним критерієм однозначного визначення: хто з керівників, кому з виконавців (співробітників), як, коли та з якими категоріями документів дозволяє знайомитися чи працювати. Будь-яке звернення до конфіденційного документа, ознайомлення з ним у будь-якій формі (у тому числі випадкове, несанкціоноване) обов'язково фіксується в обліковій картці документа та на самому документі у вигляді відповідної позначки та підпису осіб, які зверталися до документа. Цей факт вказується також у картці обліку обізнаності співробітника у таємниці фірми.

Організовуючи доступ співробітників фірми до конфіденційних масивів електронних документів та баз даних, необхідно пам'ятати про його багатоступінчастий характер. Можна виділити такі основні складові доступу цього виду:

· доступ до персонального комп'ютера, сервера або робочої станції;

· Доступ до машинних носія інформації, що зберігаються поза ЕОМ;

· Безпосередній доступ до баз даних та файлів.

Доступ до персонального комп'ютера, сервера або робочої станції, які використовуються для обробки конфіденційної інформації, передбачає:

· Визначення та регламентацію першим керівником фірми складу співробітників, які мають право доступу (входу) до приміщення, в якому знаходиться відповідна обчислювальна техніка, засоби зв'язку;

· Регламентацію першим керівником тимчасового режиму знаходження цих осіб у зазначених приміщеннях; персональне та тимчасове протоколювання (фіксування) керівником підрозділу чи напрямки діяльності фірми наявності дозволу та періоду роботи цих осіб в інший час (наприклад, у вечірні години, вихідні дні та ін.);

· Організацію охорони цих приміщень у робочий та неробочий час, визначення правил розкриття приміщень та відключення охоронних технічних засобів інформування та сигналізування; визначення правил встановлення приміщень на охорону; регламентацію роботи зазначених технічних засобів у робочий час;

· Організацію контрольованого (в необхідних випадках пропускного) режиму входу в зазначені приміщення та виходу з них;

· Організацію дій охорони та персоналу в екстремальних ситуаціях або при аваріях техніки та обладнання приміщень;

· Організацію винесення із зазначених приміщень матеріальних цінностей, машинних та паперових носіїв інформації; контроль внесених у приміщення і особистих речей, що виносяться персоналом.

Безпека інформації в ЕОМ та локальній мережі потребує ефективного взаємозв'язку машинного та позамашинного захисту конфіденційних відомостей. У зв'язку з цим важливе актуальне значення має захист технічних носіїв конфіденційної інформації (машиночитаних документів) на позамашинних стадіях їх обліку, обробки та зберігання. Саме цих стадіях особливо велика ймовірність втрати машиночитаемого документа. Подібна проблема несуттєва для носіїв, які містять відкриту інформацію. В основі забезпечення збереження носіїв електронних конфіденційних документів, що знаходяться поза машиною, в даний час ефективно використовуються принципи, що зарекомендували себе, і методи забезпечення безпеки документів у традиційній технологічній системі.

Перед початком обробки інформації на ЕОМ співробітник зобов'язаний переконатися у відсутності у приміщенні сторонніх осіб. При підході такої особи до співробітника екран дисплея має бути негайно погашено.

Наприкінці робочого дня виконавці зобов'язані перенести всю конфіденційну інформацію з комп'ютера на гнучкі носії інформації, стерти інформацію з жорстких дисків, Перевірити наявність всіх конфіденційних документів (на паперових, магнітних та інших носіях), переконатися в їх комплектності і здати в службу КД. Залишати конфіденційні документи на робочому місці не дозволяється. Не допускається зберігання на робочому місці виконавця копій конфіденційних документів.

Особам, які мають доступ до роботи на ЕОМ, забороняється:

· Розголошувати відомості про характер автоматизованої обробки конфіденційної інформації та зміст використовуваної для цього документації,

· знайомитись із зображеннями дисплея поряд працюючих співробітників або користуватися їх магнітними носіямибез дозволу керівника підрозділу,

· розголошувати відомості про особисті паролі, що використовуються під час ідентифікації та захисту масивів інформації,

· залишати магнітні носії конфіденційної інформації без контролю, приймати або передавати їх без розпису в обліковій формі, залишати ЕОМ із завантаженою пам'яттю безконтрольно,

· користуватися неврахованими магнітними носіями, створювати невраховані копії документів.

Після виготовлення паперового варіанта документа його електронна копія стирається, якщо вона не додається до документа або не зберігається з метою довідки. Відмітки про знищення електронної копії вносяться в облікові картки документа та носія та засвідчуються двома розписами.

Зберігання магнітних носіїв та електронних документів повинно здійснюватися в умовах, що виключають можливість їх розкрадання, приведення в непридатність або знищення інформації, що міститься в них, а також відповідно до технічних умов заводу-виробника. Носії зберігаються у вертикальному положенні у спеціальних осередках металевої шафи або сейфа. Номери на осередках мають відповідати обліковим номерам носіїв. Неприпустима дія на носії теплового, ультрафіолетового та магнітного випромінювань.

Магнітні носії, що містять конфіденційну інформацію, що втратила своє практичне значення, знищуються актом з наступною відміткою в облікових формах.

З метою контролю та підтримки режиму при обробці інформації на ЕОМ необхідно:

· періодично проводити перевірки наявності електронних документів та складу баз даних,

· перевіряти порядок ведення обліку, зберігання та поводження з магнітними носіями та електронними документами,

· систематично проводити виховну роботу з персоналом, який здійснює обробку конфіденційної інформації на ЕОМ,

· реально підтримувати персональну відповідальність керівників та співробітників за дотримання вимог роботи з конфіденційною інформацією на ЕОМ,

· Здійснювати дії з максимального обмеження кола співробітників, що допускаються до оброблюваної на ЕОМ конфіденційної інформації та права входу в приміщення, в яких розташовуються комп'ютери, для обробки цієї інформації.

Контроль захисту інформації

Порозуміння між керівництвом фірми та працівниками не означає повної свободи в організації робочих процесів та бажання виконувати або не виконувати вимоги щодо захисту конфіденційної інформації. З цією метою керівникам усіх рангів та службі безпеки слід організувати регулярне спостереження за роботою персоналу щодо дотримання ними вимог щодо захисту інформації.

Основними формами контролю можуть бути:

· Атестація працівників;

· Звіти керівників підрозділів про роботу підрозділів та стан системи захисту інформації;

· регулярні перевірки керівництвом фірми та службою безпеки дотримання працівниками вимог щодо захисту інформації;

· Самоконтроль.

Атестація працівників є однією з найбільш дієвих форм контролю їх діяльності як у професійній сфері (виконавчість, відповідальність, якість та ефективність виконуваної роботи, професійний кругозір, організаторські здібності, відданість справі організації тощо), так і у сфері дотримання інформаційної безпеки фірми .

У частині дотримання вимог щодо захисту інформації перевіряється знання працівником відповідних нормативних та інструктивних документів, уміння застосовувати вимоги цих документів у практичній діяльності, відсутність порушень у роботі з конфіденційними документами, уміння спілкуватися із сторонніми особами, не розкриваючи секретів фірми тощо.

За результатами атестації видається наказ (розпорядження), в якому відображаються рішення атестаційної комісії про заохочення, переатестацію, підвищення на посаді або звільнення працівників. Атестаційна комісія може також виносити ухвалу про усунення співробітника від роботи з інформацією та документами, що становлять секрети фірми.

Іншою формою контролю є заслуховування керівників структурних підрозділів та керівника служби безпеки на нараді у першого керівника фірми про стан системи захисту інформації та виконання її вимог працівниками підрозділів. Одночасно на нараді приймаються рішення щодо фактів порушення працівниками встановлених правил захисту секретів фірми.

Формою контролю є також регулярні перевірки виконання працівниками (у тому числі добре працюючими) правил роботи з конфіденційною інформацією, документами та базами даних.

Перевірки проводяться керівниками структурних підрозділів та напрямів, заступниками першого керівника та працівниками служби безпеки.

Перевірки можуть бути плановими та позаплановими (раптовими). Раптові перевірки проводяться у разі найменшої підозри про розголошення чи витік інформації.

Самоконтроль полягає у перевірці самими керівниками та виконавцями повноти та правильності виконання ними діючих інструктивних положень, а також у негайному інформуванні служби безпеки та безпосереднього керівника про факти втрати документів, втрату з якоїсь причини цінної інформації, розголошення особисто або іншими співробітниками відомостей, що становлять секрети фірми, порушення працівниками порядку захисту.

Працюючи з персоналом фірми слід зосереджувати увагу як співробітників, які працюють із конфіденційною інформацією. Під контролем повинні бути також особи, які мають доступу до секретів фірми. Слід враховувати, що ці працівники можуть бути посередниками у діях зловмисника: у проведенні електронного шпигунства, створення умов для розкрадання документів, зняття з них копій тощо.

Крім того, слід пам'ятати, що працівники, які володіють конфіденційною інформацією, змушені діяти в рамках вимог, регламентованих інструкцією щодо забезпечення режиму конфіденційності. Обмеження свободи людини у використанні інформації може призводити до стресів, нервових зривів. Збереження чогось у таємниці суперечить потребам людини у спілкуванні шляхом обміну інформацією. У зв'язку з цим особливо важливо, щоб психологічний настрій колективу та окремих працівників завжди знаходився у центрі уваги керівництва фірми та служби безпеки.

У разі встановлення фактів невиконання будь-яким із керівників чи працівників вимог щодо захисту інформації до них в обов'язковому порядку повинні застосовуватися заходи осуду та покарання відповідно до правил внутрішнього трудового розпорядку. Важливо, щоб покарання було невідворотним та своєчасним, незважаючи на посадовий рівень працівника та його взаємини з керівництвом фірми.

Поруч із винним обличчям відповідальність за розголошення відомостей, складових секрети фірми, несуть керівники фірми та її структурних підрозділів, напрямів діяльності, філій, т.к. вони повністю відповідають за розробку та реалізацію заходів, що забезпечують інформаційну безпеку всіх видів діяльності фірми.

p align="justify"> Інформаційна база для контролю роботи персоналу, що володіє конфіденційною інформацією, формується на основі аналізу ступеня поінформованості працівників у секретах фірми. Ця робота входить до складу комплексного аналітичного дослідження з пошуку та виявлення каналів втрати персоналом конфіденційної інформації.

Об'єктами комплексного аналітичного дослідження є: виявлення, класифікація та постійне вивчення джерел та об'єктивних каналів поширення конфіденційної інформації, а також виявлення та аналіз ступеня небезпеки джерел загрози інформації. Важливим є превентивний контроль безпеки цінної інформації.

Одночасно підлягають спеціальному (екстремальному) обліку всі помічені несанкціоновані чи помилкові дії персоналу з документами та інформацією, порушення системи доступу до інформації та правил роботи з конфіденційними документами та базами електронних даних. Такі факти підлягають оперативному, ретельному порівняльному аналізу, а результати аналізу повинні доповідатися безпосередньо першому керівнику фірми.

