РАБОТА С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В НАЦИОНАЛЬНОМ ИССЛЕДОВАТЕЛЬСКОМ ТОМСКОМ ГОСУДАРСТВЕННОМ УНИВЕРСИТЕТЕ И СИБИРСКОМ ГОСУДАРСТВЕННОМ МЕДИЦИНСКОМ УНИВЕРСИТЕТЕ
|
АННОТАЦИЯ 3
Введение 7
1 Федеральное регулирование работы с персональными данными 19
2 Работа с персональными данными в Национальном исследовательском Томском
государственном университете 34
2.1 Локальные нормативные документы, регулирующие работу с персональными данными в Национальном исследовательском Томском государственном университете 34
2.2 Этапы обработки персональных данных в Национальном исследовательском Томском государственном университете 43
3 Работа с персональными данными в Сибирском государственном медицинском университете 58
3.1 Локальные нормативные документы, регулирующие работу с персональными данными в Сибирском государственном медицинском университете 58
3.2 Этапы обработки персональных данных В Сибирском государственном медицинском университете 75
Заключение 89
Список использованных источников и литературы 93
Приложение А Заявление на бакалавриат/ специалитет 102
Приложение Б Форма согласия на обработку персональных данных для абитуриентов и студентов 104
Приложение В Акт приема-передачи личных дел обучающихся 106
Приложение Г Форма учебной (личной) карточки обучающегося 107
Приложение Д Форма внутренней описи документов дела обучающегося 108
Приложение Е Лист-заверитель дела обучающегося 109
Приложение Ё Форма согласия на обработку персональных данных для сотрудников 110
Приложение Ж Заявление на для абитуриента 112
Приложение З Согласие на обработку персональных данных
(для совершеннолетних лиц) 115
Приложение И Согласие на обработку персональных данных (для законных представителей несовершеннолетних лиц, для представителей по доверенности) 117
Приложение Й Форма регистрации абитуриента 120
Приложение К Обложка личного дела студента 121
Приложение Л Акт передачи личных дел студентов 122
Приложение М Согласие на обработку персональных данных для кандидатов, участвующих в конкурсе на замещение профессорско- преподавательской должности 123
Приложение Н Опись личного дела работника 124
Приложение О Согласие на обработку персональных данных, разрешенных для распространения
Введение 7
1 Федеральное регулирование работы с персональными данными 19
2 Работа с персональными данными в Национальном исследовательском Томском
государственном университете 34
2.1 Локальные нормативные документы, регулирующие работу с персональными данными в Национальном исследовательском Томском государственном университете 34
2.2 Этапы обработки персональных данных в Национальном исследовательском Томском государственном университете 43
3 Работа с персональными данными в Сибирском государственном медицинском университете 58
3.1 Локальные нормативные документы, регулирующие работу с персональными данными в Сибирском государственном медицинском университете 58
3.2 Этапы обработки персональных данных В Сибирском государственном медицинском университете 75
Заключение 89
Список использованных источников и литературы 93
Приложение А Заявление на бакалавриат/ специалитет 102
Приложение Б Форма согласия на обработку персональных данных для абитуриентов и студентов 104
Приложение В Акт приема-передачи личных дел обучающихся 106
Приложение Г Форма учебной (личной) карточки обучающегося 107
Приложение Д Форма внутренней описи документов дела обучающегося 108
Приложение Е Лист-заверитель дела обучающегося 109
Приложение Ё Форма согласия на обработку персональных данных для сотрудников 110
Приложение Ж Заявление на для абитуриента 112
Приложение З Согласие на обработку персональных данных
(для совершеннолетних лиц) 115
Приложение И Согласие на обработку персональных данных (для законных представителей несовершеннолетних лиц, для представителей по доверенности) 117
Приложение Й Форма регистрации абитуриента 120
Приложение К Обложка личного дела студента 121
Приложение Л Акт передачи личных дел студентов 122
Приложение М Согласие на обработку персональных данных для кандидатов, участвующих в конкурсе на замещение профессорско- преподавательской должности 123
Приложение Н Опись личного дела работника 124
Приложение О Согласие на обработку персональных данных, разрешенных для распространения
Персональными данными (далее - ПД) являются любые сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и предоставляемые другому физическому или юридическому лицу либо лицам (оператору персональных данных)1. От эффективности системы их хранения, использования, передачи зависит неприкосновенность частной жизни и личной тайны граждан, права которые прописаны в Конституции РФ и в международных нормативных актах .
В роли субъектов персональных данных могут выступать сотрудники организаций, клиенты магазинов, пользователи социальных сетей и многие другие. В качестве оператора ПД могут выступать государственные и муниципальные органы, любые коммерческие организации, учебные заведения и т.д. Стоит обратить внимание на такие операторы персональных данных как вузы, они является сложной системой, аккумулирующей в себе большой массив ПД, владельцами которых являются разнородные виды субъектов (например, абитуриенты, студенты, родители, сотрудники вуза и т.д.). Также эта система отличается большой численностью и текучестью субъектов персональных данных. Сложно найти операторов ПД со схожими параметрами. С высшими учебными заведениями могли бы сравниться банки, сотовые операторы или социальные сети. Однако они не требуют у субъекта столь широкий перечень сведений, как это делают вузы. Для такой большой базы данных необходимо организовать эффективную систему защиты от несанкционированного доступа. Именно поэтому в ВКР будет рассматриваться этот вид оператора ПД.
Обращение к этой теме вызвано тем, что порядок работы с персональными данными в вузе важен не только для субъектов персональных данных, он также влияет на работу целого ряда структурных подразделений высшего учебного заведения: управления кадрами, бухгалтерии, деканатов, приемной и отборочных комиссий. Все они не могут функционировать без доступа к персональным данным абитуриентов и студентов и несут ответственность за их обработку начиная с приемной кампании, когда абитуриент подает свои документы в вуз.
Новым вызовом в сфере обработки персональных данных стало введение в российских высших учебных заведениях более строгого пропускного режима. Для его реализации потребовался сбор биометрических (дактилоскопических) персональных данных, требующих особых условий хранения. Дело в том, что существует большой риск утечки и фальсификации биометрических данных. Они вызывают повышенный интерес у мошенников и хакеров, главной целью которых является получение доступа к персональным аккаунтам в платежных системах.
Еще одной трудностью для вуза является работа с персональными данными иностранных субъектов. Дело в том, что структура различных документов иностранных граждан, содержащих в себе необходимые персональные данные, отличается от структуры подобных документов у граждан Российской Федерации. Например, у граждан других стран может отсутствовать отчество. В документах, подтверждающих их личность, может не быть серии. Не всегда есть информация об органе, выдавшем паспорт и тому подобные различия. Это означает, что к работе с персональными данными иностранных субъектов нередко требуется особый подход.
