Защита персональных данных в ОАО "Российские железные дороги"

А.С. Харчук, ст.

персональный данные правовой регулирование

В статье проводится комплексное рассмотрение вопроса защиты персональный данных в ОАО «Российские железные дороги». Авторы статьи делают выводы о недостаточности правового регулирования в рассматриваемой сфере.

Ключевые слова: персональные данные, защита, правовое регулирование, субъект, нормативно-правовое регулирование.

Annotation

The article gives a comprehensive consideration of the protection of personal data of JSC «Russian Railways». The authors draw conclusions about the lack of legal regulation in this sphere.

Keywords: personal data protection, legal regulation, subject, legal regulation.

Одним из важнейших условий реализации целей деятельности ОАО «РЖД» является обеспечение необходимого и достаточного уровня безопасности как всех информационных систем предприятия в целом, так защита персональных данных, соблюдение конфиденциальности, целостности и доступности персональных данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними. О чем более подробно и будет рассмотрено в данной статье.

Политика открытого акционерного общества «Российские железные дороги» в отношении обработки персональных данных утверждена в соответствии с п.2 ст. 18.1 Федерального закона «О персональных данных» [3] и действует в отношении всех персональных данных, которые ОАО «РЖД» может получить от субъекта персональных данных (далее- Абонент), которым может являться как сотрудник компании, так и Абонент при регистрации на портале компании, при оформлении проездного документа, либо при обращении в негосударственное здравоохранительное учреждение относящееся к ОАО «РЖД».

Компания собирает и хранит данные Абонента на основании и в соответствии со ст.23, ст. 24 Конституции Российской Федерации [1]; Федеральным законом «О персональных данных» [3]; Федеральным законом «О связи» [4], Федеральным законом «О транспортной безопасности» [5] и другими нормативно-правовыми актами. При этом обработка персональных данных может осуществляться и без согласия Абонента, что непременно оговорено в Политике ОАО «РЖД», четко регулирующей условия обработки персональных данных и их передачу третьим лицам.

В соответствии с действующим законодательством РФ разработан и введен в действие комплекс документов, которые регламентируют и обеспечивают безопасность обрабатываемых персональных данных. Введены режим безопасности обработки и обращения с персональным данными, а также режим защиты помещений, в которых осуществляется обработка и хранение носителей персональных данных.

Также назначены ответственный за организацию и обеспечение безопасности персональных данных, администраторы информационных систем персональных данныхи администратор безопасности информационных систем персональных данных, им определены обязанности, разработаны инструкции по обеспечению безопасности информации и план действий в кризисных ситуациях.

Для обеспечения безопасности персональных данных на компьютерах Компании установлена антивирусная защита и защита от вредоносного программно-математического воздействия. Предприняты необходимые технические меры от случайного или несанкционированного доступа к автоматизированным рабочим местам, информационным сетями и базам персональных данных, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

В целях безопасности регулярно осуществляется резервное копирование информации баз данных, а передача информации по сетям общего пользования осуществляется с использованием средств картографической защиты информации.

Требования к персоналу и их степень ответственности за обеспечение безопасности персональных данных четко определены. Проводится периодическое обучение работников, осуществляющих обработку персональных данных, их ознакомление с положениями законодательства Российской Федерации по обеспечению безопасности персональных данных и требованиям к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам их обработки.

В целях защиты информационных ресурсов ДВОСТ ж. д.- филиала ОАО «РЖД» от несанкционированного доступа, неправомерного их использования, создания условий, исключающих нарушение работы информационных систем и телекоммуникационных сетей дороги, защиты конфиденциальности, целостности и доступности информации при ее обработке, передаче и хранении существует ряд инструкций. Например, такие инструкции как: «Инструкция пользователя по безопасной работе на ПЭВМ»; «Инструкция по антивирусной профилактике для ПЭВМ, включенных в сеть передачи данных»; «Инструкция по действиям при обнаружении вирусных атак». А относительно работе пользователей в сети Интернет существует «Положение об использовании сети Интернет», где говорится о том, что подключение пользователей к сети Интернет должно происходить при наличии письменного обоснования потребностей в ресурсах и технической возможности. Также необходим постоянный мониторинг трафика Интернет-узла администратором безопасности данного узла.

Общий контроль за организацией доступа внешних и внутренних пользователей к информационным системам и обеспечением информационной безопасностипри осуществлении электронного обмена информацией контролируется Департаментом безопасности, отделом безопасности информационных ресурсов Главного вычислительного центра, а в зоне ответственности информационно- вычислительных центров на соответствующие региональные центры безопасности и подразделения информационной безопасности информационно- вычислительных центров.

Поговорим о безопасности персональных данных работников ОАО «РЖД».В соответствии со ст. 88 Трудового кодекса РФ [2] персональные данные, состояние здоровья работника не могут сообщаться даже правоохранительным органам без письменного согласия работника, либо в том случае если это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в других случаях, предусмотренных Трудовым кодексом и иными федеральными законами.

