Проблемы обеспечения защиты персональных данных работника

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). ...

Содержание
Задание на выполнение выпускной квалификационной работы……………………….……3
Отзыв руководителя……………………………………………………………………………..4
Рецензия специалиста……………………………………………………………………………5
Введение………………………………………………………………………………………….6
Глава 1. Общая характеристика института персональных данных работника………..……..9
1.1. Понятие, категории и субъекты персональных данных…………………………………..9
1.2. Становление и развитие законодательства о защите персональных данных в РФ...….14
1.3. Конфиденциальность персональных данных…………………………………………….21
Глава 2. Ответственность за нарушение норм, регулирующих защиту персональных данных работника………………………………………………………………………………29
2.1. Защита персональных данных на локальном уровне…………………………………....29
2.2. Административно-правовая ответственность за нарушения законодательствао защите персональных данных……………………………………….....................................................34
2.3.Уголовно-правовая ответственность за нарушения законодательства о защите персональных данных………………………………………………………………………….39
Заключение……………………………………………………………………………………...44
Список использованной литературы………………………………………………………….46

Актуальность данной темы обуславливается тем, что конкретная факторы о человеке (факты его биографии, национальность, место жительства, сведения о заболеваниях, о профессиональных знаниях и навыках, о семейной жизни, привычках, увлечениях, нравственные, политические, сексуальные и религиозные пристрастия и многое другое), составляют большую или даже большую часть циркулирующей в обществе информации. Человек оставляет соответствующие «информационные следы» в отделах кадров, в социальных службах, органах исполнительной власти, в сфере услуг, различных организациях.
Очень часто сообщение подобной информации находится в рамках интересов самого индивида или является необходимым условием получения конкретного социального статуса либо определенных услуг. Распространение такой информации без сог ласия самого человека может способствовать формированию его положительного имиджа, а может нанести непоправимый урон, моральный или материальный вред. Именно поэтому обращение с информацией персонального характера (персональными данными) требует особой правовой регламентации.
Целью данной работы является комплексное, системное исследование существующей нормативно-правовой базы, регулирующей вопросы защиты персональных данных работника, а также изучение актуальных проблем защиты персональных данных в рамках законодательства Российской Федерации.
Для достижения вышеназванной цели в данной дипломной работе были поставлены и решены следующие задачи:
- проведено правовое исследование становления и развития института персональных данных в Российской Федерации;
- изучены проблемы конфиденциальности персональных данных;
- исследованы правовые аспекты становления и развития в Российской Федерации института защиты персональных данных;
- определены проблемы защиты персональных данных работника и пути её решения;
- изучены виды ответственности, предусмотренные российским законодательством за нарушение норм, регулирующих защиту персональных данных работника.

С другой стороны, персональные данные есть необходимый элемент социализации индивида. Они представляю собой его своеобразную «визитную карточку» в обществе и являются юридической основой для реализации его праводееспособности. С этой точки зрения они не всегда являются конфиденциальными. Поэтому можно сказать, что режим конфиденциальности персональных данных есть ни что иное, как правовой режим использования личной информации индивида с целью осуществления предоставленных ему законом прав и исполнения возложенных на него законом обязанностей. Имеется три основных аспекта проблемы правового регулирования конфиденциальности:- первый аспект связан с защитой конфиденциальности персональных данных в процессе их обработки операторами информационных систем персональных данных;- второй, более общий, связан с обеспечением конфиденциальности персональных данных в условиях свободы СМИ;- третий аспект – это правовые изъятия из общего режима конфиденциальности персональных данных, действующие во время избирательных компаний и иных случаях.Конфиденциальность, есть прежде всего свойство информации, ее признак, переданный ей заинтересованными лицами. Обязательство же лица о неразглашении этой информации является следствием этого ее свойства. Персональные данные не становятся конфиденциальными в процессе их оборота, они являются таковыми изначально по своей природе.В то же время, нельзя отрицать, проблема обеспечения конфиденциальности персональных данных в процессе их обработки имеет огромное практическое значение. Ведь именно то, насколько хорошо будут защищены персональные данные работника в процессе их обработки, во многом определит общая степень защиты персональных данных в структуре той или иной организации.В Законе РФ «О персональных данных» закреплена обязанность операторов, должностных лиц Уполномоченного органа по защите прав субъектов персональных данных и третьих лиц, получивших доступ к персональным данным, обеспечивать конфиденциальность этих данных, за исключением случаев обезличивания персональных данных и общедоступных персональных данных (ст. 7 и п. 4 ст. 23).В случае обезличивания персональных данных становится не возможным определить принадлежность персональных данных конкретному субъекту персональных данных (п.8 ст.3), и тем самым обеспечивая конфиденциальность этих данных.