Защита персональных данных работника

Предусматривая права и обязанности сторон трудового договора, направленные на защиту персональных данных работника, в ст. 90 ТК РФ «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника» Кодекс устанавливает, что лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Как можно заметить, данная норма носит отсылочно-бланкетный характер, так как отсылает к нормам трудового права, предусматривающим дисциплинарную ответственность, а также к нормам других отраслей права, устанавливающим правила получения, обработки и защиты персональных данных работника, за нарушение которых установлена административная, гражданско-правовая или уголовная ответственность.

По мнению авторов Комментария к Трудовому кодексу Российской Федерации, перечень видов юридической ответственности, указанных в ст. 90 ТК РФ, не является исчерпывающим, поскольку лица, виновные в нарушении правил работы с персональными данными работника, также могут быть привлечены к материальной ответственности. Причем к материальной ответственности за виновное нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных работника, могут привлекаться как работодатель, так и работники, непосредственно обрабатывающие персональные данные работников.

Административная ответственность в виде штрафа в размере от 5 до 10 минимальных размеров оплаты труда для должностных лиц, а для юридических лиц - от 50 до 100 или более минимальных размеров оплаты труда может наступить за совершение таких проступков, предусмотренных Кодексом Российской Федерации об административных правонарушениях, как:

-отказ в предоставлении  гражданину информации, собранных  в установленном порядке документов, материалов, непосредственно затрагивающих  его права и свободы, либо несвоевременное  предоставление таких документов  и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39);

-нарушение установленного  законом порядка сбора, хранения, использования или распространения  информации о гражданах (персональных  данных) (ст. 13.11);

-нарушение правил защиты  информации, за исключением информации, составляющей государственную тайну (ст. 13.12);

-незаконная деятельность  в области защиты информации (ст. 13.13);

-разглашение информации, доступ к которой ограничен  федеральным законом (за исключением  случаев, если разглашение такой  информации влечет уголовную  ответственность), лицом, получившим  доступ к такой информации  в связи с исполнением служебных  или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Субъектами административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах и за нарушение правил защиты информации могут быть как работодатели - физические лица, так и работодатели - юридические лица (организации), их руководители и конкретные работники, исполняющие трудовые функции, связанные со сбором, хранением, использованием персональных данных работников.

Гражданско-правовая ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, наступает в случае, если такое нарушение причиняет ущерб неотчуждаемым правам и свободам человека и другим нематериальным благам, к числу которых относятся честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна (ст. 2, 150 ГК РФ).

Гражданско-правовая ответственность может выражаться в возложении обязанности по возмещению имущественного ущерба или компенсации морального вреда. Например, моральный вред работнику может быть причинен в результате виновного распространения персональных данных работника, в случае представления третьим лицам недостоверной информации о работнике, содержащей сведения, порочащие его честь, достоинство, деловую репутацию.

Компенсация морального вреда и защита чести, достоинства и деловой репутации работника осуществляется по основаниям, установленным ст. 151, 152 ГК РФ, в порядке гражданского судопроизводства.

Уголовная ответственность за нарушение правил работы с персональными данными работника может наступить при условии, если это нарушение содержит признаки состава какого-либо преступления против конституционных прав и свобод человека.

Среди них может быть нарушение неприкосновенности частной жизни (ст. 137 УК РФ), выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо в распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан. Наказывается это преступление штрафом до 200 000 руб. (ч. 1) или штрафом до 300 000 руб. (ч. 2), если оно совершено с использованием служебного положения, либо иными наказаниями, альтернативно предусмотренными в санкциях ч. 1 и 2 ст. 137 УК РФ.

Другим преступлением в этой сфере является отказ в предоставлении гражданину информации. В соответствии со ст. 140 УК РФ данное преступление выражается в неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан.

Наказывается это преступление штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.

Как отмечает А.М. Лушников, лица, виновные в нарушении законодательства об обработке персональных данных работника, могут быть привлечены к уголовной также по ст. 129 УК РФ за клевету, если представители работодателя допустят при обработке персональных данных работника распространение о нем заведомо ложных сведений, порочащих его честь и достоинство или деловую репутацию, а также по ст. 130 УК РФ, если при обработке персональных данных работника будет допущено унижение его чести и достоинства в неприличной форме, например с использованием нецензурной брани.

Неправомерный доступ к охраняемой законом компьютерной информации, в электронно-вычислительной машине, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию или копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

Как известно реализация Федерального закона №152-ФЗ неоднократно откладывалась. Дело в том, что достижение соответствия ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов компании. Но наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее - их неконкретность. Исполнение некоторых требований стало практически невыполнимой задачей, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы. Так, согласно сделанным расчетам защита персональных данных в соответствии с законом требует увеличения финансовых средств в 3-5 раз.

