Реферат Особенности обеспечения безопасности персональных данных в органах государственной власти
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
Министерство по делам молодёжи Удмуртской Республики
Экзаменационная (реферативная) работа
тема: «Особенности обеспечения безопасности персональных данных в органах государственной власти»
выполнил:
ведущий специалист –эксперт отдела Иванов И.В.
гражданско-патриотического воспитания
г. Ижевск 2010
Содержание
Введение | 3 |
1. Персональные данные госслужащих и их защита в трудовых правоотношениях | 4 |
2. Защита персональных данных. Основные мероприятия. | 8 |
2.1 Основные требования по защите персональных данных | 8 |
2.2 Алгоритм действий оператора персональных данных обеспечивающих защиту персональных данных в соответствии с требованиями законодательства | 8 |
2.3 Способы минимизации затрат на создание системы защиты персональных данных. | 10 |
2.4 Подача уведомления в уполномоченный орган | 11 |
2.5 Организационные меры защиты персональных данных | 12 |
2.6 Техническая защита персональных данных | 12 |
3. Ответственность за разглашение персональных данных | 13 |
Заключение | 16 |
Список литературы | 17 |
Введение
В XXI веке у человечества появляется все больше новых объектов, нуждающихся в защите путем закрепления соответствующих норм в законе. Основной объект на сегодняшний день – это информация. В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность.
В виду вышесказанного, законодательными актами как в России, так и зарубежных стран предусматривают немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.
Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Ст.2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью». Соответственно и информация, непосредственно затрагивающая частные интересы человека должны уважаться и защищаться государством.
В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно – работодателю. Работник в данной ситуации передает конфиденциальную информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.
Цель этой работы заключается в рассмотрении трудовых отношений в сфере защиты персональных данных госслужащего. Рассматривается порядок работы с конфиденциальными сведениями о работнике, способы их защиты, а также ответственность работодателя за невыполнение обязательств по обеспечению сохранности персональных данных.
Ниже приведены термины, закреплённые в Федеральном законе № 152 «О персональных данных»
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ФЗ 152 ст.3.1).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ 152 ст.3.2).
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ 152 ст.3).
Персональные данные госслужащих и их защита в трудовых правоотношениях
Персональные данные работников являются конфиденциальной информацией и передача их третьим лицам должна производиться с соблюдением определенных требований, закрепленных в ст. 88 Трудового кодекса РФ.
Институт защиты персональных данных работника, в том числе госслужащего, введен в трудовое право сравнительно недавно с принятием нового Трудового кодекса Российской Федерации, вступившего в действие с 1 февраля 2002 г. Одним из оснований введения института защиты персональных данных госслужащего являются международно-правовые договоры.
Так, в ст. 12 Всеобщей декларации прав и свобод человека от 10 декабря 1948 г. закреплено важное положение о том, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь или незаконным посягательствам на его честь и репутацию и что каждый имеет право на защиту от такого вмешательства или таких посягательств.
В соответствии с п. 1 ст. 8 Конвенции от 4 ноября 1950 г. "О защите прав человека и основных свобод" каждый имеет право на уважение его личной и семейной жизни, жилища, корреспонденции. Этот принцип закреплен также в п. 1 ст. 9 Конвенции Содружества Независимых Государств от 26 мая 1995 г. "О правах и основных свободах человека", ратифицированной Федеральным законом от 4 ноября 1995 г.
Принцип уважения частной жизни установлен Декларацией прав и свобод человека и гражданина, принятой Верховным Советом РСФСР 22 ноября 1991 г., и Конституцией Российской Федерации.
Декларация регламентирует право каждого работника на неприкосновенность его частной жизни, тайну переписки, телефонных переговоров, телеграфных и иных сообщений.
В силу ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Статья 85 Трудового кодекса Российской Федерации содержит определение двух новых для трудового права понятий: "персональные данные работника" и "обработка персональных данных работника".
Персональные данные работника (в т.ч. и госслужащего) - это прежде всего информация, которая касается конкретного работника и которая необходима работодателю в связи с трудовыми отношениями. Следовательно, среди всей информации, касающейся конкретного работника, к персональным данным можно отнести только такую информацию, которая необходима работодателю в связи с трудовыми отношениями.