Другим аспектом актуальности данного исследования послужило недавнее событие, связанное с пандемией, которая фундаментально повлияла на многие сферы, в том числе и на сферу российского образования. Перед вузами возникла серьезная задача - переход на дистанционное онлайн-обучение. Это привело к ускорению информатизации образования. С одной стороны, активное внедрение информационных технологий повысило эффективность процесса обучения, из-за чего он стал более гибким. С другой стороны, университеты с переходом на дистанционное обучение начали контролировать учебный процесс, документируя действие каждого студента и преподавателя (выступления, голос, реплики и т.д.), что приводит к риску избыточности обрабатываемых персональных данных.
Также вуз как оператор ПД несет всю полноту ответственности за соблюдением правил обработки таких данных, установленных в нормативных актах. Несоблюдение этих правил может повлечь внушительные штрафы, привести к лишению права заниматься определенной деятельностью, а также к наказанию ответственных лиц. С 2019 года в российской инспекционной практике наблюдаются корректировки: законодатель вводит несколько дополнительных пунктов, за нарушение которых штраф может достигать в среднем до несколько миллионов рублей для юридических лиц1. Также изменения вносятся в КоАП. Закон не только увеличивает штрафы за нарушение обработки персональных данных, но и увеличивает срок давности. Теперь к административной ответственности можно привлечь на протяжении года с момента несоблюдения требований закона.
В ВКР будет проведен сравнительный анализ работы с ПД в двух высших учебных заведениях: Национальном исследовательском Томском государственном университете (ТГУ) и Сибирском государственном медицинском университете (СибГМУ). Выбор обусловлен тем, что у обоих вузов разные подходы к организации работы с ПД. Это связано с рядом причин. Они подведомственны разным министерствам. ТГУ подчиняется министерству науки и высшего образования, а СибГМУ имеет смежное положение. С одной стороны, он является образовательным учреждением, то есть он, также как и ТГУ, подчиняется министерству науки и высшего образования. С другой стороны, он является частью системы здравоохранения, соответственно, он подведомственен министерству здравоохранения. В этом заключается специфика медицинского вуза. Также у обоих университетов разные статусы. ТГУ является национально исследовательским вузом, а СибГМУ - опорным.
СибГМУ по сравнению с традиционным вузом обрабатывает не только ПД абитуриентов, студентов и сотрудников университета, но и ПД пациентов, так как в ведении вуза находятся клиники. Также ответственность за защиту ПД распространяется не только на административный персонал вуза, но и на самих студентов и медперсонал, так как они являются носителями данных о здоровье человека. Они в своей практической деятельности сталкиваются с пациентами и получают от них информацию о физиологическом состоянии для того, чтобы диагностировать болезнь, прописать лечение и в итоге оказать квалифицированную медицинскую помощь, обеспечив тем самым право граждан на здоровье. Такая информация охраняется государством и попадает под режим врачебной тайны, а также причисляется к ПД. Таким образом, получаемая информация попадает под два правовых режима - режим врачебной тайны и режим конфиденциальности информации, что требует со стороны вуза обеспечить повышенный уровень защиты этих данных.
В качестве примера классического высшего учебного заведения будет рассматриваться ТГУ. Он является одним из ведущих вузов Российской Федерации и занимает достаточно высокие позиции в международных рейтингах .' Кроме того, университет интересен тем, что он обрабатывает биометрические персональные данные. По этой причине вопрос об обработке биометрических ПД является актуальным, поскольку для получения доступа к учебным корпусам и общежитиям вуза используются отпечатки пальцев студентов и сотрудников вуза. В ТГУ продолжается внедрение биометрической идентификации. В 2020 году в университете в рамках эксперимента внедрена технология распознавания по лицу на территории одного корпуса1. В этом случае университет берет на себя большую ответственность. Тут возникает вопрос: сможет ли университет обеспечить конфиденциальность собираемых биометрических данных? Таким образом, перечисленные обстоятельства привлекают исследовательское внимание к ТГУ и СибГМУ как к операторам ПД.
Как описывалось выше, НИ ТГУ и СибГМУ являются значимыми университетами в Российской федерации. По идее, в таких университетах должно быть предприняты все необходимые меры и средства по защите персональных данных. Однако, в то же время они являются уникальными операторами ПД, и в тоже время представляют себя сложными системами для организации работы с ПД. Возникает вопрос: учитывают ли вузы в локальных актах и в процессе организации работы с персональными данными свою специфику? Уведомляют ли университеты субъектов ПД о том, что они в будущем будут собирать биометрические и специальные персональные данные? В противном случае, это чревато недоверием субъекта ПД к университету, появлению конфликтных ситуаций и судебных споров между ними. В ответ на эту проблему предполагается установить порядок работы с персональными данными в изучаемых университетах.
Литературы по вопросам работы с персональными данными в вузах представлено не в столь большом количестве, особенно литературы, посвященной этим вопросам в медицинских университетах. Но все же проблема работы с персональными данными в организациях находится в фокусе внимания исследователей.
Научную литературу в сфере персональных данных можно разделить на две большие группы:
1. Работы, основанные на изучении и анализе норм в области защиты
персональных данных. В такой группе литературы выделяются правовые проблемы. Так, в работах Губарева, О. М. Муртазина, И. О. Филонова и В. А. Волосатых, С. И. Штеренберг и Ю. В. Гвоздевой1 указывалось динамизм изменений законодательства о персональных данных как другой фактор, порождающий сложности в организации работы с таким видом информации в университете. Также вторая группа авторов привела динамику изменений законодательства в виде таблице. Такие изменения необходимо отслеживать, ведь они приводят к необходимости в постоянной актуализации локальной нормативной базы в университетах, а для этого необходимы ресурсы.
Есть исследования, посвященные проблеме определения понятия «персональные данные» в нормативных актах. Ведь именно от того, насколько правильно мы сможем трактовать данное понятие, зависит степень защищенности нематериальных прав субъектов персональных данных. Е.В. Смирнова в своей работе подробно рассматривала эту проблему. Она сравнивала различные варианты определения «персональных данных», а также анализировала российскую судебную практику.
В свою очередь, данные работы могут посвящаться общим правовым вопросам о персональных данных, так и специализированным (работа с ПД в рамках трудовых отношениях, в сети Интернет и т.д).
Основы работы с персональными данными в трудовых отношениях рассматриваются в учебном пособии М. А. Борисова . В данном учебном пособии излагаются основные вопросы работы с ПД сотрудников в организациях различных форм собственности. Автор рассматривает понятие «конфиденциальные персональные данные», принципы и критерии отнесения к такой информации, основные направления и методы работы по организации защиты персональных данных.
Также, например, правовые вопросы работы с ПД в сети Интернет отражены в статье А. А. Гдельшина, М. М. Степанова . В ней создателями рассматривается проблема законодательной классификации о таких данных о людей как cookie-файлы, которые в РФ не относятся к персональным данным, однако они являются инструментом нарушения конфиденциальности персональных данных, при получении таких данных злоумышленниками вероятность идентификация пользователя велика.
