Персональные данные как составная часть конфиденциальной информации

ь анализ степени владения конфиденциальной информацией руководством фирмы, руководителями структурных подразделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы;

ь анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов);

ь анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника.

Своевременный учет состава конфиденциальной информации, известной каждому из работников фирмы, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого работника фирмы с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету выявленное несанкционированное ознакомление с информацией, к которой работник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией работника, вообще не имеющего допуска для работы с конфиденциальной информацией.

Для учета и последующего анализа степени осведомленности работников в секретах фирмы ведется специальная учетная форма.

Традиционная (карточная) или электронная учетная форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, и который должен соответствовать выполняемым видам работы. Целесообразно включить в учетную форму следующие зоны:

ь зона штатных функциональных обязанностей работника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции);

ь зона изменений и дополнений, внесенных в функциональные обязанности работника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ;

ь зона стандартного состава конфиденциальные сведений или их индексов, по перечню конфиденциальной информации фирмы, к которым допущен работник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);

ь зона изменений и дополнений в составе конфиденциальных сведений, к которым допускается работник в связи с пересмотром его должностных обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы);

ь зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами;

ь зона недокументированной конфиденциальной информации, которая стала известна работнику, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений или их индексов по перечню;

ь зона обнаруженного несанкционированного ознакомления работника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного работника, места ознакомления, состава конфиденциальных сведений или их индексов по перечню.

Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия.

По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование.

Служебное расследование проводит специальная комиссия, формируемая приказом первого руководителя фирмы. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба. По результатам расследования даются рекомендации по устранению причин случившегося.

План проведения служебного расследования:

ь определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.);

ь определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);

ь назначение ответственных лиц за проведение каждого мероприятия;

ь указание сроков проведения каждого мероприятия;

ь определение порядка документирования;

ь обобщение и анализ выполненных действий по всем мероприятиям;

ь установление причин утраты информации, виновных лиц, вида и объема ущерба;

При проведении служебного расследования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

ь письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;

ь акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и Дата;

ь другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.).

Служебное расследование проводится в кратчайшие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего. Л. Французова. Личные данные работников. // Кадровое дело. №4, 2003

Глава 2. Ответственность за нарушение правил работы с персональными данными

Статья 90 ТК РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может нести дисциплинарную, административную, гражданско-правовую и уголовную ответственность.

2.1 Уголовная ответственность

Самая строгая, конечно, уголовная. Статья 137 УК РФ предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

Личную или семейную тайну составляют сведения, не подлежащие, по мнению лица, которого они касаются, оглашению. Личную и семейную тайну не могут составлять сведения, которые были ранее опубликованы либо оглашены иным способом.

Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

а) незаконном собирании сведений о частной жизни;

б) незаконном их распространении;

в) незаконном их распространении в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Закон не связывает ответственность за незаконное распространение сведений о частной жизни лица с конкретным способом распространения. Под распространением имеется в виду любая незаконная передача указанных сведений третьим лицам. Незаконным распространением является разглашение личной или семейной тайны лицом, обязанным ее хранить в силу своей профессии. В некоторых случаях разглашение сведений о частной жизни по УК образует одновременно состав другого преступления например, разглашение тайны усыновления (ст. 155), В таких случаях содеянное квалифицируется по совокупности со ст. 137 УК.

Обязательным элементом объективной стороны преступления, предусмотренного ст. 137 УК, является причинение вреда правам и законным интересам граждан. Характер вреда закон не ограничивает. Он может быть:

а) материальным (имущественным), например потеря хорошо оплачиваемой работы, срыв выгодной сделки, иные убытки в предпринимательской деятельности;

б) физическим (телесным), например заболевание от пережитого;

в) моральным, например распад семьи, подрыв репутации.

Установление наличия вреда правам и законным интересам потерпевшего производится в каждом конкретном случае с учетом индивидуальных особенностей личности и ситуации.

