Бличенков С,Правовое регулирование защиты персональных данных ра. Основные данные о работе Версия шаблона
Скачать 451 Kb.
|
2 глава Правовые проблемы обработки персональных данных и виды ответственности за их разглашениеГлавным критерием отнесения информации к персональным данным является ее принадлежность физическому лицу (гражданину), будь то сотрудники компании, клиенты, посетители и т.д. Персональные данные - любая информация, относящаяся к определенному лицу: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Обработка персональных данных - действия с персональными данными, включая сбор, хранение, использование, обезличивание, блокирование, уничтожение персональных данных. Конфиденциальность персональных данных – требование, обязательное для соблюдения получившим доступ к персональным данным лицом не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Организации, использующие в своих информационных системах персональные данные, являются операторами ИСПДн. Кто такой оператор персональных данных? Под определение оператора ПДн подпадает любая организация, независимо от ее размера и формы собственности. Требования к компаниям разного уровня предъявляются различные. Жесткость требований определяется классом, под который попадает ИСПДн, существующая в компании. Классификация информационных систем персональных данных (ИСПДн) Согласно постановлению правительства РФ от 1 ноября 2012 г. N 1119, установлены требования к защите персональных данных при их обработке в информационных системах, и введены 3 типа актуальных угроз от которых зависит требуемый уровень защищенности. Под актуальными угрозами понимаются условия и факторы, создающие опасность несанкционированного доступа к персональным данным(в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, копированы, предоставлены или распространены. Угрозы 1-го типа - угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспечении. Угрозы 2-го типа - актуальны угрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспечении. Угрозы 3-го типа - актуальны угрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; обеспечение сохранности носителей персональных данных; утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-ого уровня защищенности необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 3-ого уровня защищенности, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных 2-ого уровня защищенности, необходимо выполнение следующих требований: автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным; создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. Соотношение типа угроз/уровня защищенности/и типа обрабатываемой информации
Зачем нужно тратить силы и средства на защиту ПДн в организации? Итак, целями защиты персональных данных являются: Предотвращение утечки, хищения, утраты, искажения, подделки персональных данных субъектов; Защита от несанкционированного доступа и действий по уничтожению, модификации, искажению, копированию, блокированию информации, касающейся персональных данных и предотвращение других форм незаконного вмешательства в информационные ресурсы; Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения; Предотвращение следующего возможного ущерба субъекту ПДн: - нанесение вреда здоровью субъекта ПДн; - незапланированные и (или) непроизводительные финансовые или материальные затраты субъекта; - потеря субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн; - нарушение конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия. В области защиты персональных данных (ПДн) наша компания выполняет весь комплекс работ по построению защиты информационной системы персональных данных (ИСПДн). Мероприятия по защите персональных данных Примерный комплекса мероприятий по защите персональных данных от «нулевого цикла» до выдачи аттестата соответствия информационной системы персональных данных требованиям ФСТЭК и ФСБ России: Проведение обследования ИСПДн, классификация ИСПДн; Разработка модели угроз ИСПДн; Разработка технического задания на создание системы защиты персональных данных в ИСПДн; Разработка комплекта проектов организационно-распорядительных документов; Разработка программы и методики испытаний системы защиты в ИСПДн; Обучение специалистов работе со средствами защиты информации, используемыми в системе защиты персональных данных в ИСПДн; Поставка и настройка средств защиты информации; Проведение аттестационных испытаний, выдача аттестата соответствия ИСПДн требованиям ФЗ №152 2006 года. Проблема персональных данных в цифровом веке Наступление цифрового века - века компьютеров, информатизации и глобальных сетей приносит как новые возможности, так и новые беспокойства. Одной из проблем, стоящих наиболее остро является проблема защиты неприкосновенности частной жизни вообще и персональных данных в частности. Все большее и большее число людей начинает беспокоить тот факт, что информация о них становится легко доступна и распространяется на цифровых носителях без их ведома. Как пишет экономист Хэл Вариан (Hal R. Varian) из калифорнийского университета в Беркли, "уже сейчас есть рынок информации о вас. Проблема в том, что вы сами на этом рынке не присутствуете." Не исключено, что вскоре проблема охраны персональных данных приобретет еще больший общественный резонанс, сходный с тем, которые уже давно приобрели проблемы охраны окружающей среды. Подобно тому, как активисты движения в защиту окружающей среды лоббировали первые экологические законы 30 лет назад, активисты движения в защиту