Проблема обеспечения конфиденциальности персональных данных тесно связанна с другой, и весьма сложной проблемой так называемого рутинного (или вторичного) использования персональных данных.Именно оговорка о «рутинном использовании» позволила внедрить в информационную практику государственных ведомств компьютерную сверку – то есть проводимое с помощью компьютерных технологий сопоставление двух или более систем персональных данных. Такое сопоставление позволяет объединить имеющуюся в разных системах персональную информации в единый банк данных и получить более полный «информационный портрет». Однако, общественная реакция оказалась отрицательной. Противники компьютерной сверки указывали на то, что она по существу представляет собой «электронный обыск».Стоит отметить, что даже для самой технически совершенной информационной системы является профессионализм и ответственность обслуживающего ее персонала. Человеческий фактор должен учитываться и являться основным элементом построения эффективной системы защиты автоматизированных информационных систем.Низкая экономическая и социальная защищенность населения приводит к тому, что часто добросовестное отношение к делу заменяется стремлением добиться успеха и благосостояния любой ценой, в том числе разными нечистоплотными средствами, например, разглашением какой либо информации о конкуренте. Кроме того, бурная коммерциализация страны на фоне отсутствия традиции уважения к закону привело к массовым нарушениям законодательства. Вместе с тем, от профессионализма и ответственности работников, ровно как и от общего качества организации распорядка в организациях, осуществляющих сбор и обработку персональных данных, во многом зависит обеспечение конфиденциальности персональных данных работника в целом.Словом, в локальном правовом регулировании, касающемся прав и обязанностей как работника, так и работодателя, должен быть закреплен весь спектр мер, направленных на принуждение возможности несанкционированного доступа, использования и разглашения персональных данных, а также дифференцированная система мер ответственности за нарушение соответствующих правил.Сравнивая российский Закон « О персональных данных» в части вопросов обеспечения конфиденциальности персональных данных, с аналогичными законами других европейских стран, можно отметить следующее. Российский Закон « О персональных данных», в отличие от аналогичных законов, например таких стран как Дания, Финляндия, Венгрия, содержит прямое указание на то, что персональные данные граждан представляют собой конфиденциальную информацию. Тем не менее, порядок обеспечения конфиденциальности в Законе РФ отражен достаточно поверхностно. В законах о защите персональных данных перечисленных государств, напротив, прямое указание на конфиденциальность персональных данных отсутствует, однако порядку обеспечения безопасности персональных данных уделено значительное внимание.Так, Законом Испании предусмотрено создание специальных Типовых кодексов профессиональной практики, в которых регламентируется «правила организации, порядок функционирования, применяемые процедуры, нормы безопасности, программы или оборудование, обязанности лиц, вовлеченных в обработку и использование персональных данных». Тем же Законом предусматривается обязанность всех лиц участвующих в обработке персональных данных, сохранения профессиональной тайны. Закон об обработки персональных данных Дании посвящает вопросу безопасности персональных данных целую главу, где, в частности, сказано, что «лица, ведущие обработку персональных даны, могут вести ее только на основании полученных инструкций». Закон Швеции устанавливает особые критерии мер технического и организационного характера для защиты персональных данных при их обработки. Эти меры, согласно Закону, должны обеспечивать необходимый уровень безопасности, учитывающий имеющиеся технические возможности, связанные с обработкой персональных данных и степень деликатности обрабатываемых данных.Актуальной проблемой является обработка персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. По общему правилу, прямые контакты с потенциальным потребителем-субъектом персональных данных с помощью средств электронной связи с целью политагитации допускаются с предварительного согласия субъекта персональных данных. Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить обработку персональных данных субъекта по его требованию.На практике запрашивание предварительного согласия субъекта персональных данных на рассылку рекламной или иной подобной корреспонденции случается крайне редко. В некоторых европейских государствах, в частности в Испании, лиц, занимающихся рассылкой рекламной или иной подобной корреспонденцией, закон обязывает в каждом таком письме субъекту указывать не только источник получения персональных данных субъекта и его права в отношении их использования, а также сведения о личности автора корреспонденции.Также стоит отменить использование идентификаторов – это особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных конкретному субъекту персональных данных. Примером может служить Налоговый кодекс РФ, который учитывает присвоение персональных идентификационных номер налогоплательщикам.Рассматривая проблему обеспечения конфиденциальности персональных данных в России, нельзя не затронуть вопрос о закрытых информационных системах, формируемых органами безопасности и правопорядка. Специфика деятельности этих органов предполагает известную степень секретности, продиктованную в значительной мере интересами общественной безопасности. Однако это не означает, что в этом случае порядок сбора и обработки персональных данных может быть произвольным.