2. Научные статьи и учебные пособия, основанные на практике работы и
организации постановки работы с персональными данными. В эту группу входят пособия, посвященные описанию методам по защите персональных данных: административно-правовых и организационно-технических. Также к ним относятся статьи, определяющие порядок и особенность работы с документами, составляющие ПД.
Например, в учебном пособии группы авторов Н. Н. Куняева, А. С. Демушкина, Т. В. Кондрашовой и А. Г. Фабричнова1 описывается особенность работы с документами, содержащие персональные данные, в автоматизированных и в неавтоматизированных системах. В нем освещены вопросы документирования персональных данных, оформления и учета таких документов.
В свою очередь авторы подобных работ предлагают конкретные методы по защите персональных данных в организациях с технической стороны и разъясняют положения соответствующих документов федеральных органов исполнительной власти. Так, М. С. Шакалов описывает в статье какие системы защиты персональных данных должны быть организованы в компании. А в статьях А. С. Шабурова, С. А. Юшковой, А. В. Бодерко описывается практическое применение действующих нормативно-правовых документов по оценки угроз безопасности ПД в информационных системах, и раскрываются методические подходы по совершенствованию оценке рисков информационной безопасности.
Как упоминалось выше, литературы касаемо работы с персональными данными в вузах не столь много. В основном в таких научных работах описываются практико-ориентированные вопросы, авторы предлагают конкретные методы по защите личной информации о субъекте и последовательность организации этого процесса. Авторы проводят анализ вуза: определяют внутренние и внешние угрозы, выявляют подразделения, работающие с конфиденциальной информацией, определяют субъекты ПД, перечень ПД и т.д. К статьям этой группы можно отнести работу Е.В. Бурьковой , в которой еще и выявляются основные этапы проведения оценки защищенности ПД в университетах и предполагаются технологии защиты такой информации с учетом специфики вузов. А. А. Воробъев, И. А. Трещев и Я. Ю. Григорьев1 приводят конкретные средства защиты конфиденциальной информации на рынке, которые можно применить к вузу. Например, в статье Д.В. Горбачев и А.С. Виноградова выделяют необходимый пакет локальной документации по информационной безопасности.
Авторы, уделяющие внимание организационным моментам обеспечения безопасности ПД в вузах, большое внимание уделяется описанию специфики вуза как фактора препятствующего организации работы с персональными данными. Например, группы исследователей: С. А. Губарева, О. М. Муртазина, И. О. Филонова , В. А. Волосатых, С. И. Штеренберг и Ю.В. Гвоздева , Д.В. Горбачев, А.С. Виноградова в своих работах раскрывают специфику работы с ПД в вузах и выделяют черты, присуще любому вузу, которые делают его особенным оператором. В свою очередь, П.А. Вырва и С.И. Глутник в работе выявили особенность медицинского вуза как оператора ПД, и объяснили причину почему к ним уделено столь большое внимание со стороны государства.
Широко использовались ряд публикаций от экспертов из журналов «Кадровые решения» . Статьи подобных изданий содержат в себе разъяснения положений трудового законодательства и законодательства о персональных данных. Такие статьи от профессионалов восполняют пробелы в понимании, возникающие у операторов при работе с законодательством, регламентирующим работу с ПД сотрудников.
Таким образом, литература, относящаяся напрямую к теме работы с персональными данными в университетах, скудная, в основном посвящена вопросу по защите информации в таких заведениях. Однако изучение литературы, прямо относящейся к работе с ПД в вузах, подтвердило актуальность выбора университета как оператора персональных данных. При анализе литературы, не затрагивающей университетскую тематику, путем подхода из общего к частному, выявилось, что темы, затронутые в данных работах, имеют отношение и к вузам.
Объектом выпускной квалификационной работы послужат персональные данные в высших учебных заведениях Российской Федерации.
Предметом — организация работы с персональными данными в ТГУ и СибГМУ.
Цель исследования — оценить соответствие организации работы с персональными данными в НИ ТГУ и СибГМУ установленным в Российской Федерации нормам.
Задачи:
1. Определить и описать установленный порядок обработки персональных данных в Российской Федерации.
2. Описать и оценить соответствие установленным нормам локальные нормативные акты, регламентирующие работу с персональными данными, и основные этапы обработки персональных данных в НИ ТГУ.
3. Описать и оценить соответствие установленным нормам локальные нормативные акты, регламентирующие работу с персональными данными, и основные этапы обработки персональных данных в СибГМУ.
Основными источниками для исследования послужили нормативные акты, и они структурированы по иерархии. Они разделены на следующие группы: международные и федеральные нормативные акты и локальные нормативные акты СибГМУ и НИ ТГУ.
В Конституции Российской Федерации1, «Международном пакте о гражданских и политических правах» , «Европейской конвенции о защите прав человека и основных свобод» , «Конвенции о защите физических лиц при автоматизированной обработке персональных данных»1 и в др. провозглашается право на неприкосновенность личной и семейной жизни человека. Это подводит к тому, что информация, затрагивающая частные интересы человека, является объектом защиты от несанкционированного вмешательства.
Нормативно-правовым актом, который регулирует работу с персональными данными работников, считается Трудовой кодекс . Этому посвящена 14 глава кодекса. В ней изложены общие требование по обработки ПД работников, их права и ответственность работодателя за нарушение обработки ПД.
В первую очередь, персональные данные являются информацией, поэтому важным источником послужил Федеральный закон «Об информации, информационных технологиях и о защите информации» . В нем содержатся определения ключевых понятий, в том числе и определение «конфиденциальной информации», к которой относятся персональные данные.
Основным нормативно-правовым актом, регламентирующим работу с персональными данными в Российской Федерации, является Федеральный закон «О персональных данных» . Именно им руководствуются операторы персональных данных при осуществлении своей деятельности. В нем прописан ряд условий, обязательных для обеспечения должного уровня безопасности персональных данных, даны определения ключевым понятиям (персональные данные, оператор, обработка, конфиденциальность и проч.), а также установлены принципы обработки персональных данных, права их субъектов, обязанности операторов, порядок государственного контроля и надзора за обработкой персональных данных и ответственность за нарушение закона.
Поскольку в данной выпускной квалификационной работе исследуется организация работы с ПД в высших учебных заведениях, то правовое основание обработки персональных данных также будет определяться Федеральным законом «Об образовании в Российской Федерации» .
В выпускной квалификационной работе исследуется работа с персональными данными в медицинском вузе. В данном университете происходит обработка ПД пациентов. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну, которая регулируется Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации»1. А врачебная тайна в свою очередь относится к сведениям, которые носят конфиденциальный характер.