Все это свидетельствует о необходимости дальнейшего совершенствования нормативно-правовой базы, регулирующей отношения по обработке персональных данных.

Технические меры по защите информации подразумевают:

-средства защиты информации  от несанкционированного доступа (НСД) (системы разграничения доступа  к информации; антивирусная защита; межсетевые экраны; средства блокировки  устройств ввода-вывода информации, криптографические средства и т.п.);

-средства защиты информации  от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров  на линии связи; установка активных  систем зашумления и т.д.).

Все программные средства по защите информации должны пройти оценку соответствия в установленном порядке.

Следовательно, для того, чтобы обеспечить соблюдение требований Федерального закона №152 - ФЗ придется существенно изменить работу с информацией и документацией, содержащих персональные данные.

Действия по реализации требований Федерального закона №152-ФЗ включают в себя:

. Проведение инвентаризации  всех систем обрабатывающих персональные  данные.

. Наличие согласий субъектов  на обработку их персональных  данных.

. Формирование перечня  персональных данных, оценка законности  обработки ПД.

. Установление категорий  персональных данных.

. Формирование документов, регламентирующих работу с персональными  данными.

. Формирование модели  угроз, содержащих актуальные угрозы  информационной безопасности персональных  данных при их обработке.

. Определение класса ИСПД  и выработка решений по снижению  класса информационной системы. Порядок проведения классификации  информационных систем утвержден  совместным Приказом ФСТЭК РФ, ФСБ РФ и Министерства информационных  технологий и связи РФ от 13.02.2008 г. №55/86/20. Цель проведения классификации - установление методов и способов  защиты информации, необходимых  для обеспечения безопасности  персональных данных.

. Утверждение акта классификации.

. Направление уведомления  об обработке ПД в уполномоченный  орган.

. Контроль ИСПД.

При выполнении указанных действий, информационная система персональных данных будет соответствовать требованиям закона.

 

2.4 Контроль защиты  персональной информации работника

 

Контроль за исполнением требований закона возложен на Федеральную службу безопасности (ФСБ России), Федеральную службу по техническому и экспортному контролю (ФСТЭК) и Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Каждое из этих ведомств выполняет свою задачу. Так, ФСБ России курирует вопросы безопасности персональных данных при их обработке в информационных системах, в том числе защиту информации с использованием средств шифрования (криптографии).

Компетенции ФСТЭК России - защита информации с применением технических средств, в том числе подтверждение отсутствия в средствах защиты не декларируемых возможностей. Технические средства защиты персональных данных необходимо сертифицировать.

Роскомнадзор является основным регулятором в области защиты прав физических лиц, чьи персональные данные обрабатываются. Сотрудники этого ведомства имеют право:

-проверять сведения в  уведомлении, поданном оператором;

-принимать меры по приостановлению  или прекращению обработки персональных  данных, осуществляемой с нарушением  требований закона;

-обращаться в суд с  исковыми заявлениями в защиту  прав субъектов и представлять  их интересы в суде. А также  направлять заявления в орган, осуществляющий лицензирование  деятельности оператора, для рассмотрения  вопроса о принятии мер по  приостановлению действия его  лицензии;

-направлять материалы  в правоохранительные органы для решения вопроса о возбуждении уголовного дела в связи с нарушением прав субъектов персональных данных;

-привлекать к административной  ответственности лиц, виновных в  нарушении закона.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации влечет наложение административного штрафа на граждан от пятисот до тысячи рублей с конфискацией несертифицированных средств защиты информации, на должностных лиц - от одной до двух тысяч рублей, а на юридических лиц - от десяти до двадцати тысяч рублей с конфискацией несертифицированных средств.

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) лицом, которое имело к ней доступ по служебным или профессиональным обязанностям, влечет наложение на должностных лиц административного штрафа - от четырех тысяч до пяти тысяч рублей.

Неправомерный доступ к охраняемой законом компьютерной информации, в электронно-вычислительной машине, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию или копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

Как известно, реализация Федерального закона №152-ФЗ неоднократно откладывалась. Дело в том, что достижение соответствия ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов компании. Но наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее - их неконкретность. Исполнение некоторых требований стало практически невыполнимой задачей, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы. Так, согласно сделанным расчетам защита персональных данных в соответствии с законом требует увеличения финансовых средств в 3-5 раз.