Защита персональных данных работника

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Теоретические основы защиты персональных данных работника

1.1 Правовые аспекты персональных данных работника

1.2 Нормативные правовые требования к обработке персональных данных работника и гарантии их конфиденциальности

2. Правовые особенности защиты персональных данных работников

2.1 Организация и контроль защиты персональных данных работников

2.2 Правовая ответственность за нарушение правил работы с персональными данными работника

Заключение

Список использованных источников

Введение

Актуальность исследования. С развитием современных технологий идентифицировать личность какого-нибудь конкретного человека особых усилий не представляет. Предоставление информации о себе - это личное дело каждого гражданина, исключением являются ситуации при устройстве на работу. При оформлении на работу, по требованию работодателя соискателем предоставляются многочисленные документы, а также информацию, которая относятся не только к профессиональной деятельности, но и затрагивают аспекты частной жизни: сведения о здоровье, наличие или отсутствие судимости, биометрические данные. При этом, работник может быть против того, чтобы эта информация сала известна третьим лицам.

Из-за увеличения похищения личных данных, персонифицированную информацию физического лица необходимо ограждать от третьих лиц. Вопрос получения, обработки и хранения персональных данных работника находится в секторе повышенного внимания любой организации. При заключении трудовых отношений с работником, организация становится оператором персональных данных. Принимая на себя обязанности по защите персональных данных, она становится поднадзорной контролирующим органам.

В стране, в целях защиты конфиденциальной информации граждан , в 2006 году в Российской Федерации был принят отдельный Федеральный закон от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), вносятся дополнения и изменения в подзаконные акты.

Правовое регулирование защиты персональных данных работников особенно актуальна на текущем этапе развития трудовых отношений, т.к. требует обеспечения гарантий неразглашения информации, которая связана с трудовой деятельностью работника. А также защиту прав личности от невмешательства в её личное пространство работодателя и третьих лиц, преследующих целью нанесение ей материального ущерба и посягательство на её права и свободы.

Объект исследования - трудовые отношения, связанные с защитой персональных данных работников.

Предмет исследования - нормативно правовые нормы, регулирующие рассматриваемые отношения, а также практика их применения.

Цель - исследование трудовых отношений в сфере защиты персональных данных работника.

Нормативно правовая основа исследования - Конституция Российской Федерации Российская газета. 1993. 25 декабря. Всеобщая декларация прав человека Российская газета. 1995.5 апр., Конвенция о защите прав человека и основных свобод Собрание законодательства РФ. 2001. №2. Ст. 163. 4, Трудовой кодекс Российской Федерации (далее по тексту ТК РФ) Собрание законодательства РФ.2002. № 1 (ч.1). Ст.3., Гражданский кодекс Российской Федерации (далее по тексту - ГК РФ) Собрание законодательства РФ. 1994. №32. Ст. 3301, Кодекс Российской Федерации об административных правонарушениях (далее по тексту - КоАП РФ) Собрание законодательства РФ. 2002. № 1 (ч.1) Ст.1, Уголовный кодекс Российской Федерации (далее по тексту - УК РФ) Собрание законодательства РФ. 1996. № 25. Ст. 2954., Федеральный закон от 27 июля 2006г. № 152-ФЗ «О персональных данных», Федеральный закон от 22 октября 2004г. №125-ФЗ «Об архивном деле в Российской Федерации» , Федеральный закон от 27 мая 2003г. № 58-ФЗ «О системе государственной службы Российской Федерации», Указ Президента Российской Федерации №188

Структура исследования состоит из введения, двух глав, заключения, списка использованных источников.

1. Теоретические основы защиты персональных данных работника

1.1 Правовые аспекты персональных данных работника

В современном обществе особое внимание уделяется вопросу защиты персональной информации. В связи с тем, что конфиденциальные данные включают в себя различные сведения, в том числе личностного характера, то к обеспечению сохранности и неразглашению этой информации следует относиться очень внимательно, т. к. утечка данной информации может привески к непредсказуемым последствиям. Гарантии по обеспечению сохранности персональных данных, в частности персональных данных работников, закреплены не только в законодательстве Российской Федерации, но и в международных актах Бачило И.Л. Информационное право. Основы практической информатики: учебное пособие. М., 2015. С. 11..

Так, в соответствии со ст. 12 Всеобщей декларации прав человека запрещено произвольное вмешательство в личную и семейную жизнь человека.

В статье 8 Конвенции о защите прав человека и основных свобод закреплено право каждого на уважение личной и семейной жизни со стороны общества.

Данные международно-правовые акты стали основой для формирования данного института в российской системе права Попов Л.Л. Информационное право: учебник. М., 2016. С. 61.

Гарантии сохранения конфиденциальности персональных, личных данных закреплены в Конституции РФ. Статья 2 высшей ценностью государства признает человека, его права и свободы. Частью 1 статьи 23 Конституции РФ каждому гарантируется право на неприкосновенность частной жизни, а часть 1 статьи 24 Конституции РФ запрещает собирать, хранить, использовать и распространять информацию о частной жизни лица без его согласия. В статье 46 декларируется право каждого гражданина на судебную защиту его прав и свобод.

