Дипломная работа На тему: «Защита персональных данных в информационной системе организации МКУ «Молодежный центр» МО Кореновский район
Тема данной работы чрезвычайно актуальна в наше время, а все потому, что в нашем XXI веке появляется все больше инноваций и способностей владения компьютером. Возможностей взлома систем появляется все больше и чаще. Как известно, создание информационных систем (ИС) повышает производительность труда любой организации (предприятия), с любой формой собственности. Пользователи данной системы могут быстро получать данные, необходимые для выполнения их служебных обязанностей.
Но несмотря на многие плюсы от производства компьютеров, существует и множество минусов. Самой распространенной проблемой на сегодняшний день является то, что злоумышленники с легкостью могут получить доступ к вашим персональным данным. Обладая доступом к различным базам данных (БД), злоумышленники могут использовать их для вымогания денег, других ценных сведений, материальных ценностей и прочего.
Защита персональных данных является актуальной темой в нашей стране, поскольку законодательная база существует не так уж и много. Но не все специалисты, которые работают на предприятии, знают, как защитить систему своего компьютера, поэтому на специалистов по информационной безопасности ложиться не только ответственность за безопасность информационной системы, но и система обучения персонала. Целью работы, в настоящее время, является защита персональных данных, которая стоит на первом месте. Чаще всего злоумышленников интересуют сведения, хранящиеся в БД государственных структур, таких как МВД, ФСБ и прочих, а также подконтрольных им организациям, таким как учреждения здравоохранения, образования. Всё чаще в СМИ появляются статьи, на тему популярных SMSмошенничеств. А ведь получив доступ к БД какой-нибудь медицинской организации, злоумышленник может шантажировать больного, либо его родственников, либо испортить ему репутацию.
Поэтому, задачей данной дипломной работы, является разработка комплексной системы безопасности персональных данных в Отделе по делам молодежи города Кореновска, задачей которой является не только разработать, но и внедрить систему защиты персональных данных, а так же подробно составить пути решения для защиты информационных систем персональных данных и рассчитать затраченные средства на установку и защиту персональных данных от злоумышленников.
Предметом исследования моей работы стала защита персональных данных в МКУ «Молодёжный центр» Методом исследования стало Разработка и внедрение мер по защите персональных данных в МКУ «Молодежный центр»
Учреждение МКУ «Молодёжный центр» занимается разработкой, организацией молодежных проектов, создает условия и формы поддержки молодёжных идей и инициатив, а так же помощь ветеранам Великой Отечественной Войны и малоимущим. Сотрудничает с образовательными учреждениями Кореновского района и т. д.
В ходе изучения данной организации было установлено, что незащищенность персональных данных в данной организации проблема довольна большая, а так же на всех персональных компьютерах не установлены антивирусные программы, криптографические методы защиты информации, базы данных находятся в свободном доступе для всех сотрудников комитета без уровней доступа.
Было решено установить программу создания VPN, которая представляет собой объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных
В ходе работы была произведена покупка межсетевого экрана cisco asa, антивирусника web+Kaspersky, программы devicelock которая предназначена для защиты и устранения утечки информации, xspider-программа позволяет сканировать и искать уязвимости.
Так как задачей работы являлось не только создать, но и внедрить защищенную систему персональных данных, то в ходе работы была разработана защищенная локальная сеть организации МКУ «Молодежный центр» МО Кореновский район, по которой в защищенных каналах циркулирует информация относящаяся к персональным данным, так же предложены программные и аппаратные средства защиты. В частности была предложена базовая политика безопасности для защиты от несанкционированного доступа к критически важным ресурсам. В ходе внедрения, вся информация остается защищенной и доступ к ней имеет только каждый специалист Молодежного центра, под личным паролем и контролем, а так же начальник отдела, так как он имеет доступ просматривать данные со своего компьютера, при этом не пользуясь компьютером специалистов, что стало намного безопаснее и удобнее.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Национальный исследовательский институт дополнительного профессионального образования
Контрольная работа
Защита персональных данных работников
Дисциплина: Законодательство о защите персональных данных
Выполнил: слушатель
Авакян Раиса Юрьевна
Преподаватель:
Лаврентьева Елена Юрьевна
Москва - 2017
ВВЕДЕНИЕ
2.3 Обеспечение защиты персональных данных, хранящихся у работодателя
2.4 Ответственность за разглашение персональных данных работника
ГЛАВА 3. ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ В ТРУДОВОМ ПРАВЕ И ПУТИ ИХ РЕШЕНИЯ
ВВЕДЕНИЕ
В современном обществе почти все люди, возможно, за редким исключением, осуществляют трудовую деятельность в самых различных формах. Поступая на работу, практически каждый гражданин по требованию работодателя предоставляет многочисленные документы и заполняет анкеты, в которых содержатся разделы, относящиеся не только к профессиональной деятельности, но и затрагивающие аспекты частной жизни лица.
Работодатель уже при первом заочном знакомстве с потенциальным работником намерен получить максимальную информацию о нем, однако, отсутствие четкого критерия, позволяющего разграничить информацию персонального характера, которая затрагивает аспекты частной жизни лица, и информацию, которая характеризует лицо непосредственно как работника, т.е. с точки зрения его деловых и профессиональных качеств, уровня образования или квалификации, является «камнем преткновения», затрудняющим для работодателя возможность определения степени допустимого вмешательства и пределов вторжения в частную жизнь работника.
Подобное обстоятельство порождает ситуации, при которых отсутствие четкого понимания того, какую информацию необходимо признать объектом защиты или вообще персональными данными работника, приводит к невозможности реализации норм, определяющих порядок и условия сбора, хранения, использования и распространения соответствующей информации в трудовой сфере.
На протяжении длительного периода времени, начиная с 1993 года, когда была принята Конституция Российской Федерации, и вплоть до вступления в силу в 2002 году Трудового кодекса РФ в российской правовой науке и, соответственно, в нормах законодательства персональные данные традиционно рассматривались как особый институт защиты права на неприкосновенность частной жизни, а носителями персональных данных считались все физические лица (граждане), находящиеся на территории России, однако, правовое оформление главы 14 Трудового кодекса «Защита персональных данных работника», а также признание юридической самостоятельности самой категории «персональные данные работника» позволили законодателю заявить не только о появлении качественной новой категории в трудовом законодательстве, но и обозначить принципиально новую плоскость для исследований. Принятие Государственной Думой РФ в 2006 году двух новых Федеральных законов «Об информации, информатизации и защите информации» и «О персональных данных» стало своего рода свидетельством необходимости регулирования практически неконтролируемой со стороны государства сферы оборота информации персонального характера в современных условиях развития общества. Все вышеизложенное позволяет утверждать, что проведенное исследование является актуальным.
Для достижения поставленной цели необходимо решить следующие задачи:
Изучить нормативно-правовое обеспечение защиты персональных данных работников;
Рассмотреть правовую природу персональных данных работников;
Исследовать правовое регулирование обработки персональных данных работников;
Изучить правовые основы хранения, использования и передачи персональных данных работников;
Проанализировать обеспечение защиты персональных данных, хранящихся у работодателя;
Исследовать ответственность за разглашение персональных данных работника;
Провести анализ правоприменительной практики в сфере защиты персональных данных работников;
Определить пути совершенствования законодательства о защите персональных данных работников.
Объектом дипломного исследования является совокупность общественных отношений, складывающихся в сфере защиты персональных данных в рамках служебных и трудовых отношений.
Предметом исследования являются нормы трудового, административного и информационного права, а также доктринальные положения соответствующих отраслевых юридических наук, которые в совокупности образуют институт защиты персональных данных в служебных и трудовых отношениях.
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ В ТРУДОВОМ ПРАВЕ
1.1 Нормативно-правовое обеспечение защиты персональных данных работников
Международные акты, Конституция РФ, другие федеральные законы предусматривают защиту сведений о личности и личной жизни граждан от необоснованного ознакомления с ними или распространения этих сведений без ведома (согласия) лица, к которому эти сведения относятся.
Среди международных актов, защищающих права и свободы человека, тайну его частной и семейной жизни, следует назвать прежде всего Всеобщую декларацию прав человека 1948 г., Конвенцию о защите прав человека и основных свобод 1950 г., Международный пакт о гражданских и политических правах 1976 г., Конвенцию Содружества Независимых Государств о правах и основных свободах человека 1995 г.
Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. с поправками от 15 июня 1999 г. Федеральный закон от 19 декабря 2005 г. N 160-ФЗ // СЗ РФ. 2005. N 52 (ч. I). Ст. 5573. с рядом оговорок:
1) Россия не будет применять Конвенцию к персональным данным:
а) обрабатываемым физическим лицом исключительно для личных и семейных нужд;
б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;
2) будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
3) оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
10 февраля 2006 г. Президентом РФ подписано распоряжение N 54-РП «О подписании дополнительного протокола к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, касающегося наблюдательных органов и трансграничной передачи данных» СЗ РФ. 2006. N 7. Ст. 769 .
Распоряжением Правительства РФ от 9 июня 2005 г. №748-р одобрена Концепция создания системы персонального учета населения Российской Федерации Бюллетень трудового и социального законодательства РФ. 2005. N 7. С. 35 . персональный частный информация защита
Конституция РФ устанавливает, что в Российской Федерации признаются и гарантируются права и свободы человека и гражданина согласно общепризнанным принципам и нормам международного права и в соответствии с настоящей Конституцией (ст. 17). Основные права и свободы человека не отчуждаются и принадлежат каждому от рождения (ч. 2 ст. 17).
Осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц (ч. 3 ст. 17).
Основным действующим актом, регулирующим отношения, в определенной мере связанные с персональными данными работника и их защитой, служит Федеральный закон от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации» СЗ РФ. 1995. N8. Ст. 609 (далее - Закон об информации).
Статья 85 ТК формулирует два основных для данной главы понятия:
1) персональные данные работника;
2) обработка персональных данных работника.
Персональные данные работника содержат ряд признаков, отличающих их от иных сведений о работнике (гражданине, человеке). В них сосредоточена информация, необходимая именно работодателю и именно в связи с трудовым отношением с конкретным работником.
Персональные данные работника, в первую очередь связанные с его трудовой деятельностью, служат основанием для определения его трудоправового статуса, его положения как стороны трудового договора с данным работодателем.
Сведения о личности работника, его трудовом пути, семейном положении имеют сугубо персональный характер, относятся только к нему, его жизни и деятельности.
Придавая правовой характер указанным сведениям, ТК формулирует понятие персональных данных работника (ч. 1 ст. 85) и понятие обработки этих данных (ч. 2 ст. 85).
Обработка персональных данных работника включает производимые работодателем в лице полномочных его представителей (как правило, сотрудников кадровой службы) операции (действия) по:
а) получению,
б) хранению,
в) комбинированию,
г) передаче персональных данных работника или иному их использованию.
В Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера 1981 г. (в ней участвуют государства - члены Совета Европы) в понятие "данные личного характера" включается любая информация, относящаяся к физическому лицу, либо идентифицированному, либо которое может быть идентифицировано (ст. 2).
В соответствии со ст. 2 Федерального закона от 20 февраля 1995 г. №24-ФЗ "Об информации, информатизации и защите информации" под информацией о гражданах (персональные данные) понимаются сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Идентификации личности способствует паспорт и содержащиеся в нем сведения.
Положение о паспорте гражданина Российской Федерации, образец бланка и описание паспорта гражданина РФ утверждены Постановлением Правительства РФ от 8 июля 1997 г. N 828 с последующими изменениями СЗ РФ. 1997. N 28. Ст. 3444; 1999. N 41. Ст. 4918; 2001. N 3. Ст. 242; 2002. N 4. Ст. 330; 2003. N 27. Ст. 2813; 2004. N 5. Ст. 374. .
Идентифицировать личность позволяют и дактилоскопические данные. Для работников органов, предназначенных для борьбы с преступностью, эти данные имеют непосредственное значение. В связи с этим 25 июля 1998 г. был принят Федеральный закон "О государственной дактилоскопической регистрации в Российской Федерации", с изменениями СЗ РФ. 1998. N 31. Ст. 3806; 2000. N 46. Ст. 4537. . Для отдельных категорий лиц гражданской государственной службы приняли инструкции, предусматривающие обязательность и порядок проведения дактилоскопической регистрации. Например, Приказом Государственного комитета РФ по контролю за оборотом наркотических средств и психотропных веществ от 28 января 2004 г. №18 утверждена Инструкция о порядке проведения обязательной государственной дактилоскопической регистрации сотрудников органов по контролю за оборотом наркотических средств и психотропных веществ Бюллетень нормативных актов. 2004. N 11. С. 125 .
1.2 Правовая природа персональных данных работников
В настоящее время современные технические средства позволяют собирать и обрабатывать значительные объемы социально значимых сведений, необходимых для жизнедеятельности человека, общества и государства. Стремительное развитие компьютерной техники дает возможность получать доступ и использовать различные банки данных практически любым субъектам информационных отношений, при этом скорость получения и распространения информации существенно увеличилась. Кто владеет информацией, тот владеет миром, - справедливо полагают философы. Информация, являясь непременным условием жизни и социальной деятельности людей, предметом их постоянного внимания, существует столько же, сколько существует общество. Она сопровождает любые социальные отношения, определяет решения и действия индивида. В настоящее время принято говорить о существовании так называемой информационной среды обитания человека.
Сейчас, когда информационные технологии стали повсеместно доступны, они распространились практически на все области общественной деятельности, связанные с информацией Бачило И.Л. Информационное право. Основы практической информатики: Учебное пособие. М., 2001. С. 16 - 20; Городов О.А. Основы информационного права России: Учебное пособие. СПб., 2003. С. 12. .
Органы власти и управления, руководствуясь в процессе своей деятельности интересами общества и государства, собирают необходимые сведения о каждом из нас, формируют различные электронные базы персональных данных граждан, а в результате - обладают исчерпывающей информацией о нашем социальном и имущественном положении. Причем, действуя на основе законодательных предписаний, они вправе истребовать и получать от физических лиц необходимые личные данные, что нередко затрагивает сферу частных интересов человека. Чиновники, в основном, знают: где, с кем и в каких условиях мы живем; где работаем; каким имуществом обладаем; какие получаем доходы, какие несем расходы и т.д.
Однако любая систематизированная социально значимая информация может быть использована как на благо, так и во вред людям. Государство всегда стремилось знать о частной жизни своих граждан как можно больше и управлять ими на основе этих знаний. Еще Платон в трактате о государстве Платон. Государство // Собр. соч.: В 4 т. Т. 3. М., 1994. С. 79 - 420. писал о необходимости поставить поведение людей под тотальный контроль "всевидящего ока" государства.
История свидетельствует, что подобные попытки использования личных (персональных) данных граждан, сведений об их частной жизни уже неоднократно предпринимались в практике деятельности различных политических режимов. Тем не менее следует признать, что формирование и использование электронных баз персональных данных граждан - объективный процесс, который осуществляется сейчас во многих развитых странах мира, где параллельно этому создаются также разнообразные универсальные идентификаторы личности.
Не случайно уже в 80-х гг. прошлого столетия в некоторых странах Западной Европы, характеризуя информационную прозрачность сведений о личной жизни граждан для органов власти и управления, крупных государственных и частных корпораций, стали использовать специальный термин - «стеклянные люди» Козлова Н. Стеклянные люди // РГ. 2001. 28 июня. . Многие зарубежные и отечественные специалисты с целью совершенствования существующей системы идентификации граждан уже сейчас предлагают повсеместно использовать дактилоскопические и генетические паспорта Жуков И. Информация, высосанная из пальца, - самая точная // АиФ. Петербург. 2003. Февраль. N 9; Северов М. Человечество обречено на генетическую перепись? // АиФ. Петербург. 2003. Апрель. №17. . При этом ими не отрицается и наличие потенциальной опасности функционирования подобных институтов контроля, особенно в части обеспечения конфиденциальности подлежащих учету и использованию данных.