неприкосновенности частной жизни во многих странах лоббируют законодательство, устанавливающее все более и более строгие правила обращения с персональной информацией. Но несмотря на постоянное ужесточение законов, регламентирующих сбор, хранение и распространение личных данных, становится очевидным, что запретительными мерами проблему не решить. Во-первых, исполнение такого законодательства крайне сложно проконтролировать. Во-вторых, современные технические средства превращают операции с данными в прибыльный бизнес, заниматься которым необычайно выгодно. Подавляющее большинство граждан, компаний и некоммерческих организаций собирают информацию каждый день, не имея при этом никакого желания отчитываться о своей деятельности перед регулирующими органами. Эта история отражает современную ситуацию: личные данные (они же персональные данные или информация) - неотъемлемую часть практически любого законодательства в области охраны прав человека - хранить в тайне при нынешнем развитии информационных технологий, средств наблюдения и передачи данных становится все сложнее. На рынке формируется спрос на персональные данные, создавая ценовое давление в пользу раскрытия информации. Защита баз данных, собранных как частными компаниями, так и государственными органами непрерывно дорожает. При этом, если компания имеет выбор: повысить цены или перестать защищать свои базы, то у государства такого выбора нет, по закону оно обязано защищать персональные данные своих граждан, чего бы это ни стоило. Объем бюджетных средств, то есть средств налогоплательщиков, выделяемые на охрану их же данных, становится все больше, но рынок все равно получает требуемые информационные продукты в виде "пиратских баз", продаваемых с лотков и через интернет. Между тем общественное сознание вполне успешно адаптируется к новым реалиям, что подтверждают опросы граждан разных стран, в том числе и России - хотя, технический прогресс по-прежнему идет опережающими темпами. Люди постепенно привыкают к тому, что о них можно узнать практически все - было бы желание. Уже сейчас можно констатировать, что общество стало лучше осознавать опасности раскрытия персональных данных, но вместе с тем стало и более терпимым к фактам такого раскрытия. Надо заметить, что анонимность и неприкосновенность персональных данных - это роскошь, которая появилась сравнительно недавно, с появлением больших городов. Наши предки, жившие в деревнях, имели минимальные персональные тайны, в деревне круг общения невелик, все всё видят и все обо всех всё знают. В городе же мы можем не знать имен своих соседей по лестничной клетке. Но у анонимности большого города есть и свои издержки: высокая преступность. Но уже сейчас становится очевидно, что по мере движения человечества в сторону "глобальной деревни" сохранять анонимность, типичную для большого города, становится все сложнее. Адаптация к жизни в информационно открытом обществе (равно как и в информационно закрытом) - вопрос времени, человечество по своей природе адаптивно и не станет до бесконечности бунтовать против технологических новинок, которое оно само же и породило. Тем более, что эти новинки приносят большое количество экономических благ. Увы, не адаптируется к современным реалиям лишь законодательство, фактически тормозящее рынок. Однако жизнь настоятельно требует развития законодательства в части защиты персональных данных - особенно в свете развития программы "Электронная Россия", формирующей единую систему персонального учета населения. Система персонального учета граждан (первая версия СПУН) обременена существенными обязательствами государства по охране хранящейся в ней информации. В случае несанкционированного доступа к СПУН это чревато многомиллионными исками к российским государственным органам, в том числе и в международных судах. Кроме того, в рамках нынешнего законодательства очень велика вероятность возникновения ситуации, когда к СПУН будут иметь доступ лишь весьма ограниченный круг государственных служащих, в основном, в органах госбезопасности и криминальные структуры (через коррумпированных чиновников). Большинство из тех, кому база СПУН будет полезна и нужна по роду занятий вынуждены будут тратить время на бесконечное бюрократическое согласование на право доступа к единственной записи - не говоря уже о том, что сами граждане не смогут получить доступ к собственным данным. В случае, если предложения, сформулированные в данном документе будут реализованы, возможна будет реализация СПУН второй версии, лишенной всех указанных недостатков - а кроме того, более открытой, лучше соединенной с другими базами, более точной и удобной в использовании. Помимо системы персонального учета, существует еще ряд важных областей экономики, которые остро нуждаются в реформе законодательства о персональных данных: § Деятельность кредитных бюро, организаций, собирающих информацию о кредитоспособности граждан для облегчения процесса кредитования, в том числе ипотечного. Без существования кредитных бюро процесс кредитования связан со слишком высокими рисками. § Деятельность страховых компаний по оценке рисков, связанных со страхованием граждан и организаций. § Деятельность аналитических агентств, предоставляющих информацию о рисках в связи с проведением сделок по покупке компаний, слияниям, портфельным инвестициям. Без налаживания деятельности таких компаний невозможен приток в экономику страны иностранных инвестиций. Общие требования при обработке персональных данных работника и гарантии их защиты Конфиденциальность, сохранность и защита персональных данных в отделе кадров обеспечивается отнесением их к служебной тайне. Работа с персональными данными должна быть организована в строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. Режим конфиденциальности персональных данных снимается в случаях обезличивания их или по истечении 75 – лет срока хранения, если иное не определено законом. В ст. 86 Трудового кодекса РФ содержатся общие требования при обработке персональных данных работника и гарантии их защиты. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования: 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и про движении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; 2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами; 3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и по следствиях отказа работника дать письменное согласие на их получение; 4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия; 5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами; 6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения; 7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом и иными федеральными законами; 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области; 9) работники не должны отказываться от своих прав на сохранение и защиту тайны; 10)работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Персональные данные содержатся в документации отдела кадров. Это: - документы, связанные с подбором персонала; - документы, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.); - материалы анкетирования, тестирования, проведения собеседований с кандидатами на должность; - трудовые договоры, соглашения, устанавливающие взаимоотношения сторон; - подлинники и копии приказов по личному составу; - личные дела и трудовые книжки сотрудников; - дела, содержащие основания к приказам по личному составу; - дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным рас следованиям и т.п.; - справочно-информационный банк данных по персоналу - учетно-справочный аппарат (картотеки, журналы, базы данных и др.); - подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб; - копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, муниципальные и другие учреждения. При работе с персональными данными сотрудниками отделов кадров должны соблюдаться следующие основополагающие принципы по их защите: - личная ответственность руководства предприятия и работников отдела кадров за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также о носителях этой информации; - разбиение (дробление) персональных данных между разными руководителями предприятия и работниками отдела кадров; - наличия четкой разрешительной системы доступа руководства предприятия и работников отдела кадров к документам, содержащим персональные данные; - проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия. Главным здесь является четкая регламентация функций работников отдела кадров по разным видам документов, дел, карточек, журналов персонального учета и баз данных. Посторонние лица не должны знать распределение этих функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Под посторонними лицами понимаются не только злоумышленники или их сообщники, но и сотрудники предприятия, функциональные обязанности которых не связаны с работой отдела кадров. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников отдела. Для этого первый руководитель предприятия должен издать приказ о закреплении за работниками отдела кадров определенных массивов документов, необходимого для информационного обеспечения функций, указанных в должностных инструкциях. Должна также быть схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность указанных должностных лиц и работников за сохранность и конфиденциальность персональных данных. Не допускается, чтобы работник отдела кадров мог знакомиться с любыми документами и материалами отдела. Целесообразно, чтобы каждый из них был закреплен за определенной группой персонала предприятия и выполнял весь объем функций от подбора кандидата на вакантную должность до хранения документации. В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них) издается соответствующее распоряжение начальника отдела кадров, в котором регламентируется характер изменений, их срок и дополнения к документам, делам и базам данных. Следует соблюдать следующие особенности обработки и хранения документов. Приказы по личному составу составляются, оформляются и хранятся в отделе кадров, а не в делопроизводственной службе. Операции по оформлению, формированию, ведению и хранению личных дел выполняются одним работником отдела кадров, который несет личную ответственность за сохранность документов в делах и доступ к делам других работников. Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, помещаются не в личное дело сотрудника, а в специальное дело с грифом «Строго конфиденциально». Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику. Материалы тестирования работающих сотрудников, их аттестации формируются в отдельное дело также с грифом строгой конфиденциальности. В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для его изъятия и нового местонахождения. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются начальником и работником отдела кадров. Замена документов в личном деле кем бы то ни было запрещена. Новые исправленные документы помещаются с ранее подшитыми. Приказом первого руководителя предприятия должен быть установлен порядок выдачи и ознакомления руководящего состава с личными делами сотрудников. Личные дела могут выдаваться только на рабочие места первого руководителя предприятия, его заместителя по кадрам и начальника отдела (управления) кадров. Дела выдаются (в том числе начальнику отдела кадров или при наличии письменного разрешения – работнику отдела) под роспись в контрольной карточке. При возврате дела тщательно проверяется сохранность документов, отсутствие повреждений и включений в дело других документов или их подмены. Просмотр дела производится в присутствии руководителя. Передача личных дел руководителям через их секретарей или референтов не допускается. Другие руководители предприятия могут знакомиться с личными делами (или при отсутствии личных дел – карточками формы Т-2) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации отдела кадров они не допускаются. Ознакомление с делами осуществляется в помещении отдела кадров под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется контрольной карточке личного дела. Работник предприятия вправе ознакомиться только со своим личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные. Факт ознакомления с личным делом также фиксируется в контрольной карточке. Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия (карточками, журналами и книгами персонального учета сотрудников). Отчетная и справочная работа отдела формирует каналы несанкционированного получения и незаконного использования персональных данных. В связи с этим первым руководителем устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно – определяется порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность. На документах, выходящих за пределы отдела кадров, может ставиться гриф «конфиденциально» или «для служебного пользования». В отделе кадров обязательно остаются копии всех отчетных и справочных документов. Целесообразно, чтобы подлинники этих документов после минования в них надобности возвращались в от дел кадров для включения в дело вместо хранящейся там копии. В структурных подразделениях предприятия могут быть следующие документы, содержащие персональные данные: - журнал табельного учета с указанием должностей, фамилий и инициалов сотрудников (находится у работника, ведущего табельный учет, - табельщика), - штатное расписание (штатный формуляр) подразделения, в котором может дополнительно указываться, кто из сотрудников занимает ту или иную должность, вакантные должности (находится у руководителя подразделения), - дело с выписками из приказов по личному составу, касающимися персонала под разделения (находится у табельщика). Руководитель подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон и др.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа. Не реже одного раза в год работники отдела кадров проверяют наличие этих дел в подразделениях, их комплектность, правильность ведения и уничтожения. В отделе кадров дела, картотеки, учетные журналы и книги учета хранятся в рабочее и нерабочее время в металлических запирающихся и опечатываемых шкафах. Работникам не разрешается при любом по продолжительности выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми. У каждого работника должен быть свой шкаф для хранения закрепленных за ним дел и картотек. Трудовые книжки хранятся в сейфе. Оставлять на рабочем столе в не рабочее время документы, картотеки, служебные записи и другие материалы категорически запрещается. Помимо операций с документами работники отдела кадров значительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго регламентирован, т.к. посетители могут представлять определенную угрозу информационной безопасности отдела кадров и физической безопасности работников отдела. Приемные часы должны быть разными для сотрудников предприятия и лиц, не входящих в эту категорию. В часы приема посетителей работники отдела не должны выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются данного посетителя. Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу. Ответы на правомерные письменные запросы других учреждений и организаций даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений. Подбор персонала для работы в отделе кадров ведется с учетом требований, которые разработаны для должностей, связанных с владением и обработкой конфиденциальных сведений и документов. Здесь: анализ личностных и моральных качеств претендентов на должность; подписание обязательства о неразглашении защищаемых сведений; оформление приказом первого руководителя предприятия допуска к конфиденциальной информации; обучение правилам защиты конфиденциальной информации и регулярное инструктирование по отдельным вопросам защиты; контроль соблюдения действующих инструкций по работе с конфиденциальными документами. Иными словами, порядок функционирования отдела кадров должен быть подчинен решению задач обеспечения безопасности персональных сведений, их защиты от разного рода злоумышленников. Утечки персональных данных и ответственность за разглашение персональных данных Утечки персональных данных, огромное количество которых сосредоточено в информационных сетях российских компаний, приводят к серьезным финансовым и репутационным издержкам. В корне явления лежат несколько причин, не последняя из которых — практическое неисполнение законодательных нормативов в области защиты персональных данных. Как показывает практика, внимание компаний к каким бы то ни было проблемам зависит от масштаба этих проблем и их влияния на бизнес. Защита персональных данных в этом плане не исключение. В общем