Введение 3
Глава 1 Персональные данные: общая характеристика 10
1.1 Понятие и состав персональных данных 10
1.2 Становление института персональных данных в России и мире 15
1.3 Регламентирование деятельности работодателя по обработке, хранению, передаче и защите персональных данных работника 21
Глава 2 Правовой механизм защиты персональных данных работника 32
2.1 Особенности защиты персональных данных работника 32
2.2 Современные условия защиты персональных данных работника 60
Глава 3 Ответственность за разглашение персональных данных работника 70
3.1 Проблемы защиты персональных данных работника, перспективы и пути решения 70
3.2 Ответственность за нарушение правил работы с персональными данными 77
Заключение 86
Список используемой литературы и используемых источников 89
Актуальность и научная значимость настоящего исследования. С развитием информационных технологий и внедрением их в повседневную жизнь и работу общества, появляются новейшие средства обработки данных в организациях. Подавляющее большинство предприятий, так или иначе, вынуждены использовать информационные системы, чтобы быть наиболее конкурентоспособными и оптимизировать рабочий процесс сотрудников.
Однако при всей необходимости и полезности таких систем существует обратная сторона. С развитием технологий обработки, хранения, передачи данных, также развиваются технологии их кражи, неправомерной огласки. Все это заставляет организации серьезно подходить к вопросу защиты данных, потому что от этого зависит не только доход, но и престиж компании. Особо стоит выделить среди данного многообразия информации персональные данные. В целях регулирования отношений между субъектами и операторами персональных данных, был разработан и принят федеральный закон № 152-ФЗ от 14 июля 2006 «О персональных данных» [25].
Согласно данному закону, персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Кроме этого, оператор - это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, любая организация уже берет на себя обязательства по сохранению персональных данных. Также не маловажным фактом является обязательное выполнение требований данного нормативного акта.
Среди множества компаний стоит обратить внимание на операторов услуг связи. Данные предприятия обширно работают с абонентами и стремятся постоянно расширить клиентскую базу, из-за чего накапливают персональные данные не только сотрудников, но и потребителей. Поэтому вопрос о правильном соблюдении требований законодательства в области обработки персональных данных стоит наиболее актуально в компании.
Проблемы функционирования систем обеспечения информационной безопасности нашли отражение в трудах А.А. Герасимова, А.А. Грушо, C.B. Дворянкина, В. А. Минаева, C.B. Скрыля, М.П. Сычева и ряда других ученых.
Проблематикой правового регулирования персональных данных работников занималось довольно большое число ученых (А.Б. Агапов, И.Л. Бачило, Л.А. Василенко, Е.К. Волчинская, С.А. Глотов, А.В. Дворецкий, Д.В. Иванов, А.В. Кучеренко, М.В. Лушникова, А.С. Маркевич, Л.А. Сергиенко, И.Л. Петрухин, А.А. Фатьянов и другие), тем не менее данная тема по- прежнему недостаточно исследована.
Проблемы защиты персональных данных рассматривались в трудах российских ученых, таких как: А.В Меньшиковой, где она выделила некоторые проблемы защиты персональных данных работника и определила перспективы и пути их решения; проблемные вопросы понятия и сущности персональных данных в своих трудах рассмотрел А.В Минбалеев.
Диссертационные исследования института персональных данных проводились Ф.А. Абаевым, И.Л. Вельдер, A.B. Дворецким, Н.И. Петрыкиной, Ю.С. Телиной, A.C. Маркевич, Е.Ю. Покаместовой, A.C. Федосиным.
Тема диссертации актуальна, так как лица, ответственные за обработку персональных данных не всегда знают элементарных правил безопасности, доверенной им информации. Поэтому на специалистов по информационной безопасности возлагается не только ответственность за безопасность информационной системы, но система обучения персонала.
Объект исследования - отношения по организации защиты данных работника.
Предмет исследования - совокупность правовых норм, регулирующих отношения в сфере защиты персональных данных.
Целью диссертации является анализ организации защиты персональных данных работников.
Гипотеза исследования состоит в том, что если будет реализован разработанный в диссертации комплекс мероприятий по защите персональных данных, то уровень защищенности персональных данных значительно повысится.
