Диплом на тему "Защита персональных данных"

"Защита персональных данных работников".
Защищена в июне 2015 года, оценка - 5. ...

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 7
1. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОТНОШЕНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИЧНОСТИ 10
1.1 Терминология, применяемая в области защиты персональных данных личности 10
1.2 Международное, зарубежное и российское нормативное регулирование персональных данных 20
1.3 Принципы обработки и принципы защиты персональных данных 36
2. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ОПЕРАЦИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ 44
2.1 Права и обязанности работника как субъекта персональных данных 44
2.2 Права и обязанности работодателя как оператора персональных данных 50
2.3 Анализ видов ответственности работодателя, за нарушение права работника на защиту персональных данных, предусмотренных законодательством РФ 58
2.4 Компенсация морального вреда причинённого работнику в ходе нарушения его прав на защиту персональных данных 64
ЗАКЛЮЧЕНИЕ 68
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 7

Современное общество всё больше приобретает черты информационного. Самым дорогим «товаром» становится разнообразная информация о событиях, лицах, предметах и явлениях. По этой причине защита информации от неправомерного завладения и использования получает первостепенное значение. Частью общего защищаемого массива информации являются и персональные данные, в частности - данные о работнике.
Персональные данные следует считать специальной юридической категорией и частью понятия частная жизнь, поскольку её определяют как «внутреннюю сторону жизнедеятельности человека (собственное жизненное пространство личности), закрытую от внешних вмешательств, содержание которой определяется каждым человеком самостоятельно исходя из собственных интересов и потребностей, и содержание которой может быть сохра нено в тайне от третьих лиц, при условии, что при этом не будут затронуты социально-значимые интересы»1. А персональные данные - есть фрагмент частной жизни, отражающий её внешние признаки: имя, возраст, состояние здоровья, информация о трудовой карьере и прочее

Директива 95/46/ЕС, в пункте «b» закрепляет следующее положение – Государства-участники примут меры, чтобы персональные данные собирались для объявленных, явных и законных целей, и в дальнейшем не обрабатывались каким-либо образом, несовместимым с этими целями. Дальнейшая обработка данных для исторических, статистических или научных целей не считается несовместимой с данными принципами при условии, что государства-участники обеспечат соответствующие гарантии. В свою очередь пункт второй закона «О персональных данных» говорит о том, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Очевидно, что обе нормы апеллируют к идентичнымправовым категориям. Имеется основание полагать, что в данных нормах речь идёт о целевой направленности сбора персональных данных, то есть о недопущении незаконного вмешательства и получения информации не входящей в границы определённые нормами права.В пункте «c», директива 95/46/ЕС закрепляет норму следующего содержания: государства-участники примут меры, что бы персональные данные были адекватными, относящимися к делу и не избыточными в отношении целей, для которых они собираются и/или в дальнейшем обрабатываются. Представляется возможным сравнить указанную норму и пункт пятый статьи 5 закона «О персональных данных», в котором говориться, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Таким образом, можно установить, что обе нормы говорят о том, что объём получаемых данных не должен превышать объём данных необходимых для обработки.Следующим идёт пункт «d» директивы 95/46/ЕС, который закрепляет, что государства-участники примут меры, что бы персональные данные были точными и - если необходимо - актуальными; должны быть предприняты любые обоснованные шаги, чтобы неточные или неполные данные, применительно к целям, для которых они собирались или для которых они впоследствии обрабатывались, удалялись или уточнялись. Закон «О персональных данных» в свою очередь закрепляет следующее положение: При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. Налицо очевидное сходство данных норм, обе они говорят об обеспечении актуальности персональных данных.Далее в директиве 95/46/ЕС идёт пункт «e», который устанавливает следующее положение - государства-участники примут меры, что бы персональные данные хранились в форме, позволяющей идентификацию субъектов данных не долее, чем это необходимо для целей, с которыми данные собирались или впоследствии обрабатывались. Государства-участники установят необходимые гарантии для персональных данных, хранимых более длительные сроки в исторических, статистических или научных целей. Закон «О персональных данных», в свою очередь, закрепляет пунктом седьмым статьи 5 следующее положение: хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Как можно наблюдать, в данных нормах говориться о пределах идентификации лиц являющихся субъектами персональных данных.