Защита персональных данных работника

Описание

Содержание

Введение……………………………………………………………………………3
Глава 1. Общая характеристика правового регулирования
персональных данных работника……………………………………………….7
1.1. Правовое регулирование института персональных данных работника в российском трудовом праве………………………………………………7
1.2. Понятие персональных данных работника…………………………..11
1.3. Виды и форма персональных данных работника………………….15
Глава 2. Защита персональных данных работника…………………………24
2.1. Понятие, субъект и объект защиты персональных данных……….24
2.2. Общие требования при обработке персональных данных работника и гарантии их защиты…………………………………………………….28
2.2.1. Передача персональных данных работников……………..37
2.2.2. Защита информации при работе с ЭВМ……………………41
2.2.3. Контроль защиты информации…………………………….45
Глава 3. Ответственность за нарушение норм, регулирующих обработку
и защиту персональных данных работника…………………………………51
3.1. Дисциплинарная и материальная ответственность за нарушение
норм, регулирующих обработку и защиту персональных данных
работника…………………………………………………………………..51
3.2. Уголовная, административная и гражданская ответственность
за несоблюдение норм, регулирующих обработку и защиту персональных данных работника……………………………………….56
Глава 4. Анализ правоприменительной практики в сфере защиты
персональных данных работников……………………………………………65
4.1. Актуальные проблемы правоприменительной практики в сфере защиты персональных данных работников…………………………….65
4.2. Пути совершенствования законодательства о защите
персональных данных работников……………………………………….70
Заключение………………………………………………………………………75
Список использованных источников………………………………………….79
Приложения…………………………………………………………………….85
Введение

В современном информационном мире человек становится «прозрачным» для окружающих, что только усиливает желание сохранить личную информацию в неприкосновенности. Развитие информационно-телекоммуникационных технологий и внедрение их буквально во все сферы жизни побуждает задуматься о возможности неконтролируемого использования персональной информации, о необходимости ее защиты, а также о регламентации отношений, связанных с ее использованием.
С 25 октября по 25 ноября 2006 г., после подписания Президентом РФ В. Путинным Закона о персональных данных, аналитическим центром компании InfoWatch было проведено исследование . Его результаты показали: 94% респондентов убеждены, что России просто необходим Закон о персональных данных, остальные 6% высказались против этой точки зрения. Таким образом, безопасность персональных данных – была и остается «больной» темой для большинства россиян.
Кадровая работа любого предприятия, учреждения, организации связана с подбором персонала, приемом на работу работников, а также с накоплением, обработкой, хранением и использованием значительных объемов сведений о работниках . Деятельность кадровой службы по работе с персональными данными работников организации включает различные виды использования этих сведений. Однако не всегда кадровики имеют полное представление о правилах работы с персональными данными, не во всех организациях разработаны и утверждены соответствующие локальные нормативные акты. Поэтому проблема регулирования защиты персональных данных работника от неправомерного использования становится все более актуальной.
Основную правовую базу в этой сфере составляют Трудовой кодекс РФ (далее – ТК РФ) и Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) «О персональных данных» .
Институт защиты персональных данных работника является новацией в Трудовом кодексе РФ . Очевидна его тесная связь с частной сферой жизни человека. Включение в ТК РФ гл. 14 «Защита персональных данных работника» стало принятием общепризнанных принципов и норм международного права и международных договоров РФ, влиянием их на изменение и совершенствование методов правового регулирования труда, законодательное закрепление государственных гарантий трудовых прав и свобод работников
Сегодня ТК РФ и ФЗ «О персональных данных» заставляют российский бизнес относиться с уважением к приватным сведениям граждан (работников). Они обязывают привести все базы персональных данных в соответствие с положениями законодательства, в т.ч. разработать и принять Положение о персональных данных работников .
Несмотря на то, что в последнее время принимаются нормативные акты в сфере персональных данных и усиливается ответственность в данной области, работники, как и многие работодатели, в силу малой освещенности данного вопроса слабо знают или не слышали ранее термина «защита персональных данных работников» и своих прав в рассматриваемой области.
Актуальность исследуемой темы объясняется тем, что безопасность персональных данных в условиях глобальной компьютеризации и единого информационного пространства беспокоит большинство россиян; институт защиты персональных данных работника является сравнительно новой правовой категорией, которая требует глубокого научно-теоретического осмысления; зачастую представители работодателя и работники в достаточной степени не владеют информацией о правилах обработки персональных данных, своих правах и обязанностях в данной сфере.
Объект исследования – общественные отношения в сфере защиты персональных данных работника.
Предмет исследования – нормы законодательства РФ (трудового, гражданского, уголовного, административного и пр.), регулирующего отношения в сфере защиты персональных данных работника.
Цель исследования – правовой анализ института персональных данных работника и их защиты в российском трудовом праве; анализ института юридической ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работника; анализ правоприменительной практики в сфере защиты персональных данных работников.
Для достижения поставленной цели нами сформулированы следующие задачи:
1) изучить правовое регулирование института персональных данных работника в российском трудовом праве;
2) определить понятие, виды и формы персональных данных работника;
3) определить понятие, субъект и объект защиты персональных данных;
4) рассмотреть общие требования при обработке персональных данных работника и гарантии их защиты;
5) исследовать виды юридической ответственности (дисциплинарная, материальная, уголовная, административная, гражданско-правовая) за нарушение норм, регулирующих обработку и защиту персональных данных
работника;
6) рассмотреть актуальные проблемы правоприменительной практики в сфере защиты персональных данных работников;
7) определить пути совершенствования законодательства о защите
персональных данных работников.
Новизна исследования состоит в том, что в нем комплексно исследованы вопросы, связанные с обработкой персональных данных работника и их защитой; предложены доктринальные определения понятий «персональные данные работника», «защита персональных данных», «обработка персональных данных работника»; рассмотрены виды и основания юридической ответственности за нарушение правил работы с персональными данными работника; разработаны предложения по внесению изменений в действующие законодательные акты РФ в области защиты персональных данных.
Теоретическую базу исследования составили труды таких авторов как Анисимов Л.Н., Богатыренко З.С., Гусов К.Н., Толкунова В.Н., Головина С.Ю., Молодцов М.В., Коршунова Т.Ю., Маврин С.П., Хохлов Е.Б., Куренной А.М., Лушников А., Миронов В.И., Орловский Ю.П., Нуртдинова А.Ф., Панин С.А., Черняева Д.В. и др.
Методы исследования — метод познания, метод анализа изучаемых явлений, исторический, логический, системно-структурный, сравнительно-правовой, конкретно-социологический, статистический и другие методы.