Нарушение неприкосновенности частной жизни считается оконченным преступлением только с момента причинения соответствующего вреда (материальный состав).

Субъективная сторона данного преступления характеризуется прямым умыслом. Обязательным элементом субъективной стороны является мотив: корыстная или иная личная заинтересованность. Корыстная заинтересованность выражается в стремлении приобрести материальную (имущественную) выгоду за счет потерпевшего или в виде вознаграждения от третьей стороны. Иная личная заинтересованность может заключаться в стремлении дискредитировать конкурента, сделать карьеру, отомстить за что-либо, продемонстрировать свое превосходство либо привлечь внимание к себе.

Ответственность по ч. 1 ст. 137 УК несет любое физическое вменяемое лицо, достигшее 16 лет (общий субъект), а по ч. 2 ст. 137 УК - должностное лицо либо служащий государственного или муниципального учреждения, использующий для совершения преступления свое служебное положение (специальный субъект)

А если кадровик или руководитель допустили ситуацию, когда информация о работнике стала известна другим, ненамеренно? Или даже существует пока только угроза "утечки" такой информации? Тогда в ход могут пойти меры административной и дисциплинарной ответственности, которые применяются к должностным лицам предприятия. Остановимся на них подробнее.

2.2 Административная ответственность

Административные штрафы. Нарушение правил работы с персональными данными может повлечь административную ответственность работодателя или его представителей. Кодекс РФ об административных правонарушениях содержит на этот счет две статьи.

Статья 13.11 предусматривает ответственность в виде предупреждения или наложения штрафа на работодателя в размере от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах. Этот порядок установлен главой 14 Трудового кодекса РФ и локальными нормативными актами предприятия.

Объективная сторона данного правонарушения состоит в действии или бездействии, нарушающем установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной.

Ввиду того, что персональные данные - один из видов охраняемой законом тайны, защита ее конфиденциальности предусмотрена также статьей 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, то административный штраф для него будет составлять от 40 до 50 МРОТ.

Объектом правонарушения, предусмотренного данной статьей, является порядок получения информации с ограниченным доступом.

Объективная сторона данного правонарушения состоит в действии, представляющем собой разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

Отнесение информации к конфиденциальной осуществляется в порядке, установленном отраслевым законодательством Российской Федерации (гражданским, административным и т.д.).

Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной.

К административной ответственности работодателя или его представителей может привлечь Рострудинспекция или суд.

2.3 Дисциплинарная ответственность

Дисциплинарная ответственность кадровика. В отношении сотрудника-кадровика работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 Трудового кодекса РФ: замечание, выговор, увольнение. Более того, кодекс предусматривает специальное основание для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (п.п. "в" п.6 ст.81).

Дисциплинарная ответственность работников является самостоятельным видом юридической ответственности. К дисциплинарной ответственности могут привлекаться работники, совершившие дисциплинарный проступок.

Как и любое другое правонарушение, дисциплинарный проступок обладает совокупностью признаков: субъект, субъективная сторона, объект, объективная сторона.

Субъектом дисциплинарного проступка может быть гражданин, состоящий в трудовых правоотношениях с конкретной организацией и нарушающий трудовую дисциплину.

Субъективной стороной дисциплинарного проступка выступает вина со стороны работника. Она может быть в форме умысла или по неосторожности.

Объект дисциплинарного проступка - внутренний трудовой распорядок конкретной организации. Объективной стороной здесь выступают вредные последствия и прямая связь между ними и действием (бездействием) правонарушителя.

В соответствии с заключенным трудовым договором работодатель вправе требовать от работника выполнения трудовых обязанностей. Согласно ст. 192 Кодекса работодатель имеет право, но не обязан привлекать к дисциплинарной ответственности работника, совершившего дисциплинарный проступок. Однако следует знать, что настоящим Кодексом, другими федеральными законами, уставами и положением о дисциплине могут быть определены и иные правила при совершении дисциплинарного проступка.

