Размещено на http://www.allbest.ru/

Оглавление

ВВЕДЕНИЕ

Глава 1. НОРМАТИВНО-ПРАВОВЫЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1Сущность понятия «персональные данные»

1.2Российское законодательство об обработке и защите персональных данных

1.3Международное законодательство о персональных данных

Глава 2. ОСОБЕННОСТИ ФУНКЦИОНИРОВАНИЯ КАДРОВЫХ АГЕНТСТВ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В НИХ

2.1Кадровые агентства, типы КА

2.2Рекрутинг как вид деятельности

2.3Рынок рекрутинговых услуг крупнейших развитых стран

2.3.1Кадровые агентства Великобритании

2.3.2Рекрутинговые агентства США

2.3.3Кадровые агентства Германии

2.4Алгоритм подбора персонала в КА

2.5Потоки информации в КА в аспекте ПДн

Глава 3. ОБЕСПЕЧЕНИЕ БЕЗОПСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КАДРОВОМ АГЕНТСТВЕ

3.1Построение модели ИСПДн кадрового агентства

3.2Положение об обработке персональных данных

3.3Положение об обеспечении безопасноти персональных данных в ИСПДн кадрового агентства

3.4Разработка модели угроз для ИСПДн кадрового агентства

3.5 Разработка технического задания на создание системы защиты ПДн



ВВЕДЕНИЕ

Цель работы- разработка мер по обеспечению безопасности персональных данных в кадровом агентстве.

Задачи:

1. Анализ существующей нормативно-правовой базы по персональным данным.

2. Анализ деятельности кадровых агентств, рекрутинга как сферы деятельности.

3. Выявление потоков персональных данных в кадровом агентстве

4. Проектирование модели ИСПДн кадрового агентства

5. Разработка рекомендаций по составлению основных документов, необходимых для защиты персональных данных, для кадрового агентства.



Глава 1. НОРМАТИВНО-ПРАВОВЫЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1Сущность понятия «персональные данные»

В первом разделе работы логично разобраться в сущности понятия «персональные данные». Это необходимо, прежде всего, для того, чтобы в дальнейшем иметь ясное представление о предмете, на обеспечение безопасности которого направлены предлагаемые в следующих частях работы меры.

Персональные данные представляют собой данные, содержащие информацию о частной жизни живого индивида (субъекта данных), который может быть идентифицирован на основании этой информации (или с помощью этой и иной информации).

Вообще говоря о появлении понятия «персональные данные» в российской правовой науке, следует отметить, что многие специалисты давали неоднократно схожие определения персональных данных. Приведем некоторые примеры. Так, определение О.Б. Просветовой гласит: «персональные данные - это сведения о фактах, событиях, и обстоятельствах жизни физического лица, его семьи, а также позволяющие отождествить их с конкретным индивидом и отражающие особенности последнего по отношению к другим людям (обществу)».

Можно также привести в качестве примера определение, сформулированное одним из наиболее авторитетных специалистов в области информационного права В.Н. Лопатиным: «...персональные данные - информация (зафиксированная на любом носителе) о конкретном человеке, которая отождествляется или может быть отождествлена с ним».

Однако, несмотря на разнообразие определений, все специалисты при определении персональных данных указывали в качестве базовых критериев следующие:

Во-первых, персональные данные являются информацией, т.е. одной из разновидностей информации

Во-вторых, еще одним критерием выделения "персональных данных" в качестве особого рода информации можно считать ее связь с индивидом - субъектом персональных данных.

В большинстве случаев она отражена как "идентификация" или "возможность идентификации" субъекта как необходимого критерия или признака персональных данных, как это указано у А.А. Фатьянова. В.Н. Лопатин, давая свое определение, использует термин "отождествление", или "возможность отождествления", субъекта с информацией.

Так или иначе, можно сделать вывод о том, что здесь идет речь о некой связи между субъектом и данными, что и делает их в полной мере "персональными". Однако использование только критерия "идентификации" ("определенности", "тождественности") и аналогичных ему синонимов можно назвать не совсем удачным, учитывая, что процесс идентификации (отождествления, определения личности) в качестве критерия разграничения персональных данных от других категорий сведений неизбежно приведет к множеству споров о возможности или невозможности установить лицо на основании той или иной совокупности сведений о нем. О.Б. Просветова также придерживается мнения о нецелесообразности сужения значения персональных данных лишь к сведениям, позволяющим идентификацию личности, что, по ее мнению, не соответствует ст. 24 Конституции, которая охватывает все сведения о частной жизни лица.