Для достижения поставленной цели необходимо решить следующие задачи:
1. Изучить понятие и состав персональных данных;
2. Охарактеризовать становление института персональных данных в России и мире;
3. Проанализировать регламентирование деятельности работодателя по обработке, хранению, передаче и защите персональных данных работника;
4. Изучить особенности защиты персональных данных работника;
5. Дать характеристику современным условиям защиты персональных данных работника;
6. Проанализировать проблемы защиты персональных данных работника, а также перспективы и пути решения;
7. Проанализировать проблема ответственности за нарушение правил работы с персональными данными.
Теоретико-методологическую основу исследования составили современные методы научного познания, общенаучный метод познания объективной действительности. Применялись также дедукция, индукция, сравнительный, исторический, логический, системный, документальный и прочие научные методы.
Научная новизна исследования заключается в практических рекомендациях, предлагаемых автором в качестве устранения проблем правовой защиты персональных данных.
Теоретическая значимость исследования заключается в том, что сформулированные автором теоретические выводы, практические рекомендации и предложения вносят определенный вклад в правовую науку, систематизируют научные знания по вопросам правового регулирования защиты персональных данных, а также могут быть использованы в дальнейших научных изысканиях.
Практическое значение исследования состоит в том, что сформулированные в нем выводы и предложения могут быть использованы в ходе дальнейшего реформирования правовых основ защиты персональных данных.
Нормативной базой исследования стали Конституция Российской Федерации, федеральные конституционные законы, федеральные законы, международные правовые акты о правах человека в сфере защиты персональных данных, Указы Президента Российской Федерации и др.
Основные положения, выносимые на защиту:
1. Автором предложено следующее определение персональных данных работника: персональными данными работника являются сведения индивидуального характера об определенном работнике (работниках), которые основаны на законе, предъявляемые работнику работодателем в определенных целях, способствующих трудоустройству работника и защищаемые способами, предусмотренными действующим законодательством, в целях запрета несанкционированного распространения персональных данных работника.
2. Нормативно-правовое обеспечение защиты персональных данных представлено достаточно разветвленной системой правовых актов. Нормы материального права находят свое отражение в Конституции РФ, Федеральном законе «О персональных данных» и Трудовом кодексе РФ, нормы процессуального права в подзаконных нормативных актах: Указы Президента РФ, Постановления Правительства РФ, приказы ФСТЭК России, ФСБ России. При этом, немаловажная роль отведена локальным нормативным актам, издаваемым операторами персональных данных. На практике, именно они определяют конкретные процедуры обработки персональных данных работников в организации.
3. Система защиты персональных данных включает в себя меры организационного и технического характера, которые определяются с учетом актуальных угроз безопасности для персональных данных и информационных технологий, используемых в системе обработки информации организации.
4. Создание единого информационного пространства является глобальной идеей о том, как в рамках одной программы объединить не только всю информацию о работниках, но и максимально закрыть доступ к такой информации для служащих, которые не уполномочены осуществлять работу с такой информацией. Безусловно, положительными чертами предлагаемой системы является наличие специальных компетентных работников, которые будут в строгом соответствии осуществлять работу с системой и нести за это ответственность, минусом данной системы будет являться необходимость обучить персонал качественной работе с такой системой, также предоставить доступ к информации программистам, которые будут осуществлять программное сопровождение, но представителей сторонних организаций можно всегда путем повышения квалификации заменить на работников организации. В свете предложенного в рамках представленного исследования был разработан ряд предложений по совершенствованию законодательства в области защиты персональных данных.
5. По мнению автора представленного исследования на сегодняшний день необходимо создание оптимального правового механизма обороты и защиты персональных данных работника. Решение данной проблемы в должном ключе предполагает обширный мониторинг состояния современного рынка информационных технологий, IT - продуктов, услуг, отслеживания общих тенденций развития информационного общества Российской Федерации. Исследуемый рынок не стоит на месте, работодателю предлагаются все новые и новые системы для обработки, хранения и работы с персональными данными, каждый работодатель заинтересован в ведении своей деятельности соблюдая нормы действующего законодательства и поэтому в первую очередь работодатель должен быть заинтересован в лицензировании и «легальности» предлагаемых программ.