Разглашение может быть совершено среди коллег, знакомых, родственников и других лиц, не имеющих законного доступа к ним. Кроме разглашения основными видами нарушений правил работы с персональными данными являются незаконное получение или использование сведений, составляющих персональные данные, и утрата материальных носителей, содержащих данную информацию. Следует подчеркнуть, что увольнение работника может быть осуществлено только за разглашение персональных данных. В иных случаях работодатель вправе наложить на виновное лицо другое дисциплинарное взыскание.

К дисциплинарной ответственности могут быть привлечены лишь те работники кадровой службы, которые приняли на себя обязательство соблюдать правила работы с персональными данными. То есть условие о неразглашении сведений, составляющих персональные данные, было включено в их трудовой договор, они были ознакомлены с локальными нормативными актами по вопросу защиты этой конфиденциальной информации, а работодатель создал для работы все необходимые условия. Если такая подготовительная работа не была проведена, то специалист, кому доверена работа с персональными данными, нести ответственности не будет.

Факт нарушения правил работы с персональными данными может быть установлен представителем работодателя (например, начальником отдела кадров), самим работником или специалистом Рострудинспекции.

Работники и их представители имеют право осуществлять контроль над выполнением требований по защите конфиденциальности этой категории информации, запрещать или приостанавливать обработку персональных данных в случае их невыполнения. Любые неправомерные действия (бездействие) работодателя при обработке и защите персональных данных работник вправе обжаловать в судебном порядке.Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195

Заключение

Таким образом, можно сделать вывод о том, что личная тайна работника охраняется законом на самом высоком уровне. Законодатель предусматривает практически все необходимые нормы для защиты этой категории правоотношений. Однако следует заметить, что основным источником правонарушений в области охраны персональных данных персонала служит неграмотность работников кадровых служб в указанных вопросах, вызванная, на мой взгляд, тем, что нормативно не отрегулирован порядок организации деятельности по сохранности персональных данных в организациях и на предприятиях.

Не существует обязательных правил хранения персональных данных. Конечно, нельзя не сказать, что Рострудинспекция при проведении проверок требует очень веские доказательства сохранности указанных сведений.

Думается, что правительству РФ следовало бы разработать и утвердить правила, регулирующие порядок хранения и использования персональных данных на предприятии и в организациях.

Надо отметить, что санкции, предусмотренные за нарушение законодательства по охране персональных данных работника достаточно адекватны и соответствуют мере правонарушения. Но санкции скорее восстанавливают справедливость, нежели снижают количество правонарушений.

Большое значение имеет то, как работодатель относится к конституционным правам своих работников. Ведь только администрация предприятия или организации в состоянии вести непрерывный контроль за соблюдением установленного порядка осуществления защиты персональных данных работников.

Список литературы

1. Конституция РФ, статья №2

2. Федеральный закон от 27.07.2006 № 152-ФЗ« о персональных данных»//Российская газета.2006 №165

3. Уголовный кодекс Российской федерации от 13.07.1996№63// собрание законодательства Российской федерации.1996 № 25 Ст.2954

4. Уголовный кодекс Российской федерации от 13.07.1996№63// собрание законодательства Российской федерации.1996 № 25 Ст.2954

5. Постановление Правительства РФ от 17.11.2007г.№ 781 « Об утверждении Положения об обеспечении опасности персональных данных при обработке в информационных системах персональных данных» Российская газета.2007№260

6. ст. 23 Конституции РФ

7. ч.1 ст.85 ТК РФ

8. Е. Степанов. Персональные данные и их защита. // Кадровое дело. №9, 2003

9. Е. Степанов. Защита информации при работе с ЭВМ. // Кадровое дело. №2, 2001

10. Е. Ситникова. Дисциплинарная ответственность работника. // Кадровое дело. № 1, 2003

11. Л. Французова. Личные данные работников. // Кадровое дело. №4, 2003

12. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195

Размещено на Allbest.ru