В данной статье представлена характеристика организации защиты персональных данных. Проанализированы нормативно-правовые основы работы с персональными данными в организации. Изучен вопрос о технологии защиты персональных данных в организации.
Ключевые слова: работник, защита персональных данных, конфиденциальная информация.
Государство призвано создать наилучшие условия свободного существования и развития личности. Конституцией РФ закреплены свобода поиска, получения, передачи, производства и распространения информации (ч.4 ст.29), гарантировано право на неприкосновенность частной жизни, личную, семейную тайну, тайну сообщений и запрещено распространение информации о частной жизни лица без его согласия (ст. 23–24).
Поступая на работу, гражданин представляет документы и заполняет анкеты, в которых содержатся разделы, относящиеся не только к профессиональной деятельности, но и затрагивающие аспекты частной жизни лица. Работодатель намерен получить максимальную информацию о потенциальном работнике, и не разграничивает информацию о частной жизни лица и информацию, которая характеризует лицо непосредственно как работника, то есть с точки зрения его деловых и профессиональных качеств, уровня образования или квалификации. Сложности определения степени допустимого вмешательства и пределов вторжения в частную жизнь работника затрудняют реализацию норм, определяющих порядок и условия сбора, хранения, использования и распространения соответствующей информации в трудовой сфере и зачастую приводит к правонарушениям.
Персональные данные содержатся в различных документах. Например, к числу необходимых работодателю и не подлежащих разглашению относятся:
— документы, представляемые работником при трудоустройстве (ст. 65 ТК);
— справки о состоянии здоровья, если необходимость их предоставления предусмотрена законодательством (ст. 69, 213 ТК РФ).
Обработка персональных данных должна осуществляться на законной и справедливой основе, ограничиваться достижением конкретных заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обрабатывать можно только те персональные, которые отвечают целям их обработки.
Кроме того, обработка персональных данных работников также осуществляется первичной профсоюзной организацией, научными, научно-техническими советами, различными комиссиями и другими специально созданными в организации органами. Деятельность этих подразделений и их специалистов регламентируются положением о нем и инструкциями. Охрана интересов работников по защите их данных в каждом подразделении достигается путем соблюдения двух групп требований: первая направлена на использование сведений о работнике в соответствии с теми целями, для которых они были сообщены (п. 3 ст.88 ТК РФ); и вторая — соблюдение требований о передаче информации о работниках иным подразделениям и третьей стороне (пп. 2, 5 ст. 88 ТК РФ). Кадровые службы координируют деятельность иных подразделений по указанным вопросам.
Работодатель в локальных нормативных актах определяет круг лиц, имеющих право на получение персональных данных работников, основания их получения, порядок их хранения и условия, обеспечивающие сохранность данных, сроки пользования этой информацией, периодичность ее обновления.
Действующее законодательство не предусматривает конкретных требований к оборудованию помещений, где должны храниться персональные данные. Во избежание несанкционированного доступа помещения следует оборудовать сейфами и запирающимися шкафами, обладающими хотя бы минимальной взломостойкостью, для хранения информации на бумажных носителях. При этом хранить в одном сейфе (шкафу) документы, деньги и другие материальные ценности запрещается.
Работодатель при приеме на работу до заключения трудового договора знакомит работника под роспись с локальными нормативными актами, коллективным договором (ч.3 ст.68 ТК).
В этой связи нужно обратить внимание, что федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», установлены жёсткие требования к защите и обработке персональных данных. Обработка персональных данных работников в большом объёме осуществляется в каждой организации, которое, как предусмотрено федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», обязаны принять меры по защите персональных данных. В свою очередь данные меры предусматривают, прежде всего, создание достаточно большого количества локальных нормативных актов предприятия.
- Статья 21 ФЗ № 152 возлагает на работодателя обязанность по блокированию обработки персональных данных работников в случае:
1) Выявления фактов неправомерной обработки персональных данных — в течение 3 дней проводится проверка по факту неправомерной обработки и прекращается обработка; в течение 10 дней уничтожаются неправомерно обрабатываемые персональные данные.
2) Выявления неточных персональных данных — обработка блокируется, в течение 7 рабочих дней уточняются данные, после чего продолжается обработка (снята блокирование).
3) В случае окончания сроков обработки персональных данных и невозможности их уничтожения (на срок не более 6 месяцев). Решение о блокировании оформляется приказом с обоснованием причин невозможности уничтожения персональных данных.