· Аналіз реального складу відомої персоналу конфіденційної інформації та динаміки її розподілу за структурними підрозділами фірми;

· Аналіз ступеня володіння конфіденційною інформацією керівництвом фірми, керівниками структурних підрозділів, напрямів діяльності та кожним працівником, тобто. облік рівня та динаміки їх реальної поінформованості у секретах фірми;

· Аналіз виявлених потенційних та реальних джерел загрози персоналу в цілому та кожному окремому працівнику з метою оволодіти цінною інформацією фірми (конкурентів, суперників, кримінальних структур та окремих злочинних елементів);

· Аналіз ефективності захисних заходів, вжитих по відношенню до персоналу, їхньої дієвості у звичайних умовах та при активних діях зловмисника.

Своєчасний облік складу конфіденційної інформації, відомої кожному з працівників фірми, є інформативною частиною аналітичної роботи загалом. Враховуються будь-які контакти будь-якого працівника фірми з конфіденційними відомостями як санкціоновані, так і випадкові (помилкові). Підлягає також обліку виявлене несанкціоноване ознайомлення з інформацією, до якої працівник не мав дозволу на доступ, у тому числі несанкціоноване ознайомлення з інформацією працівника, який взагалі не має допуску для роботи з конфіденційною інформацією.

Для обліку та подальшого аналізу ступеня обізнаності працівників у секретах фірми ведеться спеціальна облікова форма.

Традиційна (карткова) або електронна облікова форма повинна містити низку предметних зон, що дозволяють зіставляти функціональні обов'язки співробітника та склад конфіденційної інформації, отриманої співробітником, та який повинен відповідати виконуваним видам роботи. Доцільно включити до облікової форми такі зони:

· Зона штатних функціональних обов'язків працівника, при реалізації яких використовується конфіденційна інформація (за затвердженою посадовою інструкцією);

· Зона змін та доповнень, внесених до функціональних обов'язків працівника, із зазначенням документа-підстави, його дати та прізвища керівника, який підписав документ;

· Зона стандартного складу конфіденційних відомостей або їх індексів, за переліком конфіденційної інформації фірми, до яких допущено працівника відповідно до посадової інструкції (із зазначенням найменування документа про допуск, його дати, номера та прізвища керівника, який підписав документ);

· Зона змін та доповнень у складі конфіденційних відомостей, до яких допускається працівник у зв'язку з переглядом його посадових обов'язків (із зазначенням найменувань та дат документів про допуск, прізвищ керівників, які підписали документи);

· Зона документованої інформації (документів), з якою знайомиться або працює співробітник, із зазначенням найменувань документів, їх дат і номерів, короткого змісту, цільового використання конфіденційних відомостей, що містяться в документах, або їх індексів за переліком, прізвищ керівників, які дозволили роботу з документами;

· Зона недокументованої конфіденційної інформації, яка стала відома працівнику, із зазначенням дати та мети ознайомлення, прізвища керівника, який дозволив ознайомлення, складу конфіденційних відомостей або їх індексів за переліком;

· Зона виявленого несанкціонованого ознайомлення працівника з конфіденційною інформацією із зазначенням дати ознайомлення, умов або причин ознайомлення, прізвища винного працівника, місця ознайомлення, складу конфіденційних відомостей або їх індексів за переліком.

Аналіз здійснюється порівнянням змісту записів у зонах та індексів відомої співробітнику конфіденційної інформації, тобто. ведеться пошук невідповідності.

За фактами розголошення чи витоку конфіденційної інформації, втрати документів та виробів, інших грубих порушень правил захисту інформації організується службове розслідування.

Службове розслідування проводить спеціальна комісія, яка формується наказом першого керівника фірми. Розслідування призначене для з'ясування причин, всіх обставин та їх наслідків, пов'язаних із конкретним фактом, встановлення кола винних осіб, розміру заподіяної фірмі шкоди. За результатами розслідування надаються рекомендації щодо усунення причин того, що сталося.

План проведення службового розслідування:

· Визначення можливих версій того, що трапилося (втрата, розкрадання, знищення по необережності, навмисна передача відомостей, необережне розголошення і т.д.);

· Визначення (планування) конкретних заходів щодо перевірки версій (огляд приміщень, полистова перевірка документації, опитування співробітників, взяття письмового пояснення у підозрюваної особи тощо);

· Призначення відповідальних осіб за проведення кожного заходу;

· Вказівку термінів проведення кожного заходу;

· Визначення порядку документування;

· Узагальнення та аналіз виконаних дій по всіх заходах;

· Встановлення причин втрати інформації, винних осіб, виду та обсягу шкоди;

· Передача матеріалів службового розслідування із заключними висновками першому керівнику фірми для прийняття рішення.

Під час проведення службового розслідування всі заходи обов'язково документуються з метою подальшого комплексного аналізу виявленого факту. Зазвичай аналізуються такі види документів:

· Письмові пояснення опитуваних осіб, складені у довільній формі;

· акти перевірки документації та приміщень, де зазначаються прізвища тих, хто проводив перевірку, їх посади, обсяг та види проведеного огляду, результати, зазначаються підписи цих осіб та Дата;

· Інші документи, що стосуються розслідування (довідки, заяви, плани, анонімні листи тощо).

Службове розслідування проводиться у найкоротші терміни. За результатами аналізу складається висновок про результати проведеного службового розслідування, в якому докладно описується проведена робота, зазначаються причини та умови того, що сталося, та повний аналіз того, що сталося.

Глава II

Відповідальність порушення правил роботи з персональними даними.

Стаття 90 ТК РФ передбачає відповідальність порушення норм, регулюючих отримання, обробку і захист персональних даних працівника. Порушник може нести дисциплінарну, адміністративну, цивільно-правову та кримінальну відповідальність.

Кримінальна відповідальність

Найсуворіша, звісно, кримінальна. Стаття 137 КК РФ передбачає покарання за незаконне збирання чи поширення відомостей про приватне життя особи, що становлять її особисту та сімейну таємницю. Кримінальна відповідальність загрожує у тому випадку, якщо ці дії вчинені навмисно, з корисливої чи іншої особистої зацікавленості та спричинили порушення законних прав і свобод громадян. Причому покарання посилюється, якщо винний використовував своє службове становище.

Особисту або сімейну таємницю становлять відомості, що не підлягають, на думку особи, якої вони стосуються, оголошення. Особисту та сімейну таємницю не можуть становити відомості, які були раніше опубліковані або оголошені в інший спосіб.

Порушення недоторканності приватного життя (ст. 137 КК) може виражатися у:

а) незаконне збирання відомостей про приватне життя;

б) незаконне їх поширення;

в) незаконному їх поширенні у публічному виступі, що публічно демонструється творі або засобах масової інформації.

Закон не пов'язує відповідальність за незаконне розповсюдження відомостей про приватне життя особи з конкретним способом розповсюдження. Під поширенням мають на увазі будь-яка незаконна передача зазначених відомостей третім особам. Незаконним поширенням є розголошення особистої чи сімейної таємниці особою, яка зобов'язана її зберігати в силу своєї професії. У деяких випадках розголошення відомостей про приватне життя по КК утворює одночасно склад іншого злочину, наприклад, розголошення таємниці усиновлення (ст. 155). У таких випадках скоєне кваліфікується за сукупністю зі ст. 137 КК.

Обов'язковим елементом об'єктивної сторони злочину передбаченого ст. 137 КК, є заподіяння шкоди правам і законним інтересам громадян. Характер шкоди закон не обмежує. Він може бути:

а) матеріальним (майновим), наприклад втрата добре оплачуваної роботи, зрив вигідної угоди, інші збитки у підприємницької діяльності;

б) фізичним (тілесним), наприклад, захворювання від пережитого;

в) моральним, наприклад, розпад сім'ї, підрив репутації.

Встановлення наявності шкоди правам і законним інтересам потерпілого виробляється у кожному даному випадку з урахуванням індивідуальних особливостей особистості та ситуації.

Порушення недоторканності приватного життя вважається закінченим злочином лише з моменту заподіяння відповідної шкоди (матеріальний склад).

Суб'єктивна сторона цього злочину характеризується прямим наміром. Обов'язковим елементом суб'єктивної боку є мотив: корислива чи інша особиста зацікавленість. Корислива зацікавленість виявляється у прагненні набути матеріальну (майнову) вигоду за рахунок потерпілого або у вигляді винагороди від третьої сторони. Інша особиста зацікавленість може полягати у прагненні дискредитувати конкурента, зробити кар'єру, помститися за щось, продемонструвати свою перевагу чи привернути увагу себе.

Відповідальність за ч. 1 ст. 137 КК несе будь-яку фізичну осудну особу, яка досягла 16 років (загальний суб'єкт), а за ч. 2 ст. 137 КК - посадова особа чи службовець державного чи муніципального установи, використовує скоєння злочину своє службове становище (спеціальний суб'єкт).

А якщо кадровик чи керівник допустили ситуацію, коли інформація про працівника стала відомою іншим, ненавмисно? Чи навіть існує поки що лише загроза «відпливу» такої інформації? Тоді в хід можуть піти заходи адміністративної та дисциплінарної відповідальності, які застосовуються до посадових осіб підприємства. Зупинимося на них докладніше.

Адміністративна відповідальність

Адміністративні штрафи. Порушення правил роботи з персональними даними може спричинити адміністративну відповідальність роботодавця чи його представників. Кодекс РФ про адміністративні правопорушення містить із цього приводу дві статті.

Стаття 13.11 передбачає відповідальність у вигляді запобігання чи накладення штрафу на роботодавця у розмірі від 5 до 10 МРОТ за порушення встановленого порядку збору, зберігання, використання або розповсюдження інформації про громадян (персональних даних). Цей порядок встановлено главою 14 Трудового кодексу РФ та локальними нормативними актами підприємства.

Об'єктивна сторона цього правопорушення полягає у дії чи бездіяльності, що порушує встановлений законом порядок збирання, зберігання, використання чи розповсюдження інформації про громадян (персональні дані). Вина у вчиненні даного правопорушення може бути як навмисною, так і необережною.

З огляду на те, що персональні дані - один з видів таємниці, що охороняється законом, захист її конфіденційності передбачена також статтею 13.14 КоАП РФ. Якщо особа, яка отримала доступ до такої інформації у зв'язку з виконанням службових або професійних обов'язків, розголосила відомості, що становлять персональні дані, то адміністративний штраф для нього становитиме від 40 до 50 МРОТ.

Об'єктом правопорушення, передбаченого цією статтею є порядок отримання інформації з обмеженим доступом.

Об'єктивна сторона даного правопорушення полягає у дії, що є розголошення інформації, доступ до якої обмежений федеральним законом (за винятком випадків, якщо розголошення такої інформації тягне за собою кримінальну відповідальність), особою, яка отримала доступ до такої інформації у зв'язку з виконанням службових або професійних обов'язків.