Глава 1. Общая характеристика правового регулирования
персональных данных работника

1.1. Правовое регулирование института персональных данных работника в российском трудовом праве
В современном обществе к защите конфиденциальной информации предъявляют все большие требования. Поскольку персональные данные работников содержат данные личного характера, к обеспечению гарантий по их сохранности и неразглашению относятся очень серьезно. В связи с этим нормативные акты, регулирующие обеспечение сохранности персональных данных вообще и работников в частности предусмотрены не только национальным законодательством, но и международными актами.
Статья 12 Всеобщей декларации прав человека (1948 г.) гласит «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств» . Право на уважение к личной и семейной жизни содержится так же и в Конвенции о защите прав человека и основных свобод . Эти международные правовые акты заложили основу создания российской правовой системы, признающей принципы и нормы международного права приоритетными.
Впоследствии право неприкосновенности личной жизни было подтверждено ст. 17 Международного пакта о гражданских и политических правах .
В 1995 году Содружеством Независимых Государств была принята Конвенция о правах и основных свободах человека, закрепившая основные права на территории государств-участников СНГ .
Глава 2. Защита персональных данных работника

2.1. Понятие, субъект и объект защиты персональных данных
К сожалению, действующее законодательство не раскрывает, что такое защита персональных данных, кто является субъектом защиты и что есть объект защиты.
В Законе о персональных данных содержится ст. 19, которая возлагает на лицо, осуществляющее их обработку, обязанность принять меры по обеспечению безопасности персональных данных при их обработке. Указанные меры принимаются для защиты персональных данных от неправомерных действий в отношении них. К таким действиям Закон относит неправомерный или случайный доступ к персональным данным, уничтожение, изменение, блокирование, копирование, предоставление, распространение и иные неправомерные действия.
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
Глава 3. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