С принятием нового ТК РФ правоприменители столкнулись с необходимостью реализовать на практике главу 14 "Защита персональных данных работника". Согласно ст. 85 ТК РФ персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Кодекс устанавливает основные требования, которые необходимо соблюдать при обработке, то есть при получении, хранении, комбинировании, передаче или любом другом использовании персональных данных работника. При этом обязательным условием законности складывающихся правоотношений по получению значимой информации является участие в них самого работника.
В целом такое законодательное определение персональных данных работника представляется неудачным, поскольку понятие, сформулированное таким образом, не выделяет сущностные признаки указанного рода информации, не определяет пределы ее возможного истребования и получения.
Для того, чтобы определиться с существенными характеристиками правового регулирования названного института, необходимо остановиться на вопросе о правовой природе персональных данных работника: установить, какое место в системе действующих правовых образований занимает обозначенный информационный ресурс. В юридической литературе общественные отношения, складывающиеся по поводу обработки персональных данных работников и урегулированные нормами права, называют информационными трудовыми правоотношениями, которые составляют отдельный институт трудового права Дворецкий А.В. Защита персональных данных по законодательству Российской Федерации: Автореф. дис. ... канд. юрид. наук. Томск, 2005. С. 7. . Тем самым подчеркивается их особый характер - они складываются по поводу особого вида информации.
В настоящее время «профильным» актом законодательного регулирования отношений в связи с использованием информационных ресурсов является Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" СЗ РФ. 1995. N 8. Ст. 609. (далее - Закон об информации), который на основе ст. 23 и 55 Конституции РФ в ч. 2 ст. 10 проводит разделение информации с ограниченным доступом на информацию, отнесенную к государственной тайне, и конфиденциальную информацию.
Вопросы охраны и защиты государственной тайны регулируются законодательно Закон РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне"; Указ Президента РФ от 11 февраля 2006 г. N 90 "О Перечне сведений, отнесенных к государственной тайне". . Согласно Закону об информации информация о гражданах (персональные данные), то есть сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, относится к категории конфиденциальной (ст. 2, ч. 5 ст. 10, ч. 1 ст. 11). Существует официально утвержденный Перечень сведений конфиденциального характера Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера". . Они подразделяются на: персональные данные (личная тайна); служебные сведения (служебная тайна) (ст. 139 ГК РФ); сведения, связанные с коммерческой деятельностью (коммерческая тайна) Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" // СЗ РФ. 2004. N 32. Ст. 3283. ; профессиональные сведения, относимые к врачебной, нотариальной, адвокатской, банковской тайне и иным видам тайн; сведения, составляющие тайну следствия и судопроизводства; сведения, составляющие тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений; сведения о сущности изобретения, полезной модели, промышленного образца до официальной публикации информации о них. Тем самым в Указе Президента РФ подчеркивается особый характер персональных данных граждан, в связи с выделением их в качестве отдельного вида конфиденциальной информации.
Основные массивы конфиденциальной информации подробно исследованы в работе В.Н. Лопатина, который выявил существование более 30-ти видов информации ограниченного доступа Лопатин В.Н. Правовые основы информационной безопасности: Курс лекций. М., 2000. .
В то же время нельзя не учесть, что персональные данные отдельных работников могут составлять государственную тайну и, соответственно, относиться к другому роду информации. Так, согласно ч. 5 ст. 14 Федерального закона от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" СЗ РФ. 2003. N 22. Ст. 2063. "персональные данные, внесенные в личные дела и документы учета государственных служащих, являются персонифицированными и в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, относятся к сведениям, составляющим государственную тайну, а в иных случаях к сведениям конфиденциального характера".
Например, в соответствии со ст. 17 Федерального закона от 3 апреля 1995 г. N 40-ФЗ "О федеральной службе безопасности" СЗ РФ. 1995. N 15. Ст. 1269. "сведения о сотрудниках органов федеральной службы безопасности, выполнявших (выполняющих) специальные задания в специальных службах и организациях иностранных государств, в преступных группах, составляют государственную тайну и могут быть преданы гласности только с письменного согласия указанных сотрудников и в случаях, предусмотренных федеральными законами".
Данное обстоятельство ни в коей мере не умаляет правовое значение персональных данных работника, не посягает на их обособленность, а, наоборот, способствует более эффективной защите со стороны государства. Таким образом, одна и та же информация может составлять как государственную тайну, так и конфиденциальную информацию, относящуюся к персональным данным работника. В то же время персональные данные, на наш взгляд, могут составлять служебную или профессиональную тайну. Обратимся к правовой природе этих видов конфиденциальной информации.
В.Н. Лопатин к числу сведений, составляющих служебную тайну, относит данные предварительного следствия, а также судебную тайну Лопатин В.Н. Правовая охрана и защита права на тайну // Юридический мир. 1999. №7. С. 40. . Напротив, Ю.В. Францифиров указывает на необходимость выделения профессиональной тайны и разделения ее на государственную, служебную, врачебную, следственную, банковскую, адвокатскую, а также тайну совещания судей Францифиров Ю.В. Противоречия между гласностью и тайностью в уголовном судопроизводстве // Следователь. 2004. №3. С. 40. . В свою очередь, И.Л. Петрухин Петрухин И.Л. Личные тайны (человек и власть). М.: Институт государства и права РАН, 1998. С. 15. относит к числу профессиональных тайн медицинскую, судебной защиты и представительства, исповеди, предварительного следствия, нотариальных действий.
Упомянутый Указ Президента РФ, устанавливающий Перечень сведений конфиденциального характера, не определяет критерия, в связи с которым можно разделить между собой профессиональную и служебную тайну. К тому же, во-первых, перечень сведений конфиденциального характера устанавливается только федеральным законом; во-вторых, при определении служебной тайны ссылка на гражданское законодательство не совсем уместна, в связи с тем что не во всех случаях служебная тайна представляет коммерческую информацию.
Е.Л. Никитин и А.А. Тимошенко предлагают разделять профессиональную тайну и служебную тайну в зависимости от субъектов ее обладания.
Этимология слова "служебный" предполагает обращение к понятию "служба" (государственная или муниципальная) Никитин Е.Л., Тимошенко А.А. К вопросу о правовой природе персональных данных работника // Журнал российского права. - 2006. - №7. . Они считают, что уместно обратиться к Федеральному закону от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" СЗ РФ. 2003. N 22. Ст. 2063 , где в ст. 1 государственная служба РФ определяется как профессиональная деятельность граждан РФ по обеспечению исполнения полномочий органов государственной власти РФ и их должностных лиц.
Профессиональная же тайна предполагает получение конфиденциальных сведений лицом в связи с его деятельностью по исполнению обязанностей трудового договора и договора гражданско-правового характера, но именно в рамках профессиональной деятельности. В этом смысле служебная деятельность уже является профессиональной, так как также направлена на реализацию профессиональных навыков, однако в силу специфики правового статуса служащих, предполагающего наделение их определенными полномочиями, может выделяться отдельно.
Ни профессиональная тайна, ни служебная тайна не охватывают сведения, которые становятся известными гражданам при обращении за судебной и иной государственной защитой. Следовательно, уместно выделить отдельно тайну правосудия, а в ее составе констатировать существование тайны уголовного, гражданского, административного видов судопроизводства.
Тайна уголовного судопроизводства включает в себя следственную тайну (данные предварительного расследования (ст. 161 УПК РФ)) и тайну судебную (ст. 241, 298 УПК РФ). При этом необходимо иметь в виду, что тайна в уголовном процессе может иметь внутренний и внешний характер. В то же время внутренняя тайна в уголовном процессе существует ввиду установленного ограничения на ознакомление с материалами уголовного дела для отдельных участников уголовного процесса, а также с данными о личности свидетелей и потерпевших, засекреченными в установленном законом порядке (теми же самыми персональными данными).
Внешний же характер тайна, в частности в уголовном процессе, приобретает ввиду нормативного ограничения освещения в средствах массовой информации данных предварительного следствия или установленного должностным лицом следственных органов ограничения разглашения сведений посторонним лицам (не участникам уголовного процесса) в ходе предварительного расследования, а также при проведении закрытого судебного заседания.
Таким образом, можно сделать вывод, что рассматриваемый Указ Президента РФ четко не выделяет виды конфиденциальной информации, так как обозначенные отдельно персональные данные лица, включая персональные данные работника, могут входить в состав иной конфиденциальной информации.
При этом в процессе включения в состав иного вида информации ограниченного доступа персональные данные работника, во-первых, продолжают защищаться трудовым законодательством, а во-вторых, приобретают свойственные иным видам конфиденциальной информации средства правовой защиты.
Персональные данные лица в целом и персональные данные работника в частности наряду с иной охраняемой законом тайной (кроме государственной) - явления одного порядка - сведения конфиденциального характера.
В положениях некоторых федеральных законов понятие конфиденциальной информации дается шире, но в то же время наблюдается неоправданное разделение понятий иной охраняемой законом тайны и конфиденциальной информации. В частности, ч. 2 ст. 10 Таможенного кодекса РФ СЗ РФ. 2003. N 22. Ст. 2066. выделяет уже государственную, коммерческую, банковскую, налоговую или иную охраняемую законом тайну и другую конфиденциальную информацию.
По мнению В.Н. Лопатина Лопатин В.Н. Правовая охрана и защита права на тайну // Юридический мир. 1999. N 4. С. 32. , аналогичная ситуация наблюдается также при рассмотрении положений ст. 8 Федерального закона от 4 июля 1996 г. N 85-ФЗ "Об участии в международном информационном обмене" СЗ РФ. 1996. N 28. Ст. 3347. .
Однако буквальное толкование ч. 2 ст. 8 Закона об информации (выделяется государственная тайна и иная конфиденциальная информация) к такому выводу не приводит, поскольку в этом правовом источнике повторяется норма названного Федерального закона.
Для того, чтобы добиться единства правовых механизмов защиты персональных данных, необходимо принятие специального федерального закона, который бы регулировал правовой режим персональных данных в целом и установил единую систему защиты этих данных, органически включив туда личные данные работников (гл. 14 ТК РФ).
В настоящее время такой законопроект рассматривается в Государственной Думе РФ Шкель Т. Россиян закодируют // РГ. 2005. 22 нояб.; Шкель Т. Персона под защитой // РГ. 2005. 25 нояб. . Кроме того, нашим государством ратифицирована Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" // СЗ РФ. 2005. N 52. Ч. I. Ст. 5573. принятая в рамках Совета Европы Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М., 1998. С. 106 - 114. , к которой присоединились 33 европейских государства.
Заслуживают особого внимания Директивы Европейского парламента и Совета Европейского союза от 24 октября 1995 г. N 95/46/ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободе обозрения такой информации, а также от 12 июля 2002 г. N 2002/58/Е, касающаяся обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций.
Они провозгласили законность основополагающим принципом обработки персональных данных и необходимость гармонизации норм государств-участников для обеспечения достаточного уровня защиты основных прав и свобод и, в частности, права на тайну частной жизни в отношении обработки персональных данных в секторе электронных коммуникаций Морозов А.В., Семизарова Е.В. Проблемы имплементации международного права в сфере правовой защиты физических лиц при автоматизированной обработке персональных данных // Проблемы правовой информатизации. 2005. N 5. С. 18. . В рамках Совета Европы признается также защита персональных данных, обрабатываемых вручную Директива СЕ 96/9/СЕ "О юридической защите баз данных" // Доступ граждан к правовой информации (материалы международных круглых столов). СПб., 1999. .
Аналогичным образом защита персональных данных осуществляется в США, Японии, Австралии Соколова О.С. Персональные данные как информация ограниченного доступа: проблемы правового регулирования // Современное право. 2004. N 2. С. 21. .
В Германии в 1977 г. принят конституционный акт - Закон "О защите персональных данных", в Великобритании с июля 1998 г. действует Закон "О защите информации", в Швеции - Закон "Об охране информации" (1973 г.), во Франции - Закон от 6 января 1978 г. "Об информатике, картотеках и свободах", в Венгрии - Закон 1992 г. "О персональных данных и о публикации данных, представляющих общественный интерес", в Испании в 1999 г. вступил в силу Органический закон "О защите персональных данных" Защита персональных данных: Опыт правового регулирования / Автор-сост. Е.К. Волчинская. М.: Галерия, 2001. . В структуре специальных актов, регулирующих общественные отношения в трудовой сфере, также содержатся отдельные положения, регламентирующие защиту персональных данных. Так, Статут трудящихся 1970 г., принятый в Италии, устанавливает правило, согласно которому работодателю запрещается как при приеме на работу, так и в процессе трудовых отношений собирать сведения, в том числе и через третьих лиц, о политических и религиозных взглядах и профсоюзной ориентации работников, а также об обстоятельствах, несущественных для оценки профессиональной пригодности работников Тихомирова Л.В. Защита персональных данных работника: Учебно-практическое пособие. М., 2002. С. 12. . Наконец, в рамках СНГ на четырнадцатом пленарном заседании Межпарламентской Ассамблеи государств - участников СНГ (Постановление от 16 октября 1999 г.) был принят Модельный закон "О персональных данных" Информационный бюллетень Межпарламентской Ассамблеи государств - участников СНГ. 2000. N 23. С. 315 - 326. .
Итак, в целом к персональным данным работника можно отнести любые сведения о фактах, событиях и иных обстоятельствах жизни и деятельности работника, посредством которых возможно идентифицировать его личность Анисимов А.Н. Правовая защита персональных данных работника // Трудовое право. 2003. N 9. С. 31. . Право на защиту персональных данных работника, на наш взгляд, является проявлением конституционного права на неприкосновенность частной жизни Беляева Н.Г. Право на неприкосновенность частной жизни и доступ к персональным данным // Правоведение. 2001. N 1. С. 102. и составляет следующий комплекс прав: 1) право обладать персональными данными; 2) право на их защиту; 3) право пользоваться иными смежными правами, установленными законодательно (например, правом на семейную тайну, на защиту доброго имени).
Для трудовых правоотношений характерно, что персональные данные включают в себя информацию, которая позволяет работодателю привлечь работника для эффективного выполнения трудовой функции. Она может содержаться в документах, предоставляемых работником при приеме на работу:
В документе, удостоверяющем личность работника;
В трудовой книжке работника;
В страховом свидетельстве государственного пенсионного страхования;
В документах воинского учета (при их наличии);
В документах об образовании, квалификации или наличии специальных знаний или подготовки;
В документах медицинского характера;
В иных документах, содержащих сведения, необходимые для определения трудовых отношений, в том числе предоставляемых дополнительно работником по собственной инициативе (резюме, справки, грамоты, дипломы лауреатов различных конкурсов и т.п.); в различных приказах по персоналу, материалах служебных проверок и расследований, докладных и аналитических записках.
Большая часть таких материалов содержится в основном документе персонифицированного учета - личном деле, которое складывается из различного рода документации.
Правовой режим названной документации подлежит правовому регулированию на общих основаниях и не может носить локальный характер, как это утверждает Е.М. Беркутова Беркутова Е.М. Защита персональных данных работника // Трудовые споры. 2005. №2. С. 3-5. . Рассмотренный перечень является открытым. Как уже отмечалось, дополнительная информация может быть представлена работником по собственной инициативе в ходе устного разговора с представителем работодателя, а также при заполнении различного рода анкет, опросных листов. При прохождении гражданином при устройстве на работу в организацию психологических тестирований тоже должен быть установлен режим защиты персональных данных в части их результатов и сведений, сообщенных в ходе проведения подобных мероприятий.