Віднесення інформації до конфіденційної здійснюється у порядку, встановленому галузевим законодавством Російської Федерації (цивільним, адміністративним тощо).

Вина у вчиненні даного правопорушення може бути як навмисною, так і необережною.

До адміністративної відповідальності роботодавця або його представників може притягнути Рострудінспекція або суд.

Дисциплінарна відповідальність

Дисциплінарна відповідальність кадровика. Щодо співробітника-кадровика роботодавець вправі застосувати одне з дисциплінарних стягнень, передбачених статтею 192 Трудового кодексу РФ: зауваження, догана, звільнення. Більше того, кодекс передбачає спеціальну підставу для розірвання трудового договору з ініціативи роботодавця у разі розголошення таємниці, що охороняється законом, стала відомою працівникові у зв'язку з виконанням ним трудових обов'язків (п.п. «в» п.6 ст.81).

Дисциплінарна відповідальність працівників є самостійним видом юридичної ответственности. До дисциплінарної відповідальності можуть притягуватися працівники, які вчинили дисциплінарну провину.

Як і будь-яке інше правопорушення, дисциплінарна провина має сукупність ознак: суб'єкт, суб'єктивна сторона, об'єкт, об'єктивна сторона.

Суб'єктом дисциплінарної провини може бути громадянин, який перебуває у трудових правовідносинах з конкретною організацією та порушує трудову дисципліну.

Суб'єктивною стороною дисциплінарної провини виступає вина з боку працівника. Вона може бути у формі наміру або з необережності.

Об'єкт дисциплінарної провини - внутрішній трудовий розпорядок конкретної організації. Об'єктивною стороною тут виступають шкідливі наслідки та прямий зв'язок між ними та дією (бездіяльністю) правопорушника.

Відповідно до укладеного трудового договору роботодавець має право вимагати від працівника виконання трудових обов'язків. Відповідно до ст. 192 Кодексу роботодавець має право, але не зобов'язаний притягати до дисциплінарної відповідальності працівника, який вчинив дисциплінарну провину. Однак слід знати, що цим Кодексом, іншими федеральними законами, статутами та положенням про дисципліну можуть бути визначені інші правила при скоєнні дисциплінарного проступку.

Розголошення може бути здійснене серед колег, знайомих, родичів та інших осіб, які не мають законного доступу до них. Крім розголошення основними видами порушень правил роботи з персональними даними є незаконне отримання або використання відомостей, що становлять персональні дані, та втрата матеріальних носіїв, що містять цю інформацію. Слід наголосити, що звільнення працівника може бути здійснено тільки за розголошення персональних даних. В інших випадках роботодавець має право накласти на винну особу інше дисциплінарне стягнення.

До дисциплінарної відповідальності можуть бути притягнуті лише ті працівники кадрової служби, які взяли на себе зобов'язання дотримуватись правил роботи з персональними даними. Тобто умова про нерозголошення відомостей, що становлять персональні дані, була включена до їх трудового договору, вони були ознайомлені з локальними нормативними актами щодо захисту цієї конфіденційної інформації, а роботодавець створив для роботи всі необхідні умови. Якщо така підготовча робота не була проведена, то фахівець, кому довірена робота з персональними даними, не нестиме відповідальності.

Факт порушення правил роботи з персональними даними може бути встановлений представником роботодавця (наприклад, начальником відділу кадрів), самим працівником або фахівцем Рострудінспекції.

Працівники та їх представники мають право здійснювати контроль за виконанням вимог щодо захисту конфіденційності цієї категорії інформації, забороняти або зупиняти обробку персональних даних у разі їх невиконання. Будь-які неправомірні дії (бездіяльність) роботодавця при обробці та захисті персональних даних працівник має право оскаржити в судовому порядку.

Висновок

Таким чином, проаналізувавши ситуацію щодо охорони персональних даних працівника, можна зробити такі висновки.

Особиста таємниця працівника охороняється законом насправді високому рівні. Законодавець передбачив практично всі необхідні норми для захисту цієї категорії правовідносин. Проте слід зазначити, що основним джерелом правопорушень у сфері охорони персональних даних персоналу служить неписьменність працівників кадрових служб у зазначених питаннях, викликана, мій погляд, тим, що нормативно не відрегульовано порядок організації діяльності щодо збереження персональних даних у організаціях і підприємствах.

Немає обов'язкових правил зберігання персональних даних. Звичайно, не можна не сказати, що Рострудінспекція при проведенні перевірок вимагає дуже вагомих доказів збереження зазначених відомостей.

Здається, що уряду РФ слід розробити і затвердити правила, регулюючі порядок зберігання та використання персональних даних для підприємства й у організаціях.

Слід зазначити, що санкції, передбачені порушення законодавства з охорони персональних даних працівника досить адекватні й відповідають мірою правопорушення. Але санкції швидше відновлюють справедливість, аніж знижують кількість правопорушень.

Велике значення має те, як роботодавець ставиться до конституційних прав своїх працівників. Адже тільки адміністрація підприємства чи організації може вести безперервний контроль за дотриманням встановленого порядку здійснення захисту персональних даних працівників.

Список використаної литературы:

Книги та коментарі:

1. Ю.М. Дьомін. Діловодство, підготовка службових документів, С-П, 2003.

2. Коментарі офіційних органів до Трудового кодексу РФ, М., 2003.

3. Коментар до Трудового кодексу Російської Федерації (за ред. К.Н.Гусова) - ТОВ «ТК Велбі», ТОВ «Видавництво Проспект», 2003.

4. Коментар до Трудового Кодексу РФ (Коршунов Ю.М., Коршунова Т.Ю., Кучма М.І., Шеломов Б.А.) – Спарк, 2002 р.

5. Коментар до Кодексу Російської Федерації про адміністративні правопорушення (за ред. Ю.М.Козлова) - Юрист, 2002.

6. Коментар до Кримінального кодексу Російської Федерації (за ред. Лебедєва В.М.).

7. Постатейний Коментар до Кримінального кодексу РФ 1996 (під ред. Наумова А.В.).

Публікації:

8. І. Кузьмін. Увага! Відомості конфіденційні. // Відомості Верховної Ради. №4, 2002.

9. Є. Степанов. Облікова картка – як особиста справа. // Кадрове дело. №3, 2003.

10.Є. Степанов. Персональні дані та їх захист. // Кадрове дело. №9, 2003.

11. Є. Степанов. Захист інформації під час роботи з ЕОМ. // Кадрове дело. №2, 2001

12.П. Куракін. Контроль захисту інформації. // Кадрове дело. №9, 2003.

13. Є. Сітнікова. Дисциплінарна відповідальність працівника. // Кадрове дело. №1, 2003.

14. Л. Французова. Особисті дані працівників. // Кадрове дело. №4, 2003.

Нормативні акти:

15. Загальна декларація прав людини (прийнята на третій сесії Генеральної Асамблеї ООН резолюцією 217 А(III) від 10 грудня 1948 р.).

16. Конвенція про захист прав людини та основних свобод (Рим, 4 листопада 1950 р.) (зі змінами від 21 вересня 1970 р., 20 грудня 1971 р., 1 січня, 6 листопада 1990 р., 11 травня 1994 р.) .

18. Конвенція про права та основні свободи людини, 1995 рік.

21. Кодекс Російської Федерації про адміністративні правопорушення від 30 грудня 2001 р. N 195-ФЗ

22. Трудовий кодекс Російської Федерації від 30 грудня 2001 р. N 197-ФЗ (зі змінами від 24, 25 липня 2002 р., 30 червня 2003 р.).

23. Федеральний закон N 24-ФЗ «Про інформацію, інформатизації та захист інформації» від 20.02.1995 р. (Відомості Верховної. 1995. №8.).

24. Перелік відомостей конфіденційного характеру (утв. указом Президента РФ від 6 березня 1997 р. N 188).

найменування організації

Особиста картка

працівника

I . ЗАГАЛЬНІ ВІДОМОСТІ

Дата реєстрації за вказаним місцем проживання “ ” _________________ року

Номер телефону ________________________

II . Відомості про військовий облік

відмітка про зняття з військового обліку

“ ” _________________20 року

3 Сторінка форми № Т-2

III . ПРИЙОМ НА РОБОТУ

І ПЕРЕКЛАДИ НА ІНШУ РОБОТУ

I V. АТЕСТАЦІЯ

V . ПІДВИЩЕННЯ КВАЛІФІКАЦІЇ

VI. ПРОФЕСІЙНА ПЕРЕПІДГОТОВКА

4-я сторінка форми № Т-2

VI I . Заохочення та нагороди

IX. Соціальні пільги,

на які працівник має право відповідно до законодавства

X. ДОДАТКОВІ ВІДОМОСТІ

Уніфікована форма № Т-1

Затверджено постановою Держкомстату Росії

Підстава:

Код
Форма по ОКУД	0301004
по ОКПО
найменування організації

Номер документа	Дата
НАКАЗ

(розпорядження)

про переведення працівника на іншу роботу

підстава:

зміна до трудового договору (контракту) від “ ” _____________ 20 року № _____

(______________ руб. ____ коп.)

підстава: подання

Загальна декларація прав людини (прийнята на третій сесії Генеральної Асамблеї ООН резолюцією 217 А(III) від 10 грудня 1948 р.)

Конвенція про захист прав людини та основних свобод (Рим, 4 листопада 1950 р.) (зі змінами від 21 вересня 1970 р., 20 грудня 1971 р., 1 січня, 6 листопада 1990 р., 11 травня 1994 р.) стаття 8 .

Міжнародний пакт про громадянські та політичні права (Нью-Йорк, 19 грудня 1966 р.) Стаття 17.

Конвенція про права та основні свободи людини, 1995 рік.

Федеральний закон N 24-ФЗ «Про інформацію, інформатизації та захист інформації» від 20.02.1995 р. (Відомості Верховної. 1995. №8. Ст. 609).

Список відомостей конфіденційного характеру (утв. указом Президента РФ від 6 березня 1997 р. N 188).

Трудовий кодекс Російської Федерації від 30 грудня 2001 N 197-ФЗ (зі змінами від 24, 25 липня 2002, 30 червня 2003).

Персональні дані - будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних). Забезпечення захисту інформації та персональних даних є одним із пріоритетних напрямків та найважливішим завданням у забезпеченні інформаційної безпеки будь-якої організації. Неможливо уявити діяльність організації без обробки інформації про людину. У них зберігаються та обробляються дані про членів органів управління та співробітників, партнерів, про акціонерів (АТ) та про осіб, які відвідують організацію. Все це є персональними даними (ПДН).