Исследуя вышеуказанные нормативные актов можно с определённой долей уверенности заявить, что большая часть норм отечественного законодательства закрепляющих принципы обработки персональных данных соответствует стандартам нормативных актов Европейского союза. Однако, стоит заметить, что в законе о данных закреплены нормы имеющие более чёткий, развёрнутый характер. Также, указанный ФЗ имеет несколько пунктов прямо не указанных в директиве. Речь идёт о пункте три и пункте четыре статьи 5, которые гласят: не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; обработке подлежат только персональные данные, которые отвечают целям их обработки. Таким образом, представляется возможным утверждать, что отечественное законодательство более полно регулирует целевую направленность обработки персональных данных.Следует заметить, что российская правовая система не ограничивается закреплением лишь общих принципов обработки персональных данных. Так, ТК РФ содержит в себе статью 86, поименованную как «Общие требования при обработке персональных данных работника и гарантии их защиты». Указанная статья, по сути, отражает принципы обработки персональных данных работника. В ней законодателем закреплены следующие принципы:- Принцип законности и безопасности обработки персональных данных работника;- Принцип получения персональных данных непосредственно от работника. Данный принцип не ограничивает получение информации от третьих лиц, но с обязательным уведомлением субъекта персональных данных. Также воспрещается запрашивать данные о работнике у предыдущего работодателя;- Принцип неприкосновенности специальных категорий персональных данных работника. О данных категориях было сказано ранее по тексту, они находят своё закрепление в статье десятой закона «О персональных данных» (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). Данный принцип направлен на недопущение дискриминации работника, по какому бы то ни было признаку;- Принцип конфиденциальности данных о членстве работника в профсоюзных организациях. Данный принцип гарантирует недопущение дискриминации работодателем работников по поводу их участия в профсоюзах. Однако, в соответствии с ТК при расторжении трудового договора необходимо уведомление первичной профсоюзной организации. Представляется, что не уведомление работодателя, в данном случае, следует расценивать как злоупотребление правом, так как это осложняет процесс увольнения; - Принцип ответственности работодателя за сохранность персональных данных. Указанный принцип подразумевает, что работодатель должен за счёт своих средств обеспечить безопасность обрабатываемой и собираемой им информации о работниках. В осуществлении данного принципа можно наблюдать некоторые проблемы, так как у работодателя нет мотивации соблюдать имеющиеся регламенты и ГОСТы по хранению персональных данных;- Принцип участия работника в обеспечении безопасности персональных данных. Здесь подразумевается то, что работники не должны отказываться от своих прав на защиту персональных данных и то, что они вместе с работодателями должны вырабатывать политику по обеспечению защиты персональных данных.Таким образом, можно утверждать, что в отечественном законодательстве находят отражение не только общие принципы, проистекающие из европейского законодательства, но и нормы закрепляющие принципы прямо не исходящие, но значительно расширяющие его. Можно говорить о том, что этот факт указывает на значительные усилия законодателя приложенные к совершенствованию современной правой системы России.В свою очередь, современная российская правовая доктрина также имеет своё понимание принципов обработки и защиты персональных данных. Так, В.М. Кафтанникова в своей статье «Принципы защиты персональных данных в России и за рубежом» анализирую действующее отечественное и иностранное законодательство синтезирует следующие принципы: – Защищенность субъектов ПДн от вмешательства в частную жизнь, а также гарантия прав субъекта; – Физическая защищенность ПДн от несанкционированного доступа, а также от действий, проведенных с персональными данными вследствие такого доступа; – Обеспеченность правовым режимом и контролем за использованием ПДн как со стороны оператора, так и со стороны субъекта; – Целесообразность выделения особой категории ПДн, нуждающихся в особой защите; – Реализация законодательных норм о защите ПДн при помощи соответствующего аппарата.Выведенные автором принципы, в целом, отражают идеи, главенствующие в современной российской правовой науке. Так, в работе А.В. Дворецкого «О принципах защиты персональных данных работника» выведены были схожие принципы:– Конфиденциальность персональных данных работника, ограничение доступа к ним;– Свобода работника по формированию, использованию, изменению и доступу к персональным данным о себе;– Достоверность и полнота персональных данных;– Целевое использование работодателем предоставленных работником персональных данных;– Обеспечение защиты прав работника государством.