Требования, определенные в Федеральном законе «О персональных данных», конкретизируются в различных Указах Президента РФ , Постановлениях Правительства РФ , Положениях и Приказах ФСТЭК России и проч.
Также в работе были задействованы локальные нормативные акты и сайты ТГУ1 и СибГМУ .
Таким образом, источниковая база исследования достаточно обширна и разнообразна. Ее основу составляют нормативные акты федерального и локального уровней, а также сайты ТГУ и СибГМУ.
Методология исследования включает в себя общенаучные и специальные методы познания. К общенаучным методам относятся метод анализа и синтеза, описания, сравнения и обобщения. Метод интервьюирования послужил в качестве специального метода.
Метод синтеза и анализа использовался с целью систематизации и структуризации информации, полученной в результате изучения федеральных нормативно-правовых документов, регулирующих работу с ПД, локальных документов СибГМУ и НИ ТГУ, а также данный метод использовался при обработке результатов интервью с сотрудниками двух вузов.
С помощью метода описания удалось раскрыть федеральную и локальную нормативно-правовую базу, регламентирующую деятельность операторов в вопросе обработки ПД. А также использование данного метода позволило определить порядок работы с ПД в НИ ТГУ и в СибГМУ.
Метод сравнения использовался при рассмотрении локальных нормативных документов СибГМУ и НИ ТГУ на предмет соответствия рекомендациям от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) и нормам, установленным в российском законодательстве. Также метод позволил оценить практику работы с ПД в этих вузах на соответствие с нормами, прописанные в федеральных и локальных нормативных документах.
С помощью метода обобщения получилось сформулировать выводы на основе результатов проведенного исследования.
К числу специальных методов относится полуструктурированное интервью. Оно проводилось по заранее заготовленным вопросам с целью получения достоверной информации о деятельности высших учебных заведений в области обработки персональных данных. Вопросы формировались на основе знакомства с локальными нормативными документами (далее — ЛНА). Респондентами являлись сотрудники общего отдела и студенческого отдела кадров СибГМУ, сотрудники отдела управления движения контингентом и управления кадрами НИ ТГУ. Интервью с сотрудниками СибГМУ было организовано на платформе для видеоконференцсвязи — Zoom. С сотрудниками ТГУ опрос проводился в очном формате. Процесс интервью фиксировался на диктофон.
В роли субъектов персональных данных могут выступать сотрудники организаций, клиенты магазинов, пользователи социальных сетей и многие другие. В качестве оператора ПД могут выступать государственные и муниципальные органы, любые коммерческие организации, учебные заведения и т.д. Стоит обратить внимание на такие операторы персональных данных как вузы, они является сложной системой, аккумулирующей в себе большой массив ПД, владельцами которых являются разнородные виды субъектов (например, абитуриенты, студенты, родители, сотрудники вуза и т.д.). Также эта система отличается большой численностью и текучестью субъектов персональных данных. Сложно найти операторов ПД со схожими параметрами. С высшими учебными заведениями могли бы сравниться банки, сотовые операторы или социальные сети. Однако они не требуют у субъекта столь широкий перечень сведений, как это делают вузы. Для такой большой базы данных необходимо организовать эффективную систему защиты от несанкционированного доступа. Именно поэтому в ВКР будет рассматриваться этот вид оператора ПД.
Обращение к этой теме вызвано тем, что порядок работы с персональными данными в вузе важен не только для субъектов персональных данных, он также влияет на работу целого ряда структурных подразделений высшего учебного заведения: управления кадрами, бухгалтерии, деканатов, приемной и отборочных комиссий. Все они не могут функционировать без доступа к персональным данным абитуриентов и студентов и несут ответственность за их обработку начиная с приемной кампании, когда абитуриент подает свои документы в вуз.
Новым вызовом в сфере обработки персональных данных стало введение в российских высших учебных заведениях более строгого пропускного режима. Для его реализации потребовался сбор биометрических (дактилоскопических) персональных данных, требующих особых условий хранения. Дело в том, что существует большой риск утечки и фальсификации биометрических данных. Они вызывают повышенный интерес у мошенников и хакеров, главной целью которых является получение доступа к персональным аккаунтам в платежных системах.
Еще одной трудностью для вуза является работа с персональными данными иностранных субъектов. Дело в том, что структура различных документов иностранных граждан, содержащих в себе необходимые персональные данные, отличается от структуры подобных документов у граждан Российской Федерации. Например, у граждан других стран может отсутствовать отчество. В документах, подтверждающих их личность, может не быть серии. Не всегда есть информация об органе, выдавшем паспорт и тому подобные различия. Это означает, что к работе с персональными данными иностранных субъектов нередко требуется особый подход.
Другим аспектом актуальности данного исследования послужило недавнее событие, связанное с пандемией, которая фундаментально повлияла на многие сферы, в том числе и на сферу российского образования. Перед вузами возникла серьезная задача - переход на дистанционное онлайн-обучение. Это привело к ускорению информатизации образования. С одной стороны, активное внедрение информационных технологий повысило эффективность процесса обучения, из-за чего он стал более гибким. С другой стороны, университеты с переходом на дистанционное обучение начали контролировать учебный процесс, документируя действие каждого студента и преподавателя (выступления, голос, реплики и т.д.), что приводит к риску избыточности обрабатываемых персональных данных.
Также вуз как оператор ПД несет всю полноту ответственности за соблюдением правил обработки таких данных, установленных в нормативных актах. Несоблюдение этих правил может повлечь внушительные штрафы, привести к лишению права заниматься определенной деятельностью, а также к наказанию ответственных лиц. С 2019 года в российской инспекционной практике наблюдаются корректировки: законодатель вводит несколько дополнительных пунктов, за нарушение которых штраф может достигать в среднем до несколько миллионов рублей для юридических лиц1. Также изменения вносятся в КоАП. Закон не только увеличивает штрафы за нарушение обработки персональных данных, но и увеличивает срок давности. Теперь к административной ответственности можно привлечь на протяжении года с момента несоблюдения требований закона.
В ВКР будет проведен сравнительный анализ работы с ПД в двух высших учебных заведениях: Национальном исследовательском Томском государственном университете (ТГУ) и Сибирском государственном медицинском университете (СибГМУ). Выбор обусловлен тем, что у обоих вузов разные подходы к организации работы с ПД. Это связано с рядом причин. Они подведомственны разным министерствам. ТГУ подчиняется министерству науки и высшего образования, а СибГМУ имеет смежное положение. С одной стороны, он является образовательным учреждением, то есть он, также как и ТГУ, подчиняется министерству науки и высшего образования. С другой стороны, он является частью системы здравоохранения, соответственно, он подведомственен министерству здравоохранения. В этом заключается специфика медицинского вуза. Также у обоих университетов разные статусы. ТГУ является национально исследовательским вузом, а СибГМУ - опорным.
