Правовые меры по защите персональных данных кадровой службы

Размещено на http://www.allbest.ru/

Оглавление

Введение

1. Общие понятия о защите персональных данных

1.1 Нормативная база о защите персональных данных

1.2 Органы, регулирующие деятельность в сфере обработки персональных данных

1.3 Защита персональных данных в кадровой службе

2. Ответственность за нарушение правил работы с персональными данными

2.1 Дисциплинарная ответственность

2.2 Административная ответственность

2.3 Уголовная ответственность

3. Разработка документа, регламентирующего работу с персональными данными

3.1 Разработка Положения по обеспечению защиты персональных данных работников в Администрации г. Братска

3.2 Разрешительная система доступа к документам, содержащим персональные данные

Заключение

Список использованных источников и литературы

Введение

Актуальность темы исследования определяется особой значимостью отдельной группы основных прав и свобод личности, спецификой которых является направленность на обеспечение таких важных аспектов частной жизни каждого человека, как тайна, приватная информация, различные сведения о частной жизни человека.

Согласно ст. 2 Конституции Российской Федерации 1993 г., человек, его права и свободы являются высшей ценностью, а их признание, соблюдение и защита - обязанность государства Конституция Российской Федерации. // СПС Консультант Плюс Версия Проф.. Признание приоритета прав и свобод человека и гражданина влечет и признание совершенно иной, новой роли государства по отношению к личности - именно государство существует для человека, основной целью органов государственной власти является защита основных прав и свобод человека. Вместе с тем, возложение на государство обязанности по защите прав и свобод человека и гражданина требует четкого законодательного урегулирования отношений между личностью и государством.

В свою очередь, государство, понимая важность и ценность информации о человеке, а, также заботясь о соблюдении прав своих граждан, требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области персональных данных (ПДн), кроме Конституции РФ, основывается на международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. №152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника - в средство мщения, в руках инсайдера - товар для продажи конкуренту и т.д. Именно поэтому персональные данные нуждаются в самой серьезной защите.

Необходимость принятия мер по защите персональных данных вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.

Объектом исследования настоящей курсовой работы выступает - кадровая служба администрации города Братска, предметом - организация работы с персональными данными работников и ее защита.

Целью исследования является комплексное теоретико-правовое изучение системы защиты персональных данных кадровой службы согласно Федеральному закону №152 «О персональных данных» и разработка регламента работы кадровой службы.

В связи с поставленной целью необходимо решить следующие задачи:

- изучить нормативную базу о защите персональных данных;

- рассмотреть органы, регулирующие деятельность в сфере обработки персональных данных;

- определить виды и меры ответственности за нарушение правил работы с персональными данными;

- разработать инструкции по организации работы по защите персональных данных муниципальных служащих администрации города Братска.

В процессе написания курсовой работы был использован ряд нормативно-правовых актов, законов и указов, в частности, Федеральный закон №152 «О персональных данных» и Федеральный закон №25 «О муниципальной службе в Российской Федерации», также литература авторов А.В. Спивак, Е.К. Волчинская, А.Б. Веселова, Э.А. Цадыкова, И.М. Хужокова и другие.

Структурно курсовая работа состоит из введения, трех глав, объединяющих восемь параграфов, заключения и библиографического списка.

1. Общие понятия о защите персональных данных

1.1 Нормативная база о защите персональных данных

Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона "О персональных данных", Указ Президента РФ "О перечне сведений конфиденциального характера" и другие акты. Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Основные понятия, используемые в Законе «О персональных данных»

Персональные данные - В соответствии с формулировкой, представленной в Законе, персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, адрес, год, месяц, дата и место рождения, социальное, семейное, имущественное положение, профессия, образование, доходы, другая информация.

Оператор персональных данных - Операторами персональных данных являются: государственный орган или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных (ПДн), а также определяющие цели и содержание обработки персональных данных»

Обработка персональных данных - Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение персональных данных.

Федеральный закон «О персональных данных» (ФЗ №152 «О персональных данных») - нормативный правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 г. Согласно изменениям внесённым ФЗ 363 от 27.12.2009 Операторы персональных данных должны привести свои системы обработки персональных данных запущенные до 1 января 2010 года в соответствие с законом до 1 января 2011 года.

Целью закона является защита прав и свобод человека при обработке его персональных данных.

Принятие данного федерального закона явилось триггером в создании правовых условий для защиты прав субъектов персональных данных в РФ.