Если обратиться к Директиве Европейского парламента и Совета ЕС 95/46/EC, точнее к ст. 2 этой Директивы, можно заметить, что персональные данные рассматриваются как "информация о конкретном определенном или определяемом индивиде ("субъекте данных"); определяемым является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности". Следовательно, персональные данные - это данные, которые связаны с индивидом - субъектом данных и содержат в себе информацию о его уникальных, индивидуальных особенностях или конкретное указание на принадлежность их ему.

Исходя из вышесказанного, можно примерно определить перечень персональных данных, которые могут быть связаны с конкретным человеком: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию). Как видно, перечень персональных данных достаточно велик, и некоторые из них позволяют идентифицировать человека напрямую, другие же позволяют сделать это косвенным образом, но, тем не менее, относятся к числу персональных данных субъекта.

Важно также отметить, что персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.

Можно выделить следующие категории персональных данных:

· общедоступные персональные данные, доступ к которым неограниченного круга лиц предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. К разряду общедоступных персональных данных могут быть отнесены: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии субъекта персональных данных. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

· биометрические персональные данные, характеризующие физиологические особенности человека и на основе которых можно установить его личность;

· персональные данные специальной категории, включающие в свой состав данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.

Таким образом, в данном разделе работы было рассмотрено определение понятия «персональные данные», на основании анализа различных определений выявлены критерии отнесения сведений к персональным данным, приведены существующие категории персональных данных и определен примерный перечень возможных персональных данных субъекта.

1.2Российское законодательство об обработке и защите персональных данных

персональный данные кадровый рекрутинг защита

В данном разделе предполагается краткий обзор российского законодательства, регламентирующего вопросы обработки и защиты персональных данных.

Начать этот обзор логично было бы с Конституции Российской Федерации как основного закона РФ. Конституция РФ (статья 23 и 24) устанавливает право гражданина России на защиту персональных данных и право защищать их.

Статья 23

“1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения”.

Право на неприкосновенность частной жизни означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера.

Право на частную жизнь гарантируется такими конституционными и иными правовыми установлениями, как неприкосновенность жилища (ст. 25 Конституции), возможность беспрепятственного общения с другими людьми посредством почты, телеграфа, телефона и других средств коммуникации, право распоряжаться семейным бюджетом, личной и частной собственностью, денежными вкладами, тайна которых гарантируется законом. Исключения из этого общего правила могут предусматриваться лишь федеральными законами.

Теперь рассмотрим статью 24 Конституции РФ:

“1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом”.

В нашей стране проблема защиты прав личности при работе с информацией о гражданах (персональными данными) до последнего времени не считалась актуальной. Изменение концептуальных подходов ко многим явлениям жизни нашего общества, и прежде всего к их гуманитарной стороне, коснулось и охраны прав граждан, в том числе защиты личности от несанкционированного сбора персональных данных, от злоупотреблений, возможных при сборе, обработке и распространении информации персонального характера.

Конституция в качестве обязательного условия сбора, хранения, использования и распространения информации о частной жизни лица устанавливает согласие этого лица. Конституционная норма не связывает защиту информации о частной жизни с гражданством лица, поэтому можно сделать вывод, что на территории Российской Федерации такая защита предоставляется любому человеку независимо от того, является он гражданином Российской Федерации или нет.

Норма Конституции сформулирована широко, что обязывает всех соблюдать установленный порядок сбора, хранения, использования и распространения информации о частной жизни лица. Эта обязанность возлагается не только на государственные органы власти и управления, предприятия и организации, но и на коммерческие и общественные организации и предприятия, а также на граждан.

Часть 1 ст. 24 устанавливает общее правило, которое действует в границах пользования правами и свободами, установленными ч. 3 ст. 55 Конституции. Так, не требуется согласия лица на сбор, хранение, использование и распространение сведений о нем при проведении следствия, дознания, оперативно-розыскных мероприятий. В случае нарушения конституционного права личности на соблюдение порядка сбора, хранения, использования и распространения информации персонального характера заинтересованное лицо вправе обратиться за защитой в судебные органы.