В российском законодательстве термин «персональные данные», появился в середине 1990-х гг., в то же время были определены основные положения правового режима персональных данных. В утратившем силу Федеральном законе от 20.02.1995г. №24-ФЗ «Об информации, информатизации и защите информации», персональные данные относились к категории конфиденциальной информации, запрещался сбор, хранение, использование и распространение информации о частной жизни физического лица без его согласия за исключением судебных случаев, при этом в Федеральном законе не раскрывалось понятие «персональные данные».

Указом Президента Российской Федерации №188, от 06.03.1997г., был утвержден перечень сведений конфиденциального характера. Согласно этому перечню к персональным данным относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.

В декабре 2005г. Россией была ратифицирована Конвенция Совета Европы о защите информации физических лиц при автоматизированной обработке персональных данных. В рамках взятых на себя обязательств был принят Федеральный закон «О персональных данных». Статьей 7 закреплено конфиденциальность персональных данных, а статьей 24 установлена ответственность за нарушения режима конфиденциальности персональных данных.

Что касается получения и использования персональных данных работника, то они установлены главой 14 Трудового кодекса Российской Федерации.

Вводя эту главу в ТК РФ, законодатель осознает необходимость защиты персональных данных работника.

По нашему мнению, вопрос о сущностном понимании категории «персональные данные работника», заслуживает особого внимания.

У каждого человека в жизни наступает такой, когда он вступает в правоотношения с работодателем, заключая с ним трудовой договор. При этом в роли работодателя могут выступать как юридические, так и физические лица. Заключая трудовой договор, работник получает информацию о работодателе, о характере будущей работы, а работодатель получает конфиденциальную информацию о сотруднике: возраст, профессия, специализация, квалификация, состояние здоровья, данные о семейном положении и т.д.

Когда эти сведения по ряду причин вдруг становятся общедоступными, что приводит к ущемлению прав и интересов работников, причиняя им не только моральный вред, но и материальный ущерб. Поэтому большая часть граждан не желает, чтобы их персональные данные стали доступны для всех.

Так что же понимается под персональными данными?

До принятия Федерального закона № 99-ФЗ от 07 мая 2013г. «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных», статья 85 ТК РФ определяла персональные данные работника как информацию, необходимую работодателю в связи с трудовыми отношениями касающуюся конкретного работника. Такое определение неоднократно подвергалось критике со стороны учёных-правоведов, которые пришли к выводу, что такая формулировка позволяет работодателю запрашивать у работника практически любую информацию, в том числе и относящуюся к частной жизни работника.

А.В. Дворецкий к персональными данным работника относит сведения о фактах, событиях и обстоятельствах жизни работника, которые он предоставляет работодателю с целью обеспечения соблюдения законодательства Дворецкий А.В. Определение понятия персональных данных работника в Трудовом кодексе РФ // Сибирский юридический вестник. 2005. № 2. С. 32..

А.М. Лушников к персональным данным относит информацию о конкретном человеке, которая зафиксирована на любом материальном носителе и отождествляется или может быть отождествлена с ним Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 Трудового кодекса РФ // Управление персоналом. 2009. № 17. С. 70-79..

По мнению Ф.А. Абаева персональные данные работника - это информация, относящаяся к профессиональной квалификации работника и к требованиям, предъявляемым в связи с характером работы Абаев Ф.А. Историко-правовые предпосылки формирования и современные тенденции развития института персональных данных в трудовом праве // Пробелы в российском законодательстве. 2013. № 5. С. 139..

Таким образом, разночтения смыслового содержания категории «персональные данные», имевшие место в российской юридической науке, привели к её обновлению. Обратимся к общему определению, которое содержится в пункте 1 статьи 3 Федерального закона «О персональных данных», где под персональными данными трактуется любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Отметим, что информация, составляющая персональные данные сотрудника, является неоднородной. В науке нет однозначного мнения о критериях классификации различных видов конфиденциальной информации.

В.Н. Лопатин, подробно исследовав вопросы конфиденциальной информации, выделил свыше тридцати видов информации с ограниченным доступом Лопатин В.Н. Правовые основы информационной безопасности: курс лекций. М., 2016. С. 78..

Некоторые же учёные, в зависимости от характера и назначения конфиденциальной информации, делят её на пять основных видов, выделяя: коммерческую тайну, банковскую тайну, профессиональную тайну, персональные данные, служебную тайну.

По мнению В.А. Коломейца всю информацию ограниченного доступа следует классифицировать по четырем информационным направлениям, соответствующим объектам гражданского права: тайна частной жизни граждан, служебная тайна, коммерческая тайна и государственная тайна Коломиец А.В. Коммерческая тайна в гражданском праве Российской Федерации: автореф. дис. ... канд. юрид. наук. М., 1999. С. 9..

С.Н. Братановский делит всю конфиденциальную информацию о сотруднике на номинативную и иную. К номинативной информации, он относит ту, с помощью которой можно идентифицировать конкретное лицо, а именно фамилию, имя, отчество, пол, серию и номер паспорта, дату и место рождения и т.п.

По мнению автора особое место среди номинативных персональных данных занимают биометрические персональные данные, т.е. сведения о физиологических и биологических особенностях индивида, на основании которых можно установить его личность. К иной информации, учёный относит информацию о доходах, месте работы, политических убеждениях, медицинских заболеваниях, наличии судимости и т. п. Братановский С.Н. Специальные правовые режимы информации. Саратов, 2010. С. 23..