Личное дело работника может быть выдано правоохранительному органу лишь в рамках возбужденного уголовного дела и в соответствии с уголовно- процессуальным кодексом.

Рассмотрев защиту персональных данных на предприятии ОАО «РЖД» выделили много положительных сторон, но изучая практику, можно с уверенностью сказать, что одна из проблем в данной сфере связана с обработкой персональных данных соискателей, т.е. лиц, которые устраиваются на работу. Специальная правовая регламентация данных процедур отсутствует.

В процессе трудоустройства соискатель направляет резюме, проходит различные собеседования, проверку на профессиональные качества, психологическую проверку, а также проверку в службе безопасности. В результате данных процедур, накапливается достаточное количество персональных данных соискателей. Однако Трудовой кодекс РФ оставляет все эти продолжительные по времени и весьма интенсивные по обмену информацией процедуры за рамками правового регулирования. Закрепленное в п. 4 ст. 86 ТК РФ требование об обязательном согласии работника на обработку своих персональных данных при буквальном толковании действительно только в отношении работника, но не в отношении соискателя [2]. Формально соискатель (обозначенный в ТК РФ как лицо, поступающее на работу) попадает в сферу действия ТК РФ только при заключении трудового договора, а до этого момента его правовой статус в трудовых отношениях остается неопределенным, что не отвечает современным требованиям к уровню правовой защиты прав граждан.

Для решения данной проблемы необходимы дополнения нормами, регулирующими отношения между соискателем и работодателем, а до этого момента права соискателя на защиту персональных данных могут быть обеспечены нормами Закона о персональных данных и по аналогии - нормами ТК РФ, касающимися защиты персональных данных работников.Имеет место быть и еще одна проблема, на которую пока мало кто из специалистов обратил внимание. Дело в том, что работодатель собирает и обрабатывает персональные данные работников не только в процессе их устройства на работу, но часто еще более активно - в процессе их работы, причем сбор этих данных имеет цели, весьма отдаленно связанные с трудовой деятельностью, и работодатель не только не спрашивает согласия сотрудников на это, но часто даже не считает нужным ставить их в известность о проводимых мероприятиях. Это, например, прослушивание телефонных переговоров, установление камер видеонаблюдения, мониторинг пользования работниками сетью Интернет, проверка электронной корреспонденции и т.д.Чаще всего никто не заботится о том, чтобы поставить в известность работников обо всех этих мероприятиях, как и о том, чтобы взять у них на это письменное согласие. Впрочем, даже при наличии письменного согласия признать эти действия законными нельзя. Ведь письменное согласие может содержать порок воли, т.е. работника принуждают к даче согласия под угрозой увольнения или применения взыскания.

Собранные такими способами персональные данные будут, скорее всего, больше связаны с частной жизнью сотрудников, чем с выполняемыми ими трудовыми функциями. А это будет нарушением норм ТК РФ о запрете сбора дополнительных персональных данных работодателем (п. 5 ст. 86 ТК РФ) [2] и нарушением принципа, закрепленного в ст. 5 Закона «О персональных данных» [3], согласно которому объем, характер и способы обработки персональных данных должны соответствовать целям обработки и недопустимости сбора избыточных персональных данных.

Библиографические ссылки

1. Конституция РФ : принята всенародным голосованием 12.12.1993 г. (ред. от 21.07.2014) // Российская газета. - 1993. - 25 дек.; Собрание законодательства РФ. - 2014 - № 31. - Ст. 4398.

2. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ред. от 03.07.2016) // Собрание законодательства РФ. - 2002, N 1 (ч. 1), ст. 3; 2013. - № 52 (часть I). - Ст. 6986.

3. О персональных данных : федер. закон от 27.07.2006 г. № 152-ФЗ (ред. от 21.07.2014) // Собрание законодательства РФ. - 2006. - № 31 (1 ч.). - Ст. 3451; 2014. - № 30 (Часть I). - Ст. 4243.

4. О связи: федер. закон от 07.07.2003 г. № 126-ФЗ (ред. от 06.07.2016) // Собрание законодательства РФ. - 2003. - № 28. - Ст. 2895; 2016. - № 28. - Ст. 4558.

5. О транспортной безопасности: федер. закон от 09.02.2007 № 16-ФЗ (ред. от 06.07.2016) // Собрание законодательства РФ. - 2007. - № 7. - Ст. 837; 2016. - № 28. - Ст. 4558.

6. Поливанов Г. Всевидящее око: частная жизнь сотрудников / Г. Поливанов // Консультант. - 2012. - № 21. - С. 34 - 37.

7. Станскова У. М. Персональные данные работников / У. М. Станскова // Справочник кадровика. - 2012. - № 8. - С. 128 - 130.

8. Французова Л. Личные данные работников / Л. Французова // Кадровое дело. - 2012. - № 5. - С. 16 - 22.

Размещено на Allbest.ru