В силу ст. 65 Трудового кодекса РФ такой информацией являются:
- личные данные государственного гражданского служащего;
- сведения о трудовом стаже государственного гражданского служащего;
- сведения об образовании, квалификации, о наличии специальных знаний;
- сведения о состоянии здоровья;
- персональные данные;
- сведения, отраженные в документах воинского учета.
Однако к такой информации могут относиться иные сведения, содержащиеся в личном деле работника, такие, например, как сведения о переводах, о профессиональном росте, профессиональной карьере госслужащего, повышении его квалификации; профессиональной подготовке, переподготовке, приобретении им другой специальности, квалификации; сведения об аттестации, конкурсных испытаниях, иная информация, которая непосредственно касается госслужащего и которая может быть отнесена к разряду конфиденциальной.
Исходя из смысла ч. 6 ст. 89 Трудового кодекса РФ, можно сделать вывод, что персональные данные госслужащего могут быть двух видов:
- данные, представляющие собой факты, которые не подлежат субъективной оценке, например специальность государственного гражданского госслужащего, приобретенная им в результате окончания какого-либо учебного заведения;
- данные оценочного характера, которые могут, в частности, содержаться в характеристике, заключении аттестационной комиссии, других документах.
На основании положений Федерального закона от 20 февраля 1995 г. "Об информации, информатизации и защите информации" можно некоторым образом определить круг сведений, которые являются персональными данными государственного гражданского служащего.
В соответствии со ст. 2 Закона от 20 февраля 1995 г. к персональным данным госслужащего можно отнести:
- документированную информацию, например приказ о переводе на другую работу, об установлении различного рода гарантий и компенсаций;
- информацию о гражданах, например сведения, сообщенные работником работодателю при приеме на работу, а также в процессе осуществления своей трудовой деятельности.
По смыслу ст. 88 Трудового кодекса такая информация относится к разряду конфиденциальной.
Понятие "обработка персональных данных", содержащееся в ч. 2 ст. 85 Трудового кодекса РФ, представляет собой совокупность отношений, возникающих в процессе:
- формирования информационных ресурсов на основе получения, хранения, комбинирования, документирования информации о конкретном работнике в порядке, предусмотренном ст. 86 Трудового кодекса РФ;
- использование отдельных документов, а также иной информации, составляющих персональные данные госслужащего, хранящихся у работодателя, путем передачи их другим лицам с учетом требований, предъявляемых ст. 88 Трудового кодекса РФ или любым другим способом, не противоречащим требованиям действующего законодательства; путем предоставления работнику свободного и бесплатного доступа к своим персональным данным в соответствии со ст. 89 Трудового кодекса РФ.
Как уже отмечено выше, институт защиты персональных данных госслужащего включает в себя понятие "обработка его персональных данных". Статья 86 Трудового кодекса РФ закрепила следующие требования:
обработка персональных данных госслужащего может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия госслужащему в трудоустройстве, обучении и продвижении по службе, обеспечении личной безопасности госслужащего, контроля количества и качества выполняемой работы и обеспечение сохранности имущества;
при определении объема и содержания обрабатываемых персональных данных государственного гражданского служащего работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами;
все персональные данные государственного гражданского служащего следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то госслужащий должен быть уведомлен об этом заранее и на это должно быть получено письменное согласие. Работодатель должен сообщить госслужащему о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа госслужащего дать письменное согласие на их получение;
работодатель не имеет права получать и обрабатывать персональные данные госслужащего о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
работодатель не имеет права получать и обрабатывать персональные данные госслужащего о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
при принятии решений, затрагивающих интересы госслужащего, работодатель не имеет права основываться на персональных данных госслужащего, полученных исключительно в результате их автоматизированной обработки или электронного получения;
защита персональных данных госслужащего от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств, в порядке, установленном федеральным законом;
госслужащие и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных госслужащего, а также об их правах и обязанностях в этой области;
государственные гражданские служащие не должны отказываться от своих прав на сохранение и защиту тайны;
работодатели и госслужащие должны совместно выбирать меры защиты персональных данных госслужащих.