К.М. Конджакулян, всю подлежащую защите информацию классифицирует по трем признакам: принадлежности, степени конфиденциальности (степени ограничения доступа) и по содержанию Конджакулян К.М. Некоторые проблемы в системе государственного управления (Сравнительно-правовой анализ) // Закон и право. 2014. № 11. С. 143-144..

Таким образом, в специальной литературе для классификации персональных данных работника используются различные критерии.

В качестве юридически значимых оснований для классификации персональных данных мы выделим следующие критерии: стадия получения персональных данных, специфика содержания, источник получения.

1. По стадии получения выделяют:

* персональные данные, предоставляемые работником при трудоустройстве согласно перечню статьи 65 ТК РФ (паспорт, трудовая книжка, страховое свидетельство государственного пенсионного страхования, документы воинского учета, документы об образовании и квалификации, иные документы, например, справку о наличии (отсутствии) судимости);

* персональные данные, полученные работодателем в период трудовой деятельности сотрудника (сведения из личного дела сотрудника, сведения из приказов, характеристик и др.);

* персональные данные работника, хранящиеся у работодателя после прекращения трудовых отношений.

2. По специфике содержания персональные данные делятся на:

* объективные документальные данные (документы об образовании, разряде, прохождении стажировки и др.);

* оценочные данные (материалы характеристик, аттестационных комиссий и др.) Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий главы 14 Трудового кодекса РФ // Управление персоналом. 2009. № 17. С. 70 - 79.

3. По источнику получения персональных данных выделяют:

* персональные данные, полученные по общему правилу т.е. от самого работника;

* персональные данные, полученные с письменного согласия сотрудника от третьих лиц;

* сведения, которые формирует сам работодатель, фиксируя эти данные в утвержденные государством формы.

В личную карточку работника, личную карточку государственного служащего, в учетную карточку научного, научно-педагогического работника работодателем заносятся результаты аттестации работника, курсы профессиональной переподготовки, поощрения и взыскания, время использования отпусков и т. д. Гейхман В.Л. Трудовое право: учебник для бакалавров. М., 2014. С. 236 - 237

Итак, персональные данные работника составляет любая информация о фактах, событиях и прочих обстоятельствах его жизни, при помощи которых впоследствии можно идентифицировать его личность.

Основной документ в этой сфере - личное дело работника, состоящее из разного рода документов. Обязанностью работодателя и его представителей является получение, накопление и защита.

1.2 Нормативно правовые требования к обработке персональных данных работника и гарантии их конфиденциальности

Сбор информации о работнике предполагает ее дальнейшую обработку. В Федеральном законе «О персональных данных», в статье 3, достаточно широко дается трактовка такому понятию, как «обработка персональных данных» - это любое действие или совокупность действий с персональными данными, которые совершаются с использованием средств автоматизации или без таковых. Обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.

Для предотвращения различного рода нарушений прав и свобод человека и гражданина в этой сфере в ТК РФ закреплены общие требования, которыми должен руководствоваться каждый работодатель при обработке персональных данных работника.

Статья 86 ТК РФ обязует работодателя обрабатывать персональные данные работника с соблюдением российского законодательства, содействовать в трудоустройстве, получении образования, продвижении по службе; обеспечивать личную безопасность работника, осуществлять контроль за количеством и качеством выполняемой работы; обеспечение сохранности имущества работодателя.

При установлении содержания и объёма обрабатываемых персональных данных сотрудника правовой основой для работодателя являются Конституция РФ, ТК РФ и прочие федеральные законы.

Согласно общему правилу, работодатель получает персональные данные у самого работника, исключением является ситуация, когда персональные данные работника можно получить только от третьих лиц.

В этом случае, работодатель обязан уведомить сотрудника заранее, получив от него письменное согласие. В уведомлении работнику сообщается о целях, предполагаемых источниках и способах, о характере подлежащих получению персональных данных и последствиях, в случае отказа работника от письменного согласия на их получение.

«Персональные данные сотрудника о его религиозных, политических и прочих убеждениях, а также частной жизни работодатель получить не вправе. Но в ситуации, когда, сведения о частной жизни работника непосредственно связаны с трудовыми отношениями, то работодатель может получить и обрабатывать такие данные, но в этом случае необходимо заручиться письменным согласием самого работника» Коршунов А. От работодателя секретов нет?! // Экономика и жизнь. 2015. № 48. С. 105.^.

Работодателю запрещается получать и обрабатывать персональные данные работника, связанные с его членством в общественных объединениях или профсоюзной деятельности.

Исключение составляют случаи, предусмотренные ТК РФ или иными федеральными законами. Например, работодатель может поинтересоваться не состоит ли его сотрудник в организациях экстремистской направленности.

Принимая решение, затрагивающее интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Законодатель мотивирует такой запрет тем, что данные, полученные таким способом, могут быть использованы не в том контексте.

По этой причине каждая ситуация требует индивидуального подхода и изучения всего объёма информации о данном лице.