Порушення конфіденційності у забезпеченні безпеки бази персональних даних організації може стати серйозним інцидентом у забезпеченні інформаційної безпеки, який може призвести до непоправної шкоди та до численних ризиків. Це перш за все фінансові ризики, пов'язані з витратами на вжиття термінових заходів щодо усунення цієї проблеми (проведення розслідування, організація заходів щодо ліквідації цієї проблеми), втрата репутації організації, а часом і повна зупинка діяльності.

Саме необхідність забезпечення безпеки персональних даних нині стала об'єктивною реальністю. Ця необхідність викликана швидким розвитком сучасних інформаційних технологій, засобів електронної комерції та електронного інформаційного обміну між партнерами з бізнесу, вільного доступу до засобів масових комунікацій, можливістю копіювання та розповсюдження інформації.

Організації, що обробляють персональні дані, вживали заходів щодо їх захисту, виходячи з власних уявлень, закріплених у внутрішній політиці інформаційної безпеки. Нині ситуація змінилася. Відповідно до Федерального закону Російської Федерації від 27 липня 2006 р. № 152-ФЗ «Про персональні дані» (у редакції № 261-ФЗ від 25.07.2011), суттєво зросли вимоги до всіх приватних та державних компаній та організацій, а також фізичних особам, які зберігають, збирають, передають чи обробляють персональні дані (у тому числі прізвище, ім'я, по батькові). Такі компанії, організації та фізичні особи належать до операторів персональних даних.

Постановою Уряду РФ від 1 листопада 2012 р. № 1119 встановлено вимоги до захисту персональних даних при їх обробці в інформаційних системах, що визначають класифікацію інформаційних систем за видами оброблюваних даних, класифікацію загроз для різних видівсистем, а також необхідні рівні безпеки для кожного з видів таких систем. Безпека персональних даних при їх обробці в інформаційній системі забезпечує оператор цієї системи або особа, яка здійснює обробку персональних даних за дорученням оператора на підставі договору, що укладається з цією особою. Вибір засобів захисту інформації для системи здійснюється оператором відповідно до нормативних правових актів ФСБ Росії та ФСТЕК Росії.

Відповідно до Федерального закону №152 «Про персональні дані» персональні дані є інформацією обмеженого доступу. Метою цього Федерального закону є забезпечення захисту права і свободи людини і громадянина під час обробки його персональних даних, зокрема захисту прав на недоторканність приватного життя, особисту та сімейну таємницю.

При недотриманні положень закону 152-Федерального закону «Про персональні дані» передбачається цивільна, кримінальна, адміністративна, а також дисциплінарна та інші види відповідальності. В окремих випадках, передбачених законом, може бути призупинено діяльність організації або відкликано ліцензію. Це з причин того, що захист персональних даних є невід'ємною частиною успішного функціонування будь-якого підприємства.

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

Захист персональних даних

Вступ

Чому потрібно захищати персональні дані?

Необхідність забезпечення безпеки персональних даних у наш час є об'єктивною реальністю. Інформація про людину завжди мала велику цінність, але сьогодні вона перетворилася на найдорожчий товар. Інформація в руках шахрая перетворюється на зброю злочину, в руках звільненого співробітника - на засіб помсти, в руках інсайдера - товар для продажу конкуренту… Саме тому персональні дані потребують найсерйознішого захисту.

Необхідність вжиття заходів щодо захисту персональних даних (далі ПДн) викликана також збільшеними технічними можливостями з копіювання та розповсюдження інформації. Рівень інформаційних технологій досягнув тієї межі, коли самозахист інформаційних прав не є ефективним засобом проти зазіхань на приватне життя. Сучасна людина вже фізично не здатна втекти від усього різноманіття технічних пристроїв збору і технологій обробки даних про людей, що явно або неявно застосовуються щодо нього.

З розвитком засобів електронної комерції та доступних засобів масових комунікацій зросли також можливості зловживань, пов'язаних з використанням зібраної та накопиченої інформації про людину. З'явилися та ефективно використовуються зловмисниками засоби інтеграції та швидкої обробки персональних даних, що створюють загрозу правам та законним інтересам людини.

Захист персональних даних – це вимога бізнесу

Сьогодні навряд чи можна уявити діяльність організації без обробки інформації про людину. У будь-якому випадку організація зберігає та обробляє дані про співробітників, клієнтів, партнерів, постачальників та інших фізичних осіб. Витік, втрата або несанкціонована зміна персональних даних призводить до непоправної шкоди, а часом і повної зупинки діяльності організації. Уявіть собі роботу кредитно-фінансової чи телекомунікаційної компанії, яка втратила хоча б частину інформації про своїх клієнтів. Чи довго проіснує така компанія на ринку?

Захист персональних даних – це вимога законодавства

Розуміючи важливість та цінність інформації про людину, а також піклуючись про дотримання прав своїх громадян, держава вимагає від організацій та фізичних осіб забезпечити надійний захист персональних даних. Законодавство Російської Федерації в області ПДн ґрунтується на Конституції РФ та міжнародних договорах Російської Федерації та складається з Федерального закону РФ від 27 липня 2006 р. N 152-ФЗ «Про персональні дані», інших федеральних законів, що визначають випадки та особливості обробки персональних даних, галузевих нормативних актів, інструкцій та вимог регуляторів.

Законодавство

У 1981 році Рада Європи ухвалила Конвенцію «Про захист особи у зв'язку з автоматичною обробкою персональних даних». 25 листопада 2005 р. Державна Дума ратифікувала цю Конвенцію (ФЗ від 19.12.2005 № 160-ФЗ «Про ратифікацію Конвенції Ради Європи про захист фізичних осіб при автоматичній обробці персональних даних»), поклавши на Російську Федерацію зобов'язання щодо приведення до Європейського Союзу зобов'язання щодо приведення до ЄС законодавства діяльність у сфері захисту прав суб'єктів ПДн. Першим кроком у реалізації взятих зобов'язань стало ухвалення Федерального закону № 152-ФЗ від 27.07.2006 р. «Про персональні дані». Закон набрав чинності у січні 2007 року.

Закон № 152-ФЗ визначив високорівневі вимоги, які потім були конкретизовані в підзаконних актах Уряду РФ та Міністерства зв'язку, нормативно-методичних документах регуляторів Федеральної службиз технічного та експортного контролю (ФСТЕК Росії), Федеральної служби безпеки Російської Федерації (ФСБ Росії) та Федеральної служби з нагляду у сфері зв'язку та масових комунікацій (Роскомнагляд).

Кожен із цих актів та документів присвячений окремим областям та тематикам законодавства та розкриватиметься надалі під час викладу матеріалу. Метою російського законодавства у сфері ЗПД є забезпечення захисту права і свободи громадянина під час обробки його персональних даних, зокрема захисту прав на недоторканність приватного життя, особисту та сімейну таємницю. Законодавством регулюються відносини, пов'язані з обробкою ПДН, що здійснюється державними органами влади, органами місцевого самоврядування, юридичними особами та фізичними особами.

шифрувальна безпека персональні дані

Персональні дані

Відповідно до Закону №152-ФЗ персональними даними є будь-яка інформація, за допомогою якої можна однозначно ідентифікувати фізичну особу (суб'єкт ПДН). До персональних даних у зв'язку з цим можуть належати прізвище, ім'я, по батькові, рік, місяць, дата та місце народження, адреса, сімейне, соціальне, майнове становище, освіта, професія, доходи, інша інформація, що належить суб'єкту ПДН.

Склад та зміст персональних даних визначають оператори ПДн1 залежно від цілей їхньої обробки. Наприклад, перелік персональних даних для популярних останнім часом систем лояльності клієнтів компанії зазвичай включають контактні дані, необхідні для зв'язку з клієнтами, та відомості про надані послуги. Склад цих відомостей повинен бути надлишковий у своїй залишаючись достатнім, щоб «розуміти» переваги клієнта, його фінансові можливості, «відслідковувати» його купівельну історію тощо.

Відмінність російського та міжнародного законодавства США, Великобританія та Канада, так само як і Росія, розробили технічні регламенти, які транслюють положення законодавства верхнього рівня у конкретні поради та рекомендації щодо захисту персональних даних. У Великій Британії 1998 року було прийнято «Закон про захист персональних даних» - «Data Protection Act 1998». Його технічна реалізація - проект стандарту "Specification for management of personal information in compliance with Data Protection Act 1998" (BS 10012) має отримати статус офіційного документа в червні 2009. Паралельно з англійцями свою версію стандарту безпеки ПДН випустили в США. Проект документу захисту персональних даних для американських державних структур - "Guide to Protecting the Confidentiality of Personally Identificable Information (PII)" (SP 800122) регламентує виконання Законів "The Privacy Act of 1974" і "Privacy Protection Act of 1980". Канада випустила "Privacy Code" - набір документів для реалізації законодавства щодо захисту відомостей про приватних осіб (The Privacy Act та PIPEDA).

Канадський, англійський та американський стандарти, на відміну від документів російських регуляторів, дають більш загальні рекомендації щодо забезпечення безпеки ПДН і не наказують, як конкретно повинні захищатися персональні дані. Більш того, той же американський стандарт рекомендує по можливості знеособлювати персональні дані, щоб уникнути різних захисних заходів, що знижують зручність користування інформацією.

Існують випадки, коли цілі, склад та зміст ПДН чітко визначаються законодавчими та нормативно-правовими актами. Це стосується областей, де взаємини між суб'єктами ПДН та операторами потребують суворої регламентації. При цьому в деяких випадках суб'єкт персональних даних зобов'язаний надавати оператору відомості про себе.

Наприклад, функціонування певних галузей економіки пов'язані з необхідністю забезпечення безпеки. Так, ФЗ-16 "Про транспортну безпеку" визначає необхідність створення єдиної державної інформаційної системи забезпечення транспортної безпеки. Така система повинна складатися з централізованих баз персональних даних про пасажирів, які включають такі дані:

· прізвище ім'я по батькові;

· дата і місце народження;

· Вид і номер документа, що засвідчує особу, за яким купується проїзний документ (квиток);

· пункт відправлення, пункт призначення, вид маршруту (безпересадковий, транзитний);

· Дата поїздки.

Регламентація складу та змісту ПДН стосується відносин, пов'язаних із трудовою діяльністю людини. Якщо йдеться про кадрову систему, до складу персональних даних належать відомості, передбачені уніфікованою формою обліку кадрів Т-2, затвердженою Постановою №1 Держкомстату Росії від 05.01.2004. До таких відомостей відносяться:

· прізвище ім'я по батькові;

· дата народження;

· Громадянство;

· Номер страхового свідоцтва;

· Знання іноземних мов;

· Дані про освіту (номер, серія дипломів, рік закінчення);

· Дані про придбані спеціальності

· сімейний стан;

· Дані про членів сім'ї (ступінь спорідненості, ПІБ, рік народження, паспортні дані, включаючи прописку та місце народження);

· Фактичне місце проживання;

· Контактна інформація;

· Дані про військовий обов'язок;

· Дані про поточну трудову діяльність (дата початку трудової діяльності, кадрові переміщення, оклади та їх зміни, відомості про заохочення, дані про підвищення кваліфікації тощо).