К сожалению, процедура обработки персональных данных госслужащего в законе не определена.
Персональные данные госслужащего являются конфиденциальной информацией, и передача их третьим лицам должна производиться с соблюдением следующих требований, закрепленных в ст. 88 Трудового кодекса РФ:
- не сообщать персональные данные госслужащего третьей стороне без письменного согласия госслужащего, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью госслужащего, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные госслужащего в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные госслужащего о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получающие персональные данные госслужащего, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными госслужащего в порядке, установленном федеральным законом;
- осуществлять передачу персональных данных госслужащего в пределах одной организации в соответствии с локальным нормативным актом организации, с которым госслужащий должен быть ознакомлен под расписку;
- разрешить доступ к персональным данным госслужащего только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные госслужащего, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья госслужащего за исключением тех сведений, которые относятся к вопросу о возможности выполнения госслужащим трудовых функций;
- передавать персональные данные госслужащего представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными госслужащего, которые необходимы для выполнения указанными представителями их функций.
В целях обеспечения защиты персональных данных, хранящихся у работодателя, госслужащие имеют право на:
- полную информацию об их персональных данных и обработке этих данных;
- свободный и бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные госслужащего, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе работодателя исключить или исправить персональные данные госслужащего, он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера госслужащий имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные госслужащего, обо всех произведенных в них исключениях, исправлениях и дополнениях;
- обжалование в суд любых неправомерных действий или бездействий работодателя при обработке и защите его персональных данных.
В трудовом законодательстве устанавливается и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
Однако эта норма - ст. 90 Трудового кодекса РФ носит отсылочный (бланкетный) характер и может быть предметом отдельного рассмотрения.
Защита персональных данных. Основные мероприятия.
2.1 Основные требования по защите персональных данных
Защита персональных данных в себя включает:
Федеральный закон № 152 «О персональных данных» предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании
установлен предельный срок выполнения требований для информационных систем ПДн, созданных до дня вступления в силу Закона «О персональных данных» - 01.01.2011 года
вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных»
за неисполнение требований предусмотрены различные виды ответственности
перечень организационных и технических мероприятий:
- уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных
- разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)
- создание системы защиты персональных данных, в т.ч. выполнение требований по инженерно-технической защите помещений
- аттестация информационных систем персональных данных (далее –ИСПДН) (аттестация или декларирование соответствия ИСПДн требованиям безопасности информации)
- повышение квалификации сотрудников в области защиты персональных данных.
2.2 Алгоритм действий оператора персональных данных обеспечивающих защиту персональных данных в соответствии с требованиями законодательства
Сначала нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов госоргана (оператора персональных данных):
2.2.1 Установка перечня персональных данных, обрабатываемых оператором
В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то специфика деятельности органов госвласти подразумевает под собой более широкий список персональных данных используемых в работе.
Также нужно определить цели обработки персональных данных, сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.
2.2.2 Способы обработки персональных данных
Обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.
Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в Постановлении Правительства РФ № 687 от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.
Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) (например, система бухгалтерского учета, система кадрового учета, различные базы данных).
2.2.3 Определение состава и объема обрабатываемых персональных данных
В зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.п.) определяется категория, к которой они относятся (согласно Приказу ФСТЭК России ФСБ России Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. №55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"):
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
Установить объем персональных данных (количество субъектов ПДн), обрабатываемых в каждой информационной системе ПДн:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
2.2.4 Провести предварительную классификацию информационных систем ПДн
Информационные системы ПДн делятся на:
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
На основании данных, полученных в предыдущих пунктах, провести предварительную классификацию «типовых» информационных систем ПДн. Классификация ИСПДн осуществляется в соответствии с таблицей 1, рекомендованной регуляторами:
Таблица 1
| До 1 000 субъектов ПДн | 1 000 — 100 000 субъектов ПДн | Более 100 000 субъектов ПДн |
Категория ПДн | Класс системы | ||
4 | К4 | К4 | К4 |
3 | К3 | К3 | К2 |
2 | К3 | К2 | К1 |
1 | К1 | К1 | К1 |
В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.