СибГМУ по сравнению с традиционным вузом обрабатывает не только ПД абитуриентов, студентов и сотрудников университета, но и ПД пациентов, так как в ведении вуза находятся клиники. Также ответственность за защиту ПД распространяется не только на административный персонал вуза, но и на самих студентов и медперсонал, так как они являются носителями данных о здоровье человека. Они в своей практической деятельности сталкиваются с пациентами и получают от них информацию о физиологическом состоянии для того, чтобы диагностировать болезнь, прописать лечение и в итоге оказать квалифицированную медицинскую помощь, обеспечив тем самым право граждан на здоровье. Такая информация охраняется государством и попадает под режим врачебной тайны, а также причисляется к ПД. Таким образом, получаемая информация попадает под два правовых режима - режим врачебной тайны и режим конфиденциальности информации, что требует со стороны вуза обеспечить повышенный уровень защиты этих данных.
В качестве примера классического высшего учебного заведения будет рассматриваться ТГУ. Он является одним из ведущих вузов Российской Федерации и занимает достаточно высокие позиции в международных рейтингах .' Кроме того, университет интересен тем, что он обрабатывает биометрические персональные данные. По этой причине вопрос об обработке биометрических ПД является актуальным, поскольку для получения доступа к учебным корпусам и общежитиям вуза используются отпечатки пальцев студентов и сотрудников вуза. В ТГУ продолжается внедрение биометрической идентификации. В 2020 году в университете в рамках эксперимента внедрена технология распознавания по лицу на территории одного корпуса1. В этом случае университет берет на себя большую ответственность. Тут возникает вопрос: сможет ли университет обеспечить конфиденциальность собираемых биометрических данных? Таким образом, перечисленные обстоятельства привлекают исследовательское внимание к ТГУ и СибГМУ как к операторам ПД.
Как описывалось выше, НИ ТГУ и СибГМУ являются значимыми университетами в Российской федерации. По идее, в таких университетах должно быть предприняты все необходимые меры и средства по защите персональных данных. Однако, в то же время они являются уникальными операторами ПД, и в тоже время представляют себя сложными системами для организации работы с ПД. Возникает вопрос: учитывают ли вузы в локальных актах и в процессе организации работы с персональными данными свою специфику? Уведомляют ли университеты субъектов ПД о том, что они в будущем будут собирать биометрические и специальные персональные данные? В противном случае, это чревато недоверием субъекта ПД к университету, появлению конфликтных ситуаций и судебных споров между ними. В ответ на эту проблему предполагается установить порядок работы с персональными данными в изучаемых университетах.
Литературы по вопросам работы с персональными данными в вузах представлено не в столь большом количестве, особенно литературы, посвященной этим вопросам в медицинских университетах. Но все же проблема работы с персональными данными в организациях находится в фокусе внимания исследователей.
Научную литературу в сфере персональных данных можно разделить на две большие группы:
1. Работы, основанные на изучении и анализе норм в области защиты
персональных данных. В такой группе литературы выделяются правовые проблемы. Так, в работах Губарева, О. М. Муртазина, И. О. Филонова и В. А. Волосатых, С. И. Штеренберг и Ю. В. Гвоздевой1 указывалось динамизм изменений законодательства о персональных данных как другой фактор, порождающий сложности в организации работы с таким видом информации в университете. Также вторая группа авторов привела динамику изменений законодательства в виде таблице. Такие изменения необходимо отслеживать, ведь они приводят к необходимости в постоянной актуализации локальной нормативной базы в университетах, а для этого необходимы ресурсы.
Есть исследования, посвященные проблеме определения понятия «персональные данные» в нормативных актах. Ведь именно от того, насколько правильно мы сможем трактовать данное понятие, зависит степень защищенности нематериальных прав субъектов персональных данных. Е.В. Смирнова в своей работе подробно рассматривала эту проблему. Она сравнивала различные варианты определения «персональных данных», а также анализировала российскую судебную практику.
В свою очередь, данные работы могут посвящаться общим правовым вопросам о персональных данных, так и специализированным (работа с ПД в рамках трудовых отношениях, в сети Интернет и т.д).
Основы работы с персональными данными в трудовых отношениях рассматриваются в учебном пособии М. А. Борисова . В данном учебном пособии излагаются основные вопросы работы с ПД сотрудников в организациях различных форм собственности. Автор рассматривает понятие «конфиденциальные персональные данные», принципы и критерии отнесения к такой информации, основные направления и методы работы по организации защиты персональных данных.
Также, например, правовые вопросы работы с ПД в сети Интернет отражены в статье А. А. Гдельшина, М. М. Степанова . В ней создателями рассматривается проблема законодательной классификации о таких данных о людей как cookie-файлы, которые в РФ не относятся к персональным данным, однако они являются инструментом нарушения конфиденциальности персональных данных, при получении таких данных злоумышленниками вероятность идентификация пользователя велика.
2. Научные статьи и учебные пособия, основанные на практике работы и
организации постановки работы с персональными данными. В эту группу входят пособия, посвященные описанию методам по защите персональных данных: административно-правовых и организационно-технических. Также к ним относятся статьи, определяющие порядок и особенность работы с документами, составляющие ПД.
Например, в учебном пособии группы авторов Н. Н. Куняева, А. С. Демушкина, Т. В. Кондрашовой и А. Г. Фабричнова1 описывается особенность работы с документами, содержащие персональные данные, в автоматизированных и в неавтоматизированных системах. В нем освещены вопросы документирования персональных данных, оформления и учета таких документов.
В свою очередь авторы подобных работ предлагают конкретные методы по защите персональных данных в организациях с технической стороны и разъясняют положения соответствующих документов федеральных органов исполнительной власти. Так, М. С. Шакалов описывает в статье какие системы защиты персональных данных должны быть организованы в компании. А в статьях А. С. Шабурова, С. А. Юшковой, А. В. Бодерко описывается практическое применение действующих нормативно-правовых документов по оценки угроз безопасности ПД в информационных системах, и раскрываются методические подходы по совершенствованию оценке рисков информационной безопасности.
Как упоминалось выше, литературы касаемо работы с персональными данными в вузах не столь много. В основном в таких научных работах описываются практико-ориентированные вопросы, авторы предлагают конкретные методы по защите личной информации о субъекте и последовательность организации этого процесса. Авторы проводят анализ вуза: определяют внутренние и внешние угрозы, выявляют подразделения, работающие с конфиденциальной информацией, определяют субъекты ПД, перечень ПД и т.д. К статьям этой группы можно отнести работу Е.В. Бурьковой , в которой еще и выявляются основные этапы проведения оценки защищенности ПД в университетах и предполагаются технологии защиты такой информации с учетом специфики вузов. А. А. Воробъев, И. А. Трещев и Я. Ю. Григорьев1 приводят конкретные средства защиты конфиденциальной информации на рынке, которые можно применить к вузу. Например, в статье Д.В. Горбачев и А.С. Виноградова выделяют необходимый пакет локальной документации по информационной безопасности.