В соответствии с законом №152 «О персональных данных», в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в т.ч. фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных. Действие Закона не распространяется на отношения, возникающие при:

1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3. обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПДн должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд бюрократических действий:

1. Направить уведомление об обработке персональных данных (ФЗ 152 Статья 22 п. 3)

2. Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (ФЗ 152 Статья 9 п. 4) Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 г. №149-ФЗ. // СПС Консультант Плюс Версия Проф..

1.2 Органы, регулирующие деятельность в сфере обработки персональных данных

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановило утвердить Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных.

Документ предписывает Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением. Постановление Правительства РФ от 17.11.2007 г №781.

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

Россвязькомнадзор (федеральная служба по надзору в сфере связи и массовых коммуникаций) - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства.

ФСТЭК России (федеральная служба по техническому и экспортному контролю) - устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий.

ФСБ РФ (Федеральная служба безопасности РФ) - устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу использования криптографических средств защиты информации) О персональных данных: Федеральный закон от 27.07.2006 г. №152-ФЗ. // СПС Консультант Плюс Версия Проф..

В результате увидели свет следующие документы:

Методические материалы ФСТЭК

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 года.

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 года.

Приказ ФСТЭК России о методах и способах защиты информации в системах персональных данных

Приказ ФСТЭК от 5 февраля 2010 г. №58 Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных. Документ подписал директор ФСТЭК С. Григоров 5 февраля 2010 года. В отличие от четырех методических документов ФСТЭК, данный документ является нормативно-правовым актом. Документ зарегистрирован в Минюсте РФ 19 февраля 2010 г., опубликован 5 марта 2010 г. в "Российской газете" (№46), начал действовать с 16 марта 2010 г.

Методические материалы ФСБ России

В соответствии со статьей 8 Федерального закона от 3 апреля 1995 г. №40-ФЗ «О федеральной службе безопасности», одним из направлений деятельности органов ФСБ является обеспечение информационной безопасности.

Обеспечение информационной безопасности - деятельность органов ФСБ, осуществляемая ими в пределах своих полномочий:

- при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств;

- при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в России и её учреждениях, находящихся за пределами России.

- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21 февраля 2008 года.

- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 21 февраля 2008 года.

В соответствии с положениями федерального закона от 27.12.2009 г. №363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных», вступившего в силу 29.12.2009 года, в законе №152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПД шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путем организации криптографической защиты данных, перестали носить обязательный характер.

1.3 Защита персональных данных в кадровой службе

В соответствии с требованиями главы 14 Трудового кодекса процесс защиты персональных данных в кадровой службе должен быть строго регламентирован. Именно регламентация организационных форм и технологии документирования, обработка персональных данных и неукоснительное соблюдение всеми руководителями и работниками этих требований лежат в основе обеспечения надежной защиты персональных данных и, следовательно, обеспечения реальных прав и свобод граждан в трудовой сфере.

Каждый сотрудник фирмы должен быть индивидуально письменно информирован о предполагаемых фактах использования его персональных данных при документировании функций кадровой службы, ведении отчетной и отчетно-справочной работы службы. Наиболее правильно подобную информацию включать в трудовой договор с работником, т.к. одноразовые получения разрешений будут отнимать много времени. Работник имеет право не разрешить использовать свои персональные данные.

Порядок работы с кадровой документацией должен в полном объеме соответствовать требованиям обращения с конфиденциальными документами.

Для реализации положения о личной ответственности работников кадровой службы за доверенные им персональные данные и документы первым руководителем фирмы должен быть издан приказ о закреплении за каждым работником этой службы определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях.

Одновременно должна быть утверждена схема доступа работников службы и руководящего состава фирмы, структурных подразделений к кадровым документам, установлены формы ответственности перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных Служба кадров. // Е. Степанов доц. Гос. ун-та управления. ? 2003. ? №1..

Под особым контролем должны находиться операции по проставлению в трудовых книжках, на справках и других документах печатей и штампов. Целесообразно, чтобы эти операции производились только руководителем кадровой службы, т.ч. в противном случае может возникнуть опасность несанкционированного использования печатей и штампов. Одновременно руководитель службы контролирует правильность оформления документов.

Чистые бланки справок подлежат обязательному учету. Они хранятся у руководителя кадровой службы и выдаются в дневной норме работнику, выдающему справки. По окончании приемных часов этот работник отчитывается перед руководителем службы об израсходованных бланках справок и сдает ему оставшиеся чистыми и испорченные бланки. Проставлять печати и штампы, а иногда и росписи на чистых бланках документов категорически запрещается.