6. Статья 90 Трудового кодекса РФ за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, предусматривает дисциплинарную, административную, гражданско-правовую и уголовную ответственность.
Личный вклад автора в организацию и проведение исследования состоит в непосредственном участии во всех этапах диссертационного исследования, в планировании научной работы, наборе материала, углубленном анализе отечественной и зарубежной научной литературы, анализе и интерпретации полученных данных, их систематизации, статистической обработке с описанием полученных результатов, написании и оформлении рукописи диссертации, основных публикаций по выполненной работе.
Апробация и внедрение результатов работы велись в течение всего исследования. Основные теоретические и практические выводы, сформулированные в результате проведенного исследования, были:
1. Обсуждены на международной научно-практической конференции «Актуальные проблемы права и правоприменения», 21-22 ноября 2019 года, по адресу: Самарская область, г. Тольятти, ул. Ушакова, д. 57, корпус Э (в здании Института права ТГУ).
2. Отражены в публикациях автора (Смирнова Д.Г. Организация режима защиты конфиденциальной информации на предприятии // Молодой ученый. - 2020. - № 5 (295). - С. 229-232).
Структура магистерской диссертации. Работа состоит из введения, трех глав, заключения, списка используемой литературы и используемых источников.
Результатом исследования проблемы, поставленной в магистерской диссертации, стали выводы, сделанные в ходе изучения, структурирования и объединения сведений о действующем законодательстве, исследований правовой, моральной и материально-технической составляющих процесса сбора, обработки, хранения и использования персональных данных в организациях.
1. Персональными данными работника являются сведения индивидуального характера об определенном работнике (работниках), которые основаны на законе, предъявляемые работнику работодателем в определенных целях, способствующих трудоустройству работника и защищаемые способами, предусмотренными действующим законодательством, в целях запрета несанкционированного распространения персональных данных работника.
2. Нельзя утверждать об окончательной сформированности и высоком качестве законодательства в сфере регулирования защиты персональных данных, в силу относительной новизны таких правоотношений, и их постоянного активного развития в последние годы. Скорость и эффективность внесения изменений в нормативные документы уступает разработке новых способов обработки информации, видов ее применения.
3. В обществе не сложилось однозначного мнения о том, как распоряжаться персональными данными на предприятии или в учреждении.
4. Несмотря на несовершенство законодательства, главной причиной утечки персональных данных чаще всего является халатность работников предприятий и организаций в процессе обработки информации, требующей защиты. Нарушения присутствуют на всех стадиях обработки, начиная от некорректного составления/заполнения согласия на обработку персональных данных, пренебрежение ведением отчетной и сопроводительной документации, заканчивая банальным безответственным отношением к персональным данным.
5. Компетентным государственным органам в сфере защиты персональных данных применяется достаточно широкий спектр мер. Среди которых, право запрашивать у операторов информацию о порядке обработки персональных данных, право по рассмотрению обращений, принятию мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства. Однако большинство полномочий Роскомнадзора не имеет практической реализации, поскольку не урегулированы российским законодательством. Необходимо устранить данные ограничения, что позволит усовершенствовать систему защиты прав и законных интересов субъектов персональных данных. В частности, разработать и принять административный регламент взаимодействия органов Роскомнадзора и Прокуратуры.
В заключении хочется отметить, что заявленная в начале работы цель исследования: «анализ организации защиты персональных данных работников» - достигнута. Обработка и защита персональных данных в организациях и преследует общую цель - не допустить неправомерное использование конфиденциальной информации.
Вопрос обработки и защиты персональных данных будет всегда оставаться открытым, поскольку в соответствии с тенденцией стремительного роста информационных технологий, законодательство просто не сможет успеть за ними, и всегда найдутся недочеты в любой правовой системе, которые необходимо доработать, усовершенствовать, чтобы правовое регулирование отвечало современным требованиям защиты личности, новым вызовам и угрозам. Эта деятельность требует комплексного подхода, сочетающего в себе применение эффективных правовых, организационных и технических мер.