В Положении о персональных данных государственного гражданского служащего РФ и ведении его личного дела Утверждено Указом Президента РФ от 30 мая 2005 г. N 609 // СЗ РФ. 2005. N 23. Ст. 2242. указано, что под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность, и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с указанным Положением (например, сведения из решения о награждении государственными наградами, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если такие имеются)).
Подводя итог изложенному, можно сделать вывод о том, что персональные данные работника органически включены в систему персональных данных лица, составляют отдельное правовое образование - институт трудового права, носят информационный характер, подлежат комплексной правовой защите всеми способами и средствами, установленными для защиты государственной тайны и конфиденциальной информации.
ГЛАВА 2. ОСОБЕННОСТИ СОДЕРЖАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ В ТРУДОВОМ ПРАВЕ
2.1 Правовое регулирование обработки персональных данных работников
Закон №152-ФЗ «О персональных данных» достаточно широко трактует такое понятие, как обработка персональных данных, включая в него сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
В соответствии с ч.2 ст.85 ТК РФ обработкой персональных данных работника является получение, хранение, комбинирование, передача или любое другое использование персональных данных работника (например, формирование списка работников, составленного по определенным критериям, отчет по сотрудникам и т.д.).
В целях обеспечения прав и свобод человека и гражданина согласно ст.86 ТК РФ работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Таким образом, в каких-либо иных целях организации обработка персональных данных запрещена;
2) при определении объема и содержания обрабатываемых персональных данных работника, работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. В случае, когда персональные данные работника возможно получить только у третьей стороны, работника необходимо уведомить об этом заранее, а также получить от него письменное согласие. В уведомлении работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Таким образом, сбор сведений о работнике без его ведома не допускается;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Следует обратить внимание на то, что в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника, но только с его письменного согласия;
5) работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности. Исключение составляют случаи, предусмотренные ТК РФ или иными федеральными законами. В качестве примера можно привести членство в общественных организациях экстремистского толка;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Данный запрет основан на том, что полученные данные могут быть использованы не в том контексте. В каждой ситуации необходимо руководствоваться информацией, полученной путем изучения всего объема имеющихся документов и сведений;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом и другими федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Подобными документами могут быть Положение о персональных данных, Инструкция по работе с персональными данными и т.д.;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны. Если в локальных нормативных актах работодателя о персональных данных или в трудовом договоре присутствует норма о том, что работник отказывается от указанных прав, то в этой части документ будет считаться недействительным;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Одной из главных задач при этом является принятие локальных нормативных актов о персональных данных.
Статья 86 ТК направлена на то, чтобы персональные данные использовались прежде всего в интересах работника: для определения его правового положения по отношению к работодателю, объема и содержания прав и обязанностей работника, вытекающих из трудового договора, и соответственно встречных прав и обязанностей работодателя.
Ст. 86 ТК РФ установлен перечень общих требований, которые обязан соблюдать работодатель при обработке персональных данных, следует дополнить указанием на запрет получения работодателем от лица, поступающего на работу, и работника следующих сведений:
Информации, составляющей государственную тайну или иную охраняемую законом конфиденциальную информацию, которая стала известна работнику до возникновения трудовых правоотношений с работодателем;
Сведений о прошлой политической или общественной деятельности работника или лица, устраивающегося на работу;
Сведений об имевших место в прошлом случаях привлечения к уголовной ответственности (за исключением ограничений, установленных для лиц, устраивающихся в органы правоохранительной системы РФ и правосудия, на работу, связанную с воспитанием, обучением детей, иную социально значимую работу, а также связанных с назначением наказания в виде лишения права занимать определенные должности или заниматься определенной деятельностью);
Данных об имущественном положении (исключение для лиц, претендующих на занятие выборных должностей);
Сведений о национальности самого работника, его близких родственников, родственников, близких лиц, иных лиц;
Иных подобных данных.
При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами. Данное требование нацеливает работодателя на соблюдение ограничений, установленных для защиты частной жизни граждан. Однако грань между информацией, необходимой работодателю в связи с трудовыми отношениями, и информацией, касающейся частной жизни гражданина, ни в одном из нормативных актов четко не обозначена. Фактически дан данный вопрос остается на усмотрение работодателя.
Получение персональных данных должно осуществляться в установленном законом порядке. По общему правилу все персональные данные следует получать у самого работника.
Однако закон не регламентирует действия работодателя в случае отказа работника предоставить необходимые данные. Нечеткость формулировок требований ТК РФ в отношении обработки персональных данных и самого определения персональных данных, с одной стороны, позволяет работнику почти на каждый запрос возразить, что спрашивать об этом незаконно. Исключение составляют сведения, которые можно получить из трудовой книжки, паспорта, документа об образовании, военного билета и страхового свидетельства. Все, что касается семейных, родственных, дружественных, бытовых, интимных и иных личных отношений, с легкостью вписывается в понятие "частная жизнь". С другой стороны, и работодателя упрекнуть в том, что он интересуется, например, семейным положением работника из праздного любопытства, а не в связи с трудовыми отношениями, довольно сложно.
Помимо обстоятельств семейно-бытового характера (наличие семьи, детей, зарегистрированного или фактического брака), работодатель вправе запрашивать информацию о состоянии здоровья, наличии инвалидности, о возрасте работника, о фактическом месте проживания, о тех или иных личностных качествах, проявившихся на прежнем месте работы и в иных публичных сферах. К подобным данным, можно отнести сведения о наличии судимости или о службе в армии, которые являются сведениями, тесно сопряженными с публичной сферой.
Если же персональные данные возможно получить только у третьей стороны, то необходимо соблюдение следующих условий:
1) уведомление работника работодателем о намерении получить персональные данные у третьей стороны (с указанием цели, предполагаемых источниках и способах получения данных, их характере, последствий отказа работника дать письменное согласие на их получение);
2) получение письменного согласия работника на получение его персональных данных у третьего лица.
К сожалению, законодатель не дает разъяснения, что следует понимать под письменным согласием. В связи с этим получение письменного согласия может осуществляться в произвольной форме. Например, работник может собственноручно написать запрашиваемые данные и представить их работодателю, которому порой бывает крайне необходимо убедиться в правильности представленных данных. Нормы нового Трудового кодекса РФ нуждаются в детализации процесса затребования от работника персональных данных.
Так, в мировой практике считается обычным делом запрос в образовательное учреждение о подтверждении полученного работником образования, присуждения ему квалификационной категории, состояния его здоровья и т.п.
Отсутствие в законе перечня случаев, когда работодатель имеет право с уведомления работника затребовать персональные данные от третьих лиц, порождает на практике ситуации, в которых работодатель, сообщая о последствиях отказа работника дать письменное согласие на получение персональных данных у третьих лиц, всегда может "запугать" работника и получить такое согласие, так как закон не гарантирует неприменение "репрессивных" мер со стороны работодателя в случае отказа.
ТК РФ устанавливает ряд ограничений на обработку персональных данных определенного рода. Так, работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом (п. 4 ст. 86 ТК РФ), а также сообщать персональные данные работника в коммерческих целях без его письменного согласия (абз. 2 ст. 88 ТК РФ). Следует также подчеркнуть, что работодатель может самостоятельно оценивать серьезную и неминуемую угрозу жизни и здоровью работника, ее степень, и с целью необходимости предупреждения такой угрозы предоставлять персональную информацию любым третьим лицам (ст. 88 ТК РФ).
В настоящее время в организациях в качестве форм сбора персональных данных работника можно выделить:
собеседование;
анкетирование;
Размещено на http://allbest.ru
тестирование.
Собеседование заключается вРазмещено на http://allbest.ru
программировании вопросов кандидату на соответствующую должность таким образом, чтобы они достаточно полно выявили заранее обозначенный круг критериев, необходимых для занятия той или иной должности с вероятной степенью достоверности и надежности. В организации целесообразно разработать специальный бланк с перечнем основных вопросов. Следует помнить, что есть вопросы, которые законом запрещено задавать работнику. Так, статьей 64 ТК РФ установлено, что запрещается необоснованный отказ в заключении трудового договора. Какое бы то ни было прямое или косвенное ограничение прав или установление прямых или косвенных преимуществ при заключении трудового договора в зависимости от пола, расы, цвета кожи, национальности, языка, происхождения, имущественного, социального и должностного положения, места жительства (в том числе наличия или отсутствия регистрации по месту жительства или пребывания), а также других обстоятельств, не связанных с деловыми качествами работников, не допускается, за исключением случаев, предусмотренных федеральным законом. Запрещается отказывать в заключении трудового договора женщинам по мотивам, связанным с беременностью или наличием детей.
Следовательно, работники кадровых служб должны избегать некорректных вопросов, связанных с дискриминирующими признаками. Можно при собеседовании уточнить, сколько мест работы сменил работник; продолжительность работы в том или ином месте; наименование должности, занимаемой ранее; размер предыдущей заработной платы и т.п.
Анкетирование представляет собой использование анкеты, в которой выделен перечень вопросов, на которые соискатель отвечает в письменной форме. Наиболее важные моменты, на которые кадровые работники обычно ищут ответы: адрес, профилирующая дисциплина в вузе, техникуме, цель поступления на работу; время пребывания на предыдущих местах работы, должности; оконченные учебные заведения; ограничения по здоровью; военная служба; присвоенные звания и т.п. В анкетах также следует избегать вопросов о национальности, происхождении, социальном и имущественном положении. Вопросы должны быть направлены на выявление деловых качеств будущего работника. Нежелательно, чтобы соискатель остался убежденным, что его деловые качества полностью соответствуют требуемым, а отказали ему потому, что имущественное положение, например, отсутствие собственной квартиры, низкая заработная плата по предыдущему месту работы стали причиной отказа в заключении трудового договора.
Согласно частям 5 и 6 статьи 64 ТК РФ работодатель обязан сообщить причину отказа в заключении трудового договора в письменной форме. При этом отказ может быть обжалован в судебном порядке, и не исключено, что предметом судебного исследования и изучения как раз и будет анкета, и вполне допустимо, что представителю работодателя в суде придется объяснять, с какой целью задавались те или иные вопросы.
Согласно п. 11 статьи 81 Трудового кодекса РФ трудовой договор может быть расторгнут работодателем в случаях представления работником подложных документов или заведомо ложных сведений при заключении трудового договора. Поэтому целесообразно предусмотреть в анкете отметку работника напротив оговорки: "Подтверждаю верность информации, изложенной выше" или: "Мне известно, что представление заведомо ложных сведений впоследствии может служить основанием для расторжения трудового договора". Однако здесь следует учитывать временной разрыв между заполнением соискателем анкеты и непосредственным заключением трудового договора.
И, наконец, коснемся тестирования, которое также может стать источником сведений о будущем работнике. В зависимости от назначения различают обычно следующие виды тестов, используемых при заключении трудового договора: на проверку достигнутого уровня (знаний или навыков), на способности к обучению, на интересы, характерологические тесты. Тест может иметь двойное применение: для отбора претендентов, имеющих наибольшие шансы на успех, и отсева претендентов. В большинстве случаев тесты являются более надежными и достоверными в предсказании негативных результатов. Поэтому в современной практике управления они используются как инструмент первоначального отсева и ограничения круга претендентов, тогда как окончательный выбор производится с использованием менее формальных методов.
2.2 Хранение, использование и передача персональных данных работников
Работодателем должен быть установлен порядок хранения и использования персональных данных работников с соблюдением требований Трудового кодекса, иных федеральных законов. Данное положение содержится в ст.87 ТК РФ.
Хранение информации о частной жизни лица должно осуществляться таким образом, чтобы при этом исключалась возможность ее утраты или несанкционированного доступа к ней посторонних (третьих) лиц. Использование персональных данных органами и лицами, получившими их на законных основаниях, должно осуществляться только в соответствии с теми задачами, ради решения которых они собирались. Как указывается в ч. 2 ст. 11 Закона об информации, персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан России. Ограничение прав граждан на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с законодательством Российской Федерации. Использование информации о частной жизни лица в корыстных или иных незаконных целях по логике и смыслу законодательного подхода с неизбежностью должно влечь применение мер дисциплинарной, материальной, гражданско-правовой, административной или даже уголовной (в случае причинения существенного вреда правам и законным интересам граждан) ответственности по отношению к виновному. На практике это теоретическое положение вызывает наибольшие трудности в реализации.
...Подобные документы
Становление законодательства о защите персональных данных работников. Основные виды персональных данных работников. Порядок деятельности работодателя по обработке персональных данных работников. Особенности ответственности за нарушение законодательства.
курсовая работа , добавлен 19.03.2015
Обработка, хранение и использование персональных данных работника. Права работников в области защиты персональных данных. Дисциплинарная и административная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
курсовая работа , добавлен 19.03.2015
Понятие правового регулирования персональных данных работников согласно Трудовому кодексу России. Исследование трудовых отношений в сфере защиты персональных данных работника. Особенности работы с конфиденциальными сведениями, соблюдение ответственности.
дипломная работа , добавлен 07.12.2010
Понятие и особенности персональных данных. Обеспечение безопасности персональных данных при их обработке. Особенности ответственности за нарушение законодательства о защите персональных данных. Правовое регулирование и субъект защиты персональных данных.
курсовая работа , добавлен 05.04.2016
Анализ основных нормативно-правовых актов о защите личности в связи с автоматической обработкой персональных данных. Характеристика рисков неисполнения требований законодательства. Обзор классификации типовых информационных систем персональных данных.
презентация , добавлен 21.03.2013
Понятие персональных данных и их отграничение от другой информации. Работа кадровой службы с персональными данными. Дисциплинарная, административная и уголовная ответственность за нарушение правил работы с информацией. Контроль защиты персональных данных.
курсовая работа , добавлен 21.09.2014
Проблема безопасности информационных систем персональных данных. Практические аспекты по созданию средств защиты персональных данных в ООО "УК "Жилищная коммунальная инициатива". Ответственность за нарушение требований по защите персональных данных.
курсовая работа , добавлен 25.05.2014
Оператор и субъект персональных данных. Категории персональных данных, обрабатываемые в ИСПДн, ответственность за нарушения по обработке. Жизненный цикл персональных данных, срок обработки. Классы типовой информационной системы, аттестация и сертификация.
реферат , добавлен 05.04.2012
Понятие, обработка, хранение и использование персональных данных работника. Изучение действующего законодательства по данному вопросу. Виды ответственности работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.
контрольная работа , добавлен 10.04.2016
Понятие, сущность и правовая природа персональных данных. Права и обязанности обладателя информации. Базовые нормативные документы по защите конфиденциальной информации. Федеральные нормативные акты по обеспечению защиты информации и персональных данных.
Информатизация современного общества, создание и широкое использование различными государственными и частными структурами компьютеризированных баз данных о гражданах, активное участие России в международном информационном обмене придают особую актуальность задаче обеспечения правовой защиты информации о частной жизни граждан. Информация, являясь чрезвычайно емким понятием, охватывающим все стороны человеческого бытия, самым тесным образом связана с современными представлениями о безопасности. В особой мере это касается персональных данных - наиболее распространенного вида сведений, циркулирующих в обществе. Многие аспекты безопасности персональных данных, а вместе с ними - личности, общества и государства все в большей мере определяются эффективностью защиты информации, информационных технологий и средств телекоммуникации, а также степенью готовности страны к отражению внутренних и внешних угроз, связанных с неправомерным вторжением в информационную среду.
Одна из главных проблем защиты личной информации состоит в латентном характере посягательств на частную жизнь граждан: субъект данных может и не догадываться о незаконном сборе, обработке, хранении, уничтожении и передаче его персональных данных, а также о внесении в эти данные преднамеренных искажений. Применяемые правоохранительными органами меры не всегда адекватны степени возникающих угроз в этой сфере, что обуславливает необходимость применения дополнительных мер по обеспечению информационной безопасности страны, защиты частной жизни граждан от преступных посягательств. Деятельность, связанная с защитой личных секретов человека, его персональных данных требует комплексного подхода, сочетающего в себе применение эффективных правовых, организационных и технических мер.