До інших нормативних актів, що регулюють відносини у сфері діяльності людини та визначають мети обробки, склад та зміст ПДн, відносяться ФЗ-179 «Трудовий кодекс РФ», ФЗ-27 «Про індивідуальний (персоніфікований) облік у системі обов'язкового пенсійного страхування», ФЗ- 129 «Про державну реєстрацію юридичних осіб та індивідуальних підприємців» тощо.

Які відомості про співробітників державних організацій збирати та як їх обробляти, визначає Указ Президента РФ від 30 травня 2005 р. N 609 «Про затвердження Положення про персональні дані державного цивільного службовця Російської Федерації та ведення його особової справи». Своя специфіка існує у різних галузях економіки.

Певні рамки обробки персональних даних для кредитно-фінансових установ встановлює ФЗ-218 «Про кредитні історії», для авіаційного транспорту – Повітряний кодекс, для торгових організацій (Інтернет-магазинів тощо) – Постанова Уряду Російської Федерації від 27 вересня 2007 р. N 612 "Про затвердження Правил продажу товарів дистанційним способом", для туристичного бізнесу - Постанова Уряду Російської Федерації від 18 липня 2007 р. N 452 "Про затвердження Правил надання послуг з реалізації туристичного продукту" і т.п.

Неможливо не згадати і ФЗ-143 «Про акти громадянського стану», в якому держава чітко визначає, які відомості про особу мають збиратися, зберігатися та оброблятися протягом усього життя.

Законодавство визначає різні категорії персональних даних. До них можуть належати загальнодоступні ПДН, спеціальні категорії ПДн, категорії ПДн, що обробляються в інформаційних системах персональних даних (далі ІСПДн), біометричні ПДн та інші.

Загальнодоступні ПДН

Загальнодоступними є дані, доступ яких надано необмеженому колу осіб із згоди суб'єкта ПДн чи куди відповідно до федеральними законами не поширюються вимоги дотримання конфіденційності. Такі дані можуть включати прізвище, ім'я, по батькові, рік та місце народження, адресу, абонентський номер, відомості про професію та інші ПДН Джерелами такої інформації є, наприклад, довідники, адресні книжки тощо. Відомості про суб'єкта ПДН можуть бути у будь-який час виключені із загальнодоступних джерел на вимогу суб'єкта або за рішенням суду або уповноважених державних органів.

До спеціальних категорій належать персональні дані щодо расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя. Їх обробка допускається лише у таких випадках:

· Суб'єкт ПДН дав згоду в письмовій формі на обробку своїх персональних даних;

· Персональні дані є загальнодоступними;

· Персональні дані ставляться до стану здоров'я суб'єкта ПДн та отримання його згоди неможливо, або обробка персональних даних здійснюється особою, що професійно займається медичною діяльністю та зобов'язаною відповідно до законодавства Російської Федерації зберігати лікарську таємницю;

· Обробка персональних даних членів (учасників) громадського об'єднання або релігійної організації за умови, що персональні дані не будуть поширюватися без згоди в письмовій формі суб'єктів ПДН;

· Обробка персональних даних здійснюється відповідно до законодавства Російської Федерації про безпеку, про оперативно-розшукову діяльність, а також відповідно до кримінально-виконавчого законодавства Російської Федерації або необхідна у зв'язку із здійсненням правосуддя.

Спільний наказ ФСТЕК, ФСБ та Міністерства інформаційних технологій та зв'язку РФ від 13 лютого 2008 року N 55/86/20 «Про затвердження Порядку проведення класифікації інформаційних систем персональних даних» визначає такі категорії персональних даних, що обробляються в ІСПДН:

Категорування персональних даних при обробці в ІСПД може також проводитися за параметром «обсяг оброблюваних персональних даних». Під цим мається на увазі кількість суб'єктів, які обробляються в інформаційній системі. Цей параметр може приймати такі значення:

1. В інформаційній системі одночасно обробляються персональні дані більш ніж 100 000 суб'єктів ПДн або персональні дані суб'єктів ПДн в межах суб'єкта РФ або Російської Федерації в цілому.

2. В інформаційній системі одночасно обробляються персональні дані від 1000 до 100000 суб'єктів ПДН або персональні дані суб'єктів ПДН, що працюють у галузі економіки Російської Федерації, в органі державної влади, які проживають у межах муніципального освіти.

3. В інформаційній системі одночасно обробляються дані менш ніж 1000 суб'єктів ПДН або персональні дані суб'єктів ПДН у межах конкретної організації.

Біометричні персональні дані

Біометричні персональні дані - це відомості, що характеризують фізіологічні особливості людини та на основі яких можна встановити її особистість. Біометричні персональні дані обробляються відповідно до статті 11 Федерального закону Російської Федерації від 27 липня 2006 р. N 152-ФЗ "Про персональні дані". Вони можуть оброблятися лише за наявності згоди у письмовій формі суб'єкта ПДн. Обробка біометричних персональних даних без згоди суб'єкта ПДН може здійснюватися у зв'язку із здійсненням правосуддя, а також у випадках, передбачених законодавством Російської Федерації про безпеку, про оперативно-розшукову діяльність, про державну службу, про порядок виїзду з РФ та в'їзду до Російської Федерації, кримінально -виконавчим законодавством.

Виходячи з визначення біометричних ПДн, до них відносяться фотографії та відеозображення суб'єктів ПДн. Це підтверджують і представники регуляторів, зокрема Федеральної служби з технічного та експортного контролю. Фотографії суб'єктів ПДн можуть оброблятися у пропускних системах та системах контролю доступу, відеозображення – у системах відеоспостереження тощо.

Оператор персональних даних

Відповідно до Закону №152-ФЗ операторами персональних даних є державний орган, муніципальний орган, юридична або фізична особа, які організують та (або) здійснюють обробку персональних даних, а також визначають цілі та зміст обробки персональних даних.

Під обробкою ПДн розуміються дії (операції) з персональними даними, включаючи збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), використання, поширення (у тому числі передачу), знеособлення, блокування, знищення ПДн.

Виходячи з визначення, можна зробити висновок про те, що всі без винятку організації чи компанії незалежно від форм власності є операторами персональних даних, оскільки вони як мінімум здійснюють збирання, систематизацію, зберігання та уточнення відомостей про своїх співробітників відповідно до російського законодавства (Трудовий Кодекс) РФ). Крім цього, багато компаній за родом своєї діяльності обробляють відомості про своїх клієнтів, партнерів, постачальників і субпідрядників, які їм необхідні для виконання функцій відповідно до їх призначення.

У яких випадках оператор ПДН має право не повідомляти Роскомнагляд Оператор має право здійснювати обробку наступних персональних даних без повідомлення уповноваженого органу захисту прав суб'єктів ПДн (Роскомнагляд):

· Що належать до суб'єктів ПДн, яких з оператором пов'язують трудові відносини;

· Отриманих оператором у зв'язку з укладанням договору, стороною якого є суб'єкт ПДН, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта ПДн і використовуються оператором виключно для виконання зазначеного договору та укладання договорів з суб'єктом ПДН;

· що відносяться до членів (учасників) громадського об'єднання або релігійної організації та оброблюються відповідними громадським об'єднанням або релігійною організацією, що діють відповідно до законодавства Російської Федерації, для досягнення законних цілей, передбачених їх установчими документами, за умови, що персональні дані не поширюватимуться без згоди у письмовій формі суб'єктів ПДН;

· є загальнодоступними персональними даними;

· Включають у себе тільки прізвища, імена та по батькові суб'єктів персональних даних;

· Необхідні з метою одноразового пропуску суб'єкта ПДн на територію, на якій знаходиться оператор, або в інших аналогічних цілях;

· Включених в інформаційні системи персональних даних, що мають відповідно до федеральних законів статус федеральних автоматизованих інформаційних систем (далі ІС), а також в державні ІСПДн, створені з метою захисту безпеки держави та громадського порядку;

· Оброблюваних без використання засобів автоматизації відповідно до федеральних законів або інших нормативних правових актів Російської Федерації, що встановлюють вимоги до забезпечення безпеки персональних даних при їх обробці та дотримання прав суб'єктів ПДн.

При цьому існує помилкова думка про те, що у разі, якщо немає необхідності реєструватися як оператор ПДн у Роскомнагляді (а законом такі випадки передбачені), то компанія не є оператором ПДн і на неї не поширюються обов'язки, передбачені законодавством. Більше того, таким чином компанії намагаються виправдати свою бездіяльність у сфері забезпечення безпеки ПДН. Якщо фірма не робить жодних зусиль захисту персональних даних, це однозначно розцінюється як «невиконання вимог російського законодавства».

Обов'язки оператора ПДН

Російське законодавство покладає на операторів ПДН певні обов'язки, основними з яких є:

1. Забезпечення безпеки обробки персональних даних, що означає обов'язок «вживати необхідних організаційних та технічних заходів для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, розповсюдження персональних даних, а також від інших неправомірних дій».

2. Повідомлення про характер обробки персональних даних. Відповідно до статті 22 Закону оператор до початку обробки персональних даних зобов'язаний повідомити уповноважений орган захисту прав суб'єктів ПДН (Роскомнагляд) про свій намір здійснювати обробку персональних даних.

3. Роскомнагляд вносить відомості про оператора до реєстру операторів. Інформація, що міститься в реєстрі, за винятком відомостей про засоби безпеки персональних даних при їх обробці, є загальнодоступною.

4. При отриманні персональних даних (у тому числі від третіх осіб) оператор ПДН до початку обробки зобов'язаний отримати у суб'єкта цих ПДН письмовий дозвіл на їх обробку (за винятком випадків, якщо персональні дані були надані оператору на підставі федерального закону або якщо вони є загальнодоступними) ).

5. Оператор зобов'язаний надати суб'єкту ПДн на вимогу всі наявні відомості про нього, цілі та умови обробки, способи захисту його персональних даних. Оператор також повинен знищити або блокувати відповідні персональні дані, внести до них необхідні зміни щодо надання суб'єктом ПДН або його законним представником відомостей, що підтверджують, що персональні дані, що належать до відповідного суб'єкта та обробку яких здійснює оператор, є неповними, застарілими, недостовірними, незаконно отриманими або є необхідними для заявленої мети обробки.

Більше того, оператор ПДН зобов'язаний надати доказ отримання згоди суб'єкта ПДН на обробку його персональних даних, а у разі обробки загальнодоступних персональних даних на нього покладається обов'язок довести, що оброблені ПДН є загальнодоступними.

6. Підконтрольність та піднаглядність діяльності операторів персональних даних державним органам. Це означає обов'язок оператора повідомляти в уповноважений орган із захисту прав суб'єктів ПДН на його запит інформацію, необхідну для діяльності зазначеного органу. Функціями контролю та нагляду держава наділила Роскомнагляд, ФСТЕК та ФСБ3.