Сбор и обработка персональных данных в политических целях и целях конкретного расследования органами безопасности без согласия субъекта ограничиваются категориями данных, необходимых для предотвращения реальной угроза государственной безопасности или уголовных преступлений.Большое внимание следует уделить проблеме обеспечения конфиденциальности персональных данных граждан в условиях свободы СМИ. Закономерным и последовательным шагом является закрепление защиты неприкосновенности частной жизни гражданина.В Российской Федерации поиск, получение, производство о распространение массовой информации не подлежат ограничениям за исключением случаев, предусмотренных законодательством РФ о средствах массовой информации. Не допускается использование средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Поскольку персональные данные относятся к охраняемой законом тайне, указанное ограничение распространяется на них.В данном случае согласие субъекта не только необходимо, но и должно быть выражено в письменной форме. Таким образом, и закон о СМИ, и Закон РФ «О персональных данных» должны содержать аналогичные нормы о необходимости получения журналистом письменного согласия гражданина для использования его персональных данных (не являющихся общедоступными) в своей профессиональной деятельности. Таким образом, очевидно, что Закон РФ «О персональных данных» нуждается в доработке и должен быть дополнен нормами, обеспечивающими защиту конфиденциальности персональных данных граждан во взаимоотношениях со СМИ. По нашему мнению, и Закон о СМИ целесообразно было бы дополнить нормой, прямо устанавливающей, что информация о частной жизни индивида (т.е. его персональные данные) является конфиденциальной, и ее распространение в СМИ возможно только с письменного согласия индивида или в иных случаях, прямо установленных федеральными законами.Проблема защиты тайны личной жизни в условиях свободы СМИ имеет и другую сторону. Подробности частной жизни рядового гражданина, как правило, важны только для него самого и его ближайшего окружения. Совершенно иное дело, когда речь идет о публичной персоне, занимающей высокий государственный пост - министре, депутате, президенте и т.п. Эти люди по своему статусу не только наделены большими полномочиями, но и выполняют представительские функции, выступая от лица граждан в органах государственной власти и на международной арене. Избранное или назначенное для выполнения таких функций лицо не имеет права дискредитировать государственную власть и своих избирателей собственной сомнительной биографией. Все это, в свою очередь, предполагает известную степень открытости частной жизни политиков и иных государственных деятелей. И в данном случае роль СМИ состоит не в том, чтобы поддерживать искусственно созданный политический имидж той или иной публичной персоны, а в том, чтобы с помощью достоверной и объективной информации представлять гражданам действительный портрет такого лица. Достаточно полная и объективная информация о кандидатах на выборные должности, представленная в СМИ, дает возможность избирателям принять решение об избрании или неизбрании того или иного кандидата. При этом деятельность СМИ должна осуществляться строго в рамках закона, а сам закон предоставлять необходимые правовые условия для «знакомства» граждан с фактами биографии и частной жизни политиков и иных государственных деятелей.В самом деле, в избирательном процессе персональные данные кандидатов играют важную роль, так как, знакомясь с ними, избиратели останавливают свой выбор на том или ином кандидате. Вся предоставленная кандидатом информация должна проверяться. Такимобразом, вся информация о кандидате, должна предоставляться во время выборов, обнародуется с целью оценки кандидата избирателями иобеспечения гласности и открытости избирательного процесса.В сущности, любое публичное лицо, активно участвующее в общественной жизни, должно быть готово к тому, что подробности его частной жизни будут объектом интереса со стороны общественности и СМИ, и обусловлен этот интерес отнюдь не любопытством, а стремлением удостовериться, что тот, кто берет на себя смелость принимать решения и выступать от имени народа, сам является его достойным представителем. Поэтому частичный отказ от конфиденциальности частной жизни и персональных данных этих лиц является частью их профессии.Обобщая вышесказанное, нужно отметить, в целом Закон РФ «О персональных данных» устанавливает лишь основные требования к порядку обеспечения конфиденциальности персональных данных. Однако некоторые важные вопросы, напрямую связанные с обеспечением конфиденциальности персональных данных, остаются неурегулированными. К ним относятся вопрос вторичного использования персональных данных, проблема применения идентификаторов, вопрос о правилах работы закрытых информационных систем. В особом регулировании по-прежнему нуждается проблема обеспечения конфиденциальности (а также изъятий из нее) в условиях свободы СМИ.Глава 2. Ответственность за нарушение норм, регулирующих защиту персональных данных работника2.1. Защита персональных данных на локальном уровнеВ любой организации существует определенная совокупность правил использования информации, которые характеризуют процедуру ее получения, хранения, комбинирования, передачи и использования. Подобные правила касаются и работы с информацией персонального характера, образующейся в процессе выполнения работниками своих трудовых функций.