Прекратить обработку персональных данных работника работодатель обязан в случаях:
— достижения цели обработки персональных данных работника (ч.4 ст. 21 Закона о персональных данных);
— в случае отзыва работником согласия на обработку данных (ч.5 ст.21).
Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных.
В соответствии с п. 3 ст. 86 ТК РФ все персональные данные о работнике следует получать у него самого или у третьей стороны (если они содержатся только у нее) с предварительного письменного согласия работника на получение этих сведений. В частности, работодатель, осуществляющий расследование дисциплинарного проступка, с точки зрения судов не вправе запрашивать информацию о работнике у третьих лиц без согласия на это самого работника. То есть, эта охранительная норма позволяет работнику знать, какие данные о его личности имеются у работодателя. Негласный сбор информации о работнике не допускается.
На современном этапе происходит модернизация европейского законодательства в области защиты персональных данных, которая направлена на усиление региональной интеграции. В частности, разрабатывается проект модернизации основополагающего документа Совета Европы — «Конвенции о защите физических лиц при автоматизированной обработке персональных данных».
Кроме того, в настоящее время Евросоюзом рассматривается проект нового закона прямого действия о защите персональных данных (взамен Директив, которые реализовывались посредством адаптации и включения их положений в национальное законодательство). Он включает требование к организациям об уведомлении об утечках персональных данных в течение 24 часов.
Нарушающим закон компаниям будет грозить штраф в размере до 4 % от их мирового оборота. Закон установит единый набор правил для европейский компаний и компаний за пределами Европы, если они будут предлагать свои услуги в Евросоюзе.
1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13- ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.
При создании системы защиты персональных данных в организациях, на современном этапе развития в РФ, можно выделить следующие последовательные этапы:
− выяснить и определить все случаи, когда необходимо проводить обработку персональных данных в организации;
− определить совокупность обрабатываемых персональных данных и круг информационных систем;
− подготовить действующую модель угроз для информационной системы обработки персональных данных;
− разработать техническое задание по созданию необходимой системы защиты;
− подать заявку на получение экземпляров руководящих документов в Федеральную службу по техническому и экспортному контролю России по организации системы защиты персональных данных;
− разработать требования для конкретной системы обработки персональных данных, учитывая класс защиты информационной системы;
− для защиты информационной системы обработки персональных данных и помещений подготовить технический проект;
− для документов в информационной системе защиты персональных данных (регламенты, приказы, положения, инструкции) разработать пакет организационно-распорядительные документы;
− провести внедрение системы защиты персональных данных;
− с субъектов персональных данных взять согласие на обработку персональных данных;
− провести контрольные мероприятия по выявлению нарушений защиты персональных данных; физическому или юридическому лицу иностранного государства, при передаче оператором персональных данных через государственную границу Российской Федерации органу власти иностранного государства, проверить находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.
В случае необходимости может привлекаться организация для выбора и реализации методов и способов защиты информации в информационной системе обработки персональных данных, имеющая лицензию на осуществление деятельности по технической защите конфиденциальной информации оформленную в установленном законом порядке.
Применение законодательства о защите персональных данных зачастую происходит таким образом, что фактически создаются препятствия для реализации прав, гарантированных другими законодательными актами — прежде всего, права на доступ к информации, необходимой для реализации прав конкретного лица. При рассмотрении дел об оценке правомерности отказов в предоставлении информации суды иногда очень своеобразно и не всегда последовательно определяют, какая информация затрагивает права заявителя непосредственно и поэтому должна быть предоставлена несмотря на содержащиеся в ней персональные данные, а в каких случаях защита персональных данных не позволяет предоставить эту информацию.
Так, при проведении конкурса на замещение должности государственной службы суд признал за соискателем должности право получить возможность ознакомиться с протоколом заседания конкурсной комиссии, определяющим уровень профессиональной подготовки победившего кандидата. При этом в рамках самой процедуры конкурса на замещение публичной должности (главы муниципального образования) истребование характеристики на одного из претендентов с прежнего места работы — органа внутренних дел — было признано судом незаконным. Положения законодательства об административных правонарушениях трактуются в судебной практике как предоставляющие абсолютное право лицу, в отношении которого ведется производство, знакомиться со всеми материалами дела, в том числе с заявлением гражданина, инициировавшего это производство. Суды не принимают во внимание опасность преследований со стороны лица, в отношении которого ведется производство.