Невиконання вимог законодавства?.. Які наслідки?

Законом передбачено цивільну, кримінальну, адміністративну, дисциплінарну та іншу відповідальність за порушення його вимог. Так, Кодекс про адміністративні правопорушення передбачає максимальний штраф у 500000 рублів за невиконання законного розпорядження Роскомнагляду (ст. 19.5 КпАП). Той самий Кодекс передбачає припинення діяльності організації терміном до 90 діб під час здійснення діяльності із захисту персональних даних без ліцензії (ст. 19.20 КпАП).

У кримінальному кодексі йдеться про штраф у 300000 руб., обов'язкові роботи на строк до 1-го року, арешт до 6-ти місяців і позбавлення права обіймати посаду на строк до 5-ти років у разі здійснення захисту персональних даних без ліцензії у випадках, якщо це діяння завдало великих збитків громадянам (ст. 171 КК).

При систематичних та грубих порушеннях Роскомнагляд має право клопотати про відкликання ліцензій на основний вид діяльності.

Обробка персональних даних

У російському законодавстві визначаються основні засади обробки персональних данных4. До них, зокрема, належать:

· Оператор персональних даних визначає цілі їх обробки відповідно до своїх повноважень.

· Обсяг та характер оброблюваних персональних даних повинен відповідати цілям їх обробки.

· Неприпустимо об'єднувати створені для різних цілей персональні дані (наприклад, одну базу даних).

· Персональні дані підлягають знищенню після досягнення цілей (втрати необхідності) їх обробки.

Велике значення у Законі приділено умовам обробки персональних данных5. Так, обробка персональних даних може здійснюватися оператором лише за письмовою згодою суб'єктів ПДН.

У яких випадках не потрібна згода суб'єкта ПДН на обробку відомостей про нього?

Згода суб'єкта ПДн не потрібна у таких випадках:

· Обробка персональних даних здійснюється на підставі інших федеральних законів, наприклад, деякими Федеральними законами передбачаються випадки обов'язкового надання суб'єктом ПДН своїх персональних даних з метою захисту основ конституційного ладу, моральності, здоров'я, прав та законних інтересів інших осіб, забезпечення оборони країни та безпеки держави;

· Оператор та суб'єкт ПДН пов'язані договором на виконання дій, які вимагають обробки персональних даних цього суб'єкта, наприклад, договір, за яким туристична фірма (оператор) має право використовувати персональні дані суб'єкта для бронювання готелю;

· опрацювання персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта ПДн, якщо отримання його згоди неможливе, наприклад, госпіталізація людини при нещасному випадку;

· Обробка персональних даних необхідна для доставки поштових відправлень організаціями поштового зв'язку, для здійснення операторами електрозв'язку розрахунків з користувачами послуг зв'язку за надані послуги зв'язку, а також для розгляду претензій користувачів послугами зв'язку;

· Обробка персональних даних здійснюється з метою професійної діяльності журналіста або з метою наукової, літературної або іншої творчої діяльності за умови, що при цьому не порушуються права і свободи суб'єкта ПДН;

· Здійснюється обробка персональних даних, що підлягають опублікуванню відповідно до федеральних законів, у тому числі ПДН осіб, які заміщають державні посади, посади державної цивільної служби, персональних даних кандидатів на виборні державні або муніципальні посади.

Існує два види обробки персональних даних: автоматизований та неавтоматизований. Про ці види обробки ПДн йтиметься у наступних розділах статті.

Життєвий цикл персональних даних

Обробка персональних даних вимагає створення спеціального режиму, в якому чітко визначено технологію їх обробки, порядок та умови існування ПДн на кожному етапі їх життєвого циклу. Це передбачає розробку та впровадження процедур їх збирання, прийому, обліку, реєстрації, зберігання, використання, знищення тощо. Велике значення у своїй має термін зберігання ПДн, і навіть наявність системи контролю обробки ПДн всіх етапах їх життєвого циклу.

Термін обробки ПДН

Визначення термінів обробки ПДН дуже важливо тому, що Федеральний закон визначає, що «у разі досягнення мети обробки персональних даних оператор зобов'язаний негайно припинити обробку персональних даних і знищити відповідні персональні дані в строк, що не перевищує трьох робочих днів з дати досягнення мети обробки».

Аналіз технологічних процесівобробки ПДн

У своїх проектах захисту ПДн фахівці компанії «Інфосистеми Джет» велику увагу приділяють обліку технологічних процесів обробки персональних даних (життєвий цикл ПДн) та отриманню інформації про існуючі процедури обробки ПДн. З цією метою ними проводяться такі роботи:

· Аналіз документів, що визначають технологічні процеси обробки ПДН;

· Проведення інтерв'ю зі співробітниками замовника, що реалізують процедури обробки ПДн;

· Визначення власника технологічного процесу обробки ПДН (співвіднесення технологічного процесу зі структурним підрозділом замовника та використовуваної ІСПДн);

· Визначення процедур збору, прийому, обліку та реєстрації ПДН в інформаційних системах персональних даних, зберігання, обробки, випуску, копіювання та передачі ПДН, їх знищення та контролю за цими процедурами.

Терміни опрацювання також визначаються на підставі інших нормативно-правових актів. Так, вимогами трудового, цивільного, пенсійного законодавства, галузевих нормативних актів встановлюються певні строки опрацювання персональних даних. Наприклад, для карток Т-2 – це 75 років6 (Постанова Держкомстату № 1), а для відомостей про надані абоненту послуги зв'язку – 3 роки (Постанова Уряду № 538).

Неавтоматизована обробка ПДН

Неавтоматизована обробка персональних даних здійснюється відповідно до Постанови Уряду Російської Федерації від 15 вересня 2008 р. N 687 "Про затвердження Положення про особливості обробки персональних даних, що здійснюється без використання засобів автоматизації".

Відповідно до цієї Постанови обробка персональних даних вважається здійсненою без використання засобів автоматизації (неавтоматизованої), якщо такі дії здійснюються за безпосередньої участі людини.

Питання поділу неавтоматизованої та автоматизованої обробки у багатьох організацій викликає труднощі.

Постанови РФ:

1. Обробка персональних даних, що містяться в інформаційній системі персональних даних або вилучених з такої системи (далі - персональні дані), вважається здійсненою без використання засобів автоматизації (неавтоматизованої), якщо такі дії з персональними даними, як використання, уточнення, розповсюдження, знищення персональних даних даних щодо кожного із суб'єктів персональних даних, що здійснюються за безпосередньої участі людини.

2. Обробка персональних даних не може бути визнана здійснюваною з використанням засобів автоматизації тільки на тій підставі, що персональні дані містяться в інформаційній системі персональних даних або були вилучені з неї. Виходячи з цього, деякі організації вважають, що всю обробку ПДН можна віднести до неавтоматизованої, оскільки у всіх випадках є факт «обробки ПДН за безпосередньої участі людини». І це помилка. В даному випадку неправильно розглядати цю обробку лише як неавтоматизовану. Наприклад, якщо користувач вніс дані до персонального комп'ютера тільки для того, щоб їх роздрукувати, і не зберігав дані на комп'ютері, то цю обробку можна вважати неавтоматизованою. Якщо користувач зберіг ці дані у вигляді файлу і зберігає їх на комп'ютері, потрібно розглядати цю обробку ПДн у тому числі і як автоматизовану.

Персональні дані при їх обробці, що здійснюється без використання засобів автоматизації, повинні відокремлюватися від іншої інформації, зокрема шляхом фіксації їх на окремих матеріальних носіях, у спеціальних розділах або на полях форм (бланків). У цьому не допускається фіксація однією матеріальному носії персональних даних, мети обробки яких свідомо не сумісні. Для обробки різних категорій ПДн кожної з них повинен використовуватися окремий матеріальний носій.

Постанова визначає, яка інформація має бути включена до типових форм документів, що включають персональні дані, умови ведення журналів (реєстрів, книг), що містять ПДН (наприклад, необхідні для одноразового пропуску суб'єкта ПДн на територію оператора), описує найважливіші етапи життєвого циклу персональних даних, зафіксованих на матеріальному носії.

Автоматизована обробка персональних даних

Для того, щоб визначити, що є «автоматизованою обробкою ПДН», необхідно ввести поняття «автоматизованого файлу ПДН», яке означає будь-який комплекс даних про суб'єктів ПДН, що піддається автоматизованій обробці («Конвенція про захист фізичних осіб при автоматизованій обробці персональних даних», СЕД №108, від 28 січня 1981 р.).

«Автоматизована обробка ПДН» має на увазі дії з «автоматизованими файлами ПДн», що включає наступні операції, які здійснюються повністю або частково за допомогою засобів автоматизації: зберігання даних, здійснення логічних та/або арифметичних операцій з цими даними, їх зміна, знищення, пошук або розповсюдження .

Забезпечення безпеки персональних даних

Відповідно до статті 19 Федерального Закону «Про персональні дані» оператор при обробці ПДН зобов'язаний вживати необхідних організаційних та технічних заходів для їх захисту від неправомірного чи випадкового доступу до них, знищення, зміни, блокування, копіювання, розповсюдження, а також від інших неправомірних дій .

Забезпечення безпеки ПДН, що обробляються в інформаційних системах персональних даних

У цьому розділі розповідається про вимоги щодо забезпечення безпеки ПДН при їх обробці в інформаційних системах персональних даних (ІСПДн), які містяться в Постанові Уряду РФ від 17 листопада 2007 р. N 781 «Про затвердження Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних», а також конкретизуються у нормативно-методичних документах ФСТЕК та ФСБ.

У яких випадках забезпечення безпеки ПДН не потрібно?

Забезпечення безпеки (у разі конфіденційності) відповідно до російським законодавством не потрібно лише знеособлених і загальнодоступних персональних даних.

Персональні дані можуть бути знеособленими, якщо над ними були зроблені дії, внаслідок яких неможливо визначити їх належність конкретному суб'єкту ПДн.

Персональні дані можуть бути загальнодоступними лише за письмовою згодою суб'єкта ПДН. Вони можуть включати прізвище, ім'я, по батькові, рік та місце народження, адресу, абонентський номер, відомості про професію та інші персональні дані, надані суб'єктом ПДН.

Забезпечення безпеки ПДН при їх обробці в ІСПДн досягається шляхом виключення несанкціонованого, у тому числі випадкового, доступу до персональних даних, результатом якого може стати знищення, зміна, блокування, копіювання та розповсюдження персональних даних. Обов'язок із забезпечення безпеки ПДн під час їх обробці в ИСПДн повністю доручається оператора персональних даних. У зв'язку з цим оператор зобов'язаний:

· проводити заходи, спрямовані на запобігання несанкціонованому доступу (далі НСД) до ПДн та (або) передачі їх особам, які не мають права доступу до такої інформації;

· Своєчасно виявляти факти НСД до персональних даних;

· Не допускати впливу на технічні засоби автоматизованої обробки ПДН, в результаті якого може бути порушено їхнє функціонування;

· Негайно відновлювати ПДН, модифіковані або знищені внаслідок несанкціонованого доступу до них;

· Здійснювати постійний контроль за забезпеченням рівня захищеності ПДн.