Хотя данная статья и была написана автором в 2005 году в ней выводятся принципы в значительной степени схожи с приведёнными в работе ранее.Таким образом, исходя из изложенного выше, представляется возможным говорить о том, что как в отечественной правовой системе, так и в отечественной правовой доктрине сформировалось относительно похожее понимание природы принципов защиты и обработки персональных данных. Ранее в главе затрагивался вопрос совмещения в российском законодательстве административных полномочий и непосредственной обработки персональных данных в руках оператора. Думается, что данная конгломерация не является оправданной, поскольку сам оператор не всегда обладает административными, техническими и/или материальными ресурсами, достаточными для самостоятельного осуществления или организации обработки персональных данных. Однако существует европейский опыт по разделению указанных полномочий между контролёром и обработчиком. Представляется, что рассмотренные принципы также можно поделить на административные - относящиеся к контролёру и непосредственной обработки- относящиеся к обработчику. Так, к принципам первой группы относятся: - Принцип целевого использования предоставленных персональных данных;- Принцип обеспечения правового режима персональных данных;- Принцип реализации законодательства о персональных данных.К принципам же второй группы, группы обработчика следует относить:- Принцип достоверности и полноты персональных данных;- Принцип конфиденциальности персональных данных и ограничения доступа к ним;- Принцип законности и безопасности обработки персональных данных.Думается, что подобная концепция разделения полномочий должна найти отражение в отечественном законодательстве, так как она при помощи спецификации выполняемых контролёром и обработчиком действий обеспечивает более профессиональную обработку данных, так как этим занят орган выполняющий исключительно эту функцию и более эффективные администрирование и контроль, по той же причине. 2. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ОПЕРАЦИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ 2.1 Права и обязанности работника как субъекта персональных данныхСубъекты персональных данных наделены определённым спектром прав и обязанностей направленных, прежде всего, на защиту информацию о них самих и защиту информации о других субъектах от несанкционированного доступа к ней. В первую очередь эти права закрепляются Конституцией Российской Федерации и законом «О персональных данных». Однако они закрепляют лишь основу правового статуса. Конкретизируются они в специализированных актах, таких как закон «О государственной службе» и Трудовой кодекс. Исходя из этого, представляется разумным разделить права и обязанности на две категории: общие и специальные.Под общими правами субъекта персональных данных следует понимать, прежде всего, право на неприкосновенность частной жизни, личную и семейную тайну. Норма, закрепляющая данное право, содержится в Конституции РФ. Помимо этого в Основном законе закреплено, что использование, хранение, сбор и распространение информации о частной жизни лица без его на то согласия не допускаются. Следует дополнить, что из данных конституционных прав вытекают и обязанности. Так, право на неприкосновенность подразумевает обязанность субъекта персональных данных соблюдать тайну чужой частной жизни, личную и семейную тайну. А запрет на совершение действий с данными о частной жизни лица без его согласия, в свою очередь, предполагает, что и само лицо не будет выполнять указанные мероприятия не согласованно.Более подробно права и обязанности субъекта персональных данных раскрыты в законе «О персональных данных». Его регулирование также распространяется на неопределённый круг субъектов, что позволяет причислить его к выделенной выше категории общих актов. Представляется возможным выделить из главы третьей закона следующие права субъекта персональных данных:- Субъект обладает правом на получение сведений о подтверждении факта обработки персональных данных оператором; о правовых основаниях и целях обработки; о способах обработки персональных данных; о наименовании и месте нахождения оператора; об обрабатываемых персональных данных, включая источник их получения; о сроках обработки персональных данных, в том числе сроках их хранения; о порядке осуществления субъектом персональных данных прав, предусмотренных законом; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора; об иных сведения. - Субъект обладает правом на повторный запрос информации.- Субъект обладает правом требовать от оператора уточнения его персональных данных, их блокирования либо же уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. - Субъект обладает правом давать или же не давать согласие на обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации. - Субъект обладает правом обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. - Субъект обладает правом на защиту интересов субъекта персональных данных, на компенсацию причинённого субъекту убытков и морального вреда в судебном порядке.