При автоматизированной обработке кадровой информации не рекомендуется данную систему (связанные автоматизированные рабочие места кадровой службы) включать в локальную сеть фирмы.

В кадровой службе локальная сеть (или единичные компьютеры) должна быть снабжена необходимыми средствами программно-аппаратной и криптографической защиты информации, регламентирована жесткой системой разграничения доступа работников службы к обрабатываемой и хранимой информации. В локальную сеть может быть включена рабочая станция (автоматизированное рабочее место) первого руководителя фирмы.

Дела, папки с документами, картотеки, машиночитаемые документы, учетные журналы и книги учета хранятся в кадровой службе в рабочее и нерабочее время в металлических постоянно запертых шкафах. У каждого работника должен быть свой шкаф для хранения закрепленных за ним массивов документов. Трудовые книжки хранятся в сейфе руководителя кадровой службы, там же хранятся печати, штампы, бланки документов, ключи от рабочих шкафов работников Служба кадров // Е. Степанов доц. Гос. ун-та управления. ? 2003. ? №1..

Кадровая служба фирмы должна иметь минимально три смежных помещения: комнату для работников службы, кабинет руководителя службы и помещение, в котором размещаются шкафы и сейфы для документов, дел и картотек. Вход в кадровую службу может быть только один. Для ожидающих приема посетителей целесообразно выделить дополнительное помещение за пределами основных помещений службы.

Помещение для размещения шкафов может не иметь окон и оборудуется эффективными техническими средствами пожаротушения. Помещения, шкафы с документацией кадровой службы и компьютеры обеспечиваются охранной сигнализацией. Входная дверь кадровой службы должна быть двойной металлической, окна защищаются решетками. Если кадровая служба использует в работе компьютеры, то помещения службы должны быть оборудованы средствами защиты от технической разведки.

По окончании рабочего дня все двери (в том числе внутренние) запираются на надежные замки и опечатываются личной печатью руководителя кадровой службы. Электропитание помещений кадровой службы отключается на центральном щите в помещении охраны фирмы. Ключи от дверей в опечатанном руководителем службы пенале сдаются работнику охраны под роспись в специальном журнале. Оттиск печати обычно делается на пластилине, в специальной выемке, чтобы печать невозможно было снять острым предметом и затем восстановить.

Одновременно включается и проверяется надежность средств охранной сигнализации.

Сдача под охрану и вскрытие помещений кадровой службы разрешаются только ее руководителю, а в исключительных случаях - заместителю первого руководителя, отвечающему за работу с персоналом. Перед вскрытием проверяется сохранность и номера печатей, целостность замков и контрольного шнурка (нити).

При обнаружении каких-либо попыток проникновения в помещение оно не вскрывается. Составляется акт о выявленной попытке, одновременно об этом факте докладывается лично первому руководителю фирмы и руководителю службы безопасности. Дальнейшие действия санкционируются первым руководителем.

Вскрытие рабочих шкафов в отсутствии работника, отвечающего за хранящуюся там документацию, допускается руководителем кадровой службы в присутствии двух работников этой службы. О вскрытии составляется акт с обоснованием причины вскрытия. Акт подписывается указанными лицами. После выполнения необходимых действий шкаф запирается и опечатывается печатью руководителя кадровой службы Корнеев И.К., Степанов Е.А. Защита информации в офисе. - М.: Велби, Проспект, 2010. ? С. 126..

При явке на рабочее место сотрудника, отвечающего за хранящуюся в шкафу документацию, им производится проверка наличия документов, дел и других материалов. Уборка помещения службы осуществляется под наблюдением руководителя кадровой службы.

При пожарах, авариях водопроводной и тепловой сети документация кадровой службы должна быть эвакуирована в безопасное место и обеспечена ее охрана. В условиях возникновения сложных экстремальных ситуаций (массовых стихийных бедствий, военных действий, террористических актов и других подобных событий) и отсутствия возможности эвакуировать чистые бланки трудовых книжек и вкладышей они уничтожаются по акту путем сожжения. В акте указывается только количество книжек и вкладышей, по возможности - их серии и номера.

В этих же условиях трудовые книжки работников могут быть выданы им под роспись в книге учета движения трудовых книжек и вкладышей к ним.

Вся остальная кадровая документация должна быть эвакуирована в первую очередь, а при отсутствии такой возможности - уничтожена (кроме дел с подлинниками приказов по личному составу и книги учета движения трудовых книжек и вкладышей к ним). Для эвакуации документов в кадровой службе постоянно должна находиться необходимая надежная тара (непромокаемые мешки, контейнеры, чемоданы). За кадровой службой заранее должна быть закреплена автомашина Корнеев И.К., Степанов Е.А. Защита информации в офисе. - М.: Велби, Проспект, 2010. ? С. 127..