Статьей 86 ТК РФ установлен перечень общих требований, которые обязан соблюдать работодатель при обработке персональных данных сотрудника. Данная статья, прежде всего, направлена на то, чтобы персональные данные использовались в интересах работника: во-первых, определение его правового положения по отношению к работодателю. Во-вторых, определить объем и содержание прав и обязанностей работника, вытекающих из трудового договора. В-третьих, определить встречные права и обязанности работодателя в этой области.

На сегодняшний день самыми распространенными формами сбора информации о работниках являются собеседование, тестирование и анкетирование.

Собеседование - это комплекс вопросов, которые адресуются кандидату, претендующему на определенную должность. Перед собеседованием составляется перечень ключевых вопросов.

В вопросах изначально закладываются определенные критерии, по которым делается вывод относительно каждого кандидата. Следует помнить, что есть вопросы, которые запрещены законодательством. В статье 64 ТК РФ декларируется запрет необоснованного отказа в заключении трудового договора.

Не допускается прямое или косвенное ограничение прав, а также установление прямых или косвенных преимуществ при заключении трудового договора по таким критериям как пол, расовая принадлежность, цвет кожи, национальность, языковая принадлежность, происхождение человека, имущественное, социальное и должностное положение, место жительства и другие обстоятельства, которые не связаны с деловыми качествами работников.

Также законодатель наложил запрет на отказ в заключении трудового договора с женщинами по мотивам, которые связаны с беременностью и наличием маленьких детей Никольская К. Значение персональных данных в век информационных технологий. // Вестник УрФО. Безопасность в информационной сфере. 2015. № 2. С. 47..

Тестирование - это еще один из источников информации о будущем работнике. Существует несколько видов тестов, которые могут быть предложены соискателю.

Целью тестирования является отбор претендентов, обладающих наибольшими шансами на успех. Как правило, тест - это наиболее надежный и достоверный способ выбора подходящего сотрудника на ту или иную должность. Поэтому в современной практике управления они используются как инструмент первоначального отсева и ограничения круга претендентов, тогда как окончательный выбор производится с использованием менее формальных методов.

В случае с анкетированием соискателю предлагается ответить на определенные вопросы в письменной форме Ищейнов В.Я. Персональные данные работника в законодательных и нормативных документах Российской Федерации и информационных системах // Делопроизводство. 2017. № 1. С. 105..

Цель анкетирования - выявить деловые качества потенциального работника.

Анкеты не должны содержать вопросов, которые связаны с национальностью, происхождением, социальным и имущественным положением лица.

Недопустима ситуация, при которой соискатель остается убежденным в том, что его деловые качества полностью соответствуют тем, которые необходимы для занятия определенной должности, а он получил отказ по причине его низкого социального положения.

В соответствие со статьей 87 ТК РФ работодатель самостоятельно определяет порядок хранения и использования персональных данных своих сотрудников, но при этом он должен руководствоваться требованиями ТК РФ и иных федеральных законов. При хранении персональных данных должна быть исключена возможность утраты данной информации, а также несанкционированного доступа к ней посторонних лиц Трудовое право России: учебник для бакалавров. М., 2015. С. 315.. Персональные данные работника могут быть использованы исключительно в соответствии с теми задачами, для решения которых они были получены.

В организации принимается нормативный акт локального применения, регламентирующий порядок хранения и использования, например, «Положение о хранении и использовании персональных данных работников». Работодатель обязан ознакомить с данным нормативным актом всех сотрудников.

В соответствии со статьей 22.1. №125-ФЗ «Об архивном деле в Российской Федерации», документы по личному составу, законченные делопроизводством до 01.01.2003года, хранятся 75 лет, а документы, законченные делопроизводством после 01.01.2003г. в течение 50 лет. Ответственность за хранение таких документов и сохранение секретности данных, которые в них содержатся, возлагается на работодателя и отдел кадров.

Передача персональных данных работников - один из элементов обработки персональных данных. Правовая регламентация данного процесса содержится в статье 88 ТК РФ.

Основные требования, которыми должен руководствоваться работодатель при передаче персональных данных своего работника третьим лицам или же в коммерческих целях необходимо получить письменное согласие самого работника.

Работодатель обязан предупредить лиц, которые получают персональные данные работников, о том, что они вправе использовать эти данные исключительно в тех целях, для которых они были переданы.

Доступом к персональным данным работника обладают только специально уполномоченные на это лица, которые могут быть наделены таким правом с целью выполнения ими определенных функций.

В целях сбора информации о движении персональных данных работников работодателем ведется соответствующий журнал учета Лучников П. Персональные данные с точки зрения информационных технологий // Защита информации. Инсайд. 2015. № 2. С. 28.

Итак, в рамках рассмотрения вопроса природы персональных данных работников мы приходим к выводу, что эти сведения являются элементом системы персональных данных лиц в целом. Персональные данные работников представляют собой институт трудового права, имеют информационный характер и подлежат правовой защите теми средствами и способами, которые установлены в целях защиты государственной тайны и иной конфиденциальной информации.

Персональные данные обрабатываются работодателем при наличии на это согласия работника. Процесс обработки состоит из сбора, систематизации, накопления, хранения, уничтожения, обезличивания, блокирования, а также уничтожения персональных данных. Очень важно обеспечить использование персональных данных в интересах работника.