Далее необходимо обратиться к Трудовому кодексу Российской Федерации. ТК РФ стал первым кодифицированным актом, имеющим в своей структуре соответствующую специальную главу, посвященную персональным данным(Глава14).

Согласно ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. По сути это означает, что круг сведений и вид информации, которые составляют персональные данные работника, следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством

В ТК РФ предпринята попытка назвать некоторые из сведений, которые работодатель не вправе истребовать от работника: о его политических, религиозных и иных убеждениях, частной жизни; а также сведения, которые могут быть истребованы только в случаях, предусмотренных федеральным законом: о членстве в общественных объединениях или профсоюзной деятельности (пп. 4, 5 ч. 1 ст. 86 ТК). Как можно заметить, перечень сведений весьма невелик, более того, в ТК РФ не даны квалифицирующие признаки персональных данных, которые могут быть объектом защиты; оценочный признак «необходимые работодателю в связи с трудовыми отношениями и касающиеся конкретного работника» носит слишком общий характер и вызывает неоднозначные толкования. В в законодательстве большинства европейских стран в составе персональных данных выделяется специальная категория «уязвимые данные», или «деликатные сведения». Есть они и в Федеральном законе «О персональных данных» (ст. 10 «Специальные категории персональных данных»). Они во многом аналогичны сведениям, определенным в пп. 4, 5 ч. 1 ст. 86 ТК РФ, но более детализированны (расовая и национальная принадлежность, религиозные, философские, политические убеждения, интимная жизнь, состояние здоровья и др.). Их обработка не допускается иначе как с письменного согласия субъекта персональных данных и только в ряде исключительных случаев (ч. 2 ст. 10). В Нидерландах даже был принят специальный Декрет об особо уязвимых сведениях (1993 г.). Соответственно, ограничивается или запрещается сбор и обработка информации «деликатного» характера. В Великобритании не допускается, за рядом исключений, сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работника, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам -- прежде чем вступить в контакт с прежним предпринимателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

Сведения, относящиеся к частной жизни работника и входящие в его персональные данные, могут быть разделены на три группы.

1. Сведения, необходимые работодателю и получаемые им от работника или с его согласия в соответствии с ТК РФ и федеральными законами. Это касается наличия инвалидности и профессиональных заболеваний, имущественном и семейном положении и др. Типичными примерами являются следующие. Согласно Федеральному Закону от 25 июля 1998 г. «О государственной дактилоскопической регистрации в РФ»27 работники военизированных и некоторых иных видов государственной службы, а также персонал некоторых организаций обязаны пройти дактилоскопическую регистрацию (ст. 9). В силу ст. 214 ТК РФ работник обязан немедленно извещать своего непосредственного или вышестоящего руководителя об ухудшении состояния своего здоровья, в том числе о появлении признаков острого профессионального заболевания (отравления). Такие требования установлены как в целях защиты прав самого работника, так и безопасности окружающих его людей и производства. Кроме того, работодателю разрешено запрашивать сведения о состоянии здоровья работника, которые относятся к вопросу о возможности выполнения работником трудовой функции (абз. 6 ч. 1 ст. 88 ТК).

2. Сведения, предоставляемые работником по своей инициативе, если они необходимы для получения льгот, гарантий и компенсаций. Это касается, например, матерей-одиночек, беременных, усыновителей, опекунов и др. Если работник -- член профсоюза увольняется по п. 2, 3 или 5, ч. 1 ст. 81, то требуется учет мотивированного мнения выборного органа первичной профсоюзной организации (ст. 373 ТК РФ). Из этого следует, что работник сам извещает работодателя о членстве в профсоюзе, если желает воспользоваться правом на защиту трудовых прав профессиональным союзом.

3. Сведения, которые не могут быть, по общему правилу, истребованы работодателем. Они касаются политических, религиозных или иных убеждений, членства в общественных объединениях и профсоюзной деятельности, а также частной жизни (ст. 86 ТК РФ). Исключения из этого правила могут быть предусмотрены только федеральными законами. Например, Закон РФ от 26 июня 1992 г. «О статусе судей в РФ»28 запрещает принадлежность судей к политическим партиям и движениям, что делает получение сведений об их беспартийности законным.