2.2.5 Полученные результаты и способы защиты персональных данных
После проведения предварительного анализа информационных ресурсов можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), определить масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных».
2.3 Способы минимизации затрат на создание системы защиты персональных данных.
При классификации информационной системы ПДн (ИСПДн) как «специальная» возможно снижение затрат на создание системы защиты ПДн. Классификация «специальной» системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, что дает возможность в каждом конкретном случае обоснованно выбрать минимальное количество актуальных угроз, от которых требуется защитить персональные данные.
При разработке требований к системе защиты персональных данных (СЗПДн) проводится логическое структурирование, основанное на анализе возможности сегментирования и (или) объединения ИСПДн. Такой подход позволяет выбрать оптимальное количество ИСПДн в соответствии с процессами обработки ПДн.
Разработка требований с учётом возможностей инфраструктуры оператора, при этом максимально используются штатные средства ОС, СУБД и механизмов обеспечения ИБ корпоративной информационной системы
2.4 Подача уведомления в уполномоченный орган
Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:
если оператор обрабатывает персональные данные граждан, которых связывают с оператором трудовые отношения;
при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора;
если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
если персональные данные являются общедоступными;
если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
если персональные данные необходимы для однократного пропуска на территорию оператора;
персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
персональные данные обрабатываются без использования средств автоматизации.
Во всех остальных случаях оператор обязан подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления госорган регистрируется в реестре операторов, осуществляющих обработку персональных данных.
Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения оператора; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных.
Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
2.5 Организационные меры защиты персональных данных
Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации:
Организационные меры по защите персональных данных включают в себя:
разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
Положение об обработке персональных данных;
Положение по защите персональных данных;
Регламент взаимодействия с субъектами персональных данных;
Регламент взаимодействия при передаче персональных данных третьим лицам;
Инструкции администраторов безопасности персональных данных;
Инструкции пользователей по работе с персональными данными;
перечень мероприятий по защите персональных данных:
определение круга лиц, допущенного к обработке персональных данных;
организация доступа в помещения, где осуществляется обработка ПДн;
разработка должностных инструкций по работе с персональными данными;
установление персональной ответственности за нарушения правил обработки ПДн;
определение продолжительности хранения ПДн и т.д.
Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.
2.6 Техническая защита персональных данных
Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов оператора.
Технические средства защиты информации делятся на два основных класса:
средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).
На основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования), далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн).
Ответственность за разглашение персональных данных
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут юридическую ответственность (ст. 90 ТК РФ). Юридическая ответственность указанных лиц предусмотрена за виновное поведение, которое проявляется в их действиях или бездействии.
Так, в соответствии с п. 3 ст. 24 Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» ответственность за незаконное ограничение доступа к информации и нарушение режима защиты информации несут руководители и другие служащие органов государственной власти, организаций при наличии их вины в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.
Дисциплинарная ответственность устанавливается в связи с совершением работником (в том числе руководителями, служащими, должностными лицами) дисциплинарного проступка, по правилам, установленным ТК РФ (а для отдельных категорий работников федеральными законами, уставами и положениями о дисциплине).
В соответствии со ст. 14 Федерального закона от 31 июля 1995 г. «Об основах государственной службы в Российской Федерации» на государственного служащего возложена обязанность соблюдать установленный порядок работы со служебной информацией, хранить государственную и иную охраняемую законом тайну, а также не разглашать ставшие ему известными в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан. За неисполнение (ненадлежащее исполнение) государственным служащим возложенных на него обязанностей к нему могут применяться дисциплинарные взыскания, несколько отличные от видов дисциплинарных взысканий, установленных ст. 192 ТК РФ. К ним, в частности, относятся: замечание, выговор, строгий выговор, предупреждение о неполном служебном соответствии, увольнение. Помимо этого, за разглашение конфиденциальных сведений, содержащихся в личных делах лиц, замещающих государственные должности РФ в порядке назначения и государственные должности федеральной государственной службы, а также за иные нарушения порядка ведения личных дел, установленного п. 7 Указом Президента РФ от 1 июня 1998 г. «О порядке ведения личных дел лиц, замещающих государственные должности Российской Федерации в порядке назначения и государственные должности федеральной государственной службы», виновные в этом федеральные государственные служащие, уполномоченные на ведение и хранение личных дел (формирование их копий) указанных выше лиц, могут привлекаться к дисциплинарной или иной ответственности.