Организационные и технологические аспекты защиты персональных данных в кадровой службе могут найти отражение в двух регламентирующих документах фирмы.

Прежде всего, должно быть разработано положение о персональных данных работников фирмы, в котором целесообразно четко определить конкретные обязанности руководителей и работников в части использования этих данных в служебных целях. Функциональные обязанности этих лиц следует связать с составом передаваемых им персональных данных. Пользование другими данными им не разрешается. Положение должно содержать схему распределения доступа к персональным данным, состав должностных лиц, дающих разрешение на ознакомление с ними и несущих за это ответственность.

Положением должна быть определена форма обязательства указанных лиц за сохранность персональных данных и их конфиденциальность. Одновременно регламентируется порядок ознакомления работников фирмы со своими персональными данными, документами и учетными формами, в которых эти данные фиксируются, порядок взаимоотношений кадровой службы и работника по поводу сбора, документирования, использования, актуализации, уничтожения и хранения его персональных данных.

Во-вторых, должна быть составлена инструкция, отражающая этапы, процедуры и методы традиционной или автоматизированной технологии обработки и хранения персональных данных, методы и средства документирования данных и формирования баз данных.

В частности, в инструкции следует закрепить технологическую цепочку составления и оформления приказов и иных кадровых документов, технологические процедуры и операции их хранения, регламентирован порядок формирования, ведения и хранения личных дел работников, ведения и хранения трудовых книжек работников.

Следует тщательно определить условия включения документов в личные дела, правила ведения описи документов личного дела, изъятия документов из личного дела, выдачи документов на рабочие места руководителей, проверки сохранности личных дел и документов личного дела.

Особое внимание в инструкции следует обратить на организацию и документирование процедур тестирования и анкетирования кандидатов на должность и работников, проведения собеседований и аттестации, порядка ознакомления этих лиц с материалами психологического отбора.

В инструкции должна быть определена технология формирования и ведения традиционных или автоматизированных справочно-информационных систем (картотек, журналов, баз данных), обеспечивающих поисковые, учетные и отчетные функции при работе сотрудников кадровой службы с персональными данными работников. Установлено, в какие документы и учетные формы следует ввести необходимые зоны и графы для отражения факта ознакомления работников со своими персональными данными Хужокова И.М. Конституционное право человека и гражданина на неприкосновенность частной жизни. / Под ред. Е.В. Колесникова. - М.: Юрлитинформ, 2008. ? С 154..

Говоря о технологии защиты информации в кадровой службе, необходимо учитывать, что помимо операций с документами работники отдела кадров значительную часть времени тратят на прием посетителей.

Важно, чтобы прием посетителей осуществлялся только в те часы, которые ежедневно выделяются для этой цели. В другое время в помещении кадровой службы не могут находиться посторонние лица, в том числе работники фирмы.

Целесообразно, чтобы приемные часы были разными для работников фирмы и лиц, не входящих в эту категорию. Подобное разграничение необходимо ввиду того, что в числе последней группы лиц может быть злоумышленник, который будет прослушивать переговоры работников фирмы, знакомиться с работниками, их привычками, чертами характера, что в последующем может стать основой для формирования канала несанкционированного доступа к ценной информации.

Прием посетителей должен быть организован таким образом, чтобы в помещении службы не было лиц, ожидающих приема. Не должны возникать так называемые «живые очереди». Лица, ожидающие приема, всегда подсознательно или умышленно прослушивают переговоры работника кадровой службы и посетителя. Злоумышленник может эти переговоры записывать с помощью диктофона или миниатюрной видеокамеры.

Ответы на вопросы даются только лично тому лицу, которого они касаются.

При выдаче справки с места работы необходимо удостовериться в личности работника, которому эта справка выдается. Не разрешается выдавать ее родственникам или сослуживцам лица, которому требуется справка. Справка выдается на основании учетной карточки 1-2, а не пропуска, т.к. работник при увольнении мог не сдать пропуск или удостоверение. Заполненный бланк справки подписывается руководителем кадровой службы. Передает справку на подпись работник службы, а не посетитель. Одновременно руководитель службы ставит на справке печать. За получение справки работник фирмы расписывается в журнале учета выдачи справок.

Ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения первого руководителя фирмы и только в письменной форме и том объеме, который позволяет не разглашать излишний объем персональных сведений. По возможности персональные данные обезличиваются.