2. Правовые особенности защиты персональных данных работников

2.1 Организация и контроль защиты персональных данных работников

Защита персональных данных работников от их неправомерного использования или же утраты осуществляется работодателем за счет собственных средств.

В соответствии со статьей 16 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», защитой информации является принятие правовых, технических и организационных мер, целями которых являются:

1. Обеспечение защиты информации от неправомерных действий (уничтожение, блокирование, модификация, распространение и т.д.).

2. Соблюдение режима секретности в отношении этой информации.

3. Реализация права на доступ к сведениям.

По мнению Л.Ю. Грудициной, персональные данные - это вид личной тайны, а также нематериальное благо Грудицина Л.Ю. Гражданское право России. М., 2015. С. 455..Следовательно, защита персональных данных работника, прежде всего, осуществляется гражданским правом.

Защита осуществляется, как правило, способами, которые не имеют перед собой цели восстановить нарушенную имущественную сферу потерпевшего лица. Способы защиты закреплены в статье 12 ГК РФ:

Первый способ - признание права.

Второй способ - пресечение действий, нарушающих право, а также создающих условия нарушения этого права.

Третий способ - прекращение или изменение правоотношения и т.д.

Все организации и индивидуальные предприниматели обязаны принимать меры по защите персональных данных своих работников. Перечень таких мер устанавливается не на законодательном уровне, а работодатель самостоятельно определяет их, но при этом ему следует учитывать мнение самих работников и их представителей.

Весь комплекс мер по защите персональных данных работников мы условно можем поделить на две группы: меры по внутренней защите, меры по внешней защите.

Меры по внутренней защите:

Одним из основных инструментов обеспечения защиты персональных данных работников является утверждение перечня документов, которые содержат персональные данные работников.

Такая документация включает:

1. Комплекс документов, которые сопровождают процесс оформления трудовых отношений.

2. Комплекс материалов по тестированию, анкетированию, интервью с соискателями.

3. Подлинники и копии приказов по личному составу.

4. Личные дела сотрудников, а также их трудовые книжки.

5. Дела, содержащие основания к приказам по личному составу.

6. Дела, содержащие материалы аттестации работников, служебные расследования и т.д.

7. Справочно-информационный банк сведений о персонале.

Подлинники и копии, аналитических, отчетных и справочных материалов.

8. Копии отчетов, которые направляются в налоговые инспекции, государственные органы статистики, вышестоящие органы управления Андреева В.И. Делопроизводство: требования к документообороту фирмы. М, 2015. С. 78..

Защита персональных данных сотрудников требует четкой регламентации функций работников, которые осуществляют обработку персональных данных. С целью решения данного вопроса в организации, как правило, издается приказ (распоряжение) о закреплении за определенным работником отдела кадров документации, которая требуется ему для информационного обеспечения функций, возложенных на него в должностной инструкции. Также разрабатывается и утверждается схема доступа работника кадровой службы к секретным сведениям и утверждается список лиц, которые обладают правом доступа в помещения где хранятся персональные данные.

По мнению И.В. Журавлевой в целях повышения эффективности защиты персональных данных работодателям следует разграничивать доступ к разным персональным данным. Реализуя это положение нужно разделить работу с персональными данными среди нескольких работников, например, один работник занимается документированием оформления трудовых отношений, другой сотрудник ведет личные дела, а также трудовые книжки работников организации, третий занимается приказами по личному составу, четвертый ведет справочно-информационный банк сведений о персонале Журавлева И.В. Документы по кадрам, которые должны быть в каждой организации // Секретарь-референт. 2016. № 9. С. 19.

Вторая группа мер - меры внешней защиты персональных данных работников.

Во-первых, введение пропускного режима, чтобы ограничить доступ посторонних лиц.

Во-вторых, для того чтобы знать кто и когда был в организации требуется ведение журнала приема и учета посетителей.

В-третьих, для защиты информации, содержащейся на электронных носителях, необходимо внедрять технические средства защиты, а именно различные компьютерные программы и антивирусы.

Все вышеуказанные меры защиты персональных данных сотрудников в свою очередь требуют документального закрепления.

Отметим, что федеральным законодательством не определены какие-то конкретные требования к содержанию и количеству локальных нормативных актов, которые издаются и применяются в организациях по вопросам, связанным с обработкой персональных данных работников.

Рассматривая сферу обеспечения защиты персональных данных работников нельзя не обратиться к вопросу о контроле защиты персональных данных.

Контроль бывает внутренний (внутри организации) и внешний, т.е. контроль со стороны государственных органов.

В целях организации внутреннего контроля за соблюдением законодательства о персональных данных работника, предприятие разрабатывает план контрольных и проверочных мероприятий. В этом плане определяется перечень мероприятий внутреннего контроля (например, аттестация сотрудников, работающих с персональными данными, проверка техники, которая используется для обработки персональных данных и т.д.), а также способы, методы, периодичность и другие параметры мероприятий по внутреннему контролю.

Нарушение правил защиты конфиденциальной информации является основанием для проведения служебного расследования, которое проводится специальной комиссией, формируемой приказом руководителя организации.

Целью проведения служебного расследования является установление причин, обстоятельств и последствий нарушения правил работы с персональными данными работников.

Результатом расследования становится выработка рекомендаций по устранению причин случившегося.