3.1. Дисциплинарная и материальная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
В ст. 90 ТК РФ указано на то, что лица, виновные в нарушении законодательства об обработке персональных данных работника, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, предусмотренном трудовым законодательством.
За нарушение правил обработки персональных данных лица, имеющие доступ к этим сведениям, могут быть привлечены к дисциплинарной ответственности. В отношении сотрудника-кадровика работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ: замечание, выговор, увольнение. В качестве крайней меры дисциплинарной ответственности может быть применено увольнение. Специальное основание для расторжения трудового договора по инициативе работодателя предусмотрено подп. «в» п. 6 ч. 1 ст. 81 ТК РФ — разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в т.ч. разглашение персональных данных другого работника.
Дисциплинарная ответственность работников является самостоятельным видом юридической ответственности. К дисциплинарной ответственности могут привлекаться работники, совершившие дисциплинарный проступок.
Как и любое другое правонарушение, дисциплинарный проступок, упомянутый в подп. «в» п. 6 ч. 1 ст. 81 ТК РФ, обладает совокупностью
Глава 4. Анализ правоприменительной практики в сфере защиты
персональных данных работников

4.1. Актуальные проблемы правоприменительной практики в сфере защиты персональных данных работников
Одним из актуальных вопросов в работе кадровых служб является проблема, связанная с наличием на предприятии локального нормативного акта, регламентирующего порядок обработки персональных данных работников. Является ли такой акт обязательным документом?
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований ТК РФ и иных федеральных законов. Данная норма подразумевает регулирование порядка обработки персональных данных на локальном уровне. Следовательно, работодатель должен локальным нормативным актом определить порядок хранения, обработки и использования персональных данных. Поэтому данный документ является обязательным и его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства.
Такой вывод также подтверждается судебной практикой. Так, ООО «НЭФКО-Центр» обратилось в Арбитражный суд г. Москвы с заявлением о признании незаконным и отмене постановления Государственной инспекции труда г. Москвы о привлечении к административной ответственности, предусмотренной ч. 1 ст. 5.27 КоАП РФ.
Решением арбитражного суда от 09.06.2006 заявленное требование удовлетворено. При новом рассмотрении дела суд постановлением от 24.08.2006 отказал ООО в удовлетворении требований.
Не согласившись с принятым по делу постановлением суда апелляционной инстанции, ООО подало кассационную жалобу, в которой
Заключение