Применение системы защиты информации является не обязательным для всех типов информационных систем обработки персональных данных. Выбор системы защиты информации необходимо осуществлять, учитывая, что конечный набор мер для защиты персональных данных должен отвечать требованиям, предъявляемым к информационной системе обработки персональных данных соответствующего класса, определение которых приведено в Приказе ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Зарегистрировано в Минюсте России 14.05.2013 № 28375) (ред. от 23.03.2017).
В соответствии с Указом Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» осуществляется подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно телекоммуникационным сетям международного информационного» (ред. от 22.05.2015).
В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки персональных данных, организационной структуры и других особенностей конкретной организации.
Технические меры связаны с внедрением технических средств охраны, программных средств защиты информации на электронных носителях и др.
Трудовой кодекс (ст. 89) закрепляет основные права работника по защите данных: получение полной информации о своей личной информации; бесплатный доступ к ней; изменение и исключение неполных или недостоверных данных; обжалование в суде или Роскомнадзор неправомерных действий работодателя связанных с персональными данными.
Таким образом, для системы защиты персональных данных информационная система обработки персональных данных выбирается в зависимости от класса информационной системы с учетом: угроз безопасности персональным данным; структуры информационной системы; наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа (реализуются функции управления доступом, регистрации и учета); обеспечения целостности защиты персональных данных; анализа защищенности персональных данных; обеспечения безопасного межсетевого взаимодействия; обнаружения вторжений.
Система защиты персональных данных включает в себя меры организационного и технического характера, которые определяются с учетом актуальных угроз безопасности для персональных данных и информационных технологий, используемых в системе обработки информации организации.
Литература:
1. Всеобщая декларация прав человека: принята Генеральной Ассамблеей ООН 10 декабря 1948 г. // Российская газета. — 10 декабря 1998 г. — № 325.
2. Международный пакт о гражданских и политических правах: принят Генеральной Ассамблеей ООН 16 декабря 1966 г. // Ведомости Верховного Совета СССР. — 1976. — № 17. — Ст. 291.
3. Конституция Российской Федерации. (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 21.07.2014 № 11-ФКЗ)
4. Об информации, информатизации и защите информации: Федеральный закон от 20 февраля 1995 г. № 24-ФЗ (утратил силу)
5. О персональных данных: федеральный закон 2006 г. № 152-ФЗ (в ред. от 31.12.2017 г.)
6. Трудовой кодекс Российской Федерации: федеральный закон от 30.12.2001 № 197-ФЗ (ред. от 02.08.2019)
7. О внесении изменений в отдельные законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и ФЗ «О персональных данных»: ФЗ от 07.05.2013 № 99- ФЗ (ред. от 28.12.2013) // Собрание законодательства РФ. 2013. № 19. Ст. 2326.
8. Гражданский кодекс Российской Федерации (часть первая): федеральный закон от 30.11.1994 № 51-ФЗ (ред. от 18.07.2019) (с изм. и доп., вступ. в силу с 01.10.2019)
9. Абаев, Ф. А. Понятие, правовая природа персональных данных / Ф. А. Абаев // Право и государство: теория и практика. 2014. № 3. — С.126–131.
10. Борисов М. А. Особенности защиты персональных данных в трудовых отношениях. М.: Книжный дом «ЛИБРОКОМ», 2013.
11. Бурдов, С. Н. К вопросу о возможностях совершенствования нормативно-правового режима конфиденциальной информации / С. Н. Бурдов // Государство и право. 2015. № 5. — С. 103–105.
12. Исакова, Л. В. Международно-правовое регулирование защиты персональных данных работников / Л. В. Исакова, К. Е. Статуева // Экономика и право: Новый университет. 2015. № 4(50). — С. 93–95.
13. Тихомиров Ю. А. Единое экономическое пространство: проблема соотношения международно-правовых и национально-правовых регуляторов // Евразийская интеграция в XXI в. / Под ред. Климова Е. Н., Лексина В. Н., Швецова А. Н. — М., 2012.
14. Решение Свердловского районного суда города Белгорода от 30.03.2011 по делу № 2–941/2011
15. Апелляционное определение судебной коллегии по гражданским делам Свердловского областного суда от 25.09.2012 по делу № 33–11387/2012