Изучение учебной и научной юридической литературы по рассматриваемой тематике позволяет констатировать, что проблема защиты персональных данных все еще является малоизученной, поэтому нуждается в отдельной проработке. Большинство научных работ, посвященных информационной безопасности и защите информации, лишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования этой сферы, затрагивали только лишь общие проблемы без необходимой их конкретизации и предложений по их решению.
Настоящая монография посвящена разработке новых и совершенствованию существующих теоретических положений, методологических принципов формирования механизмов противодействия возникающим угрозам в сфере защиты персональных данных. В работе обоснованно отмечается, что современные требования к обеспечению их защиты обуславливают необходимость кардинального переосмысления существующих взглядов и выработки новых концептуальных подходов к этой проблеме.
В целях повышения эффективности борьбы с информационными правонарушениями авторами определены основные угрозы в сфере оборота персональных данных, разработаны предложения по совершенствованию мер их организационно-правовой и технической защиты, исследованы правовые институты защиты частной жизни граждан и персональных данных, основные положения Федерального закона «О персональных данных», особенности регулирования защиты персональных данных в различных сферах деятельности, основные этапы создания системы защиты персональных данных на предприятии, организация защиты персональных данных в информационных системах, а также опыт защиты персональных данных в развитых зарубежных странах.
Работа достаточно полно отражает системный характер рассматриваемого феномена - защиты персональных данных от самых разнообразных угроз. Результаты проведенного научного исследования создают методологическую основу для организации противодействия криминальным структурам в рассматриваемой области правоотношений усилиями как самих хозяйствующих субъектов, так и правоохранительных органов.
Объектом исследования являются защита частной жизни и персональных данных как социальное явление, а также связанные с нею общественные отношения, явления и процессы.
Предмет исследования - закономерности борьбы с посягательствами на частную жизнь граждан, особенности защиты персональных данных в России и за рубежом, современное состояние и перспективы совершенствования правовых основ защиты информационных систем персональных данных.
Цель исследования - всестороннее исследование проблем защиты персональных данных в России и в зарубежных странах, поиск путей решения проблем, связанных с обеспечением безопасности информационных ресурсов, содержащих персональные данные. Достижение поставленной цели возможно, по мнению авторов, при условии комплексного, системного подхода к решению взаимосвязанных задач, поставленных и разработанных в монографии.
Содержание монографии способствует решению актуальных проблем, связанных с подготовкой специалистов в области обеспечения информационной безопасности. Привить глубокие знания, навыки и умения в области решения указанных первостепенных задач можно лишь на основе глубокого изучения законодательства, подзаконных, ведомственных и межведомственных нормативных правовых актов; отечественного и зарубежного опыта в области обеспечения безопасности персональных данных; результатов научных исследований по данной проблематике; достижений юридических знаний, а также естественных и точных наук.
Настоящая работа является попыткой систематизировать имеющийся законодательный, научный и практический материал по правовой охране персональных данных, выявить спорные моменты и дать рекомендации по их устранению. Ее главной особенностью является комплексный и междисциплинарный характер подачи материалов. Сделанные в монографии выводы опираются на прочный теоретический фундамент и передовые юридические знания, в том числе - связанные с использованием последних достижений науки и техники. Текст монографии насыщен наглядными примерами, иллюстрирующими рассматриваемую тематику, которые адаптируют теоретические изыскания авторов применительно к практической сфере деятельности.
Комплексность и обширная научно-эмпирическая база работы обеспечивают репрезентативность и достоверность сформулированных в ней выводов, представляющих интерес для развития теоретических представлений о борьбе с информационными угрозами и дальнейшего совершенствования методов защиты персональных данных.
Монография предназначена для специалистов в области борьбы с информационными преступлениями, специалистов по защите персональных данных на предприятиях и в организациях, а также для преподавателей и практических работников в сфере обеспечения информационной безопасности, студентов и аспирантов вузов.
Библиографическая ссылка
Даукаев И.М., Журавленко Н.И. ПРОБЛЕМЫ ПРАВОВОЙ И ОРГАНИЗАЦИОННОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (МОНОГРАФИЯ) // Международный журнал экспериментального образования. – 2013. – № 9. – С. 62-63;URL: http://expeducation.ru/ru/article/view?id=4203 (дата обращения: 12.02.2020). Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
Автореферат диссертации по теме "Защита персональных данных"
ВОРОНЕЖСКИЙ ИНСТИТУТ МВД РОССИИ
На правах рукописи
ПРОСВЕТОВ А ОЛЬГА БОРИСОВНА
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Специальность: 05.13.19 - Методы и системы защиты
информации, информационная безопасность (юридические науки)
Воронеж 2005
Диссертация выполнена на кафедре конституционного и админттра-тивного права Воронежского института МВД России
Научный руководитель;
кандидат юридических наук, доцент Занина Татьяна Митрофановна
Официальные оппоненты:
доктор юридических наук, профессор - Лелеков Виктор Андреевич
кандидат юридических наук, доцент - Головко Владимир Владимирович
Ведущая организация - Белгородский юридический институт МВД России
Защита диссертации состоится « 26 » 04 2005г, в 15ч. ООмин., в аудитории №329 на заседании диссертационного совета К! 203 004 01 при Воронежском институте МВД России по адресу: 394065, Воронеж, просп. Патриотов, 53.
С диссертацией можно ознакомится в библиотеке Воронежского института МВД России.
Ученый секретарь диссертационного совета
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы диссертационного исследования Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению зашиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.
Представляемое диссертационное исследование посвящено анализу правовых аспектов, обеспечивающих защиту конфиденциальной информации персонального характера. В связи с этим следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Феде-
ральный закон «Об информации, информатизации и защите информации»", а также Федеральный закон «Об участии в международном информационном обмене»2. Однако при этом процесс формирования комплексной правовой системы защиты персональных данных не может считаться завершенным, вследствие чего еще предстоит рассмотреть и принять значительное число проектов новых законов, а также дополнений и изменений в действующее законодательство.
Учитывая тот фактор, что в отечественной системе права отсутствует демократический опыт защиты отношений в сфере персональных данных с помощью правовых средств, а также в связи с существенной трансформацией задач и функций государства в сравнении с социалистическим периодом времени, возникла необходимость в научном аналше и осмыслении возможностей юридической науки по обеспечению защиты конфиденциальной информации персонального характера
Исходя из вышеизложенного, исследование в данном направтении является весьма актуальным с научной точки зрения, а также может иметь практическое преломление в случае принятия сформулированных автором проектов и предложений при дальнейшем совершенствовании правовых норм.
Степень разработанности темы исследования. Изучение значительного количества источников юридической и технической литературы позволяет констатировать, что проблема зашиты персональных данных является малоизученной, в связи с чем нуждается в отдельной проработке. Значительное количество научных ра5от, посвященных информационной безопасности, защите информации тишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации
В представляемом исследовании в определенной степени произошло соединение доктринальных подходов в изучении защиты персональных
2 СЗ РФ, 08.07.1996, №28, ст 3347.
данных специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями технических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.
Теоретические проблемы информационного права, правового обеспечения информационной безопасности и защиты информации исследовались И.Л. Бачило, В А. Копыловым, В.Н. Лопатиным, В А Пожилых, М.М. Рассоловым, А.А Фатьяновым, M А Федотовым, O.A. Федотовой, С.Г. Чубуковой, А.А Шиверским, В.Д Элькиным и др.
Проблемы функционирования системы обеспечения информационной безопасности с точки зрения технических наук нашли отражение в трудах А.Л Балыбердина, M А. Вуса, В А Герасименко, А А. Грушо, C.B. Дворянкина, П.Д. Зегжды, Е.В Касперского, В.Д. Курушина, А А Малю-ка, В.А Минаева, В.Е. Потанина, В.Н. Саблина, C.B. Скрыля, А.П. Фисуна и ряда других ученых.
Объект и предмет исследования. В качестве объекта исследования в рамках темы рассмотрены общественные отношения склад1 тающиеся в процессе правового регулирования обеспечения защиты персональных данных.
Цель и задачи исследования Целью диссертационного исследования является выработка научно обоснованных предложений по разработке и совершенствованию законодательства, обеспечивающего защиту конфиденциальности персональных данных.
В рамках достижения данной цели в диссертационном исследовании решаются следующие теоретические и научно-практические задачи.
1) рассмотреть актуальные проблемы конституционно-правовою регулирования персональных данных на современном этапе;
2) проанализировать статьи, устанавливающие юридическую ответственность за нарушение норм о персональных данных, и предложить ре-
комендации по их реализации и совершенствованию с учетом имеющегося международного опыта;
1. Исследованные и предложенные автором, имеющие научно-методологическое значение для развития и совершенствования доктри-нального понимания проблемы, определения категорий «персональные данные», «информационные процессы», «автоматическая обработка персональных данных», «распространение сведений».
2. Разработанный автором исчерпывающий перечень ка!егорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным). Формирование данного перечня является одним из ключевых моментов в создании правовой основы, обеспечивающей защиту персональных данных. Это следует из того, что отечественный правоприменитель, не сталкивавшийся ранее с категорией «персональные данные» и не обладая вековой традицией формирования и реализации законодательства через призму обеспечения прав и свобод человека и фажданина.
не может обеспечить комплексную защиту персональных данных, исходя только лишь из абстрактных определений.
4. Вывод о том, что защита конфиденциальной информации персонального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобра-зующих законов, предложенных автором исследования, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
5. Предложения по новой редакции статей 13.11 КоАП РФ, 137 УК РФ, о дополнении главы 28 УК РФ следующим составом преступления-«Нарушение установленного порядка оборота конфиденциальных сведений о гражданах (персональных данных) с применением ЭВМ» а также некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ. Указанные предложения могут быть положены в основу формирования системы защиты конфиденциальной информации персонального характера, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, посредством юридических санкций
6 Заключение о том, что в государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и
функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах зашиты прав граждан
Научная новизна исследования. Диссертация является первой монографической работой, в которой с позиций соединенных доктринальных подходов в изучении персонифицированной информации специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой исследованы проблемы защиты персоналтныч данных. Автором анализируются теоретические положения в сфере конституционно-правового регулирования персональных данных, критически анализируется состояние норм, затрагивающих отношения в данной иаж-ной для общества и государства области общественных отношений.
Автор предлагает свое видение в определении понятия персональные данные, исходя из которого следует разрабатывать комплекс мер по обеспечению защиты конфиденциальной информации персонального характера с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые мо1ут быть использованы ирг отработке понятийного аппарат нормативно-правовых актов в сфере зашиты персональных данных.
Теоретические и практические выводы диссертационного исследования, ее содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты персональных данных.
Материалы диссертационного исследования опубликованы в четырех научных статьях и учебном пособии, общий объем публикаций составил 5,8 пл. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД РФ.
Во введении обосновывается актуальность темы, определяются объект и предмет, а также цели и задачи исследования, раскрываются его методология и методика, характеризуются эмпирическая база, обоснованность и достоверность исследования, его научная новизна, теоретическая и практическая значимость, сформулированы основные положения, выносимые на защиту, приводятся данные об апробации результатов исследования.
Первая глава - «Конституционно-правовое регулирование персональных данных» - посвящена исходным теоретическим положениям о персональных данных, которые установлены Конституцией РФ, международными правовыми актами и нормативно-правовыми актами РФ, регулирующими изучаемую сферу отношений.
Конституция Российской Федерации, принятая на всеобщем референдуме 12 декабря 1993 года стала основным шагом для создания дгмо кратического правового государства в нашей стране, где особой защитой должны пользоваться права и свободы человека и гражданина Закрепленные в основном законе России положения свидетельствуют о решительном отказе от тоталитарного подхода к проблеме «человек - государство», при котором государство берется за решение наиболее важных вопросов жизнеобеспечения, а человек превращается в винтик большой государственной машины.
Новая российская государственность радикально меняет отношения личности и государства. Не человек создан для государства, а государство для человека - таков теперь главный принцип их отношений. Приоритет человека перед государством позволяет осознавать место человека в гражданском обществе. Это место не определяется государством, оно неотъемлемо принадлежит человеку и реализуется в меру его способностей и инициативы. Так, содержание главы 2 Конституции РФ подчинено кпавному принципу права и свободы человека и гражданина являются высшей ценность государства. Отсюда следует, что все ветви власти, все звенья государственного механизма служат основной цели" обеспечению прав и свобод человека и гражданина, защите его правового статуса
Первооснову правового статуса человека и гражданина составляют личные (гражданские) права и свободы. Большинство из них носят абсолютный характер, т.е. являются не только неотъемлемыми, но и не подлежащими ограничению (право на жизнь, на национальную принадлежность, свобода совести и вероисповедания и тд.) Часть таких прав и свобод (на-
пример, право на защиту персональных данных) могут быть ограничены государством, в силу чего их правовая защита приобретает особую актуальность и значимость.
Всеобщая декларация прав человека (ст. 12) провозгласила, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от таких посягательств»1. Данное право также закреплено в ст. 17 Международного пакта о гражданских и политических правах4, в ст. 16 Конвенции о правах ребенка5, в ст. 8 Европейской конвенции о защите прав человека и основных свобод"".
Положения указанных выше международных правовых актов нашли свое конкретизированное отражение в нормах статей 23 и 24 Конституции РФ, где закреплено право на неприкосновенность частной жизни. В свою очередь «частная жизнь», «личная, семейная тайны», «честь» являются важнейшими благами человека, персонифицирующими личность. Все это позволяет говорить о синтезирующем понятии «персональные данные», которое приводится в отдельных правовых актах, но до настоящего времени подробно не исследовалось.
По мнению автора, несмотря на уже имеющееся законодательное определение персональных данных, на основе проведенного исследования дефиницию «персональные данные» необходимо изложить в следующей редакции - это сведения о фактах событиях и обстоите тьствах жизни конкретного физического лица или его семьи, а также птвочяющие отождествить их с конкретным индивидом и отражающие особенности последнего по отношению к другим людям (обществу)
В исчерпывающий перечень категорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным) включить следующие данные: фамилия, имя, отчество (если иное не вытекает из закона или национального обычая) человека; дата и место рождения, иные данные свидетельства о рождении, пол; гражданство; национальность; отношение к воинской обязанности; адрес места жительства (регистрации); адрес места пребывания; семейное положение (наличие или отсутствие дс-
3 Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 г. // Права человека. Сб. международных документов. - М. Изд. МГУ. 1986. С. 21-29.
4 Ведомости Верховного Совета СССР, 1976, № 17(1831), ст 291.
5 Издание Организации Объединенных Наций - Нью-Йорк, 1992
тей (также усыновленных или внебрачных), данные о ранее заключенных и расторгнутых браках, алиментных отношениях); состав семьи; профессиональная деятельность родителей; имущественное положение родителей и самого гражданина; сведения о доходах; информация о жилище (размер и вид собственности занимаемого жилья): номер контактного телефона (домашнего, рабочего, мобильного); номер электронной почты: профессиональная деятельность гражданина (должность); место работы; данные паспорта или иного документа, удостоверяющего личность (серия и номер, орган, выдавший документ, дата выдачи документа); данные дипломов об окончании учебных заведений, получении ученых степеней, званий и др; дактилоскопическая информация и сведения о генотипе; медицинская информация о личности; информация об особенностях половой жизни гражданина и его половой ориентации; сведения о политических взглядах и религиозных убеждениях; информация о местах посещения и отдыха гражданина или его семьи; содержание личных разговоров; сведения о наличии неснятой судимости или случаях привлечения к юридической ответственности; государственный номер находящихся в собственности транспортных средств, водительский стаж; личный код; информация для предоставления льгот по оплате жилищно-коммунальных услуг; идентификационный номер налогоплательщика (при его наличии); сведения об индивидуальном предпринимателе: ИНН; свидетельство о предпринимательской деятельности; виды деятельности; наличие лицензии; номера открытых в банках счетов; место осуществления деятельности и телефоны; иные (в частности, описание личности, которое предусматривает- 1 Рост; 2 Цвет глаз; 3. Особые приметы).