Хто повинен забезпечувати безпеку ПДн?

Безпека ПДН при їх обробці в ІСПДн забезпечує оператор або особу, якій на підставі договору оператор доручає обробку персональних даних (уповноважена особа). При цьому оператор повинен укладати договір із уповноваженою особою. Істотною умовою цього договору є обов'язок уповноваженої особи забезпечити конфіденційність та безпеку ПДН під час їх обробки у ІСПДн.

Для розробки та здійснення заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах оператором може призначатися структурний підрозділ або посадова особа (працівник), відповідальна за безпеку персональних даних.

Що таке ІСПДн?

Інформаційні системи персональних даних є сукупністю інформаційних та програмно-апаратних елементів, основними з яких є:

· Інформаційні технології, як сукупність прийомів, способів та методів застосування засобів обчислювальної техніки при обробці ПДн;

· технічні засоби, що здійснюють обробку ПДН, під якими розуміються засоби обчислювальної техніки, інформаційно-обчислювальні комплекси та мережі, засоби та системи передачі, прийому та обробки ПДн (засоби та системи звукозапису, звукопідсилення, звуковідтворення, переговорні та телевізійні пристрої, засоби виготовлення, тиражування документів та інші технічні засоби обробки мовної, графічної, відео та буквено-цифрової інформації);

· Програмні засоби ( Операційні системи, системи управління базами даних, прикладне програмне забезпечення тощо);

· Засоби захисту інформації;

· Допоміжні технічні засоби та системи, до яких належать засоби та системи комунікації, не призначені для обробки ПДН, але розміщені в приміщеннях, в яких розташовані ІСПДН (різного роду) телефонні засобита системи, засоби обчислювальної техніки, засоби та системи передачі даних у системі радіозв'язку, засоби та системи охоронної та пожежної сигналізації, оповіщення та сигналізації, контрольно-вимірювальна апаратура, засоби та системи кондиціювання, проводової радіотрансляційної мережі та прийому програм радіомовлення та телебачення, електрочасофікації7, засоби електронної оргтехніки).

Терміни та умови приведення ІСПДн у відповідність до законодавства

Російським законодавством визначено терміни та умови приведення ІСПДН у відповідність вимогам щодо забезпечення безпеки ПДН.

Для інформаційних систем персональних даних, що перебували в експлуатації до набрання чинності Федеральним законом від 27 липня 2006 р. № 152ФЗ «Про персональні дані», має бути забезпечено їх доопрацювання, що забезпечує безпеку ПДн відповідно до вимог Законодавства, у строк до 1 січня 2010 року м.

Для функціонуючих ІСПДн доопрацювання (модернізація) систем захисту персональних даних (далі СЗПДН) повинно проводитись у разі, якщо:

· Змінився склад або структура самої інформаційної системи або технічні особливості її побудови (змінився склад або структура програмного забезпечення, технічних засобів обробки ПДН, топології ІСПДн);

· Змінився склад загроз безпеки ПДн в інформаційній системі;

· Змінився клас ІСПДн.

Для новостворених або модернізованих інформаційних систем діяльність із забезпечення безпеки ПДН є невід'ємною частиною робіт з їхнього створення або модернізації. Виробників додатків, у яких передбачено обробку відомостей про фізичних осіб, зобов'язані реалізовувати у своїх
розробках вимоги щодо безпеки ПДн, передбачені російським законодавством.

Компанія «Інфосистеми Джет», будучи системним інтегратором, здійснює у своїх проектах розробку та впровадження різноманітних обчислювальних комплексів та бізнес-додатків. Подібні роботи проводяться з урахуванням вимог російського законодавства щодо забезпечення інформаційної безпеки, у тому числі щодо захисту персональних даних.

Які ІСПД існують?

Персональні дані обробляються у масі додатків. Як показав досвід компанії «Інфосистеми Джет» щодо виконання проектів із ЗПД, їх кількість може змінюватись від 3 до 5 у малих та середніх компаніях, від 30 до 50 – у великих компаніях. До інформаційних систем персональних даних може бути віднесено:

· CRM-системи (дані про клієнтів - фізичних осіб та представників клієнтів - юридичних осіб);

· білінгові системи (дані про клієнтів, які здійснюють оплату послуг);

· автоматизовані банківські системи(дані про співробітників банку, про клієнтів, партнерів тощо);

· автоматизовані медичні системи(дані про пацієнтів тощо);

· Call-центри (дані про клієнтів та співробітників залежно від призначення call-центру);

· кадрові системи (дані про співробітників організації);

· Бухгалтерські системи (дані про співробітників та клієнтів організації);

· Системи документообігу (дані про співробітників організації, клієнтів, партнерів);

· Поштові системи (дані про співробітників організації, клієнтів, партнерів, заповнені картки в адресних книгах поштових систем тощо);

· автоматизовані системибюро перепусток (дані про відвідувачів).

З точки зору приналежності інформаційні системи можуть бути наступних видів: ІСПДн державних та муніципальних органів, юридичних та фізичних осіб, які організовують або здійснюють обробку персональних даних, а також визначають цілі та зміст обробки персональних даних (за винятком випадків, коли останні використовують зазначені системи виключно для особистих та сімейних потреб).

Класифікація ІСПДн

Класифікація ІСПД проводиться оператором відповідно до «Порядку проведення класифікації інформаційних систем персональних даних», затвердженим наказом ФСТЕК Росії, ФСБ Росії та Мінінформзв'язку Росії від 13 лютого 2008 р. №. 55/86/20, а також на підставі нормативно-методичних документів регуляторів ФСТЕК та ФСБ.

Класифікація інформаційних систем проводиться на етапі створення або в ході їх експлуатації (для раніше введених в експлуатацію та модернізованих інформаційних систем) з метою встановлення методів та засобів захисту інформації, необхідних для забезпечення безпеки персональних даних.

Проведення класифікації інформаційних систем включає наступні етапи:

· Збір та аналіз вихідних даних по інформаційній системі;

· Присвоєння їй відповідного класу;

· Його документальне оформлення (складання та затвердження керівництвом організації Актів класифікації на конкретні ІСПДн).

Під час проведення класифікації інформаційної системи враховуються такі вихідні дані:

Таб. 1. Визначення класу типової інформаційної системи

· Обсяг оброблюваних персональних даних (кількість суб'єктів ПДн, персональні дані яких обробляються в інформаційній системі - 1, 2, 3)9;

· Задані оператором характеристики безпеки персональних даних, що обробляються в інформаційній системі;

· Структура інформаційної системи;

· Наявність підключень інформаційної системи до мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну;

· Режим обробки персональних даних;

· Режим розмежування прав доступу користувачів інформаційної системи;

· Місцезнаходження технічних засобів інформаційної системи.

Класифікація ІСПДн

Практика показала, що існують певні складнощі у проведенні класифікації ІСПДн силами операторів, оскільки для виконання цього завдання не завжди вистачає компетенції власних фахівців.

Маючи досвід проведення проектів із захисту персональних даних, компанія «Інфосистеми Джет» сформувала свій підхід до проведення даного виду робіт. При цьому відмінною особливістює «правильна» класифікація ИСПДн, коли він вдається значною мірою мінімізувати витрати наших замовників створення системи захисту персональних даних.

Зокрема, це стає можливим за рахунок мінімізації місць зберігання та обробки ПДН, поділу/сегментування ІС, зниження вимог до частини сегментів, скорочення числа співробітників, які мають доступ до персональних даних, знеособлення частини персональних даних, виведення частини даних із ІСПДН.

У ході аналізу технологічних процесів обробки ПДН фахівцями компанії «Інфосистеми Джет» виробляються рекомендації щодо зниження передбачуваних класів ІСПДН, які можуть містити таке:

· Абстрагування ПДн – зробити їх менш точними, наприклад, шляхом групування загальних характеристик;

· Приховування ПДн – видалити всю або частину запису ПДн;

· Заміна ПДн - переставити поля одного запису ПДн з тими самими полями іншого аналогічного запису;

· Заміна даних середнім значенням – замінити вибрані дані середнім значенням для групи ПДн;

· Поділ ПДн на частини – використання таблиць перехресних посилань;

· Маскування ПДн - заміна одних символів ПДн іншими.

За заданими оператором характеристиками безпеки персональних даних, що обробляються в інформаційній системі, ІСПДн поділяються на типові та спеціальні:

· Типові інформаційні системи - інформаційні системи, в яких потрібне забезпечення лише конфіденційності персональних даних;

· Спеціальні інформаційні системи - інформаційні системи, в яких незалежно від необхідності забезпечення конфіденційності персональних даних потрібно забезпечити хоча б одну з характеристик їхньої безпеки, відмінну від конфіденційності (захищеність від знищення, зміни, блокування, а також інших несанкціонованих дій).

За структурою інформаційні системи поділяються:

· на автономні (не підключені до інших інформаційних систем) комплекси технічних та програмних засобів(автоматизовані робочі місця);

· На комплекси автоматизованих робочих місць, об'єднаних в єдину інформаційну систему засобами зв'язку без використання технології віддаленого доступу(локальні інформаційні системи);

· На комплекси автоматизованих робочих місць та локальних інформаційних систем, об'єднаних в єдину інформаційну систему засобами зв'язку з використанням технології віддаленого доступу (розподілені інформаційні системи).

За наявності підключень до мереж зв'язку загального користування та мереж міжнародного інформаційного обміну інформаційні системи поділяються на ті, що мають та не мають підключень до таких мереж.

За режимом обробки персональних даних в інформаційній системі ІСПДн поділяються на однокористувацькі та розраховані на багато користувачів.

За розмежуванням прав доступу користувачів інформаційні системи поділяються на системи без розмежування прав доступу та з розмежуванням прав доступу.

Інформаційні системи в залежності від місцезнаходження їх технічних засобів поділяються на системи, всі технічні засоби яких знаходяться в межах РФ, та системи, технічні засоби яких частково або повністю перебувають за межами Російської Федерації.

Класифікація типових ІСПДН

За результатами аналізу вихідних даних типовій інформаційній системі надається один із наступних класів:

· Клас 1 (К1) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, що їх обробляють, може призвести до значних негативних наслідків для суб'єктів персональних даних;

· Клас 2 (К2) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, що їх обробляють, може призвести до негативних наслідків для суб'єктів персональних даних;

· Клас 3 (К3) – інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, що обробляються в них, може призвести до незначних негативних наслідків для суб'єктів персональних даних;

· Клас 4 (К4) – інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, що обробляються в них, не призводить до негативних наслідків для суб'єктів персональних даних.