Основной целью создания защиты персональных данных в организациях является минимизация ущерба от возможной реализации угроз безопасности персональных данных.
В целях создания единой, целостной и скоординированной системы информационной безопасности персональных данных и создание условий для ее дальнейшего совершенствования, предлагается комплексный подход, для которого необходимо разработать следующий пакет документов для всех организаций:
• Положение о защите персональных данных.
• Согласие работника образовательного учреждения на обработку своих персональных данных.
• Положение об ответственном лице информационной безопасности организации.
• Инструкция по проведению мониторинга информационной безопасности и антивирусного контроля при обработке персональных данных.
• Журнал учета персональных данных.
• Обязательство работника о неразглашении персональных данных.
Целесообразно сегментировать слабо взаимодействующие подсистемы информационной системы персональных данных, так необходимо разделить кадровый и бухгалтерский учета персонала и организовать обмен данными между ними с помощью съемных носителей.
Необходимость разработки предложенных выше положений и документов обусловлена стремительным расширением сферы применения информационных технологий и процессов при обработке информации вообще, и персональных данных в частности.
1. Алямкин С.Н. Персональные данные как объект правового регулирования: понятие и способы защиты/ С.Н. Алямкин // Мир науки и образования. - 2016. - № 4 (8). - С. 4-8
2. Апелляционное определение судебной коллегии по гражданским делам Свердловского областного суда от 25.09.2012 по делу № 33 // Архив Свердловского областного суда Свердловской области
3. Апелляционное определение судебной коллегии по гражданским делам Иркутского областного суда от 16.01.2014 по делу № 33 - 219/2014 // Архив Иркутского областного суда Иркутской области
4. Архипов В. В. Проблема квалификации персональных данных как нематериальных благ в условиях цифровой экономики, или Нет ничего более практичного, чем хорошая теория // Закон. - 2018. - № 2. С. 12-18.
5. Важорова М. А. История возникновения и становления института персональных данных // Государство и право: теория и практика: материалы Междунар. науч. конф. — Челябинск: Два комсомольца. - 2011. - С. 33-38.
6. Гуде С.В. Защита персональных данных в Российской Федерации: исторический аспект и современное состояние / С.В. Гуде, П.В. Арбузов, А.Г. Карпика // Юристъ-Правоведъ. - 2015. - № 2 (69). - С. 93-97.
7. Дворецкий А.В. Определение понятия персональных данных работника в Трудовом кодексе РФ // Сибирский юридический вестник. - 2005. - № 2. - С.32-34.
8. Деменева Н.А., Мамай А.Д. Защита персональных данных работников / Проблемы научной мысли. - 2018. - № 1. С. 66-71.
9. Всеобщая декларация прав человека: (принята 10 дек. 1948 г. резолюцией 217А Генеральной Ассамблеи ООН) - Доступ из справ.- правовой системы Гарант. - Текст: электронный.
10. Директива Европейского парламента и Совета Европейского Союза № 2002/58/ЕС
11. Директива Европейского парламента и Совета ЕС № 2006/24/EC
12. Иванова М.М. Защита персональных данных работника // Аллея науки. - 2018. - № 4 (20). С. 789-794.
13. Исакова Л.В. Международно-правовое регулирование защиты персональных данных работников / Л.В. Исакова, К.Е. Статуева // Экономика и право: Новый университет. - 2015. - № 4(50). - С. 93-95.
14. Кодекс Российской Федерации об административных правонарушениях: федеральный закон от 30.12.2001 № 195-ФЗ (ред. от 27.12.2019) (с изм. и доп., вступ. в силу с 13.01.2020) - Доступ из справ.- правовой системы Гарант. - Текст: электронный.
15. Конституция РФ от 12 декабря 1993 г. (с учетом поправок, внесенных Законами Российской Федерации о поправках к Конституции Российской Федерации от 30.12.2008 № 6-ФКЗ, от 30.12.2008 № 7-ФКЗ, от 05.02.2014 № 2-ФКЗ, от 21.07.2014 № 11-ФКЗ) - Доступ из справ.-правовой системы Гарант. - Текст: электронный.
...