В помещении кадровой службы в часы приема посторонних лиц может находиться работник службы безопасности организации, фирмы. Целесообразно также наличие сигнализации, оповещающей работников этой службы о необходимости немедленно вмешаться в сложившуюся ситуацию. На столе работника кадровой службы не должно быть тяжелых предметов: подставок под календарь, пепельниц и т. п.

В целях удобного доступа посетителей в кадровую службу помещения службы должны располагаться на первом этаже, поблизости от входа в здание. В часы приема лиц, не являющихся работниками фирмы, вход в отдел должен быть свободным для всех желающих.

Проход посторонних лиц в помещение отдела контролируется сотрудником службы безопасности: посетитель идентифицируется по паспорту или служебному удостоверению, при необходимости посетителя провожают. Бесконтрольное нахождение посторонних лиц в здании фирмы не допускается. Проход посторонних лиц на другие этажи здания и помещения может быть блокирован охраной фирмы.

Следовательно, порядок функционирования кадровой службы должен быть подчинен решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях. Служба кадров / Степанов Е. доц. Гос. ун-та управления. ? №1.? 2003.

2. Ответственность за нарушение правил работы с персональными данными

2.1 Дисциплинарная ответственность

Статья 90 Трудового Кодекса РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может нести дисциплинарную, административную, гражданско-правовую и уголовную ответственность. Рассмотрим подробнее каждую из них.

В отношении сотрудника кадровой службы работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 ТК РФ: замечание, выговор, увольнение. Более того, кодекс предусматривает специальное основание для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (п.п. "в" п. 6 ст. 81).

Дисциплинарная ответственность работников является самостоятельным видом юридической ответственности. К дисциплинарной ответственности могут привлекаться работники, совершившие дисциплинарный проступок.

Как и любое другое правонарушение, дисциплинарный проступок обладает совокупностью признаков: субъект, субъективная сторона, объект, объективная сторона.

Субъектом дисциплинарного проступка может быть гражданин, состоящий в трудовых правоотношениях с конкретной организацией и нарушающий трудовую дисциплину Веселова А.Б. Защита персональных данных работников. // Трудовые споры. ? 2006. ? №10. ? С. 33..

Субъективной стороной дисциплинарного проступка выступает вина со стороны работника. Она может быть в форме умысла или по неосторожности.

Объект дисциплинарного проступка - внутренний трудовой распорядок конкретной организации. Объективной стороной здесь выступают вредные последствия и прямая связь между ними и действием (бездействием) правонарушителя.

В соответствии с заключенным трудовым договором работодатель вправе требовать от работника выполнения трудовых обязанностей. Согласно ст. 192 Кодекса работодатель имеет право, но не обязан привлекать к дисциплинарной ответственности работника, совершившего дисциплинарный проступок. Однако следует знать, что настоящим Кодексом, другими федеральными законами, уставами и положением о дисциплине могут быть определены и иные правила при совершении дисциплинарного проступка.

Разглашение может быть совершено среди коллег, знакомых, родственников и других лиц, не имеющих законного доступа к ним. Кроме разглашения основными видами нарушений правил работы с персональными данными являются незаконное получение или использование сведений, составляющих персональные данные, и утрата материальных носителей, содержащих данную информацию. Следует подчеркнуть, что увольнение работника может быть осуществлено только за разглашение персональных данных. В иных случаях работодатель вправе наложить на виновное лицо другое дисциплинарное взыскание.

К дисциплинарной ответственности могут быть привлечены лишь те работники кадровой службы, которые приняли на себя обязательство соблюдать правила работы с персональными данными. То есть условие о неразглашении сведений, составляющих персональные данные, было включено в их трудовой договор, они были ознакомлены с локальными нормативными актами по вопросу защиты этой конфиденциальной информации, а работодатель создал для работы все необходимые условия. Если такая подготовительная работа не была проведена, то специалист, кому доверена работа с персональными данными, нести ответственности не будет.

Факт нарушения правил работы с персональными данными может быть установлен представителем работодателя (например, начальником отдела кадров), самим работником или специалистом Рострудинспекции.

Работники и их представители имеют право осуществлять контроль над выполнением требований по защите конфиденциальности этой категории информации, запрещать или приостанавливать обработку персональных данных в случае их невыполнения. Любые неправомерные действия (бездействие) работодателя при обработке и защите персональных данных работник вправе обжаловать в судебном порядке. Кадровое дело.? №4. ? 2003.