случае, чем больше сведений хранят и обрабатывают компании, тем выше риски, ответственность и обеспокоенность менеджмента за сохранность данных. По данным исследования, проведенного компанией Perimetrix, более половины российских компаний (52%) обрабатывают свыше 10 тыс. записей персональных данных. Утечка такого объема информации — это далеко не локальный инцидент, поскольку группу риска составляет количество людей, сравнимое с населением небольшого города. Очевидно, что в случае неблагоприятного исхода потери исчисляются не только суммой в денежном эквиваленте с большим количеством нулей — наносится ущерб и репутации компании. Примерно каждая шестая российская компания (15,3%) обрабатывает персональные данные более 1 млн человек. Это и государственные учреждения, и крупные коммерческие компании. Если такое предприятие представлено на фондовых рынках и об утечке информации из него станет известно, акции мгновенно потеряют в цене: инвесторы не станут дожидаться окончания расследования инцидента. (см.приложение А) По данным мировой статистики об инцидентах в сфере ИБ, около 90% всех утечек так или иначе связаны с действиями персонала. Таким образом, чем больше сотрудников обладает доступом к массивам персональных данных, тем выше риски утечки. Сегодня российские компании обрабатывают огромное количество информации такого рода. В большинстве случаев доступ к ней не контролируется, что приводит к высоким рискам утечки. Законодательное регулирование защиты ПД до сих пор практически не работает, а ФЗ "О персональных данных" по-прежнему выдвигает только общие и неконкретные требования. Каждая компания трактует эти требования исходя из собственных соображений, а иногда — просто их игнорирует. Правоприменительная практика в отношении ФЗ отсутствует, контроль над исполнением закона де-факто не производится. Вместе с тем российское правительство предпринимает шаги для реанимации федерального закона и для осуществления контроля над операторами персональных данных. Поскольку ФЗ уже давно вступил в силу, российские компании должны быть готовы к публикации конкретизирующих документов и появлению контроля над исполнением закона. Конечно, это событие не может произойти в один момент, однако и реализация комплекса защитных мер требует времени. Задумываться о защите персональных данных необходимо уже сегодня, внедрять защиту — завтра, а послезавтра — спокойно наблюдать за схваткой государства и менее дальновидных компаний. На сегодняшний день правительство выпустило несколько постановлений, "уточняющих" и "раскрывающих" закон о персональных данных. В их числе постановление №781 от 17 ноября 2008 года "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановление №687 от 15 сентября 2008 года "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", положение №512 от 6 июля 2008 года "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных". Ответственность за разглашение персональных данных Главное условие защиты персональных данных - четкая регламентация функций работников отдела кадров, а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность согласно федеральным законам. Статья 24 Закона о персональных данных предусматривает, что лица, виновные в нарушении требований этого Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Статья 90 ТК РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может быть привлечен к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ, а также к административной, гражданско-правовой и уголовной ответственности в порядке, установленном федеральными законами. Согласно ст. 57 ТК РФ в трудовом договоре могут предусматриваться условия о неразглашении государственной, служебной, коммерческой и иной охраняемой законом тайны. Под понятие иной охраняемой законом тайны подпадают и персональные данные. В этой связи применительно к ст. 87 ТК РФ следует включать в трудовые договоры с соответствующими работниками условия о неразглашении конфиденциальной информации о персональных данных работников, связанной с выполнением ими своих должностных обязанностей. К сотруднику, отвечающему за хранение персональной информации в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ, а именно: замечание, выговор и увольнение. Работодатель может расторгнуть трудовой договор по своей инициативе при разглашении охраняемой законом тайны, ставшей сотруднику известной в связи с исполнением им трудовых обязанностей. Помимо этого сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности. Так, ст. 137 УК РФ устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев. Защита конфиденциальных данных предусмотрена ст. 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило ее, то на такого работника будет наложен административный штраф в размере от 40 до 50 МРОТ. К уголовной и административной ответственности привлекаются руководитель организации, подразделения, виновный в разглашении персональных данных работника, или же другое должностное лицо, отдавшее распоряжение использовать то или иное ограничение или самостоятельно исполнившее данное распоряжение. Работодателю следует помнить, что к дисциплинарной ответственности могут быть привлечены лишь те работники, которые приняли на себя обязательство соблюдать правила работы с персональными данными, т. е. это условие было включено в их трудовой договор, они были ознакомлены с локальными нормативными актами по вопросу защиты данной конфиденциальной информации, а работодатель создал для работы все необходимые условия. Если такая