Персональные данные работника должны быть получены и обработаны законным образом на основании ТК РФ и иных федеральных законов. Особенности обработки персональных данных могут устанавливаться только федеральными законами и иными нормативными правовыми актами РФ (ст. 4 ФЗ «О персональных данных»).

Классификацию персональных данных можно провести по различным основаниям. Наиболее юридически значимыми представляются:

1) по стадии получения:

а) представляемые работником при приеме на работу, перечень которых установлен ТК РФ (ст. 65);

б) получаемые работодателем в период трудовой деятельности работника (сведения из личного дела, сведения, содержащиеся в приказах, характеристиках, аттестациях и др.); в) сведения о работнике, хранящиеся у работодателя после прекращения трудовых отношений;

2) по специфике содержания: а) объективные документальные данные (об образовании, разряде, прохождении стажировки и др.); б) оценочные данные (материалы характеристики, аттестационных комиссий и др.);

3) по источнику получения: а) полученные от самого работника, что составляет общее правило. Работодатель должен все без исключения данные от работника получать у него самого. Порядок получения согласия субъекта персональных данных (в нашем случае -- работника) определен ст. 9 ФЗ «О персональных данных». Перечень сведений, которые работник обязан сообщить при поступлении на работу, определяется ТК РФ (ст. 65) и может дополняться только федеральными законами, указами Президента РФ, постановлениями Правительства РФ29; б) полученные от других лиц, что требует, по общему правилу, письменного согласия работника; в) формируемые самим работодателем в течение трудовой деятельности работника (размер заработной платы, поощрения и дисциплинарные взыскания, профессиональная подготовка и переподготовка и др.).

В ТК РФ довольно полно регламентируется правовой механизм (процедура) реализации защиты персональных данных на этапах получения, хранения и использования персональных данных, в том числе при их передаче иным лицам. Таким образом, можно констатировать, что между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, о которых говорилось выше, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность предоставить такую информацию, которая должна быть полной и достоверной.

Согласно ТК РФ (ст. 86) порядок обработки персональных данных, а также права и обязанности работников регламентируются локальными нормативными актами, с которыми работники и их представители должны быть ознакомлены под расписку. Вышеизложенные подходы к характеристике персональных данных работника и глава 14 ТК РФ позволяют обосновать следующие принципы защиты персональных данных работника.

1. Конфиденциальность получаемых персональных данных, ограничение доступа к ним иных лиц. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности.

2. Достоверность и полнота персональной информации, а равно запрет включения в персональные данные недостоверных фактов и информации, полученной не от работника или от иных лиц без его письменного согласия, если это не предусмотрено федеральным законом. Работник вправе требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения. Работник вправе предъявлять требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях (ст. 89 ТК РФ).

3. Целевой характер персональной информации, законность целей и способов ее обработки и добросовестность. Согласно ТК РФ (ст. 86) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

4. Свободный доступ работника к своим персональным данным и право на полную информацию о них, а равно запрет работодателю объединять созданные для несовместимых между собой целей баз персональных данных, недопустимость создания информационных ресурсов персонального характера, закрытых или ограниченных в доступе для работника, кроме случаев, предусмотренных федеральным законом.

5. Гарантированность субъективных прав работника, связанных с защитой его персональных данных. Государственные органы, работодатели обязаны соблюдать эти права. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии с указанием ст. 90 ТК РФ, несут дисциплинарную, административную (ст. 13.11 и 13.14 КоАП РФ), гражданско-правовую (ст. 277 ТК РФ для руководителя организации, ст. 1100 ГК РФ) или уголовную ответственность (137, 138 УК РФ). Наряду с дисциплинарной ответственностью по ТК РФ (пп. «в» п. 6 ч. 1 ст. 81, ст. 192) в качестве одного из оснований наступления полной материальной ответственности работников, имеющих в связи с должностными обязанностями доступ к персональным данным работников, может быть разглашение сведений, составляющих служебную тайну (ст. 243). Работник вправе обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

Согласно ТК РФ (ст. 86) работодатели, работники и их представители должны совместно выработать меры защиты персональных данных работников. Работник вправе определять своих представителей для защиты своих персональных данных (ст. 89 ТК). Таким образом, права работников в целях обеспечения защиты персональных данных гарантируются не только индивидуальными способами защиты, но и коллективными с участием представителей работников.