Пример

Генеральный директор ООО «Транзит-М» устно приказал специалисту по кадрам Марине И. подготовить отчет с указанием фамилий, имен, отчеств работников организации, их уровне образования и должностном окладе. Когда Марина выполнила задание, руководитель также устно попросил отправить этот отчет по электронной почте директору компании, являющейся контрагентом ООО «Транзит-М» по договору поставки. Кадровик направила письмо со своего электронного почтового ящика. Через неделю генеральный директор был переведен в другую организацию. А на его место был назначен другой руководитель. Новый начальник, узнав о разглашении персональных данных работников Общества, вызвал к себе Марину. Он сообщил ей о том, что ей нельзя было нарушать законы и Положение о работе с персональными данными ООО «Транзит-М». И что у него есть все основания, чтобы уволить ее за разглашение персональной информации. Но руководитель, учитывая все обстоятельства, так не поступил. Однако и Марина больше в данной организации не работала. Трудовой договор с ней был прекращен по соглашению сторон.

Итак, в настоящее время увольнение за разглашение персональных данных другого работника не является распространенным основанием для прекращения трудового договора. Судебная практика по таким делам в полной мере еще не сложилась и не дает ответов на все возникающие вопросы. Однако ясно одно в ближайшем будущем в связи с усилением государственного контроля за защитой личных сведений сотрудников данные положения Трудового кодекса потребуют к себе пристального внимания кадровиков.

2.2 Административная ответственность

Нарушение правил работы с персональными данными может повлечь административную ответственность работодателя или его представителей. Кодекс РФ об административных правонарушениях содержит на этот счет две статьи.

Статья 13.11 предусматривает ответственность в виде предупреждения или наложения штрафа на работодателя в размере от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Этот порядок установлен главой 14 Трудового кодекса РФ и локальными нормативными актами предприятия.

Объективная сторона данного правонарушения состоит в действии или бездействии, нарушающем установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной. Комментарий к Кодексу Российской Федерации об административных правонарушениях. / Под ред. Ю.М. Козлова. - М.: Юристъ, 2002. ? С. 122.

Ввиду того, что персональные данные - один из видов охраняемой законом тайны, защита ее конфиденциальности предусмотрена также статьей 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, то административный штраф для него будет составлять от 40 до 50 МРОТ.

Объектом правонарушения, предусмотренного данной статьей, является порядок получения информации с ограниченным доступом.

Объективная сторона данного правонарушения состоит в действии, представляющем собой разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

Отнесение информации к конфиденциальной осуществляется в порядке, установленном отраслевым законодательством Российской Федерации (гражданским, административным и т.д.).

Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной.

К административной ответственности работодателя или его представителей может привлечь Рострудинспекция или суд Комментарий к Кодексу Российской Федерации об административных правонарушениях. / Под ред. Ю.М. Козлова. - М.: Юристъ, 2002. ? С. 123..

Судебно-арбитражная практика. Страховое общество (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении ст.ст. 86-88 ТК РФ, а именно в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области. На Общество был наложен штраф в размере 30 тыс. руб.

Общество попыталось оспорить указанное постановление в судебном порядке. Но Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований было отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, нарушение является малозначительным, а назначенное наказание - чрезмерно суровым, в связи с чем Обществом был поставлен вопрос об отмене судебных актов, состоявшихся по делу.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что отсутствуют основания для признания данного правонарушения малозначительным (Постановление ФАС Московского округа от 1 ноября 2006 г. №КА-А40/10787-06).

2.3 Уголовная ответственность

защита персональный данные кадровый

Самая строгая, конечно, уголовная. Статья 137 УК РФ предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

Личную или семейную тайну составляют сведения, не подлежащие, по мнению лица, которого они касаются, оглашению. Личную и семейную тайну не могут составлять сведения, которые были ранее опубликованы либо оглашены иным способом.

Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

а) незаконном собирании сведений о частной жизни;

б) незаконном их распространении;

в) незаконном их распространении в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Закон не связывает ответственность за незаконное распространение сведений о частной жизни лица с конкретным способом распространения. Под распространением имеется в виду любая незаконная передача указанных сведений третьим лицам. Незаконным распространением является разглашение личной или семейной тайны лицом, обязанным ее хранить в силу своей профессии. В некоторых случаях разглашение сведений о частной жизни по УК образует одновременно состав другого преступления например, разглашение тайны усыновления (ст. 155), В таких случаях содеянное квалифицируется по совокупности со ст. 137 УК.