Анализ исследуемой темы позволяет сделать следующие выводы и предложения.
1. Персональные данные работника – комплексный правовой институт, который регламентируется нормами международного и национального права. Правовую базу рассматриваемого института образуют нормы и принципы международного права, Конституция РФ, Федеральные законы от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», «О персональных данных», нормы главы 14 ТК РФ, постановления Правительства РФ, акты федеральных министерств и ведомств, принятые в пределах их компетенции и устанавливающие правила работы с персональными данными.
2. Персональные данные работника — информация, касающаяся конкретного работника, в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, доход, имущественное положение, образование, профессия и другая информация, имеющая отношение к профессиональной квалификации работника, его деловым, профессиональным качествам и к требованиям, которые могут быть к нему предъявлены в связи с характером работы. Данное определение персональных данных работника может быть использовано как в качестве доктринального, так и в качестве законодательного. В последнем случае, его необходимо включить в ч. 1 ст. 85 ТК РФ.
3. Под видами персональных данных работников следует понимать виды информации (сведений), необходимых работодателю в связи с трудовыми отношениями и касающихся конкретного работника. К видам персональных данных работника относятся сведения, идентифицирующие физическое лицо; сведения о трудовой деятельности; сведения об образовании и профессии; сведения о состоянии здоровья, сведения об имущественном положении; сведения о семейном положении и пр. Это также могут быть сведения, которые получены при заключении трудового договора; сведения, полученные в период трудовых отношений; сведения, хранящиеся у работодателя по окончании трудовых отношений. Сведения о работнике носят субъективный и оценочный характер.
Документы, содержащие сведения о работнике, — форма персональных данных. Среди таких документов и материалов основное место занимают:
1) документы, предъявляемые при заключении трудового договора (ст. 65 ТК РФ);
2) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
3) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры;
4) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);
5) документ о беременности работницы и возрасте детей для предоставления матери, отцу, иному лицу установленных законом условий труда, гарантий и компенсаций;
6) документы, подтверждающие право на дополнительные учебные отпуска и оплату проезда к месту обучения.
4. Персональные данные работника являются конфиденциальной информацией. В силу этого они не могут быть переданы третьим лицам без письменного согласия работника, кроме случаев, установленных федеральным законом (например, по требованию компетентных органов государственной власти и пр.). При обработке персональных данных работодатель обязан соблюдать ряд правил, обеспечивающих «приватность» и защиту данных о работнике.
Обработка персональных данных работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными работника, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Данное определение целесообразно закрепить в ч. 2 ст. 85 ТК РФ.
Обработка персональных данных работника должна осуществлять представителем работодателя (кадровик, бухгалтер и пр.) с соблюдением следующих правил:
— обеспечение прав и свобод работника, установленных Конституцией РФ, ТК РФ и иными федеральными законами;
— наличие добровольного письменного согласия работника на обработку персональных данных, в т.ч. их передачу, кроме случаев, установленных федеральным законом;
— обеспечение защиты персональных данных от несанкционированного доступа, распространения и использования.
Защита персональных данных – совокупность мер правового, организационного и технического характера, направленных на обеспечение конфиденциальности информации о физическом лице. Данное определение важно зафиксировать в ст. 85 ТК РФ, дополнив ее ч. 3. Реализация названных мер – прямая обязанность предприятия, учреждения, организации, осуществляющих обработку персональных данных.
5. Порядок обработки персональных данных в рамках организации должен быть отражен локальном нормативном акте (Положении или Инструкции о персональных данных работника). Данный документ разрабатывается кадровой службой, утверждается руководителем организации и доводиться до сведения каждого работника под роспись.
6. Несоблюдение правил работы с персональными данными работника, нарушение законодательства в сфере защиты персональных данных может повлечь для виновных лиц юридическую ответственность: уголовную, административную, гражданско-правовую, дисциплинарную, материальную.
Наиболее распространенным видом ответственности в данной сфере является административная ответственность. Вместе с тем анализ правоприменительной практики показал, что административные штрафы за правонарушения в сфере персональных данных работника невелики и не способны достигать целей наказания и общей превенции. Поэтому целесообразно в разы повысить размер административных штрафов по ст.ст. 13.11, 13.12 и 13.14 КоАП РФ.

Список использованных источников

1. Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 // Международные акты о правах человека: Сборник договоров. – М.: Норма, 2000. – 945 с.
2. Международный пакт о гражданских и политических правах. Принят 06.12.1966 Резолюцией 2200 (XXI) на 1496-ом пленарном заседании Генеральной Ассамблеи ООН // Международное публичное право. Сборник документов: в 3 т: Т. 1. — М.: БЕК, 1996. – 780 с.
3. Конвенция о защите прав человека и основных свобод [ETS № 5]. Заключена в г. Риме 04.11.1950 // Бюллетень международных договоров. — 2001. — № 3. — С. 3-44.
4. Конвенция Содружества Независимых Государств о правах и основных свободах человека. Заключена в г. Минске 26.05.1995 // СЗ РФ. – 1999. — № 13. — Ст. 1489.
5. Конституция РФ. Принята всенародным голосованием 12 декабря 1993 г. (в ред. ФКЗ от 30.12.2008 № 7-ФКЗ) // СЗ РФ. — 2009. — № 4. – Ст. 445.
6. Гражданский кодекс РФ (часть первая) от 30.11.1994 № 51-ФЗ (ред. от 06.12.2011) // СЗ РФ. — 1994. — № 32. — Ст. 3301.
7. Гражданский кодекс РФ (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 30.11.2011) // СЗ РФ. — 1996. — № 5. — Ст. 410.
8. Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ (ред. от 28.07.2012) // СЗ РФ. – 1996. — № 25. — Ст. 2954.
9. Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 28.07.2012) // СЗ РФ. – 2002. — № 1 (ч. 1). — Ст. 1.
10. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ред. от 28.07.2012) // СЗ РФ. – 2002. — № 1 (ч. 1). — Ст. 3.
11. Федеральный закон от 26.12.1995 № 208-ФЗ (ред. от 28.07.2012) «Об акционерных обществах» // СЗ РФ. – 1996. — № 1. – Ст. 1.