Говоря о правовом регулировании вопросов, связанных с защитой и обработкой персональных данных, конечно же, необходимо рассмотреть федеральный закон №152-ФЗ « О персональных данных». Этот закон был принят 27.07.2006..

Данный Закон стал основой организационно-правовой системы, обеспечивающей реализацию конституционных прав человека на неприкосновенность частной жизни, личную и семейную тайну и ограничение сбора, хранения, использования и распространения его персональных данных.

В законе приводится определение ряда понятий, касающихся обработки персональных данных, оперировать которыми предполагается в данной работе. В связи с этим необходимо привести эти определения. Итак:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 5 Закона «О персональных данных» устанавливает принципы обработки персональных данных. Рассмотрим подробнее эти принципы.

Во-первых, персональные данные должны собираться и использоваться законно и добросовестно. Эта норма говорит о том, что персональные данные должны быть собраны и использованы в соответствии с законодательством РФ и только с согласия субъекта персональных данных, но за исключением случаев, четко оговоренных в ч. 2 ст. 6 Закона, когда такое согласие не требуется. Согласие на обработку своих персональных данных субъект персональных данных должен дать в письменной форме; содержание этого документа четко установлено в п. 4 статьи 9 Закона.

Во-вторых, заранее четко определенные цели использования персональных данных не должны изменяться. Персональные данные не могут собираться и использоваться для иных целей, о которых субъект,

давший письменное согласие на обработку своих данных, не был заранее информирован (п. 2 ч. 1 ст. 5).

В-третьих, объем, характер и способы обрабатываемых персональных данных должны соответствовать целям обработки персональных данных. Эта норма направлена на исключение ситуаций, когда при сборе персональных данных пытаются получить иную персональную информации, выходящую за рамки объявленных целей.

В-четвертых, персональные данные должны быть достоверными, а объем собираемой персональной информации должен быть оправдан целями ее сбора. Объем собираемых персональных данных не должен быть избыточным, если это не соответствует определенным и законным целям. При этом, если обнаружено, что были допущены ошибки и персональные данные неточны, субъекту персональных данных принадлежит право внести необходимые изменения (п. 3 ст. 20).

В-пятых, Закон запрещает объединение персональных данных в единую информационную систему персональных данных, которые были собраны операторами персональных данных для разных целей.

В-шестых, хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Условия обработки персональных данных закреплены в статье 6 Федерального закона от 27 июля 2006г. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением ряда случаев,которые предусмотрены данным законом. К числу таких случаев относятся:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

При обработке персональных данных в вышеперечисленных случаях согласие субъекта персональных данных не требуется.

Также как цель, принципы и условия, права субъекта персональных данных и обязанности оператора составляют основу Закона «О персональных данных». Субъект персональных данных обладает следующими правами: право на доступ к своим персональным данным; право требовать от оператора уточнения своих персональных данных, а также их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; имеет право принимать предусмотренные Законом меры по защите вышеуказанных прав; а также запретительные права относительно использования персональных данных и т.д. В случае нарушения прав субъекта персональных данных, он может обжаловать действия или бездействия в Уполномоченный орган по защите персональных данных или в судебном порядке.

Однако практика применения закона выявила несколько групп проблем: правовые, организационные и финансовые.

Проблемы правового характера возникли в связи с неоднозначностью положений Закона, которые по-разному трактуются государственными регуляторами и операторами, требуют конкретизации, уточнений и разъяснений. В частности, это относится к конкретизации понятия «персональные данные», месте персональных данных в системе информации ограниченного доступа, противоречиям между федеральными законами и др.

Организационные проблемы связаны с ограниченным ресурсом уполномоченного органа по защите прав субъектов персональных данных, что не позволяет ему выполнять функции надзора в полном объеме.