В любой организации существует определенная совокупность процедур и правил использования информации. Она отражает отдельные этапы получения, хранения, комбинирования, передачи и иного использования информации. Соблюдение указанного алгоритма обработки информации гарантирует информационное обеспечение достижения поставленных работодателем целей. Часть этого технологического процесса составляет обработка конфиденциальной информации, в состав которой входят персональные данные работника. Отношения по соблюдению порядка информационного оборота регламентируются в нормативных документах – локальных актах организации. Эти акты отражают особенности организации, связанные с использованием информации. В настоящее время производственное и технологическое развитие организации во многом зависит от уровня организованности локальной нормоустановительной деятельности.Делопроизводство документов конфиденциального характера, в том числе и содержащих персональные данные работника, регламентируется не только текстовыми документами, но и схематическими, графическими актами. В юридической литературе не существует единого мнения о видах и содержании локальных актов, регулирующих отношения по охране персональных данных работников. В литературе предлагают различные основания классификации документов.Персональные данные работника поступают в распоряжение не только кадровых служб, но и других подразделений организации. Регламентация их деятельности находит отражение в локальных нормативных актах. Поэтому не следует ограничивать состав локальных нормативных актов, содержащих нормы об охране персональных данных работника, лишь документами кадровой службы.В литературе существуют разные мнения о составе документов, регулирующих отношения по защите персональных данных работника: от закрепления требований в одном акте до выполнения указанной функции всей совокупностью документов организации. Эти позиции выражают крайние точки зрения на изучаемый вопрос. Компромиссное решение заключается в объединении в систему тех нормативных актов, которые содержат нормы об охране персональных данных работников. Эти нормы регулируют указанные отношения прямо или опосредованно.Классификация локальных нормативных правовых актов, содержащих нормы об охране персональных данных работника, позволяет адекватно оценить их значение и роль в обеспечении права работников на неприкосновенность частной жизни. В литературе высказывалась позиция, в соответствии с которой все внутренние (локальные) нормативные правовые акты могут быть общего и специального характера. Критерием в данном случае является круг лиц, на которых распространяется действие акта. Локальные нормативные правовые акты общего характера воздействуют на поведение всех или большинства работников организации, а под действие специальных актов попадают только определенные категории должностных лиц. К документам первого вида относятся коллективный договор, правила внутреннего трудового распорядка, положение о подразделении организации. Специальными локальными правовыми актами являются инструкция по делопроизводству, положение о защите информации, положение о персонале организации, положения о функциональных органах, должностные инструкции.Классификацию локальных нормативных правовых актов также можно провести и по содержанию норм трудового законодательства об охране персональных данных работника. Все нормативные акты организации о персональных данных работника можно условно разделить на две группы. Первую группу документов составляют акты, регламентирующие порядок создания, цели, задачи, основные направления деятельности и компетенцию подразделений организации, связанных с доступом к персональным данным работников, а также деятельность соответствующих должностных лиц. Нормы этих актов не связаны с регулированием вопросов передачи и иного использования информации. Они характеризуют «статику» отношений по обработке персональных данных. Вторая группа актов содержит нормы, связанные с передачей сведений от одного субъекта другому и представляет собой динамическую характеристику регулирования указанных отношений.К первой группе относятся документы об отдельных подразделениях организации и об обязанностях должностных лиц. Точное наименование подразделения зависит от особенностей поставленных перед ним задач и может отличаться от названия аналогичного органа в иной организации. Это положения об отделе кадров (об отделе по работе с персоналом, о кадровой службе предприятия, о подразделении кадровой политики, об отделе управления персоналом, о службе корпоративного управления и развития и др.), об отделе бухгалтерского учета (о службе бухгалтерского учета и статистики, о бухгалтерском отделе, о службе финансовой, налоговой и бухгалтерской политики и др.), об отделе оплаты труда (об отделе труда и заработной платы, о службе оплаты труда и др.), об архивном отделе (об архиве, о службе хранения и др.), о службе безопасности (о службе вневедомственной охраны, об охранной службе, об отделе контроля и безопасности и др.). В некоторых случаях обработка персональных данных попадает в сферу действия юридического отдела, отдела по охране труда, службы правовой безопасности, что отражается в соответствующих документах. К этой группе документов относятся должностные инструкции работников перечисленных подразделений. Как правило, в положении о структурном подразделении предусматривается компетенция руководителя, в которую входит распределение обязанностей между его заместителями. Должностные инструкции исполнителей содержат отдельные нормы в отношении обработки и защиты персональных данных.Вторая группа документов связана с вопросами передачи документов и включает в себя акты, содержащие отдельные положения о персональных данных. Их точные наименования могут отличаться. При характеристике документов важно отметить общие направления правового регулирования. Это Положение о защите информации, Инструкция по делопроизводству.