Авторы, уделяющие внимание организационным моментам обеспечения безопасности ПД в вузах, большое внимание уделяется описанию специфики вуза как фактора препятствующего организации работы с персональными данными. Например, группы исследователей: С. А. Губарева, О. М. Муртазина, И. О. Филонова , В. А. Волосатых, С. И. Штеренберг и Ю.В. Гвоздева , Д.В. Горбачев, А.С. Виноградова в своих работах раскрывают специфику работы с ПД в вузах и выделяют черты, присуще любому вузу, которые делают его особенным оператором. В свою очередь, П.А. Вырва и С.И. Глутник в работе выявили особенность медицинского вуза как оператора ПД, и объяснили причину почему к ним уделено столь большое внимание со стороны государства.
Широко использовались ряд публикаций от экспертов из журналов «Кадровые решения» . Статьи подобных изданий содержат в себе разъяснения положений трудового законодательства и законодательства о персональных данных. Такие статьи от профессионалов восполняют пробелы в понимании, возникающие у операторов при работе с законодательством, регламентирующим работу с ПД сотрудников.
Таким образом, литература, относящаяся напрямую к теме работы с персональными данными в университетах, скудная, в основном посвящена вопросу по защите информации в таких заведениях. Однако изучение литературы, прямо относящейся к работе с ПД в вузах, подтвердило актуальность выбора университета как оператора персональных данных. При анализе литературы, не затрагивающей университетскую тематику, путем подхода из общего к частному, выявилось, что темы, затронутые в данных работах, имеют отношение и к вузам.
Объектом выпускной квалификационной работы послужат персональные данные в высших учебных заведениях Российской Федерации.
Предметом — организация работы с персональными данными в ТГУ и СибГМУ.
Цель исследования — оценить соответствие организации работы с персональными данными в НИ ТГУ и СибГМУ установленным в Российской Федерации нормам.
Задачи:
1. Определить и описать установленный порядок обработки персональных данных в Российской Федерации.
2. Описать и оценить соответствие установленным нормам локальные нормативные акты, регламентирующие работу с персональными данными, и основные этапы обработки персональных данных в НИ ТГУ.
3. Описать и оценить соответствие установленным нормам локальные нормативные акты, регламентирующие работу с персональными данными, и основные этапы обработки персональных данных в СибГМУ.
Основными источниками для исследования послужили нормативные акты, и они структурированы по иерархии. Они разделены на следующие группы: международные и федеральные нормативные акты и локальные нормативные акты СибГМУ и НИ ТГУ.
В Конституции Российской Федерации1, «Международном пакте о гражданских и политических правах» , «Европейской конвенции о защите прав человека и основных свобод» , «Конвенции о защите физических лиц при автоматизированной обработке персональных данных»1 и в др. провозглашается право на неприкосновенность личной и семейной жизни человека. Это подводит к тому, что информация, затрагивающая частные интересы человека, является объектом защиты от несанкционированного вмешательства.
Нормативно-правовым актом, который регулирует работу с персональными данными работников, считается Трудовой кодекс . Этому посвящена 14 глава кодекса. В ней изложены общие требование по обработки ПД работников, их права и ответственность работодателя за нарушение обработки ПД.
В первую очередь, персональные данные являются информацией, поэтому важным источником послужил Федеральный закон «Об информации, информационных технологиях и о защите информации» . В нем содержатся определения ключевых понятий, в том числе и определение «конфиденциальной информации», к которой относятся персональные данные.
Основным нормативно-правовым актом, регламентирующим работу с персональными данными в Российской Федерации, является Федеральный закон «О персональных данных» . Именно им руководствуются операторы персональных данных при осуществлении своей деятельности. В нем прописан ряд условий, обязательных для обеспечения должного уровня безопасности персональных данных, даны определения ключевым понятиям (персональные данные, оператор, обработка, конфиденциальность и проч.), а также установлены принципы обработки персональных данных, права их субъектов, обязанности операторов, порядок государственного контроля и надзора за обработкой персональных данных и ответственность за нарушение закона.
Поскольку в данной выпускной квалификационной работе исследуется организация работы с ПД в высших учебных заведениях, то правовое основание обработки персональных данных также будет определяться Федеральным законом «Об образовании в Российской Федерации» .
В выпускной квалификационной работе исследуется работа с персональными данными в медицинском вузе. В данном университете происходит обработка ПД пациентов. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну, которая регулируется Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации»1. А врачебная тайна в свою очередь относится к сведениям, которые носят конфиденциальный характер.
Требования, определенные в Федеральном законе «О персональных данных», конкретизируются в различных Указах Президента РФ , Постановлениях Правительства РФ , Положениях и Приказах ФСТЭК России и проч.
Также в работе были задействованы локальные нормативные акты и сайты ТГУ1 и СибГМУ .
Таким образом, источниковая база исследования достаточно обширна и разнообразна. Ее основу составляют нормативные акты федерального и локального уровней, а также сайты ТГУ и СибГМУ.
Методология исследования включает в себя общенаучные и специальные методы познания. К общенаучным методам относятся метод анализа и синтеза, описания, сравнения и обобщения. Метод интервьюирования послужил в качестве специального метода.
Метод синтеза и анализа использовался с целью систематизации и структуризации информации, полученной в результате изучения федеральных нормативно-правовых документов, регулирующих работу с ПД, локальных документов СибГМУ и НИ ТГУ, а также данный метод использовался при обработке результатов интервью с сотрудниками двух вузов.
С помощью метода описания удалось раскрыть федеральную и локальную нормативно-правовую базу, регламентирующую деятельность операторов в вопросе обработки ПД. А также использование данного метода позволило определить порядок работы с ПД в НИ ТГУ и в СибГМУ.
Метод сравнения использовался при рассмотрении локальных нормативных документов СибГМУ и НИ ТГУ на предмет соответствия рекомендациям от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) и нормам, установленным в российском законодательстве. Также метод позволил оценить практику работы с ПД в этих вузах на соответствие с нормами, прописанные в федеральных и локальных нормативных документах.
С помощью метода обобщения получилось сформулировать выводы на основе результатов проведенного исследования.
К числу специальных методов относится полуструктурированное интервью. Оно проводилось по заранее заготовленным вопросам с целью получения достоверной информации о деятельности высших учебных заведений в области обработки персональных данных. Вопросы формировались на основе знакомства с локальными нормативными документами (далее — ЛНА). Респондентами являлись сотрудники общего отдела и студенческого отдела кадров СибГМУ, сотрудники отдела управления движения контингентом и управления кадрами НИ ТГУ. Интервью с сотрудниками СибГМУ было организовано на платформе для видеоконференцсвязи — Zoom. С сотрудниками ТГУ опрос проводился в очном формате. Процесс интервью фиксировался на диктофон.