Учитывая всю сложность работы с персональными данными, автором сформулированы следующие требования- персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства; персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме, за исключением случаев, прямо установленных в законе; персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации; персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться; персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подле-
жать уничтожению по достижении этой цели или по минованию надобности; персональные данные охраняются в режиме конфиденциальной информации, исключающем их случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к данным, их изменение, блокирование или передачу, для лиц, занимающих высшие государственные должности, и кандидатов на эти должности, может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных.
За нарушение установленных требований и норм о персональных данных должна наступать юридическая ответственность эквивалентная совершенному правонарушению. Стоит отметить, что в этом направлении уже достаточно много сделано в рамках Трудового кодекса, Гражданского кодекса, Кодекса об административных правонарушениях, Уголовного кодекса и других нормативно-правовых актов федерального уровня, однако, в совокупности юридическая ответственность за нарушение норм о персональных данных далека от своего совершенства.
Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие системности между различными сферами оборота персональных данных. Среди других недостатков следует выделить, во-первых, отсутствие комплексности в обеспечении юридической ответственности за нарушение норм о персональных данных, а целый ряд норм вообще представляет собой отдельные фрагменты указанной деятельности, системно между собой не связанные, во-вторых, в нормативно-правовых актах отсутствует системный подход в регулировании отношений, связанных с защитой персональных данных посредством юридических санкций; в-третьих, наличие существенных недостатков в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения
Стоит сказать, что совокупность правовых институтов, регулирующих отношения в сфере оборота конфиденциальной информации, в настоящий период времени находятся в стадии формирования. Не в полной мере устоялось и доктринальное понимание многих аспектов данных отношений Тем не менее, можно предположить, что через непродолжительный промежуток времени, по мере развития законодательства, потребуется разработка целой системы составов правонарушений, специализированных на защите именно этих отношений. В особенности, как полагает автор, это будет касаться персональных данных.
Вместе с тем, уже имеющийся в КоАП РФ состав правонарушения «Нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», являющийся своего рода предвестником для появления новой системы, по мнению автора, не в полной мере отражает реальное положение вещей в данной сфере. В связи с этим автором предложена собственная редакция ст 13.11 КоАП РФ.
Следует констатировать, что имеющиеся существенные недостатки в юридико-техническом конструировании самих составов правонарушений, затрагивающих вышеуказанные отношения, в ряде случаев существенно снижают эффективность их применения. В иных случаях их содержание оказывается более узким либо вообще отличается от названия соответствующих статей.
По мнению автора, проблема установления юридической ответственности за нарушение норм о персональных данных не является единственной в данной сфере, одним из основных недостатков является то, что нормы, касающиеся регулирования отношений, связанных с конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких нормативно-правовых актах.
В Федеральном законе «Об информации, информатизации и защите информации» дано определение термина «персональные данные» и заложены основные принципы правового регулирования деятельности, связанной с персональными данными. В частности, статьей! I этого Закона такие данные отнесены к конфиденциальной информации, вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных Но эти нормы носят общий характер и до сих пор не конкретизированы
Вопросы правового регулирования работы с персональными данными затронуты в Основах законодательства Российской Федерации «Об Архивном фонде Российской Федерации и архивах» (ст.20). Федеральном законе «Об оперативно-розыскной деятельности» (ст.ст.З, 5, 9, 10, 12, 21), законах Российской Федерации «О государственной тайне» (ст.5), «О средствах массовой информации» (ст.ст.41, 43, 46, 51, 57), «О милиции», законодательстве о выборах и др. Однако все эти нормативно-правовые ак-
ты не находятся во взаимосвязи между собой при регулировании вопросов защиты конфиденциальной информации персонального характера.
Защита конфиденциальной информации персонального характера с помощью кодифицированных источников находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять Федеральные законы «О неприкосновенности частной жизни», «Об информации персонального характера», «О личном (персональном} коде», «О государственном регистре населения». Помимо принятия указанных законов, парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
Резюмируя сказанное, отметим, что Федеральный закон «Об информации персонального характера» должен дать правовую основу для развития нормативной правовой базы, обеспечивающей формирование, использование и защиту массивов персональных данных в стране, где приоритетами будут считаться:
а) защита персональных данных лиц от несанкционированного доступа к ним со стороны криминальных структур, других граждан, представителей государственных органов и служб, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов персональных данных к своим данным;
б) обеспечение сохранности, целостности и достоверности данных на основе:
Установления режима конфиденциальности соответствующих персональных данных;
Регламентации обязанностей, прав и ответственности держателей (обладателей) массивов персональных данных по работе с этими данными;
в) обеспечение в условиях развития рыночных отношений в стране возможностей для работы с персональными данными держателей (обладателей) или третьих лиц, которым раскрыты персональные данные, имеющих лицензию на проведение работ с этими данными, в частности, на основе прямого маркетинга.
Вторая глава - «Обеспечение информационных процессов в сфере персональных данных» - посвящена современным технико-правовым средствам осуществления информационных процессов в обеспечении оборота персональных данных.
Проблема защиты права личности на конфиденциальность информации персонального характера с развитием передовых технологий рассматривается в индустриально развитых государствах как одна из наиболее трудноразрешимых, так как здесь законодатель сталкивается с задачей установления оптимального соотношения между интересами личности и общества.
Регулирование данных интересов осуществляется в рамках информационных процессов, которые определяются нормативно-правовыми актами государства. На сегодняшний день в нормативно-правовых актах Российской Федерации даже простое перечисление существующих информационных процессов дается законодательством неоднозначно.
Так, согласно ч. 4 ст. 29 Конституции РФ каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. В соответствии со ст. 2 Федерального закона «Об информации...»" информационные процессы определены, как процессы сбора, обработки, накопления, хранения, поиска и распространения информации. В Федеральном законе от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» под информационными процессами понимаются процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации*.
Сопоставление и анализ приведенных определений свидетельствует, что в законодательстве (да и в научной литературе) отсутствует системность в понятийном аппарате, те. в нормативно-правовых актах поиятия информационных процессов не соотносятся друг с другом Следовательно, необходимо их упорядочивание.
В контексте рассматриваемого вопроса приходится признать, что в отечественном законодательстве практически полностью отсутствует правовое регулирование процессов сбора и обработки персональных данных о гражданах, особенно если используются автоматизированные системы. И это при том, что такие данные, включаемые в состав федеральных информационных ресурсов и информационных ресурсов субъектов Российской Федерации, а также получаемые и собираемые негосударственными организациями, отнесены Федеральным законом «Об информации, информатизации и защите информации»4 к категории конфиденциальной информации.
7 СЗ РФ от 20 февраля 1995 г., № 8, ст.609. " СЗ РФ от 8 июля 1996 г. № 28, ст. 3347. 9 СЗ РФ от 20 февраля 1995 г., № 8, ст.609.
По мнению автора, в понятие «автоматическая обработка персональных данных» должны быть включены следующие операции, если они noi-ностью или частично осуществляются с применением автоматизированных средств: накопление данных, выделение их по отдельным блокам содержащейся информации, проведение логических или/и арифметических операций с такими данными, их анализ, изменение, стирание, восстановление, подготовка для использования или распространения. Как представляет, данное определение должно быть включено в действующие федеральные законы «Об информации, информатизации и защите информации», «О Государственной автоматизированной системе Российской Федерации «Выборы»"0, а также в проекты федеральных законов «О неприкосновенности частной жизни», «Об информации персонального характера», «О личном (персональном) коде», «О государственном регистре населения».
Особо значимой является проблема регулирования порядка автоматической обработки персональных данных применительно к развивающимся глобальным компьютерным сетям, где наибольший интерес, несомненно, представляет сеть Интернет, на данный момент прочно занимающая положение главной мировой информационной инфраструктуры.
В этой связи автор предлагает на сайте поместить заметное и понятное по смыслу описание порядка использования информации владельцем сайга, а также обеспечить программным способом невозможность доступа посетителя к содержанию сайта без нажатия кнопки, подтверждающей согласие посетителя на сбор и использование информации. Сайт, собирающий информацию, не только должен получить согласие лица на сбор информации о нем, но и создать определенные условия ее хранения. Как минимум, должна обеспечиваться сохранность полученной информации и ее конфиденциальность, а субъект информации должен иметь возможность проверить соблюдение оговоренных правил.
Для того, чтобы облегчить посетителям оценку сайта с точки зрения сохранения конфиденциальной информации, предлагаем ввести специальные сертификаты, которые может получить только сайт, соблюдающий на практике определенные правила обращения с получаемой конфиденциальной информацией персонального характера (на сайте в этом случае размещается особый логотип такого сертификата).
Но даже соблюдение отправителем и адресатом сообщения всех установленных правил обращения с персональными данными еще не обеспе-
чивает сохранения их конфиденциальности. В связи с этим выбор Интернета в качестве средства передачи конфиденциальной информации является достаточно ответственным. К сожалению, одним из аспектов рассматриваемой проблемы является то, что современное законодательство пока не предусматривает эффективных средств обеспечения сохранности такой информации лицами, которым она становится доступной в процессе передачи.
Другим аспектом выступает не сформированность в государстве современной инфраструктуры обшей информатизации и, в частности, сферы персональных данных, способной удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Как представляется, для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
Другим важным аспектом является установление режима общедоступной информации персонального характера, хранящейся в автоматизированных базах данных. Режим конфиденциальности персональных данных может быть снят в случаях обезличивания персональных данных или по желанию субъекта для его персональных данных, в том числе может быть установлен режим общедоступной информации - в биобиблиографических справочниках, телефонных книгах, адресных книгах, частных объявлениях и тд. В этих случаях в общедоступные базы данных могут включаться следующие установочные персональные данные: фамилия, имя, отчество, год и место рождения, адрес местожительства и работы, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и/или полученные из открытых источников. В последнем случае, держатель должен проинформировать субъекта о содержании его персональных данных, об источниках получения и цели использования. Персональные данные конкретного субъекта безотлагательно должны исключаться держателем персональных данных из общедоступной базы данных на основании распоряжения этого субъекта или решения полномочною государственного органа, в случаях, указанных в законе.
Кроме задач технического решения по накоплению, хранению и управлению информационными ресурсами, содержащими персональные данные, большое значение должно придаваться вопросам применения и обновления действующих в этой области нормативных актов. Наиболее социально острой проблемой в области правового регулирования информатизации является защита прав личности в условиях накопления и хранения персональных данных с использованием ЭВМ.
Обращение к международному опыту в рассматриваемом контексте свидетельствует, что для зарубежного законодательства очевидна одна тенденция: составы собственно компьютерных преступлений (Действия против только охраняемой компьютерной информации) либо просто отсутствуют, либо существуют наряду с традиционными составами (мошенничество, выдача государственной тайны, собирание и распространение персональных данных). Последние либо предусматривают самостоятельный состав, который выступает как специальный по отношению к общему (тому же мошенничеству), либо находятся в той же статье в качестве квалифицированного состава.
В этом отношении применение соответствующих положений УК РФ 1996 г. является более сложным. Практика применения существующих составов весьма невелика, что позволяет утверждать о практических сложностях квалификации деяний и об отсутствии дополнительных норм в УК РФ, которые корреспондировали бы как со статьями КоАП РФ, так и иными нормами федерального законодательства.
Еще одним важным аспектом в обеспечении информационных процессов в сфере персональных данных является регулирование процесса распространения конфиденциальной информации персонального характера. Распространение представляет более существенную общественную опасность для конкретных граждан, нежели иные отношения, свойственные информационным процессам, в связи с чем решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.
Следует учитывать то, что на сегодняшний день в законе или иных нормативно-правовых актах не раскрыто правовое содержание понятия «распространение сведений», под которым автор предлагает понимать опубликование сведений в печати, трансляцию по радио и телевидеопрограммам, демонстрацию в кинохроникапьных программах и других средствах массовой информации, изложение в судебных характеристиках, публичных выступлениях, заявлениях, адресованных должностным лицам.
или сооби/ение в иной, в том числе устной форме нескольким или хотя бы одному лицу.
Для полного, всестороннего и объективного понимания проблемы ее необходимо рассматривать с позиции определения способов распространения персональных данных. Среди таковых следует выделить непосредственное и опосредованное распространение. Нисколько ни умаляя важность регулирования первого способа распространения конфиденциальной информации персонального характера, все же наибольший интерес в настоящее время представляет второй, что, прежде всего, обусловлено происходящим в обществе процессом информатизации. При этом от того, насколько остро в обществе преломляются технолого-социальные особенности передачи информации, зависит направленность правового регулирования отношений в данной области. В этой связи особую озабоченность вызывает возрастающая популярность глобальной сети Интернет. Учитывая пробелы правового регулирования Сети, они должны быть устранены в новом информационном законодательстве.
В заключении диссертации излагаются основные теоретические выводы и практические предложения, вытекающие из результатов исследования.
2. Учитывая важность развития правовой основы в сфере работы с персональными данными, а также необходимость внесения коррективов в действующем законодательстве, автором предложено свое концептуальное видение данной проблемы, сформулирован ряд нормативно-правовых актов, восполняющих возникший пробел и позволяющих сформировать систему норм, обеспечивающих защиту отношений в рассматриваемой сфере посредством как регулирующих норм, норм-дефиниций, так и юридических санкций.
3 Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие взаимосвязанности между различными сферами оборота персональных данных. В силу сказанного автором сформулирован ряд составов правонарушений, позволяющих устранить вышеуказанные недостатки в сфере за-
щиты персональных данных. Среди исследованных составов можно выделить собственную редакцию статей 13.11 КоАП РФ, 137 УК РФ, новую статью, дополняющую главу 28 УК РФ, а также автором предложены некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ.
4. Имеющиеся в нормативно-правовых актах определения составляющие понятие «информационных процессов» свидетельствуют, что в законодательстве отсутствует системность в понятийном аппарате, в связи с чем автором предложено определение «автоматическая обработка персональных данных», включающее исчерпывающий перечень возможных операций с персональными данными. Также предлагается раскрыть на федеральном уровне правовое содержание понятия «распространение сведений». Учитывая пробелы правового регулирования Интернета, автор предлагает в новом информационном законодательстве отработать понятийный аппарат с привлечением соответствующих экспертов в области технических знаний для выработки четких законодательных понятий и др.
Таким образом, проведенное диссертационное исследование позволило отметить, что проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества
В приложении к диссертации представлены анкета, изучения мнения сотрудников правоохранительных органов, в ф>нкциональные обязанности которых входит работа с персональными данными, а также результаты аналитического исследования.
Основные положения диссертационного исследования нашли свое отражение в четырех научных статьях и учебном пособии общим объемом 5,8 п.л.
1. Просветова ОБ, Рымарева НВ Информационная безопасность и современные информационные технологии // IV Всероссийская научно-практическая конференция «Охрана, безопасность и связь»: Сборник материалов. Часть 2. - Воронеж: Воронежский институт МВД России, 2003. - 0,23 п.л. (в соавторстве).
2 Просветова О.Б. Конституционное регулирование правовых средств защиты персональных данных // Всероссийская научно-
практическая конференция «Современные проблемы борьбы с преступностью»: Сборник материалов. - Воронеж: ВИ МВД РФ, 2004. (Информационная безопасность в деятельности органов внутренних дел) - 0, 23 п.л.