Обязательным элементом объективной стороны преступления, предусмотренного ст. 137 УК, является причинение вреда правам и законным интересам граждан. Характер вреда закон не ограничивает. Он может быть:

а) материальным (имущественным), например потеря хорошо оплачиваемой работы, срыв выгодной сделки, иные убытки в предпринимательской деятельности;

б) физическим (телесным), например заболевание от пережитого;

в) моральным, например распад семьи, подрыв репутации.

Установление наличия вреда правам и законным интересам потерпевшего производится в каждом конкретном случае с учетом индивидуальных особенностей личности и ситуации.

Нарушение неприкосновенности частной жизни считается оконченным преступлением только с момента причинения соответствующего вреда (материальный состав).

Субъективная сторона данного преступления характеризуется прямым умыслом. Обязательным элементом субъективной стороны является мотив: корыстная или иная личная заинтересованность. Корыстная заинтересованность выражается в стремлении приобрести материальную (имущественную) выгоду за счет потерпевшего или в виде вознаграждения от третьей стороны. Иная личная заинтересованность может заключаться в стремлении дискредитировать конкурента, сделать карьеру, отомстить за что-либо, продемонстрировать свое превосходство либо привлечь внимание к себе.

Ответственность по ч. 1 ст. 137 УК несет любое физическое вменяемое лицо, достигшее 16 лет (общий субъект), а по ч. 2 ст. 137 УК - должностное лицо либо служащий государственного или муниципального учреждения, использующий для совершения преступления свое служебное положение (специальный субъект). Постатейный Комментарий к Уголовному кодексу РФ 1996 г. / Под ред. Наумова А.В.

Как показывает практика, на самом деле, привлечение виновного в разглашении персональных данных к уголовной ответственности практически невозможно. Согласно статье 137 Уголовного кодекса РФ уголовному преследованию подлежат незаконный сбор, хранение и распространение, разглашение сведений, составляющих личную и семейную тайну, по мотивам личного характера. Соответственно, для того чтобы привлечь нарушителя к ответственности за разглашение персональных данных по этой статье, необходимо доказать, что незаконно собираемые (распространяемые) персональные данные являлись личной или семейной тайной работника (однако ни один нормативный акт определения понятию «личная и семейная тайна» не дает). Кроме того, необходимо обосновать тот факт, что сведения собирались или разглашались по мотивам личного характера (мести, корысти и т.д.).

Между тем, разглашение персональных данных чаще всего объясняется «простотой душевной» или защитой ложно понимаемых узковедомственных мотивов государственных или общественных интересов, мотивами ложно понятой необходимости.

Мачковский Л.Г. пишет: «Можно утверждать, что по Уголовному кодексу РФ не должно быть привлечено к ответственности лицо, считающее, что интересы общества требуют нарушения неприкосновенности частной жизни потерпевшего ради сбора сведений о его противоправном поведении. Виновному достаточно заявить, что им движет не месть, не корысть, не ревность и т.п., а стремление добиться привлечения потерпевшего к правовой ответственности. Правильность такого подхода сомнительна. Охрана неприкосновенности частной жизни уголовно-правовыми средствами не должна сужаться за счет условий, относящихся к тем или иным побуждениям виновного. Конституционное право человека на неприкосновенность частной жизни должно защищаться уголовным законом от общественно опасных действий, независимо от тех мотивов, которыми руководствуется виновный, и тех целей, которые он перед собой ставит». Мачковский Л.Г. Проблемы уголовно-правовой охраны неприкосновенности частной жизни. // Современное право. ? №2. ? 2003. - С. 37.

Так, директор одного из московских предприятий распорядился вывесить на входных воротах организации копию трудовой книжки женщины, уволенной из данной организации за хищение (с соответствующей записью). Между тем, данные действия ненаказуемы по уголовному законодательству, поскольку директор руководствовался вовсе не мотивами личного характера - его действия были продиктованы «благородным» желанием «воспитать» своих подчиненных и не допустить подобного проступка впредь.

Все вышеизложенное свидетельствует, что законодательство о защите персональных данных, безусловно, нуждается в совершенствовании. Полезным в этом плане может быть заимствование опыта других стран. Например, необходимо ввести запрет на знакомство работодателей с личными письмами, телефонными переговорами, средствами визуального воспроизведения, принадлежащими сотруднику (например, сообщениями пейджера, записями, сделанными работником на диктофон). Такое положение существует в законодательстве Франции. Кроме того, российский законодатель мог бы заимствовать соответствующие положения из французского и итальянского законодательства, согласно которым нанимателям запрещается собирать о нанимаемых работниках данные, которые не имеют отношения к их профессиональным качествам и квалификации и к требованиям, которые могут быть предъявлены к ним на работе. Интересен в плане включения в отечественное законодательство опыт Германии, Швейцарии и Норвегии.