В рамках выпускной квалификационной работы была изучена система работы с персональными данными в СибГМУ и в НИ ТГУ. Чтобы приступить к рассмотрению вузов, необходимо было определить порядок работы с ПД, который был утвержден на федеральном уровне. Важно отметить, что университеты являются необычными операторами ПД. Тем не менее, рассмотрев нормативно-правовую базу, можно утверждать, что российское законодательство не предъявляет специальных требований при обработке и защите личной информации субъектов ПД в вузе. То есть не существует отдельного нормативного акта, который регламентировал полностью работу с ПД в высших учебных заведениях. В целом работа с персональными данными в вузах подчиняется общим правилам. Однако некоторые аспекты работы с ПД дополняются нормативными документами в сфере образования и трудовых отношений.
Законодательством о ПД определен порядок работы с ними. Так, каждый университет должен разработать пакет локальных нормативных документов, согласия для обработки ПД и для их распространения.
В тоже время есть противоречия и пробелы в законодательстве. Так, при распространении личной информации профессорско-преподавательского состава необходимо ориентироваться на ФЗ № 152 и № 273. На этом моменте было замечено, что новшества законодательства о персональных данных в правилах распространения противоречат принципу информационной открытости образовательной организации, регламентированным ФЗ № 273. Поэтому в этом вопросе необходимы пояснения от контролирующих органов.
Остается непонятным для сотрудников, работающих с ПД, статус соискателя и абитуриента. Поскольку данные категории обрабатываются оператором с другими целями, отличными от целей обработки ПД действующих сотрудников и обучающих. Если Министерство науки и высшего образования РФ определило в своих нормативных актах правила сбора ПД абитуриентов , то никакой правовой регламентации работы с ПД
соискателей не разработано в настоящее время. Это в свою очередь, может порождать злоупотребления со стороны вуза как работодателя.
В выпускной квалификационной работе была рассмотрена нормативно-правовая база СибГМУ и НИ ТГУ. Выявлено, что в СибГМУ предприняты все необходимые организационно-правовые меры для защиты ПД. В вузе разработан пакет документов, соответствующий требованиям ФЗ №152. Также в СибГМУ существует комиссия по защите персональных данных, которая проводит внутренний аудит работы с ПД, проверяя существующую практику на соответствие законодательству. Всех работников при трудоустройстве знакомят с локальными нормативными актами в области работы с ПД. Однако в локальной документации такие субъекты ПД как абитуриент и соискатель не признаются СибГМУ как отдельная категория и входят в состав обучающихся и сотрудников соответственно.
Тем временем, в НИ ТГУ, по сравнению с рассмотренным медвузом, организации работы с ПД уделено меньше внимания. В НИ ТГУ сотрудники отделов кадров при обработке ПД ориентируются на локальный нормативный документ - Политику в отношении обработки персональных данных в Национальном исследовательском Томском государственном университете. Хотя главное требование к Политике выполнено: она размещена в свободном доступе, все же в ней имеются недочеты. В первую очередь, локальный акт требует обновления и в нем не раскрыта реальная практика. В Политике отсутствует упоминание об обработке биометрии в НИ ТГУ, хотя в университете уже давно проводится дактилоскопическая регистрация. Такое положение дел вызывает сомнения в защищенности биометрических данных в НИ ТГУ. Кроме того, в Политике упоминается про «Положение об обработке персональных данных» и прописано, что при трудоустройстве сотрудников знакомят с под роспись с этим документом. В действительности соискателей при трудоустройстве с таким локальным документом не знакомят. Также Политика сложна в восприятии. В ней присутствует профессиональный жаргон, термины, смысл которых требует разъяснение, и ссылки на другие нормативные документы. Данные факторы препятствуют пониманию Политики и желанию дальше знакомиться с ней. Тем не менее в отличие от СибГМУ в Политике четко выделены абитуриенты в отдельную категорию ПД. Таким образом, университет признает особенности работы с такой группой субъектов ПД. Однако статус соискателя остается неопределенным на локальным уровне в НИ ТГУ.
В ходе исследования были также изучены этапы обработки ПД в двух университетах. Согласно новым правилам приема на обучения в НИ ТГУ и СибГМУ с текущего года будет дополнительная форма согласия для абитуриентов на распространение ПД. Совершенно разная ситуация обстоит с согласиями на распространение ПД сотрудников. Если в СибГМУ берутся согласия у работников при публикации их данных на сайте университета, то для сотрудников НИ ТГУ не предусмотрено такое согласие. Такие сведения размещаются в свободном доступе без ведома субъекта, что является нарушением. Однако в случае размещения ПД о работнике на других интернет-ресурсах сотрудники НИ ТГУ подписывают в отделе кадров согласие на передачу ПД третьим лицам.
Практика хранения ПД в двух университетах также различается. В СибГМУ выявлено серьезное нарушение: на этапе оперативного хранения в личных делах студентов и сотрудников находятся копии личных документов, таким образом, организация собирает перечень информации о студентах и сотрудниках, не соответствующий целям обработки. Сотрудники студенческого отдела кадров и управления кадрами утилизируют эти копии только перед передачей личных дел в архив.
Иная ситуация с хранение ПД сложилась в НИ ТГУ. Сотрудники, работающие с ПД, начали убирать копии личных документов из личных дел. Например, с 2021 года стали вынимать ксерокопии личных документов из дел студентов. Однако с хранением копий сотрудников не все так однозначно. Если в отделе кадров, относящемся к управлению персоналом, копии убраны, то в администрации научного управления, в котором работают кадровики, копии личных документов научных сотрудников убраны не до конца. Они до сих пор остаются в делах. Возможно, это обусловлено тем, что структуры, работающие с ПД сотрудников, принадлежат разным управлениям. Тем самым отсутствует унифицированные алгоритмы работы с персональными данными.
Отсутствие единообразия в работе с ПД отразилось и на сборе биометрических данных. Так, студенты проходят дактилоскопическую регистрацию без своего согласия. В то же время в согласиях на обработку ПД, которое подписывает соискатель во время трудоустройства, упоминается данный факт.
По результатам исследования организации работы с ПД в СибГМУ и в НИ ТГУ, можно сделать выводы:
1) в НИ ТГУ в отличие от СибГМУ не учитываются особенности вуза как оператора ПД на уровне локального регулирования и на уровне практики работы с ПД;
2) разветвленная структура подразделений в НИ ТГУ, работающих с ПД, на практике оказался фактором, который породил отсутствие единообразия при работе с ПД;
3) некоторые вопросы, которые не были урегулированы на федеральном уровне
(правовое регулирование работы с ПД соискателей и абитуриентов), не были регламентированы и на уровне двух обследованных университетов
Законодательством о ПД определен порядок работы с ними. Так, каждый университет должен разработать пакет локальных нормативных документов, согласия для обработки ПД и для их распространения.