Наряду с дисциплинарной ответственностью работники, виновные в разглашении сведений, составляющих служебную, коммерческую или иную тайну, могут привлекаться к материальной ответственности. Одним из оснований наступления полной материальной ответственности работника, предусмотренных федеральными законами, является разглашение им сведений, составляющих охраняемую законом служебную, коммерческую или иную тайну (ст. 90 ТК РФ).
Гражданско-правовая ответственность в соответствии с требованием п. 2 ст. 139 ГК РФ установлена за причинение убытков в результате получения незаконными методами информации, составляющей служебную и коммерческую тайну. Виновные в этом лица обязаны возместить причиненные убытки по правилам, определяемым гражданским законодательством. Аналогичная ответственность предусмотрена в отношении работников, виновных в разглашении служебной или коммерческой тайны, если трудовым договором предусмотрена соответствующая обязанность о неразглашении определенных сведений, вопреки трудовому договору.
Административная ответственность за нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных работника, установлена Кодексом Российской Федерации об административных правонарушениях, принятым Государственной Думой 20 декабря 2001 г., одобренным Советом Федерации 26 декабря 2001 г.
В силу ст. 13.11 КоАП РФ за нарушение установленного законом порядка сбора, хранения и использования или распространения информации о гражданах (персональных данных) предусмотрена административная ответственность в виде предупреждения или наложения административного штрафа в размере от трех до пяти минимальных размеров оплаты труда в отношении граждан;
— в отношении совершения аналогичных виновных действий должностными лицами размер административного штрафа составляет от пяти до десяти минимальных размеров оплаты труда;
— юридические лица несут административную ответственность в размере от пятидесяти до ста минимальных размеров оплаты труда.
В соответствии со ст. 13.14 КоАП РФ разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда. Такая ответственность наступает за разглашение информации, доступ к которой ограничен только федеральным законом. Поэтому за разглашение информации, доступ к которой ограничен иными нормативными правовыми актами, например локальными нормативными актами, административная ответственность, установленная требованием ст. 13.14 КоАП РФ, не может быть применена.
Административная ответственность в виде предупреждения и наложения административного штрафа предусмотрена ст. 13.20 КоАП РФ в отношении граждан и должностных лиц за нарушение правил хранения, комплектования, учета и использования архивных документов.
Уголовная ответственность предусмотрена ст. 137 УК РФ1. Согласно ч. 1 указанной статьи, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан, наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. В соответствии с ч. 2 ст. 137 УК РФ те же деяния, совершенные лицом с использованием служебного положения, наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Заключение
Таким образом, проанализировав ситуацию по поводу защиты персональных данных государственного гражданского служащего, можно сделать следующие выводы.
Личная тайна работника охраняется законом на самом высоком уровне. Законодательство РФ предусматривает практически все необходимые нормы для защиты этой категории правоотношений.
Существует несложный, но трудоемкий алгоритм проведения мероприятий по обеспечению защиты персональных данных.
Санкции, предусмотренные за нарушение законодательства по защите персональных данных, достаточно адекватны и соответствуют мере правонарушения.
Большое значение имеет то, как работодатель относится к конституционным правам своих работников. Ведь только руководство в состоянии вести непрерывный контроль за соблюдением установленного порядка осуществления защиты персональных данных работников.
Список литературы
Конституция Российской Федерации от 12 декабря 1993 года;
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. №197-ФЗ (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г.);
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. №195-ФЗ;
Федеральный закон №24-ФЗ «Об информации, информатизации и защите информации» от 20.02.1995 г. (СЗ РФ. 1995. №8.);
Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006 г.
Перечень сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. №188)
Персональные данные госслужащих и их защита в трудовых правоотношениях,
В.Седов, К. ф. н., доцент кафедры гражданско-правовых дисциплин юридического факультета Владимирского государственного педагогического университета, «Кадровик. Трудовое право для кадровика», 2007, №11.