Финансовые проблемы связаны, прежде всего, с тем, что при внесении Правительством РФ в Государственную Думу проекта Федерального закона «О персональных данных» затраты на реализацию Закона из средств федерального бюджета не предусматривались. Тем не менее, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований ФСТЭК и ФСБ по обеспечению безопасности обработки персональных данных требует резкого увеличения расходов из бюджетов всех уровней, которые не планировались.

Говоря о нормативно-правовой базе,регламентирующей обработку и защиту персональных данных, следует упомянуть и федеральный закон «Об информации, информационных технологиях и защите информации», закрепляющий принцип неприкосновенности частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

В числе законов, регулирующих работу с персональными данными, можно также назвать такие законы, как

Закон «Об архивном деле в Российской Федерации» (Ст. 25),закон «Об оперативно-розыскной деятельности»(Ст. 3, 5, 9, 12, 21 ), Закон «О средствах массовой информации»( Ст. 41,43,46,51,57),Налоговый кодекс РФ (ст. 84) и ряд других законов.

Так, законом «Об архивном деле в Российской Федерации» ограничивается доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, на срок 75 лет со дня создания указанных документов. Ограничения доступа к такой информации могут быть отменены ранее, чем через 75 лет после создания этих документов, только после получения письменного разрешения самого гражданина, а в случае смерти гражданина -- его наследников.

Также существует достаточное количество других документов, посвященных обработке персональных данных. Вот лишь некоторые из них:

с Приказ ФСТЭК от 5.02.2010 №58 Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных

с Приказ ФСТЭК, ФСБ, Мининформсвязи 13.02.08 г. N 55/86/20 (утверждающий порядок проведения классификации информационных систем персональных данных

с Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»

с Постановление Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

с Указ Президента РФ №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;

Как видно из всего вышесказанного, нормативно-правовая база РФ в области обработки персональных данных достаточно обширна. Многие законы и иные нормативные акты содержат статьи, так или иначе касающиеся вопросов, связанных с персональными данными. Однако базовым документом в области обработки и защиты персональных данных все же следует считать закон «О персональных данных», целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Данный законодательный документ является основой для формирования требований по защите персональных данных в организации.

1.3Международное законодательство о персональных данных

Неприкосновенность частной жизни впервые обрела правовую регламентацию на международном уровне в 1948 г. в ст. 12 Всеобщей декларации прав человека: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». В дальнейшем это право получило воплощение в Международном пакте о гражданских и политических правах (ст. 17), Европейской конвенции о защите прав человека и основных свобод (ст. 8), Американской конвенции о правах человека (ст. 11), Конвенции Содружества Независимых Государств о правах и основных свободах человека (ст. 9).

Отношения, связанные с передачей персональных данных и защитой неприкосновенности частной жизни, подлежат правовому регулированию национальными и международными нормами. Во многих европейских странах, а также в США и Канаде для охраны и защиты права на неприкосновенность частной жизни в условиях автоматической обработки данных о гражданах около 30 лет назад был введен институт защиты персональных данных, были приняты национальные законы о персональных данных, а в ряде стран введены независимые уполномоченные по защите этих данных.

Европейская конвенция о защите прав человека и основных свобод гарантирует как право на неприкосновенность частной жизни (ст. 8), так и право на информацию (ст. 10), т. е. потенциально «противоречащие» права. В связи с острой потребностью их совмещенного урегулирования, обеспечения одинакового для государств уровня защиты, а также в связи с тем, что увеличивающееся использование автоматизированной обработки персональных данных за последние несколько десятилетий усилило риск незаконного использования персональных данных и облегчило их передачу между странами с большими различиями в уровне защиты персональных данных, в 1981 г. была принята Конвенция о защите индивидов в связи с автоматической обработкой персональных данных.³