В тоже время есть противоречия и пробелы в законодательстве. Так, при распространении личной информации профессорско-преподавательского состава необходимо ориентироваться на ФЗ № 152 и № 273. На этом моменте было замечено, что новшества законодательства о персональных данных в правилах распространения противоречат принципу информационной открытости образовательной организации, регламентированным ФЗ № 273. Поэтому в этом вопросе необходимы пояснения от контролирующих органов.
Остается непонятным для сотрудников, работающих с ПД, статус соискателя и абитуриента. Поскольку данные категории обрабатываются оператором с другими целями, отличными от целей обработки ПД действующих сотрудников и обучающих. Если Министерство науки и высшего образования РФ определило в своих нормативных актах правила сбора ПД абитуриентов , то никакой правовой регламентации работы с ПД
соискателей не разработано в настоящее время. Это в свою очередь, может порождать злоупотребления со стороны вуза как работодателя.
В выпускной квалификационной работе была рассмотрена нормативно-правовая база СибГМУ и НИ ТГУ. Выявлено, что в СибГМУ предприняты все необходимые организационно-правовые меры для защиты ПД. В вузе разработан пакет документов, соответствующий требованиям ФЗ №152. Также в СибГМУ существует комиссия по защите персональных данных, которая проводит внутренний аудит работы с ПД, проверяя существующую практику на соответствие законодательству. Всех работников при трудоустройстве знакомят с локальными нормативными актами в области работы с ПД. Однако в локальной документации такие субъекты ПД как абитуриент и соискатель не признаются СибГМУ как отдельная категория и входят в состав обучающихся и сотрудников соответственно.
Тем временем, в НИ ТГУ, по сравнению с рассмотренным медвузом, организации работы с ПД уделено меньше внимания. В НИ ТГУ сотрудники отделов кадров при обработке ПД ориентируются на локальный нормативный документ - Политику в отношении обработки персональных данных в Национальном исследовательском Томском государственном университете. Хотя главное требование к Политике выполнено: она размещена в свободном доступе, все же в ней имеются недочеты. В первую очередь, локальный акт требует обновления и в нем не раскрыта реальная практика. В Политике отсутствует упоминание об обработке биометрии в НИ ТГУ, хотя в университете уже давно проводится дактилоскопическая регистрация. Такое положение дел вызывает сомнения в защищенности биометрических данных в НИ ТГУ. Кроме того, в Политике упоминается про «Положение об обработке персональных данных» и прописано, что при трудоустройстве сотрудников знакомят с под роспись с этим документом. В действительности соискателей при трудоустройстве с таким локальным документом не знакомят. Также Политика сложна в восприятии. В ней присутствует профессиональный жаргон, термины, смысл которых требует разъяснение, и ссылки на другие нормативные документы. Данные факторы препятствуют пониманию Политики и желанию дальше знакомиться с ней. Тем не менее в отличие от СибГМУ в Политике четко выделены абитуриенты в отдельную категорию ПД. Таким образом, университет признает особенности работы с такой группой субъектов ПД. Однако статус соискателя остается неопределенным на локальным уровне в НИ ТГУ.
В ходе исследования были также изучены этапы обработки ПД в двух университетах. Согласно новым правилам приема на обучения в НИ ТГУ и СибГМУ с текущего года будет дополнительная форма согласия для абитуриентов на распространение ПД. Совершенно разная ситуация обстоит с согласиями на распространение ПД сотрудников. Если в СибГМУ берутся согласия у работников при публикации их данных на сайте университета, то для сотрудников НИ ТГУ не предусмотрено такое согласие. Такие сведения размещаются в свободном доступе без ведома субъекта, что является нарушением. Однако в случае размещения ПД о работнике на других интернет-ресурсах сотрудники НИ ТГУ подписывают в отделе кадров согласие на передачу ПД третьим лицам.
Практика хранения ПД в двух университетах также различается. В СибГМУ выявлено серьезное нарушение: на этапе оперативного хранения в личных делах студентов и сотрудников находятся копии личных документов, таким образом, организация собирает перечень информации о студентах и сотрудниках, не соответствующий целям обработки. Сотрудники студенческого отдела кадров и управления кадрами утилизируют эти копии только перед передачей личных дел в архив.
Иная ситуация с хранение ПД сложилась в НИ ТГУ. Сотрудники, работающие с ПД, начали убирать копии личных документов из личных дел. Например, с 2021 года стали вынимать ксерокопии личных документов из дел студентов. Однако с хранением копий сотрудников не все так однозначно. Если в отделе кадров, относящемся к управлению персоналом, копии убраны, то в администрации научного управления, в котором работают кадровики, копии личных документов научных сотрудников убраны не до конца. Они до сих пор остаются в делах. Возможно, это обусловлено тем, что структуры, работающие с ПД сотрудников, принадлежат разным управлениям. Тем самым отсутствует унифицированные алгоритмы работы с персональными данными.
Отсутствие единообразия в работе с ПД отразилось и на сборе биометрических данных. Так, студенты проходят дактилоскопическую регистрацию без своего согласия. В то же время в согласиях на обработку ПД, которое подписывает соискатель во время трудоустройства, упоминается данный факт.
По результатам исследования организации работы с ПД в СибГМУ и в НИ ТГУ, можно сделать выводы:
1) в НИ ТГУ в отличие от СибГМУ не учитываются особенности вуза как оператора ПД на уровне локального регулирования и на уровне практики работы с ПД;
2) разветвленная структура подразделений в НИ ТГУ, работающих с ПД, на практике оказался фактором, который породил отсутствие единообразия при работе с ПД;
3) некоторые вопросы, которые не были урегулированы на федеральном уровне
(правовое регулирование работы с ПД соискателей и абитуриентов), не были регламентированы и на уровне двух обследованных университетов
Подобные работы
- Проектирование информационной системы для учета и обработки анкетных данных медицинских исследований
Бакалаврская работа, информатика. Язык работы: Русский. Цена: 5900 р. Год сдачи: 2016 - История развития спортивного клуба аквалангистов Томского государственного университета (1960-е-1990-е гг.)
Дипломные работы, ВКР, история . Язык работы: Русский. Цена: 4750 р. Год сдачи: 2020 - ОРГАНИЗАЦИЯ И СОВЕРШЕНСТВОВАНИЕ ДЕЛОПРОИЗВОДСТВА В СОВМЕСТНОМ РОССИЙСКО-ЧЕШСКОМ ЗАО «МАТИС»
Дипломные работы, ВКР, документоведение. Язык работы: Русский. Цена: 4270 р. Год сдачи: 2016 - Своеобразие и составляющие идентичности русских мусульман (на примере г. Красноярска)
Бакалаврская работа, культурология. Язык работы: Русский. Цена: 5600 р. Год сдачи: 2016