Помимо прочего, по мнению Л.К. Терещенко и О.И. Тиунова следует выделять закреплённое законом право отзыва персональных данных субъектом. Однако работодатель может пренебречь данным правом и продолжить обработку в предусмотренных законом случаях, а именно: в случае обработки специальных категорий персональных данных, биометрических персональных данных в связи с выполнением международных договоров и в обработка данных без согласия субъекта. В последнем случае имеются в виду обработка в соответствии с нормами законодательства РФ, судебным решением, для осуществления статистики, при выполнении органами государства их полномочий либо в случае если субъект по объективным причинам не может дать согласия на обработку. Следует заметить, что указанное право субъекта распространяется не на все данные. К примеру, возлагается обязанность на предоставление персональных данных при подаче налоговой декларации. Закреплённые в законе «О персональных данных» права выступают в качестве гарантий для субъектов. Они направленны на недопущение утечки информации, ограничение объёма собираемых данных и круга источников. Также обеспечивают ознакомление лица с собранными о нём данными. Следует отметить, что закон не предусматривает каких бы то ни было обязанностей для субъекта персональных данных. С одной стороны этот шаг законодателя ориентирован на максимальную защиту лица в отношениях характеризованных фактическим неравенством сторон (физическое лицо и государственный орган). Однако с другой стороны, отсутствие обязанностей может приводить к злоупотреблению правом.Права субъекта персональных данных закрепляются не только национальным законодательством. Так, уже упомянутая ранее директива 95/46/ЕС содержит в себе два раздела предписывающие государствам-участникам представить субъектам права. В директиве выделены два вида прав: - Право субъекта данных на доступ к данным. Под ним понимается получение у оператора информации без принуждения и затягивания. Также получение сведений о целях обработки, категории, получателя данных. Помимо этого, субъект имеет право на уточнение, стирание или блокировку данных, не соответствующих положениям Директивы, в частности, в связи с неполным или неточным характером данных. - Право субъекта персональных данных на возражение. То есть, в любое время высказывать на законном основании возражение против обработки касающихся его данных, кроме случаев, когда национальным законодательством определено иное. Дополнительно устанавливается защита от прямого маркетинга (рассылки рекламы, например). Она заключается в правомочии бесплатно высказывать возражение против обработки касающихся его персональных данных. Помимо прочего, к данной категории относится, и право не оказываться под воздействием решения которое порождает юридические последствия и вытекающее из исключительно автоматической обработки данных. Директиву 95/46/ЕС следует отнести к категории нормативных актов регулирующих общий статус персональных данных, также как и отечественный закон «О персональных данных». Этот факт даёт повод к проведению параллелей между ним и Директивой. Очевидно, что положения Директивы первичны по отношению к национальному законодательству, поскольку они закрепляют основы правового регулирования, которое конкретизируется и расширяется в законодательстве государств-участников. Также следует упомянуть, что закон «О персональных данных» был издан значительно позднее. К выводу о первичности подводит и сравнение положений отечественного закона «О персональных данных» и указанной директивы. Однако, следует указать на следующий факт- отечественный закон, в отличии от директивы ЕС не содержит указание на бесплатность возражения на обработку данных для коммерческих целей (целей маркетинга). Представляется, что введение подобного уточнения в закон «О персональных данных» в большей мере защищало права субъекта персональных данных, нежели нынешнее правовое положение.Трудовой кодекс, по приведённой выше классификации, следует отнести к нормативным актам закрепляющим специальные права. Он делает это с поправкой на особенности отношений лежащих в основе трудового права. Данные отношения характеризуются тем, что в них предусматривается неравенство участвующих сторон. Работодатель обладает определённой властью над работником. Это выражается в возможности применять дисциплинарные взыскания или поощрения. Непосредственно ТК РФ закрепляет следующий спектр прав субъекта персональных данных, то есть работника:- Право получить полную информацию о своих персональных данных и обработке их данных.- Право на свободный бесплатный доступ к своим персональным данным;- Право на определение своих представителей для защиты персональных данных о себе;- Право на доступ к медицинской документации, отражающей собственное состояние здоровья, с помощью медицинского работника по их выбору;- Право на требование исключения или исправления некорректных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.