Внешний контроль по исполнению требований федерального законодательства в сфере защиты персональных данных осуществляется Федеральной службой безопасности (далее - ФСБ), Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК), Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) Ракина Ю. Закон «О персональных данных» и практика его применения в корпоративном управлении // Юриспруденция. Финансы. Кадры. 2017. № 16. С. 59..

Основным регулятором в сфере защиты физических лиц, чьи персональные данные подвергнуты обработке является Роскомнадзор.

ФСБ занимается обеспечением безопасности персональных данных в процессе их обработки в информационных системах, обращая особое внимание на защиту информации при ее обработке с использованием средств шифрования.

ФСТЭК обеспечивает защиту информации с применением технических средств. Отметим, что использование технических средств защиты персональных данных требует наличия соответствующего сертификата.

2.2 Правовая ответственность за нарушение правил работы с персональными данными работника

Согласно статье 90 ТК РФ предусматривается ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Виновные лица могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности.

Правовой основой привлечения к дисциплинарной ответственности являются статьи 192-195 ТК РФ.

За совершение дисциплинарного проступка статьей 192 ТК РФ предусматриваются такие дисциплинарные взыскания, как замечание, выговор, увольнение по соответствующим основаниям.

Универсальными видами дисциплинарных взысканий являются замечание и выговор, так как они могут быть применены за совершение любого дисциплинарного проступка.

Замечание - это осуждение поведения сотрудника, высказывание критики в его адрес. Выговор же - это явно выраженная отрицательная оценка поведения работника. Выговор, по сравнению с замечанием - более строгое дисциплинарное взыскание.

При этом и замечание, и выговор объявляются работнику в письменном виде.

Особый случай дисциплинарного взыскания - увольнение сотрудника. Причиной, по которой может быть расторгнут трудовой договор с работником, является разглашение охраняемой законом тайны, которая стала известна работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого сотрудника (подпункт «в» пункт 6 статья 81 ТК РФ).

Отметим, что выбор конкретной меры дисциплинарного взыскания из числа, предусмотренных федеральным законодательством принадлежит работодателю. Учитывая все обстоятельства дела, работодатель может не налагать взыскания на совершившего дисциплинарный проступок работника, ограничившись беседой с работником или устным замечанием.

За нарушение правил работы с персональными данными сотрудников, работодатель может быть привлечен к административной ответственности.

За обработку персональных данных сотрудника без его письменного согласия статьей 13.11. КоАП РФ предусмотрен административный штраф для должностных лиц - от десяти до двадцати тысяч рублей; для юридических лиц - от пятнадцати до семидесяти пяти тысяч рублей.

Предупреждение либо наложение административного штрафа предусмотрено за невыполнение оператором обязанности по опубликованию или обеспечению неограниченного доступа к документу, определяемому политику оператора в отношении обработки персональных данных.

Неправомерный отказ в предоставлении сотруднику собранных в установленном порядке документов, материалов, затрагивающих его права и свободы, либо несвоевременное их предоставление, а также предоставление работнику неполной или заведомо недостоверной информации влечет предупреждение либо наложение административного штрафа.

За несоблюдение условий хранения материальных носителей, обеспечивающих сохранность персональных данных и несанкционированный доступ к ним влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти до двадцати тысяч рублей; на юридических лиц - от двадцати пяти до пятидесяти тысяч рублей.

Предупреждение или штраф в размере от трех до шести тысяч рублей предусмотрен для должностных лиц за несоблюдение установленных требований по обезличиванию персональных данных сотрудников.

За непредоставление, либо предоставление в неполном объеме или искаженном виде информации в государственный орган (должностному лицу), осуществляющему контроль, представление которой предусмотрено законом или необходимо для осуществления его законной деятельности статьей 19.7. КоАП РФ предусматривается предупреждение или наложение административного штрафа.

В случаях, когда сотруднику причинен имущественный или моральный вред, он вправе требовать привлечения виновного лица к гражданско-правовой ответственности.

Статья 1068 ГК РФ гласит, что юридическое лицо также несет ответственность за вред, причиненный его сотрудником при исполнении своих трудовых обязанностей. Статьей 15 ГК РФ установлено, что лицо, право которого нарушено, может требовать возмещения убытков.

Под убытками закон признает: расходы, которое лицо произвело или произведет в будущем для восстановления своего нарушенного права; утрату имущества, повреждение имущества; упущенную выгоду.

Сотрудник, ответственный за хранение, обработку и использование персональных данных других сотрудников и злоупотребляющий своими служебными полномочиями может быть привлечен к уголовной ответственности.

Основанием для привлечения к уголовной ответственности является незаконный сбор или распространение информации, касающейся частной жизни человека, которая составляет его личную или семейную тайну.

Обязательным элементом объективной стороны преступления, предусмотренного статьей 137 УК РФ, является причинение вреда правам и законным интересам граждан.

Возможные наказания, предусмотренные на нарушение статьи 137 УК РФ:

* штраф в размере до двухсот тысяч рублей;

* исправительные работы на срок до одного года;

* обязательные работы на срок до трехсот шестидесяти часов;

* принудительные работы на срок до двух лет с лишением права занимать определенные должности;

* арест на срок до четырех месяцев;

* лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

За корыстное использование служебного положения наказание за данное преступление ужесточается.