В Германии в случае возникновения обоснованных сомнений в точности персональных данных о работнике работодатель обязан указать источник получения информации. Также работнику предоставлено право требовать уничтожения нелегально собранной работодателем информации, разработаны процедуры для включения в досье замечаний работников и реализации требований об изъятии некоторых документов.

В Швейцарии трудящиеся могут потребовать, чтобы информация об исправлении спорных персональных данных была опубликована в печати.

В Норвежском Законе «Об охране труда и производственной среды» от 04.02.1997 предприниматель в случае, если от соискателя требуются сведения о его политических или религиозных взглядах, членстве в профсоюзе, обязан отметить это в сообщении о вакансии. Это правило не применяется, когда сбор информации необходим с учетом характера должности.

Таким образом, безусловно, нормативно-правовая база, регулирующая обращение с персональными данными работника, нуждается в совершенствовании, «корректировке» многих имеющихся положений и введении новых. Возможно, поднятые в данной статье проблемы могли бы быть решены в рамках отдельного закона, необходимость принятия которого не раз обосновывалась на страницах профессиональных изданий.

3. Разработка документа, регламентирующего работу с персональными данными

3.1 Разработка Положения по обеспечению защиты персональных данных работников Администрации г. Братска

Для работодателя очень важно проверить сведения, предоставляемые работником при трудоустройстве. Нужно знать, имеет ли ваш сотрудник право на дополнительные льготы и компенсации в связи с особенностями семейного положения или состоянием здоровья. И очень важно иметь информацию о том, на какие сведения персонального характера можно ссылаться, принимая решение об увольнении работника. Оставаться в рамках законодательства в этих ситуациях поможет положение об организации работы с персональными данными.

Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением №1 Госкомстата России "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты" от 05.01.2004, которое предписывает каждому работодателю, независимо от организационно-правовой формы заполнять на каждого работника личную карточку формы №Т-2. В карточку вносятся следующие сведениям:

- фамилия, имя, отчество;

- дата рождения;

- гражданство;

- номер страхового свидетельства;

- ИНН;

- знание иностранных языков;

- данные об образовании (номер, серия дипломов, год окончания);

- данные о приобретенных специальностях;

- семейное положение;

- данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения);

- фактическое место проживания;

- контактная информация;

- данные о военной обязанности;

- данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.).

Таким образом, работодатель собирает полный пакет информации о работнике, а раз работодатель будет обладать определенной информацией конфиденциального характера, то он обязан осуществлять, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Трудовой Кодекс РФ от 30 декабря 2001 г. №197-ФЗ / СПС Консультант Плюс Версия Проф. Гл 14. Работники должны быть ознакомлены под подпись с документом работодателя, устанавливающим порядок обработки персональных данных, а также права и обязанности работников в этой области Трудовой Кодекс РФ от 30 декабря 2001 г. №197-ФЗ / СПС Консультант Плюс Версия Проф. п. 8 ст. 86 ТК РФ)..

Передавать персональные данные работника в пределах одной организации можно только в соответствии, с которым работник должен быть ознакомлен под подпись. Трудовой Кодекс РФ от 30 декабря 2001 г. №197-ФЗ / СПС Консультант Плюс Версия Проф. ст. 88 ТК РФ). Поэтому локальный акт, определяющий порядок сбора, обработки, хранения и использования персональных данных работников, в организации должен быть обязательно.

В администрации города Братска такой документ имеет место быть. «Положение об организации работы с персональными данными муниципальных служащих администрации города Братска» направлено на кадровую работу, то есть регламентирует правила работы с персональными данными муниципальных служащих в администрации города. Но, положение не дает представление о том, как организовать защиту персональных данных при их обработке. То есть получается, что кадровая служба и другие уполномоченные подразделения при работе с персональными данными не всегда могут обратиться к «Положению об организации работы с персональными данными муниципальных служащих администрации города Братска» для ознакомления правил по обеспечению защиты персональных данных служащих.

Стоит также отметить, что документы соответствующего типа, должны разрабатываться в соответствии с рядом соответствующих законов. Но в связи с введением 152 закона РФ «О персональных данных», локальный акт администрации был разработан, в основном в соответствии с этим законом, не уделив должного внимания Главе 14 Трудового Кодекса РФ. Как нам известно, глава 14 трудового кодекса РФ полностью посвящена защите персональных данных, она даже носит название «Защита персональных данных работника».