Следует также здесь отметить Декларацию о праве доступа к информации, включенную в комплекс документов Европейского Союза, принятых в Маастрихте в феврале 1992 г., и Директиву 95/46/СЕ, принятую Европейским Парламентом и Советом Европы, «О защите физических лиц в условиях автоматической обработки данных и о свободном обращении этих данных» (24 сентября 1995 г.). Эти документы предусматривают, что на основе существующей договоренности стран Европейского Союза должны быть приняты «необходимые для выполнения данной директивы юридические, регламентные и административные меры». Так, ст. 1 Директивы 95/46/СЕ предписывает государствам-участникам «защищать фундаментальные права и свободы физических лиц и в особенности их право на секретность в отношении автоматически- обрабатываемых персональных данных». В соответствии со ст. 32 Директивы закрепленный ею правовой режим персональной информации обязателен для всех стран, входящих в Европейский Союз. Директива 96/9/СЕ «О юридической защите баз данных» от 11 марта 1996 г. распространила правовой режим защиты автоматически обрабатываемой персональной информации на данные, собираемые и обрабатываемые вручную.⁴

Конвенция о защите индивидов в связи с автоматической обработкой персональных данных устанавливает требования, предъявляемые к самим персональным данным, определяет принципы справедливого и законного сбора и использования данных. Согласно ст. 2 Конвенции под «персональными данными» понимается любая информация, относящаяся к идентифицируемому лицу. Персональные данные должны быть получены добросовестным и законным путем; они не должны использоваться для целей, не совместимых с теми, для которых были собраны; они должны быть относящимися к делу, полными, но не избыточными с точки зрения тех целей, для которых они накапливаются; они должны храниться в форме, позволяющей идентифицировать субъекта данных, однако не дольше, чем этого требует цель их использования (ст. 5 Конвенции). Из содержания ст. 5 Конвенции, которую можно назвать краеугольным камнем всей системы защиты информации, следует, что доступ к информации и последующая обработка ее должны проводиться на основании принципа потребности в осведомленности, где потребность выступает в таком виде, в каком она определена законом. Таким образом, любая информация частного характера является защищенной, и ее разглашение или допуск к ней может осуществляться только на основе принципа потребности в осведомленности. Еще один принцип гласит, что персональные данные о национальной принадлежности, политических взглядах, религиозных или иных убеждениях, а также данные, касающиеся здоровья или сексуальной жизни, могут подвергаться компьютерной обработке только в тех случаях, когда правопорядок предусматривает твердые гарантии их конфиденциальности (ст. 6). Эта Конвенция в главе II «Основные принципы защиты данных» прямо указывает на необходимость создания особого режима правовой защиты для «высокочувствительных» данных.⁵

Для того чтобы стать участником Конвенции о защите индивидов в связи с автоматической обработкой персональных данных 1981 г., государство должно гарантировать, что его национальное законодательство содержит эти основные принципы, связанные с персональными данными каждого индивида на их территории (ст. 4). Российская Федерация как член Совета Европы после ратификации Конвенции № 108 будет обязана выполнить это требование (т. е. принять принцип особого режима правовой защиты «высокочувствительных» данных), так же как и требование ст. 7, обязывающее страны-участницы принимать надлежащие меры для обеспечения безопасности хранящихся персональных данных от случайного или несанкционированного уничтожения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения (принципы безопасности данных).

Конвенция предусматривает следующие гарантии для субъектов данных: 1) предоставление любому лицу права быть осведомленным о существовании базы персональных данных и о ее главных целях, а также о ее юридическом адресе; 2) предоставление возможности периодически и без лишних затрат времени или средств обращаться с запросом о том, накапливаются ли в базе данных его персональные данные, и получать информацию о таких данных в доступной форме; 3) требовать изменения или уничтожения данных, которые не соответствуют перечисленным в ст. 5, 6 критериям; 4) прибегнуть к судебной защите нарушенного права, если его запрос либо требование о доступе к его персональным данным, уточнении или уничтожении данных не были удовлетворены (ст. 8). Изъятие из этих положений Конвенции допускается лишь тогда, когда оно прямо предусмотрено законом и представляет собой необходимую в демократическом обществе меру для охраны государственной и общественной безопасности, финансовых интересов государства или для пресечения преступлений, а также для защиты субъекта данных прав или прав и свобод других лиц (ст. 9).