Осуществление неправомерного доступа к охраняемой законом компьютерной информации, в случае если это деяние стало причиной уничтожения, модификации, блокирования, а также копирования вышеупомянутой информации регулируется статьей 272 УК РФ.

Также уголовная ответственность предусмотрена статьей 140 УК РФ за неправомерный отказ в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам гражданина.

Таким образом, для предотвращения нарушений при обработке персональных данных работников статье 86 ТК РФ закреплены общие требования по работе с персональными данными, но работодатель, совместно с работниками, вправе разработать свои меры по защите персональных данных.

Отметим, что такие меры обязательны для всех организаций и индивидуальных предпринимателей.

Мы выяснили, что существуют две группы мер по защите персональных данных работников, а именно: меры внутренней защиты и меры внешней защиты.

Также мы выяснили, что внутренний контроль осуществляется руководителем организации посредством проверок, аттестаций и прочих мероприятий. Внешний контроль за исполнением законодательства осуществляется государственными ведомствами: Федеральной службой безопасности, Федеральной службой по техническому и экспертному контролю. Ведущая роль, в соблюдении законодательства у Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Защита нарушенных прав в сфере защиты персональных данных обеспечивается мерами государственного принуждения (мерами дисциплинарной, административной, гражданско-правовой и уголовной ответственности) в соответствии с федеральными законами.

персональный работник правовой конфиденциальность

Заключение

Одной из важнейших составляющих современного общества является информация. Проблема защиты персональной информации - одна из центральных проблем в современной России, поэтому вопросу защиты такой информации уделяется достаточно большое внимание, такая информация, согласно положениям действующего законодательства РФ, является персональными данными и подлежит правовой защите теми средствами и способами, которые установлены в целях защиты конфиденциальной информации. Эти причины обусловили выбор данной темы нашего исследования. Цель, поставленная в курсовой работе, выполнена путем реализации поставленных задач.

В ходе исследования были решены следующие задачи: исследована правовая природа персональных данных работника, изучены вопросы нормативно-правового регулирования их обработки, систематизирован механизм обеспечения и контроля защиты персональных данных работника, проанализированы вопросы привлечения к ответственности за разглашение персональных данных работников и правоприменительная практика по данному вопросу. В результате исследования можно сделать следующие выводы.

Во-первых, становление института персональных данных неразрывно связано с развитием конституционных прав и свобод человека и гражданина. В РФ процесс включения в правовую систему института персональных данных в большей степени строился на европейском опыте. Основной целью Федерального закона «О персональных данных», принятого в 2006 году, является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные работников регламентируются главой 14 ТК РФ.

Российскими учёными по-разному трактуется понятие «персональные данные», но все они единодушны во мнении о том, что персональные данные и сведения о частной жизни пересекаются. Также ученые отмечают, что не все сведения о частной жизни требуются работодателю для трудоустройства работника, а только те, которые непосредственно связаны с трудовыми отношениями.

Во-вторых, каждый работник обладает комплексом прав, связанных с правом на защиту персональных данных работника. Персональные данные работника обрабатываются в соответствии со статьей 86 ТК РФ. Под обработкой персональных данных следует понимать сбор, систематизацию, накопление, хранение, уничтожение, использование, распространение, обезличивание, блокирование, уничтожение персональных данных в интересах работника. Для обработки персональных данных необходимо получить письменное согласие у самого работника, а также у третьих лиц с согласия субъекта персональных данных. Основными формами сбора информации при трудоустройстве являются анкетирование, тестирование, беседа.

В-третьих, работодатель самостоятельно устанавливает порядок хранения и использования персональных данных своих сотрудников. Обязанностью работодателя является принятие локального нормативного акта, определяющего порядок хранения и использования персональных данных работников, с которым он обязан ознакомить всех сотрудников под роспись. Меры по защите персональных данных своих работников обязаны принимать все организации и индивидуальные предприниматели. Эти меры разрабатываются совместными усилиями работодателя, работников и их представителей.

В-четвертых, за соблюдением правил работы с персональными данными работников производится внутренний и внешний контроль. Внешний контроль и надзор за обработкой персональных данных осуществляется уполномоченным органом по защите прав субъектов персональных данных, таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

В-пятых, лица, виновные в нарушении федерального законодательства в области защиты персональных данных сотрудников могут привлекаться к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Список использованных источников

Нормативные правовые акты и документы

1. Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.) (в ред. от 21.07.2014) // Российская газета. 1993. 25 дек.

2. Всеобщая декларация прав человека (принята Генеральной Ассамблеей ООН 10.12.1948) // Российская газета. 1995. 5 апр.

3. Конвенция о защите прав человека и основных свобод. Заключена в г. Риме 04.11.1950 (с изм. От 13.05.2004, вместе с протоколами № 1, № 4 и № 7) // Собрание законодательства РФ. 2001. №2. Ст. 163.

4. Гражданский кодекс Российской Федерации (часть первая) 30 ноября 1994г. № 51-ФЗ (ред. от 03.08.2018) // Собрание законодательства РФ. 1994. №32. Ст. 3301.

5. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001г. № 195-ФЗ (ред. от 01.05.2019) // Собрание законодательства РФ. 2002. № 1 (ч.1). Ст.1.