3. Занина ТМ., Просветова О.Б. Административная ответственность в сфере защиты конфиденциальной информации персонального характера// Вестник Воронежского института МВД России. - Т. 4 (19). - Воронеж: Воронежский институт МВД России, 2004. - 0,2 п.л.. (в соавторстве).
4. Просветова О Б Правовое регулирование персональных данных// Вестник Воронежского института МВД России. - Т. 4 (19). -Воронеж: Воронежский институт МВД России, 2004. - 0,2. п.л.
5. Просветова О Б, Федотов И.С Персональные данные: Учебное * пособие. - Воронеж: Воронежский институт МВД России, 2004. -
Просветова Ольга Борисовна Корректор
Усл. печ. л. 1,21 Подписано в печать 21,03.2005г. Уч. -изд. л. 1,07
Тираж 100 экз._Заказ № 5"?
Типография Воронежского института МВД России 394065, Воронеж, просп. Патриотов, 53.
РНБ Русский фонд
Введение.
Глава 1. Конституционно-правовое регулирование персональных данных
1. Конституционная защита персональных данных.
2. Юридическая ответственность за нарушение норм о персональных данных.
3. Систематизация законодательства о персональных данных.
Глава 2. Обеспечение информационных процессов в сфере персональных данных
1. Регулирование порядка автоматизированного сбора и обработки персональных данных.
2. Технико-правовое обеспечение накопления и хранения персональных данных.
3. Распространение персональных данных.
Введение 2005 год, диссертация по информатике, вычислительной технике и управлению, Просветова, Ольга Борисовна
Актуальность темы исследования. Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей «персональные данные».
Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.
Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.
Представляемое диссертационное исследование посвящено анализу правовых аспектов, обеспечивающих защиту конфиденциальной информации персонального характера. В связи с этим следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации»1, а также Федеis ральный закон «Об участии в международном информационном обмене» . Однако при этом процесс формирования комплексной правовой системы защиты персональных данных не может считаться завершенным, вследствие чего еще предстоит рассмотреть и принять значительное число проектов новых законов, а также дополнений и изменений в действующее законодательство.
Учитывая тот фактор, что в отечественной системе права отсутствует демократический опыт защиты отношений в сфере персональных данных с помощью правовых средств, а также в связи с существенной трансформацией задач и функций государства в сравнении с социалистическим периодом времени, возникла необходимость в научном анализе и осмыслении возможностей юридической науки по обеспечению защиты конфиденциальной информации персонального характера.
Оценка возможностей законодательства по оказанию позитивного воздействия на состояние системы обеспечения защиты персональных данных до настоящего времени юридической наукой практически не исследовалась, хотя, по мнению автора, здесь открываются довольно широкие возможности.
1 СЗ РФ, 20.02.95, №8, ст.609.
2 СЗ РФ, 08.07.1996, №28, ст.3347.
Исходя из вышеизложенного, исследование в данном направлении является весьма актуальным с научной точки зрения, а также может иметь практическое преломление в случае принятия сформулированных автором проектов и предложений при дальнейшем совершенствовании правовых норм.
Степень разработанности темы исследования. Изучение значительного количества источников юридической и технической литературы позволяет констатировать, что проблема защиты персональных данных является малоизученной, в связи с чем нуждается в отдельной проработке. Значительное количество научных работ, посвященных информационной безопасности, защите информации лишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации.
В представляемом исследовании в определенной степени произошло соединение доктринальных подходов в изучении защиты персональных данных специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями технических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.
Теоретические проблемы информационного права, правового обеспечения информационной безопасности и защиты информации исследовались И.Л. Бачило, В.А. Копыловым, В.Н. Лопатиным, В.А. Пожилых, М.М. Рассо-ловым, А.А. Фатьяновым, М.А. Федотовым, О.А. Федотовой, С.Г. Чубуко-вой, А.А. Шиверским, В.Д. Элькиным и др.
Проблемы функционирования системы обеспечения информационной безопасности с точки зрения технических наук нашли отражение в трудах А.Л. Балыбердина, М.А. Вуса, В.А. Герасименко, А.А. Грушо, С.В. Дворянкина, П.Д. Зегжды, Е.В. Касперского, В.Д. Курушина, А.А. Малюка, В.А. Минаева, В.Е. Потанина, В.Н. Саблина, С.В. Скрыля, А.П. Фисуна и ряда других ученых.
Вместе с тем, проблемы совершенствования защиты персональных данных предметом отдельного монографического исследования до сего времени не становились.
Объект и предмет исследования. В качестве объекта исследования в рамках темы рассмотрены общественные отношения, складывающиеся в процессе правового регулирования обеспечения защиты персональных данных.
Предметом исследования выступает совокупность правовых норм, регулирующих отношения в информационной сфере и, в частности, совокупность норм законодательства по обеспечению конфиденциальности персональных данных.
Цель и задачи исследования. Целью диссертационного исследования является выработка научно обоснованных предложений по разработке и совершенствованию законодательства, обеспечивающего защиту конфиденциальности персональных данных.
В рамках достижения данной цели в диссертационном исследовании решаются следующие теоретические и научно-практические задачи:
1) рассмотреть актуальные проблемы конституционно-правового регулирования персональных данных на современном этапе;
2) проанализировать статьи, устанавливающие юридическую ответственность за нарушение норм о персональных данных, и предложить рекомендации по их реализации и совершенствованию с учетом имеющегося международного опыта;
3) исследовать проблемы систематизации законодательства о персональных данных, учитывая как действующие законы, так и существующие проекты и предложения;
4) изучить технический опыт и нормативно-правовые акты, по регулированию порядка автоматизированного сбора и обработки персональных данных;
5) исследовать проблемы технико-правового обеспечения накопления и хранения персональных данных;
6) раскрыть с позиции имеющихся современных возможностей процесс распространения персональных данных для разработки рекомендаций и совершенствования норм по их защите.
Методологическая и источниковедческая основы исследования. Методологическую основу исследования составляет диалектический метод познания, исторический, системный, комплексный, целевой подходы к изучаемой проблеме, а также специальные методы познания: формальнологический, формально-юридический, сравнительно-правовой, а также методы абстрагирования, аналогии и моделирования.
В ходе работы автором диссертации проанализированы следующие источники: Конституция Российской Федерации, международные правовые акты, административное, гражданское, уголовное законодательство, подзаконные акты федерального уровня, а также иной юридический и технический материал.
Положения, выносимые на защиту:
1. Исследованные и предложенные автором, имеющие научно-методологическое значение для развития и совершенствования доктриналь-ного понимания проблемы, определения категорий «персональные данные», «информационные процессы», «автоматическая обработка персональных данных», «распространение сведений».
2. Разработанный автором исчерпывающий перечень категорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным). Формирование данного перечня является одним из ключевых моментов в создании правовой основы, обеспечивающей защиту персональных данных. Это следует из того, что отечественный правоприменитель, не сталкивавшийся ранее с категорией «персональные данные» и не обладая вековой традицией формирования и реализации законодательства через призму обеспечения прав и свобод человека и гражданина, не может обеспечить комплексную защиту персональных данных, исходя только лишь из абстрактных определений.
3. Обоснование положения о том, что нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.
4. Вывод о том, что защита конфиденциальной информации персо- . нального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, предложенных автором исследования, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
5. Предложения по новой редакции статей 13.11 КоАП РФ, 137 УК РФ, о дополнении главы 28 УК РФ следующим составом преступления: «Нарушение установленного порядка оборота конфиденциальных сведений о гражданах (персональных данных) с применением ЭВМ», а также некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ. Указанные предложения могут быть положены в основу формирования системы защиты конфиденциальной информации персонального характера, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, посредством юридических санкций.
6. Заключение о том, что в государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
7. Рекомендации по урегулированию порядка распространения персональных данных, учитывая происходящий в обществе процесс информатизации. В этой связи особое внимание уделено возрастающей популярности глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.
Научная новизна исследования. Диссертация является первой монографической работой, в которой с позиций соединенных доктринальных подходов в изучении персонифицированной информации специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой исследованы проблемы защиты персональных данных. Автором анализируются теоретические положения в сфере конституционно-правового регулирования персональных данных, критически анализируется состояние норм, затрагивающих отношения в данной важной для общества и государства области общественных отношений.
Теоретическая и практическая значимость результатов исследования. В соответствии с поставленными целью и задачами все выводы и положения, являющиеся результатом проведенного исследования, подчинены идее использования их при разработке нового и совершенствовании действующего законодательства и построения эффективной системы обеспечения защиты персональных данных.
Автор предлагает свое видение в определении понятия персональные данные, исходя из которого следует разрабатывать комплекс мер по обеспечению защиты конфиденциальной информации персонального характера с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые могут быть использованы при отработке понятийного аппарата нормативно-правовых актов в сфере защиты персональных данных.
Автором предлагается изложить в новой редакции два действующих состава КоАП РФ и УК РФ, дополнить составом главу 28 УК РФ, а также внести некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ и иные федеральные законы, что в комплексе позволит определенным образом повысить уровень обеспечения защиты персональных данных с помощью юридических санкций. Помимо этого предложены нормативно-правовые акты в целях систематизации законодательства о сведениях персонального характера.
Теоретические и практические выводы диссертационного исследования, его содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты персональных данных.
Эмпирическую базу исследования составили анализ изучения результатов анкетирования 120 сотрудников правоохранительных органов из двадцати субъектов России, из которых три республики, три края, тринадцать областей и один город федерального значения (г. Москва), а также результаты изучения 50 материалов гражданских дел, затрагивающих сферу частной жизни.
Апробация работы и внедрение результатов исследования. Основные положения диссертации докладывались и обсуждались на кафедре конституционного и административного права Воронежского института МВД России, на практических занятиях с адъюнктами очной формы обучения, на IV Всероссийской научно-практической конференции «Охрана, безопасность и связь» (г. Воронеж, 2003 г.), на Всероссийской научно-практической конференции курсантов, адъюнктов и слушателей «Современные проблемы борьбы с преступностью» (г. Воронеж, 2004 г.).
Материалы диссертационного исследования опубликованы в четырех научных статьях и учебном пособии, общий объем публикаций составил 5,8 п.л. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД РФ.
Структура диссертации. Диссертация состоит из введения, двух глав (включающих 6 параграфов), заключения, списка использованной литературы и приложения.
Заключение диссертация на тему "Защита персональных данных"
Обобщая ранее изложенное, отметим основные выводы по диссертации.
1. В настоящее время в России нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.
2. Защита конфиденциальной информации персонального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
Учитывая важность развития правовой основы в сфере работы с персональными данными, а также необходимость внесения коррективов в действующем законодательстве, автором предложено свое концептуальное видение данной проблемы, сформулирован ряд нормативно-правовых актов, восполняющих возникший пробел и позволяющих сформировать систему норм, обеспечивающих защиту отношений в рассматриваемой сфере посредством как регулирующих норм, норм-дефиниций, так и юридических санкций.
3. В совокупности юридическая ответственность за нарушение норм о персональных данных далека от своего совершенства, однако, уже достаточно много сделано в рамках Трудового кодекса, Гражданского кодекса, Кодекса об административных правонарушениях, Уголовного кодекса и других нормативно-правовых актов федерального уровня.
Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие взаимосвязанности между различными сферами оборота персональных данных. Среди других недостатков следует выделить, во-первых, отсутствие комплексности в обеспечении юридической ответственности за нарушение норм о персональных данных, а целый ряд норм вообще представляет собой отдельные фрагменты указанной деятельности, системно между собой не связанные, во-вторых, в нормативно-правовых актах отсутствует системный подход в регулировании отношений, связанных с защитой персональных данных посредством юридических санкций; в-третьих, наличие существенных недостатков в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения.
Следует констатировать, что имеющиеся недостатки в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения, в ряде случаев существенно снижают эффективность их применения. В иных случаях их содержание оказывается более узким либо вообще отличается от названия соответствующих статей.
В силу сказанного автором сформулирован ряд составов правонарушений, позволяющих устранить вышеуказанные недостатки в сфере защиты персональных данных. Среди исследованных составов можно выделить собственную редакцию статей 13.11 КоАП РФ, 137 УК РФ, новую статью, дополняющую главу 28 УК РФ, а также автором предложены некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ.
4. Имеющиеся в нормативно-правовых актах определения информационных процессов свидетельствуют, что в законодательстве (да и в научной литературе) отсутствует системность в понятийном аппарате, т.е. понятия информационных процессов не соотносятся друг с другом.
В контексте рассматриваемого положения приходится признать, что в отечественном законодательстве практически полностью отсутствует правовое регулирование процессов сбора и обработки персональных данных о гражданах (особенно если используются автоматизированные системы). И это при том, что такие данные, включаемые в состав федеральных информационных ресурсов и информационных ресурсов субъектов Российской Федерации, а также получаемые и собираемые негосударственными организациями, отнесены Федеральным законом «Об информации, информатизации и защите информации» к категории конфиденциальной информации.
Следуя изложенному, в представленном исследовании предложено определение «автоматическая обработка персональных данных», включающее исчерпывающий перечень возможных операций с персональными данными. Данное определение, по мнению автора, должно быть включено как в действующие федеральные законы, так и в проекты законов, призванных регулировать сферу персональных данных.
5. В государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
6. Исходя из того, что распространение конфиденциальной информации персонального характера представляет более существенную общественную опасность для конкретных граждан, нежели иные отношения, свойственные информационным процессам, решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.
В этой связи автор предлагает раскрыть на федеральном уровне правовое содержание понятия «распространение сведений». Для полного, всестороннего и объективного понимания проблемы урегулированности распространения персональных данных, предлагается рассматривать ее с позиции определения способов распространения. Среди таковых следует выделить непосредственное и опосредованное распространение. Нисколько ни умаляя важность регулирования первого способа распространения конфиденциальной информации персонального характера, все же наибольший интерес в настоящее время представляет второй, что, прежде всего, обусловлено происходящим в обществе процессом информатизации. При этом от того, насколько остро в обществе преломляются технолого-социальные особенности передачи информации, зависит направленность правового регулирования отношений в данной области. В связи с этим особую озабоченность вызывает возрастающая популярность глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.
7. Учитывая пробелы правового регулирования Интернета, они должны быть устранены в новом информационном законодательстве. Наряду с законом, регулирующим государственную политику в Сети, следует принять рамочный закон об Интернете. В нем, как считает автор, необходимо: 1) отработать понятийный аппарат с привлечением соответствующих экспертов в области технических знаний для выработки четких законодательных понятий; 2) закрепить наиболее важные принципы «сетевых отношений»; 3) отразить специфику субъектного состава сетевых отношений; 4) установить правила информационного обмена в сети Интернет; 5) сформулировать ответственность участников сетевых отношений за нарушение закрепленных норм, а также предусмотреть способы доказывания и особенности рассмотрения «сетевых споров»; установить пределы ответственности каждого участника сетевых отношений.
В завершении хотелось бы отметить, что проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества.
Библиография Просветова, Ольга Борисовна, диссертация по теме Методы и системы защиты информации, информационная безопасность
1. Конституция Российской Федерации М.: «Проспект», 2000. - 48с.
2. Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 г. // Права человека. Сб. международных документов. - М. Изд. МГУ. 1986. С. 21-29.
3. Европейская конвенция о защите прав человека и основных свобод // Собрание законодательства РФ, 2001, 8 января, №2, ст. 163.
4. Конвенция о правах ребенка // Издание Организации Объединенных Наций Нью-Йорк, 1992.
5. Международный пакт о гражданских и политических правах // Ведомости Верховного Совета СССР, 1976, № 17(1831), ст. 291.
6. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 17.12.1999) // Собрание законодательства РФ, 29.01.1996, №5, ст. 410.
7. Кодекс об административных правонарушениях. Кодексы Российской Федерации: Выпуск 2. М.: МНФРА - М, 2002. - 283с.
9. Семейный кодекс Российской Федерации. М.: Ассоциация авторов и издателей «ТАНДЕМ». Издательство «ЭКМОС», 2002. 96 с.
10. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ // СЗ РФ от 7 января 2002 г. № 1 (часть I) ст. 3.
11. Уголовный кодекс РФ от 13 июня 1996 г. № 63-Ф3 // СЗ РФ от 17 июня 1996 г. № 25 ст. 2954.
12. Уголовно-процессуальный кодекс Российской Федерации // Российская газета, 2001,22 декабря.
13. Доктрина информационной безопасности Российской Федерации» от 9 сентября 2000 г. утв. Президентом РФ № ПР 1895. // Российская газета, №187, от 28 сентября 2000 г.
14. Федеральный закон от 20.02.95 г. №24-ФЗ «Об информации, информатизации и защите информации» // СЗ РФ 20.02.95, №8, ст.609.
15. Федеральный закон РФ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» // СЗ РФ. 1995. № 17. Ст. 1455.
16. Федеральный закон РФ от 12.08.95г. №144-ФЗ (ред. 30.12.99.) «Об оперативно-розыскной деятельности» // СЗ РФ 14.08.95, №33, ст.3349.
17. Федеральный закон от 3.04.95 г. №40-ФЗ «Об органах федеральной службы безопасности в Российской Федерации» // Российская газета. 1995, 12 апреля.
19. Федеральный закон от 9 августа 1995 г. №129 ФЗ «О почтовой связи» // СЗ РФ. 1995, №33, ст.3334.
20. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» // СЗ РФ, 08.07.1996, №28, ст.3347.
21. Федеральный закон от 26.09.97 г. № 125-ФЗ «О свободе совести и о религиозных объединениях» // СЗ РФ, 1997, № 39, ст. 4465.
22. Федеральный закон РФ от 25.07.98 г. №128-ФЗ «О государственной дактилоскопической регистрации в РФ» // Российская газета, 1998, №145.
23. Федеральный закон от 30.03.99 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» // СЗ РФ, 1999, № 14, ст. 1650.
24. Федеральный закон от 18.06.01 г. № 77-ФЗ «О предупреждении распространения туберкулеза в Российской Федерации» // СЗ РФ, 2001, № 26, ст. 2581.
25. Федеральный закон от 25.04.02 г. № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств» // СЗ РФ от 6 мая 2002 г., № 18, ст. 1720.
26. Федеральный закон от 10.01.03 г. № 20-ФЗ «О Государственной автоматизированной системе Российской Федерации «Выборы» // СЗ РФ от 13 января 2003 г. № 2 ст. 172.
27. ЗО.Закон Российской Федерации «О милиции» от 18.04.91 г. №1026-1 // Ведомости Съезда народных депутатов и Верховного Совета РСФСР, 18.04.91. №16, ст.503.
28. Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» // Российская газета, 1993, 21 сентября.34.3акон Воронежской области от 13 января 1998 г. № 28-Н-ОЗ «Об информатизации Воронежской области».
29. Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» // СЗ РФ 1997, №10, ст. 1127.
30. Постановление Правительства РФ от 14.03.97 г. № 298 «Об утверждении образцов и описания бланков основных документов, удостоверяющих личность гражданина Российской Федерации за пределами Российской Федерации» // СЗ РФ от 24 марта 1997 г. № 12, ст. 1435.
31. Постановление Администрации Воронежской области от 6 сентября 1999 г. № 886 «О внедрении системы защиты информационных ресурсов Воронежской области».
32. Комментарий к Закону РФ «О средствах массовой информации» М.: Га-лерия, 2001.
33. Комментарий к Закону Российской Федерации «О милиции» / Ю.П. Соловей, В.В. Черников. Издание второе, переработанное и дополненное. М.: «Проспект», 2001.
34. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В. М. Лебедев. М., 2001.
35. Комментарий к «Закону о СМИ». Под ред. В.Н. Монахова. М., 2001.
36. Комментарий к Налоговому кодексу Российской Федерации для торговых организаций / М.Ю. Ракитина, O.JI. Арутюнова, С.В. Шарова М.: Изда-тельско-консультационная компания «Статус-Кво 97», 2003.
37. Комментарий к Трудовому кодексу Российской Федерации (под ред. К.Н. Гусова) М.: ООО «ТК Велби», ООО «Издательство Проспект», 2003.
38. Комментарий к Гражданскому кодексу Российской Федерации, части второй / Под ред. проф. Т.Е.Абовой и А.Ю.Кабалкина; Ин-т государства и права РАН. М.: Юрайт-Издат; Право и закон, 2003. - 976 с.
39. Научно-практический комментарий к Конституции Российской Федерации / Отв. ред. В.В. Лазарев // Электронная версия для справочной правовой системы «Гарант» по состоянию на 1 октября 2004 г.1. МОНОГРАФИИ И СТАТЬИ
40. Агапов А.Б. Проблемы правовой регламентации информационных отношений в Российской Федерации // Государство и право, 1993, №4. С. 125130.
41. Аносов В.Д., Стрельцов А.А. О доктрине информационной безопасности РФ (проект) // Информационной общество, 1997, № 2, 3.
42. Архипов А.В. Информационная защита объекта- задача многогранная. // Конфидент. №1-2.1999. С.30-31.
43. Бачило И.Л. Правовое регулирование процессов информатизации // Государство и право 1994, №12. С.72-80.
44. Бойко Б.Б. Комплексный подход к обеспечению информационной безопасности. // Межрегиональная конференция «Информационная безопасность регионов России», Санкт-Петербург, 13-15 октября 1999г.: конференции. Части 1и 2. СПб., 1999.- С.38-39.
45. Волков С., Булычев В. Защита деловой репутации от порочащих сведений // Российская юстиция, 2003, №8. С. 51.
46. Волчинская Е.К. О направлениях развития законодательства в сфере обращения информации / Аналитическая записка, 1998, август. С.24-32.
47. Гиляров Е.М., Янина Е.В. Информация как объект правового регулирования //Безопасность информационных технологий. 2001, №3. С.5-10.
48. Гостев И. М. Защита персональных данных и сведений о частной жизни граждан. // Конфидент. № 3. 1999. С. 13.
49. Гросс Г. Украли очень личное // Computerworld, 2003, №35.
50. Жуков И.А., Леонов Т.Е. Комплексная защита информации в сетях передачи данных органов внутренних дел / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. М., 1998. С. 112-119.
51. Калятин В.О. Персональные данные в Интернете // Журнал российского права, 2002, №5. С. 12.
52. Кирин В.И. Зарубежный опыт законодательной практики использования технических средств / Компьютерные технологии и управление органами внутренних дел. Труды Академии управления. М., 2000. С.181-187.
53. Климова Ю. Как пресечь распространение компромата в виртуальном мире // Российская юстиция, 2001, № 12. С. 48-50.
54. Копылов А.В. Защита информации в помещениях и технических каналах горрайорганов внутренних дел / Организационно-технические, математические и правовые аспекты информации деятельности органов внутренних дел. Труды Академии управления. М., 2001. С.49-57.
55. Костенко М.Ю. Налоговая тайна и другие виды конфиденциальной информации // Ваш налоговый адвокат, 2001, №2.
56. Крылов В. В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации // Уголовное право. 1998. № 3.
57. Маршани М.Б. Имеет ли право врач разглашать наши тайны // Безопасность информационных технологий. 2001, №3. С.52-54.
58. Погуляева Е. Не болтай! // «эж-ЮРИСТ», 2003, № 43.
59. Полупанов В. Чем лечат это секрет // Аргументы и факты, 2002, №7. С.24.
60. Сабынин В.Н. Организация работ по обеспечению безопасности информации в фирме// Информост. 2001, №18. С.56-58.
61. Степанов О.А. Сущность юридического режима регулирования информационно-электронных отношений в Российской Федерации / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. - М., 1998. С.50-59.
62. Степанюк Л. Какие гарантии защиты персональных данных работников установлены ТК РФ? // Финансовая газета. Региональный выпуск, 2003, №37.
63. Тибенко К.А. Некоторые аспекты правового обеспечения информационной безопасности // Безопасность информационных технологий. 2001, №3. С.63-69.
64. Фатьянов А.А. Тайна и право (основные системы ограничения на доступ к информации в российском праве): Монография. - М.: МИФИ, 1999. 288 с.
65. Французова Л. Личные данные работников // Кадровое дело, 2003, № 4.
66. Ходорыч А. Расколотая база // Коммерсант деньги. 2001, №7. С. 13-20.
67. Ходорыч А. «На каждый роток не накинешь платок» // Коммерсант деньги. 2001, №7. С.21.
68. Чекулаев Р.А. Обеспечение информационной безопасности как новая функция частных охранных и сыскных структур // Безопасность информационных технологий. 2001, №3. С.76-79.
69. Шляхтина С. Интернет в цифрах и фактах (http://www/compress.ru/Article.asp.id=4205).
70. УЧЕБНИКИ, УЧЕБНЫЕ ПОСОБИЯ, ЛЕКЦИИ, ДИССЕРТАЦИИ,1. АВТОРЕФЕРАТЫ
71. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. М., 1999.
72. Бачило И.Л., Лопатин В.Н. Федотов М.А. Информационное право: Учебник / Под ред. акад. РАН Б.Н. Топорнина. СПб.: Издательский центр Пресс, 2001.789 с.
73. Бородин С.В. Постатейный Комментарий к Уголовному кодексу РФ 1996г. / Под ред. А.В. Наумова М.: «Гардарика», Фонд «Правовая культура», 1996.
74. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Под ред. Н.Г. Шурухнова. М.: Книжный мир, 2001. 88 с.
75. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. М.: МИФИ, 1995. 96 с.
76. Герасименко В.А., Малюк А.А. Основы защиты информации. М.: МИФИ, 1997. 537с.
77. Гомьен Д., Харрис Д., Зваак JI. Европейская конвенция о правах человека и Европейская социальная хартия: право и практика». М., 1998.
78. Грачев Г.В. Информационно-психологическая безопасность личности: состояние, возможности психологической защиты. М.: Изд. РАГС, 1998. 125с.
79. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. Серия «Информатизация России на пороге 21 века».- М.: СИНТЕГ, 1999. 232 с.
80. Домарев В.В. Защита информации и безопасность компьютерных систем. Киев: Издат-во: ДиаСофт. 1999. 480с.
81. Карелина М.М. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В.М. Лебедев. М.: Юрайт-М, 2001.
82. Ковалев В.И. Комментарий к Трудовому кодексу Российской Федерации о материальной ответственности работников М.: За право военнослужащих, 2003.
83. Компьютерные террористы: Новейшие технологии на службе преступного мира. / Автор-составитель Т.И. Ревяко. Мн.: Литература, 1997. -640с.
84. Кондратьева C.J1. Юридическая ответственность: соотношение норм материального и процессуального права. Дисс. . канд. юрид. наук. М., 1998. 187 с.
85. Копылов В.А. Информационное право: Учебное пособие. М.: Юристъ, 1997. 472 с.
86. Костюк В.Д. Нематериальные блага. Защита чести, достоинства и деловой репутации. М., 2002.
87. Котов Б.А. Юридический справочник руководителя. Тайна. - М.: «Издательство ПРИОР», 1999. 128с.
88. Крапивин О.М., Власов В.И. Работодатель: права и обязанности / Под общ. ред. профессора С.И. Шкуро. М.: Норма, 2004. 400 с.
89. Лопатин В.Н. Информационная безопасность в системе государственного управления (теоретическме и организационно-правовые проблемы). Дисс. . канд. юрид. наук. СПб., 1997. 193с.
90. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности Российской Федерации (проект). - М.: Издание Государственной Думы, 1998. 159с.
91. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / Санкт-Петербургский университет МВД России. - СПб., 2000. 428 с.
92. Лопатин В.Н. Правовые основы информационной безопасности: Курс лекций, М.: МИФИ, 2000. 355 с.
93. Люшер Ф. Конституционная защита прав и свобод личности. М., 1993.
94. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информацию в автоматизированных системах. М.: Горячая линия-Телеком, 2001. - 148с.
95. Матвеева А.А. Преступления в сфере компьютерной информации. / Курс уголовного права. Том 4. Особенная часть / Под ред. доктора юридических наук, профессора Г.Н. Борзенкова и доктора юридических наук, профессора B.C. Комиссарова. М., 2002. 543 с.
96. Мелик-Гайказян И.В. Информационные процессы и реальность. М., 1997.
97. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика. 1997. 368с.
98. Михайлов С.Ф., Петров В.А., Тимофеев Ю.А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции: Учебное пособие. М.: МИФИ, 1995. 112 с.
99. Наумов В.Б. Право в Интернете: Очерки теории и практики. М.: Книжный дом «Университет», 2002. 135 с.
100. Ожегов С.И., Шведова Н.Ю. Толковый словарь русского языка: 80 000 слов и фразеологических выражений / Российская академия наук. Институт русского языка им. В.В. Виноградова. 4-е издание, дополненное. М.: Азбуковник, 1999. 944 с.
101. Организация и современные методы защиты информации (под общей редакцией Диева С.А., Шаваева А.Г.)- М., Концерн «Банковский Деловой Центр». 1998. 472с.
102. Осипенко A.JI. Борьба с преступностью в глобальных компьютерных сетях: Международный опыт: Монография. М., 2004. 432 с.
103. Основы информационной безопасности: Учебник / В.А. Минаев, С.В. Скрыль, А.П. Фисун, В.Е. Потанин, С.В. Дворянкин. Воронеж: Воронежский институт МВД России, 2000. - 464с.
104. Пожилых В.А. Организационно-правовые особенности защиты информации в автоматизированных информационных системах органов внутренних дел. Автореф. дисс. . канд. юрид. наук. Воронеж, 2003. 21 с.
105. Право и информационная безопасность // Под общ. ред. доктора юрид. наук, профессора Е. Н. Щендригина. В 2-х кн. Кн.1. Орел: ОрЮи МВД РФ, 2000. 143.
106. Преступления в сфере компьютерной информации: Квалификация и доказывание: Учебное пособие / Под ред. Ю. В. Гаврилина. М., 2003.
107. Расследование неправомерного доступа к компьютерной информации / Под ред. Н. Г. Шурухнова. М., 1999.
108. Рассолов М.М. Информационное право: Учебное пособие. М.: Юристъ, 1999. 400с.
109. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -М., 2003.
110. Симкин JI.C. Программы для ЭВМ: правовая охрана (правовые средства против компьютерного пиратства). - М.: издательство «Городец», 1998. 208с.
111. Смолькова И. В. Тайна: понятие, виды, правовая защита: Юридический терминологический словарь - комментарий. М., 1998. 79с.
112. Снытников А.А., Туманов JI.B. Обеспечение и защита права на информацию. М.: Городец - издат, 2001. 344с.
113. Стельмах Н.Н. Практическое пособие по налогообложению доходов индивидуальных предпринимателей. -М.: «Статус-Кво 97», 2002.
114. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. -М.: ИНФРА-М, 2001. 304с.
115. Фатьянов А. А. Правовое обеспечение безопасности информации. Дисс. док. юрид. наук. -М., 1999. 503 с.
116. Фатьянов А.А. Правовое обеспечение безопасности информации в РФ. Учебное пособие. -М., 2001. 412 с.
117. Фисун А.П., Касилов А.Н. Мешков А.Г. Информатика и информационная безопасность: Учебное пособие. // Под общей редакцией к.т.н., доцента Фисуна А.П. Орел: ОГУ, 1999. 282с.