Клас типової інформаційної системи визначається відповідно до таблиці №1.

Класифікація спеціальних ІСПДН

Клас спеціальної інформаційної системи визначається з урахуванням моделі загроз безпеки персональних даних відповідно до нормативно-методичними документами регуляторів ФСТЭК і ФСБ.

До спеціальних ІСПДн автоматично відносяться:

· Інформаційні системи, в яких обробляються персональні дані, що стосуються стану здоров'я суб'єктів ПДН;

· Інформаційні системи, в яких на підставі виключно автоматизованої обробки персональних даних передбачено прийняття рішень, що породжують юридичні наслідки щодо суб'єкта ПДН або іншим чином зачіпають його права та законні інтереси.

Складання моделей загроз для спеціальних ІСПДН

Стосовно основних типів інформаційних систем розроблено типові моделі загроз безпеки ПДН, що характеризують наступ різних видівнаслідків внаслідок несанкціонованого чи випадкового доступу та реалізації загрози щодо персональних даних. Усього таких моделей шість і описані вони у документі ФСТЕК «Базова модель загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних», затверджена 15 лютого 2008 року:

· типова модель загроз безпеки ПДн, що обробляються в автоматизованих робочих місцях, що не мають підключення до мереж загального користування та (або) мереж міжнародного інформаційного обміну;

· Типова модель загроз безпеки ПДН, що обробляються в автоматизованих робочих місцях, що мають підключення до мереж загального користування та (або) мереж міжнародного інформаційного обміну;

· Типова модель загроз безпеки ПДН, що обробляються в локальних ІСПДН, що не мають підключення до мереж загального користування та (або) мереж міжнародного інформаційного обміну;

· Типова модель загроз безпеки ПДН, що обробляються в локальних ІСПДН, що мають підключення до мереж загального користування та (або) мереж міжнародного інформаційного обміну;

· Типова модель загроз безпеки ПДН, що обробляються в розподілених ІСПДН, що не мають підключення до мереж загального користування та (або) мереж міжнародного інформаційного обміну;

· Типова модель загроз безпеки ПДН, що обробляються у розподілених ІСПДН, що мають підключення до мереж загального користування та (або) мереж міжнародного інформаційного обміну.

На основі базової моделі загроз і відповідно до нормативним документомФСТЕК «Методика визначення актуальних загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних», затвердженим 14 лютого 2008 р., розробляються приватні моделі загроз щодо конкретних ІСПДН. У ході такої розробки складається перелік актуальних загроз щодо конкретних інформаційних систем.

З використанням даних про клас ІСПДн та складеного переліку актуальних загроз, на основі «Рекомендацій щодо забезпечення безпеки ПДН при їх обробці в ІСПДн» та «Основних заходів з організації та технічного забезпечення безпеки ПДН, що обробляються в ІСПДн», затверджених ФСТЕК, формулюються конкретні організаційно- технічні вимоги щодо захисту інформаційних систем від витоку даних технічними каналами, від несанкціонованого доступу. Також здійснюється вибір програмних та технічних засобів захисту інформації, які можуть бути використані при створенні та подальшій експлуатації ІСПДн.

Що підлягає захисту в ІСПДн?

Для забезпечення безпеки персональних даних при їх обробці в ІСПД здійснюється захист мовної інформації та інформації, що обробляється технічними засобами, а також відомостей, представлених у вигляді інформативних електричних сигналів, фізичних полів, носіїв на паперовій, магнітній, оптичній та іншій основі, у вигляді інформаційних масивів та баз даних в ІСПДн.

Для забезпечення захисту від загроз щодо даних застосовується поняття «носій (джерело) ПДН. Дане поняття означає фізичну особу чи матеріальний об'єкт, у тому числі фізичне поле, в якому ПДн знаходить своє відображення у вигляді символів, образів, сигналів, технічних рішень та процесів, кількісних характеристик фізичних величин.

...

Подібні документи

Правове регулювання захисту персональних даних. Загальний принцип побудови відповідної системи. Розробка основних положень щодо охорони особистих документів. Підбір вимог щодо безпеки персональних даних в інформаційних системах.

дипломна робота , доданий 01.07.2011

Основи безпеки персональних даних. Класифікація загроз інформаційної безпеки персональних даних, характеристика джерел. Основи персональних даних. Контроль та керування доступом. Розробка заходів захисту персональних даних у банку.

дипломна робота , доданий 23.03.2018

Законодавчі засади захисту персональних даних. Класифікація загроз інформаційній безпеці. База персональних даних. Пристрій та загрози ЛОМ підприємства. Основні програмні та апаратні засоби захисту ПЕОМ. Базова безпекова політика.

дипломна робота , доданий 10.06.2011

Актуальність захисту інформації та персональних даних. Постановка завдання проектування. Базова модель погроз персональних даних, що обробляються в інформаційних системах. Алгоритм та блок-схема роботи програми, що реалізує метод LSB у BMP-файлах.

курсова робота , доданий 17.12.2015

Передумови створення безпеки персональних даних. Загрози інформаційної безпеки. Джерела несанкціонованого доступу до ІСПДн. Влаштування інформаційних систем персональних даних. Засоби захисту. Політика безпеки.

курсова робота , доданий 07.10.2016

Характеристика комплексу завдань та обґрунтування необхідності вдосконалення системи забезпечення інформаційної безпеки та захисту інформації на підприємстві. Розробка проекту застосування СУБД, інформаційної безпеки та захисту персональних даних.

дипломна робота , доданий 17.11.2012

Опис основних технічних рішень щодо оснащення інформаційної системи персональних даних, розташованої у приміщенні комп'ютерного класу. Підсистема антивірусного захисту. Заходи щодо підготовки до введення в дію засобів захисту інформації.

курсова робота , доданий 30.09.2013

Секретність та безпека документованої інформації. Види персональних даних, які у діяльності організації. Розвиток законодавства у сфері забезпечення їх захисту. Методи забезпечення інформаційної безпеки Російської Федерації.

презентація , доданий 15.11.2016

Класифікація інформації щодо рівня доступу до неї: відкрита та обмеженого доступу. Поняття захисту інформаційних систем, використання шифрувальних засобів. Компетенція уповноважених федеральних органів влади у сфері захисту персональних даних.

реферат, доданий 13.10.2014

Аналіз структури розподіленої інформаційної системи та оброблюваних у ній персональних даних. Вибір основних заходів та засобів для забезпечення безпеки персональних даних від актуальних загроз. Визначення витрат на створення та підтримку проекту.

Дипломна робота На тему: «Захист персональних даних в інформаційній системі організації МКУ «Молодіжний центр» МО Коренівський район

Тема цієї роботи надзвичайно актуальна в наш час, а все тому, що в нашому ХХІ столітті з'являється все більше інновацій та здібностей володіння комп'ютером. Можливостей злому систем з'являється дедалі більше. Як відомо, створення інформаційних систем (ІВ) підвищує продуктивність праці будь-якої організації (підприємства) з будь-якою формою власності. Користувачі цієї системи можуть швидко отримувати дані, необхідні виконання їхніх службових обов'язків.

Але незважаючи на багато плюсів від виробництва комп'ютерів, існує і безліч мінусів. Найпоширенішою проблемою сьогодні є те, що зловмисники з легкістю можуть отримати доступ до ваших персональних даних. Маючи доступ до різних баз даних (БД), зловмисники можуть використовувати їх для вимагання грошей, інших цінних відомостей, матеріальних цінностей та іншого.

Захист персональних даних є актуальною темою в нашій країні, оскільки законодавча база існує не так вже й багато. Але не всі фахівці, які працюють на підприємстві, знають, як захистити систему свого комп'ютера, тому на фахівців з інформаційної безпеки лягатиме не лише відповідальність за безпеку інформаційної системи, а й система навчання персоналу. Метою роботи в даний час є захист персональних даних, який стоїть на першому місці. Найчастіше зловмисників цікавлять відомості, що зберігаються у БД державних структур, таких як МВС, ФСБ та інших, а також підконтрольних їм організаціям, таких як заклади охорони здоров'я, освіти. Все частіше у ЗМІ з'являються статті на тему популярних SMS шахрайств. Адже отримавши доступ до БД який-небудь медичної організаціїзловмисник може шантажувати хворого, або його родичів, або зіпсувати йому репутацію.

Тому завданням даної дипломної роботи є розробка комплексної системи безпеки персональних даних у Відділі у справах молоді міста Коренівська, завданням якої є не тільки розробити, а й запровадити систему захисту персональних даних, а також докладно скласти шляхи вирішення для захисту інформаційних систем персональних даних. та розрахувати витрачені кошти на встановлення та захист персональних даних від зловмисників.

Предметом дослідження моєї роботи став захист персональних даних у МКУ «Молодіжний центр» Методом дослідження стало Розробка та впровадження заходів щодо захисту персональних даних у МКУ «Молодіжний центр»

Заснування МКУ «Молодіжний центр» займається розробкою, організацією молодіжних проектів, створює умови та форми підтримки молодіжних ідей та ініціатив, а також допомогу ветеранам Великої Вітчизняної війниі незаможним. Співпрацює з освітніми установами Коренівського району тощо.

У ході вивчення даної організації було встановлено, що незахищеність персональних даних у цій організації проблема досить велика, а також на всіх персональних комп'ютерахне встановлені антивірусні програми, криптографічні методи захисту інформації, бази даних перебувають у вільному доступі всім співробітників комітету без рівнів доступу.

Вирішили встановити програму створення VPN, яка є об'єднання локальних мереж та окремих комп'ютерів через відкрите зовнішнє середовище передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку циркулюючих даних

У ході роботи було здійснено купівлю міжмережевого екрану cisco asa, антивірусника web+Kaspersky, програми devicelock, яка призначена для захисту та усунення витоку інформації, xspider-програма дозволяє сканувати та шукати вразливості.

Оскільки завданням роботи було як створити, а й запровадити захищену систему персональних даних, то під час роботи було розроблено захищена локальна мережаорганізації МКУ «Молодіжний центр» МО Коренівський район, за якою в захищених каналах циркулює інформація, що стосується персональних даних, також запропоновано програмні та апаратні засоби захисту. Зокрема, було запропоновано базову політику безпеки для захисту від несанкціонованого доступу до критично важливих ресурсів. У ході впровадження, вся інформація залишається захищеною і доступ до неї має тільки кожен спеціаліст Молодіжного центру, під особистим паролем і контролем, а також начальник відділу, оскільки він має доступ переглядати дані зі свого комп'ютера, при цьому не користуючись комп'ютером фахівців, що стало набагато безпечніше та зручніше.

Категорії

Вибір редакції

III . ПРИЙОМ НА РОБОТУ

І ПЕРЕКЛАДИ НА ІНШУ РОБОТУ

V . ПІДВИЩЕННЯ КВАЛІФІКАЦІЇ

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче

Подібні документи

Пошук

Передплата

Популярні записи

Останні записи