6. Трудовой кодекс Российской Федерации» от 30 декабря 2001г. № 197-ФЗ (в ред. от 01.04.2019) // Собрание законодательства РФ.2002. № 1 (ч.1). Ст.3.

7. Уголовный кодекс Российской Федерации от 13 июня 1996г. № 63-ФЗ (ред. от 23.04.2019) // Собрание законодательства РФ. 1996. № 25. Ст. 2954.

8. Федеральный закон от 22 октября 2004г. №125-ФЗ «Об архивном деле в Российской Федерации» (ред. от 28.12.2017) // Собрание законодательства РФ. 2004. № 43. Ст. 4169.

9. Федеральный закон от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и защите информации (ред. от 18.03.2019) //Собрание законодательства РФ. 2006. №31 (ч. 1). Ст. 3448.

10. Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» от 7 мая 2013г. № 99-ФЗ (ред. от 29.12.2017) // Собрание законодательства РФ. 2013. № 19. Ст. 2326.

11. Федеральный закон от 27 мая 2003г. № 58-ФЗ «О системе государственной службы Российской Федерации» (ред. от 23.05.2016) // Собрание законодательства РФ. 2003. № 22. Ст. 2063.

12. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (ред. от 31.12.2017) // Собрание законодательства РФ. 2006. №31 (1 ч.). Ст. 3451.

13. Федеральный закон от 27 мая 2003г. № 58-ФЗ «О системе государственной службы Российской Федерации» (ред. от 23.05.2016) // Собрание законодательства РФ. 2003. № 22. Ст. 2063.

14. Федеральный закон от 20 февраля 1995г. №24-ФЗ «Об информации, информатизации и защите информации» // Собрание законодательства РФ. 1995. №8. Ст.609. (утратил силу).

15. Указ Президента РФ от 06.03.1997 № 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» // Собрании законодательства Российской Федерации от 10 марта 1997 г. № 10. ст. 1127.

Литература

16. Абаев Ф.А. Историко-правовые предпосылки формирования и современные тенденции развития института персональных данных 65 в трудовом праве // Пробелы в российском законодательстве. 2013. № 5. С. 136 - 139.

17. Абаев Ф.А. Правовое регулирование отношений по защите персональных данных работника в трудовом праве: дис. … канд. юр. наук.: 12.00.05. / Абаев Феликс Артурович. Москва. 2014. 216 с.

18. Андреева В.И. Делопроизводство: требования к документообороту фирмы. М., 2015. 195 с.

19. Бачило И.Л. Информационное право. Основы практической информатики: учебное пособие. М., 2015. 258 с.

20. Бачило И.Л. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2006. 474 с.

21. Братановский С.Н., Лебедева М.М. Специальные правовые режимы информации. Саратов, 2012. 172 с.

22. Бундин М.В. Персональные данные как информация ограниченного доступа // Информационное право. № 1. 2009. С. 10 - 14.

23. Гейхман В.Л. Трудовое право: учебник для бакалавров. М., 2014. 548 с.

24. Грудицина Л.Ю. Гражданское право России. М., 2015. 561 с.

25. Дворецкий А.В. Защита персональных данных работника по законодательству Российской Федерации: дис. ... канд. юрид. наук: 12.00.05. Томск, 2005. 222 с.

26. Дворецкий А.В. Определение понятия персональных данных работника в Трудовом кодексе РФ // Сибирский юридический вестник. 2005. № 2. С. 32 -33. 66

27. Журавлева И.В. Документы по кадрам, которые должны быть в каждой организации // Секретарь-референт. 2016. № 9. С. 19 - 21.

28. Ищейнов В.Я. Персональные данные работника в законодательных и нормативных документах Российской Федерации и информационных системах // Делопроизводство. 2017. № 1. С. 98 - 105.

29. Коломиец А.В. Коммерческая тайна в гражданском праве Российской Федерации: автореф. дис. ... канд. юрид. наук. М., 1999. 26 с.

30. Конджакулян К.М. Некоторые проблемы в системе государственного управления (Сравнительно-правовой анализ) // Закон и право. 2014. № 11. С. 143 - 144.

31. Коршунов А. От работодателя секретов нет?! // Экономика и жизнь. 2015. № 48. С. 91 - 105. Коршунов Ю.Н. Комментарий к Трудовому Кодексу РФ. М., 2014. 299 с.

32. Лопатин В.Н. Правовые основы информационной безопасности: курс лекций. М., 2016. 219 с.

33. Лучников П. Персональные данные с точки зрения информационных технологий // Защита информации. Инсайд. 2015. № 2. С. 28 - 35.

34. Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий главы 14 Трудового кодекса РФ // Управление персоналом. 2009. № 17. С.70 - 79.

35. Никольская К. Значение персональных данных в век информационных технологий. // Вестник УрФО. Безопасность в информационной сфере. 2015. № 2. С.45 - 47.

36. Попов Л.Л. Информационное право: учебник. М., 2016. 485 с.

37. Ракина Ю. Закон «О персональных данных» и практика его применения в корпоративном управлении // Юриспруденция. Финансы. Кадры. 2017. № 16. С. 54 - 59.

Размещено на Allbest.ru

...