подготовительная работа не была проведена, то специалист, которому доверена работа с персональными данными, нести ответственность не будет. Каких сотрудников можно уволить за разглашение персональных данных? Трудовой кодекс предусматривает в качестве одного из оснований увольнения разглашение персональных данных другого работника (подп. «в» п. 6 ч. первой ст. 81). Это основание появилось в законе относительно недавно, в связи с внесением в Кодекс изменений Федеральным законом от 30 июня 2006 г. № 90-ФЗ. Тем самым законодатель указал на необходимость защиты персональных данных сотрудников, в том числе под угрозой увольнения. Уволить за разглашение персональных данных можно только тех работников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо говорится в подпункте «в» пункта 6 части первой статьи 81 Трудового кодекса. К таким сотрудникам, несомненно, относятся работники кадровых служб, бухгалтерии, военно-учетного подразделения, службы охраны труда, а также руководители организаций и лица, их заменяющие. Однако если работник узнал персональные данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение будет являться незаконным. Увольнение за разглашение персональных данных является увольнением по инициативе работодателя. Поэтому нельзя прекращать трудовой договор по данному основанию в период временной нетрудоспособности работника и в период его пребывания в отпуске (ч. шестая ст. 81 ТК РФ). Также в силу прямого указания статьи 192 Трудового кодекса рассматриваемое увольнение является дисциплинарным взысканием. Следовательно, оно должно осуществляться по правилам статьи 193 ТК РФ. Необходимо отметить, что увольнение работника за разглашение персональных данных затруднительно для работодателя по причине того, что сложно установить сам факт разглашения конкретным работником. Ведь если «молва уже пошла» и весь коллектив компании в курсе, определить источник утечки информации крайне затруднительно. Здесь необходимо также запастись доказательствами того, что именно данный работник является подобным источником. При этом важно уяснить, что для того, чтобы уволить работника за разглашение персональных данных, не важно, был ли проступок совершен умышленно или по неосторожности. А также не имеет значения, руководствовался ли разгласивший какими-либо корыстными мотивами или нет. Кроме этого, не принимаются в расчет отговорки работника: «Мне это приказал руководитель» в том случае, если работник не может доказать, что это не его личная инициатива. Если доказательства есть ответственность за разглашение персональных данных ляжет на руководителя, отдавшего неправомерное распоряжение. Увольнение за разглашение тайны представляет собой дисциплинарное взыскание. Применить его - право, а не обязанность работодателя. Порядок увольнения Итак, если работодатель обнаружил факт разглашения охраняемых сведений, нужно составить акт. Унифицированной формы для него не предусмотрено, он составляется в произвольной форме с указанием: - фамилии, имени, отчества работника, обнаружившего факт разглашения; - сведений, которые были разглашены; - обстоятельств, при которых произошли разглашение и обнаружение этого факта; - даты и времени разглашения и обнаружения. По факту нарушения режима коммерческой тайны нужно провести проверку специально созданной комиссией, которая создается приказом из не менее трех компетентных и не заинтересованных в исходе разбирательства работников, имеющих допуск к сведениям, разглашение которых произошло. Комиссия: - запрашивает объяснение у лица, разгласившего информацию; - фиксирует иные доказательства факта нарушения режима коммерческой тайны (документы, копии электронных писем или страницы сайта в Интернете, видеозаписи и т.д.); - по итогам расследования составляет акт, в котором отражает время, место и обстоятельства нарушения, причины и условия его совершения, виновных лиц и степень их вины, размер причиненного ущерба и предложения по его возмещению, предлагаемые меры наказания. С результатами проведенного расследования необходимо ознакомить работника, виновного в разглашении информации. В случае его отказа или уклонения от ознакомления составляется соответствующий акт. По итогам расследования и до оформления приказа о применении дисциплинарного взыскания за разглашение охраняемой законом тайны от работника следует потребовать письменное объяснение (ст. 193 ТК РФ). Если он готов представить объяснительную записку, письменное требование можно не оформлять. Если же ситуация носит явно конфликтный характер, то данное требование лучше оформить письменно и вручить работнику под роспись. Если по истечении двух рабочих дней указанное объяснение работником не представлено, то составляется соответствующий акт. После установления вины работника, оценки тяжести совершенного проступка - разглашения тайных сведений работодатель в случае принятия решения об увольнении издает приказ об этом по форме N Т-8 . Не забудьте по общим правилам расторжения трудового договора, установленным ст. 84.1 ТК РФ, с таким приказом ознакомить работника под роспись. В случае, когда приказ (распоряжение) о прекращении трудового договора невозможно довести до сведения работника или работник отказывается ознакомиться с ним под роспись, на приказе нужно сделать соответствующую запись. В последний рабочий день производится запись в личной карточке и трудовой книжке. Также работнику должны быть выплачены все причитающиеся ему суммы - зарплата, компенсация за неиспользованный отпуск и иные выплаты. |