Комитетом министров государств -- членов Совета Европы были приняты также специальные Рекомендации, касающиеся использования и защиты персональных данных в разных областях жизнедеятельности общества и государства: медицины (1981); научных исследований и статистики (1983); маркетинга (1985); социального обеспечения (1986); в секторе полиции (1987); занятости (1989); в отношениях, связанных с финансовыми выплатами и сделками (1990); в отношениях, связанных с передачей данных третьим лицам (1991); в сфере защиты персональных данных в области телесвязи, специфических телефонных услуг (1995); защиты медицинских и генетических данных (1997); защиты персональных данных при сборе и обработке в статистических целях (1997). Эти акты устанавливают основные принципы сбора, хранения, использования и распространения информации персонального характера, которые рекомендуется включать в национальное законодательство в области защиты персональных данных. Российское законодательство пока не регулирует способы сбора персональных данных, которые обозначены в Конвенции Совета Европы и Рекомендациях.

Вопросы новых информационных технологий до сих пор рассматривались преимущественно с точки зрения развития коммуникаций, электронной торговли и свободного потока информации. Но эти факторы влияют и на безопасность и неприкосновенность частной жизни личности. Хранение персональных данных для различных целей связано и с риском нарушения неприкосновенности. В связи с этим Комитет министров Совета Европы разработал Рекомендацию NR (99) 5, содержащую Руководящие принципы защиты неприкосновенности частной жизни в Интернете.⁶ В этой Рекомендации, в частности, говорится, что уважение частной жизни является фундаментальным правом каждого индивида, которое может быть защищено также законодательством о защите персональных данных. Рекомендуется использовать юридически доступный шифр для конфиденциальной электронной почты, пароли, быть осторожными с кредитными карточками и номерами счетов, используемыми в Интернете, поскольку ими можно легко злоупотребить. Отмечается, что анонимный доступ (который в силу правовых ограничений не может быть полным) к предлагаемым в Интернете услугам является лучшей защитой частной жизни.

Право на неприкосновенность частной жизни должно реализовываться и в сфере биомедицины, к которой относятся не только проблемы, возникающие там и тогда, где и когда человек выступает как пациент, взаимодействующий прежде всего с врачом, но и шире -- со службами здравоохранения в целом.⁷ В Конвенции о защите прав и достоинства человека в связи с использованием достижений биологии и медицины: Конвенции о правах человека и биомедицине 1997 г.⁸ в ст. 10 предусмотрено: «1. Каждый человек имеет право на уважение его частной жизни в том, что касается информации о его или ее здоровье. 2. Каждому человеку предоставляется право ознакомиться со всей собранной информацией о его или ее здоровье. Однако желание индивидов не быть информированным об этом должно соблюдаться. 3. В исключительных случаях в интересах пациента законодательством могут быть предусмотрены ограничения на осуществление прав, указанных в § 2». К сожалению, в России до настоящего времени значимость прав человека в сфере биомедицины осознается недостаточно, хотя, стоит заметить, ситуация очень быстро меняется. В сфере биомедицинской практики реализуется и право на сохранение телесной и психологической целостности человека -- одного из аспектов права на неприкосновенность частной жизни.

Запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия закрепляется в конституционных актах государств. Интересную и наиболее полную, по сравнению с другими конституциями, формулировку содержит Конституция Португальской Республики: «1. Все граждане имеют право знать информацию о себе, занесенную в электронные картотеки и реестры, и о целях, для которых она предназначена, причем они могут требовать обновления информации и внесения в нее изменений без ущерба для положений закона о государственной тайне и о судебной тайне. 2. Запрещен доступ к электронным картотекам и реестрам для получения персональных данных о третьих лицах, если только это не делается в исключительных случаях, предусмотренных законом. 3. Информация не может быть использована для разглашения сведений, относящихся к философским или политическим убеждениям, партийному или профсоюзному членству, вероисповеданию или частной жизни, за исключением случаев обработки статистических данных, имеющих анонимный характер. 4. Закон определяет понятие персональных данных для целей электронной регистрации, а также баз и банков данных и соответствующие условия их создания, доступа к ним и использования публичными и частными организациями. 5. Запрещается присваивать гражданам единственный в национальном масштабе номер. 6. Закон определяет режим движения данных через границы, устанавливая формы, обеспечивающие защиту персональных и иных данных, охрана которых находится в сфере национальных интересов» (ст. 35).⁹ Стоит отметить, что в конституциях многих стран предусматривается недопустимость распространения сведений о частной жизни лица без его согласия.