118. Федотова О.А. Административная ответственность в сфере обеспечения информационной безопасности. Дисс. . канд. юрид. наук. - М., 2003. 195 с.
119. Черешкин Д.С., Антопольский А.Б. Кононов А.А., Смолян Г.Л., Цы-гичко В.Н. Защита информационных ресурсов в условиях развития мировых открытых сетей. М., 1997. 75с.
120. Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики) Учебное пособие / Под ред. доктора юридических наук, профессора М.М. Рассолова. М., 2004. 252 с.
121. Шиверский А.А. Защита информации: проблемы теории и практики. -М.: Юристъ, 1996. 112с.
122. Шевердяев С. Информационные отношения и система информационного законодательства. М., 1999.
123. Шураков В.В. Обеспечение сохранности информации в системах обработки данных. М.: Финансы и статистика. 1985. 224с.
124. Энтин М.Л. Международные гарантии прав человека. Опыт Совета Европы. М., 1997.
125. Эределевский A.M. Моральный вред и компенсация за страдания. М. БЕК. 1997.
126. Grande С. Plan to fight moves on long-term eOmail records//Financial Times. 2001.29 June.
127. Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 21-22.
128. Regulation of Investigatory Powers Act 2000.
129. See Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 8, 24.
130. Tareg al Baho v. Marc Fermigier, Hans Hermann, and Francoise Vireux, Tribunal Correctionnel de Paris, 2000.
131. The Washington Post Company: http://www.newsbvtes.eom/news/01/166216.html; BBC: http://news.bbc.co.uk/hi/english/world/europe/newsid 1325000/1325186.stm.
Защита персональных данных в Российской Федерации: Проблемы и перспективы
Alexander Antipov
В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Шкилев Николай Александрович
ВВЕДЕНИЕ
Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей « персональные данные ».
Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.
Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.
Следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации», а также Федеральный закон «Об участии в международном информационном обмене», - ст. 11 «Информация о гражданах (персональные данные)» Закона «Об информации, информатизации и защите информации». Защите персональных данных работников посвящена глава 14 Трудового кодекса Российской Федерации.международных стандартов:- ISO 17799 - по информационной безопасности;- ISO 15489 - по управлению документацией.
Принятие ФЗ «О персональных данных» явилось ответом законодательной ветви власти на один из наиболее острых вызовов современной России - бесконтрольный оборот приватных сведений граждан, неуважение к частным данным вообще, а также повсеместное распространение личных записей россиян в виде баз данных. Таким образом, ФЗ имеет огромное социальное значение.
Согласно исследованию холдинга ROMIR Monitoring, проведенного в январе 2006 года по заказу «РИО-Центра», российские граждане целиком и полностью поддерживают законодательную инициативу властей. Например, лишь 3,4% респондентов уверено в защищенности своих персональных данных, а противоположной точки зрения - то есть уверенности в полной беззащитности своих приватных сведений - придерживаются 24,4% граждан. При этом 74,1% респондентов поддержали бескомпромиссную борьбу с распространением пиратских копий баз данных ГИБДД, операторов связи, БТИ и других организаций, а 63,3% граждан считают, что государство просто обязано контролировать сбор персональных данных коммерческими структурами. Отметим, что в основе исследования лежит репрезентативная выборка, состоящая из 1,6 тыс. постоянно проживающих в стране граждан из 43 субъектов РФ. Другими словами, очевидно, что с социальной точки зрения в стране уже давно назрела необходимость законодательного регулирования сбора и обработки персональной информации граждан.
Все это наводит на мысль, что исполнительная и судебная ветви власти могут и должны с энтузиазмом перенять эстафету законодателей. и уже с 30 января 2007 года органы правопорядка и суды могут начать привлекать и осуждать лиц, виновных в нелегальном распространении персональных данных. Однако с наиболее серьезными последствиями нового ФЗ придется столкнуться коммерческим компаниям, которые могут потерять лицензию на обработку приватных сведений граждан в случае нарушения требований закона.
1.Краткий правовой анализ Федерального закона “О персональных данных”
1.1. Основные понятия и термины закона
Прежде чем перейти к экспертизе требований ФЗ «О персональных данных», рассмотрим основные понятия этого нормативного акта. Список наиболее важных терминов вместе с пояснениями представлен в таблице ниже (см. таб. 1). Полный листинг понятий ФЗ можно найти во 2 ст. полного текста закона.
Прежде всего, следует обратить внимание на определение термина «персональные данные» (см. таб. 1). Далее по тексту в качестве синонима к этому понятию будут использоваться такие словосочетания, как приватные сведения, личная информация, частные записи граждан и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых ФЗ. Также важно заметить, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.
Таблица 1.
Основные понятия закона «О персональных данных»
|
Термин |
Определение |
Примеры |
|
Персональные данные |
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). |
ФИО, дата и место рождения, адрес, образование, профессия, доходы и т.д. По сути, любые сведения о жизни гражданина. |
|
Оператор |
Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. |
Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих. |
|
Обработка персональных данных |
Практически любые действия (операции) с персональными данными. |
Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение. |
|
Распространение персональных данных |
Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц. |
Обнародование персональных данных в СМИ, размещение в Интернете и других сетях или предоставление доступа к персональным данным каким-либо иным способом. |
|
Блокирование персональных данных |
Временное прекращение обработки персональных данных. |
Замораживание сбора, систематизации, накопления, использования и любых других операций с персональными данными. |
|
Обезличивание персональных данных |
Действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; |
Результаты статистических опросов - обезличенные данные. |
|
Информационная система персональных данных |
Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; |
База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»). |
|
Конфиденциальность персональных данных |
Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания |
Требование обеспечить защиту от утечек. |
Анализ главных определений ФЗ позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней ФЗ понимает защиту от распространения (синоним слову «утечка»). Таким образом, закон «О персональных данных» затрагивает деятельность абсолютно всех коммерческих компаний и госструктур, которые теперь должны позаботиться о защите персональных данных от неавторизованного распространения, то есть, от утечки.
1.2. Основные положения закона
Рассмотрим основные положения ФЗ «О персональных данных», с которыми теперь должны считаться представители бизнеса и госсектора. Прежде всего, следует отметить 5 ст. закона - «Принципы обработки персональных данных», согласно которой цели обработки приватной информации должны соответствовать целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. На практике это означает, что организация обязана прямо во время сбора личных сведений уведомить граждан о том, для чего ей эти сведения понадобились и что она будет с ними делать. Более того, единожды заявив о своих целях, организация не может просто так их изменить, не поставив в известность граждан.
В ч.2 ст.5 указано очень важное с точки зрения IT-безопасности требование к операторам персональных данных. «Хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.
Базовая концепция нового закона нашла свое отражение в ст.6 («Условия обработки персональных данных») и ст.7 («Конфиденциальность персональных данных»). Рассмотрим эти статьи подробнее.
Согласно ст.6, основным условием обработки приватных сведений является согласие на это владельца персональных данных, то есть самого гражданина. Из этого условия существует ряд исключений. Например, общедоступными являются некоторые приватные сведения высших чиновников и кандидатов на выборные должности. Также обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта чувствительной информации. Для бизнеса двумя важными исключениями, при которых необязательно спрашивать согласие гражданина на обработку его персональных сведений, являются п.2.2 и 2.5 ст.6. Согласно первому из них, разрешена «обработка [приватных данных] в целях исполнения договора, одной из сторон которого является субъект персональных данных». Согласно второму, «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи». Однако во всех остальных случаях, бизнес просто обязан спросить у гражданина разрешение на обработку его личных сведений.
Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае, если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона.
В рамках 7 ст., «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.
Можно резюмировать, что бизнес должен получить согласие владельца приватных данных на обработку этой информации и обеспечить конфиденциальность персональных сведений. При этом согласно 9 ст., компания должна получить письменное согласие гражданина на обработку его личных записей, которое в случае возникновения конфликтных ситуаций должно быть предъявлено в суде. Отметим, что в согласии обязательно указываются цель обработки персональных данных, перечень самих данных и действий с ними и срок, в течение которого действует согласие (а также порядок его отзыва).
1.3. Требования к безопасности персональных данных
Особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Другими словами, бизнесу необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.
Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».
1.4. Ответственность за нарушения закона
При нарушении требований закона «О персональных данных» виновные лица (согласно ст.24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.
Кроме того, следует рассмотреть новые положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.
Прежде всего, новый закон приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.
1.5. Критические даты
Из представленной выше экспертизы ФЗ «О персональных данных» следует, что организациям предстоит принять целый ряд технических и организационных мер, чтобы удовлетворить новым нормативным требованиям. Далее в таблице (см. таб. 2.) приведен ряд критических дат, к наступлению которых бизнес и госсектор обязан привести в соответствие ФЗ свои бизнес-процессы и IT-системы.
Критические даты закона «О персональных данных»
|
Расшифровка |
|
|
ФЗ «О персональных данных» вступает в силу |
|
|
Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего ФЗ и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган уведомление, предусмотренное ч.3 ст.22 настоящего ФЗ не позднее 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания владеет приватными данными только своих сотрудников, то уведомление направлять не следует). |
|
|
Информационные системы персональных данных, созданные до дня вступления в силу настоящего ФЗ, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Другими словами, информационная система, включающая в себя базу персональных данных, а также информационные и технические средства для их обработки, должна соответствовать требованиям к защите конфиденциальности приватной информации (ст.19 ч.1). |
Выводы
Собирая воедино все указанные выше требования ФЗ «О персональных данных», можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. Другими словами, российским компаниям теперь придется иметь дело с новым классом информации. Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый ФЗ практически требует создать еще один класс информации - персональные данные (клиентов, служащих и т.д.). Однако очевидно, что изменение принципов классификации влечет за собой модификацию политики IT-безопасности. Следовательно, бизнесу необходимо дополнить свой набор политик, как минимум, одной новой - политикой использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Вдобавок, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости.
2.Краткий анализ Федерального закона “О персональных данных” в вопросах информационных технологий.
2.1 Требования к ИТ-безопасности
По требованиям нормативно-правовых документов работы по обеспечению безопасности персональных данных являются неотъемлемой частью работ при создании информационных систем для их обработки. Т.е. информационные системы, в которых обрабатываются персональные данные, должные в обязательном порядке содержать подсистему защиты этих данных
Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, «хранение [приватных сведений] должно осуществляться... не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.
Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности... и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных ». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.
Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных » от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности «Внешторгбанка», отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.
Между тем, согласно ст.19 ч.2 ФЗ «О персональных данных », Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных ». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно было стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Отметим, что сам уполномоченный орган уже выбран. Это Федеральная служба по техническому и экспортному контролю. Однако каких-либо формализованных требований от ФСТЭК России в плане защиты персональных данных еще не было обнародовано.
Также отметим, что согласно ст.24, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ. Т.е. утечка приватных сведений граждан может легко спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению репутации.
2.2. Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ
При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.
На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений, для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.
2.3.Планы по внедрению новых ИТ-продуктов для соответствия ФЗ
Подводя итоги, можно заметить, что подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон «О персональных данных ». В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%). Таким образом, уполномоченному органу (ФСТЭК России) необходимо как можно быстрее разработать формальные требования к безопасности персональных данных и опубликовать официальный стандарт, который закрепит положения ФЗ «О персональных данных». Текущие требования это закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.
Однако это лишь одна сторона медали - с ее помощью государство пытается вести профилактику утечек на уровне тех источников, откуда информация утекает. Между тем, есть еще один важный аспект: нелегальный оборот персональных данных. Ведь не надо даже далеко ходить, чтобы купить приватную базу данных на CD и за довольно скромную цену. Очевидно, что в этом плане ответственность ложится на органы исполнительной власти, у которых теперь появилась законная возможность завести против нелегальных продавцов дело. Правда, именно на этом этапе нам так необходима правоприменительная практика, нарабатывать которую России, судя по всему, придется годами.
Итак, необходимым условием обработки персональных данных является согласие на это субъекта персональных данных, за исключением особых случаев.
Федеральный закон обязывает операторов соблюдать требования по конфиденциальности персональных данных (за исключением общедоступных и обезличенных персональных данных), в том числе с помощью криптографических средств.
В целом, требования по обеспечению безопасности персональных данных устанавливаются Федеральным законодательством, Постановлениями Правительства РФ и иными подзаконными актами. Контроль выполнения требований по обеспечению безопасности персональных данных осуществляется Федеральной службой безопасности и Федеральной службой по техническому и экспертному контролю.
На этапе проектирования информационной системы или при её эксплуатации необходимо провести категорирование персональных данных. На основании категории персональных данных, а также характеристик информационной системы, связанных с угрозами безопасности персональных данных, информационной системе присваивается определённый класс, который определяет требования к защите обрабатываемых в ней данных.
Классификация информационных систем персональных данных проводится на основе нормативно-правовых документов ФСТЭК.
Мероприятия по защите персональных данных, в частности, должны включать в себя:
- Определение угроз безопасности персональных данных при их обработке, разработка модели угроз;
- Разработку на основе модели угроз системы защиты с применением методов, соответствующих классу информационной системы;
- Проверку готовности средств защиты к использованию с составлением заключений о возможности эксплуатации;
- Установку и ввод в эксплуатацию средств защиты, а также обучение сотрудников их использованию;
Важно отметить, что согласно требованиям нормативно-правовых документов средства защиты, используемые в информационных системах персональных данных (в том числе средства защиты от несанкционированного доступа, криптографические средства защиты, средства защиты от утечек по техническим каналам) должны в установленном порядке проходить оценку соответствия требованиям ФСБ и ФСТЭК.
И согласно требованиям обмен персональными данными при их обработке должен осуществляется по каналам связи, защита которых реализована с помощью организационных или технических мер.
В соответствии с законом №152-ФЗ существенно расширяется круг юридических лиц, автоматизированные системы которых должны содержать подсистемы защиты информации. В их число попадают медицинские учреждения, инвестиционные и трастовые компании, прочие структуры, привлекающие средства населения, а также все юридические лица, в составе автоматизированных систем которых в том или ином виде ведутся личные дела сотрудников.
Со дня вступления ФЗ «О персональных данных» в силу (30 января 2007 года) для операторов персональных данных описанные в законе требования по обработке и в том числе по защите персональных данных являются обязательными.
Следует отметить, что Федеральный закон касается не только вновь создаваемых систем обработки персональных данных. Информационные системы персональных данных, созданные до дня вступления закона в силу, должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 января 2010 года.
В Федеральном законе Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” сказано: “Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий”. Рассмотрим, каким образом в соответствии сдействующими законадательными и нормативными актами грамотно подойти к вопросу внедрения новых средств защиты данных.
Для этого необходимо в первую очередь определиться с требованиями к реализации системы защиты данных.
Для формирования основных базовых требований к реализации системы защиты данных необходимо определиться с ответами на следующие вопросы:
- Что должно служить сущностью “объект доступа”, другими словами, что должен представлять собою объект (в общем случае, набор объектов), при сохранении в который, данные должны шифроваться и/ либо гарантированно удаляться (естественно, что речь идет об автоматическом “прозрачном” для пользователя шифровании данных “на лету” при их сохранении в объект (и соответствующим образом расшифрования), реализуемого системным драйвером (аналогично и гарантированного удаления). Подходы к построению СЗД, предполагающие реализацию шифрования и/либо гарантированного удаления вручную пользователем, а уж тем более, вопросы реализации этих функций на прикладном уровне - из конкретных приложений, рассматривать не будем, наверное, даже не следует пояснять почему, если мы говорим об эффективных средствах защиты для корпоративных приложений, ориентированных на защиту персональных данных;
- Что должно служить сущностью “субъект доступа”, другими словами, следует ли при принятии решения о шифровании (расшифровании) и/либо гарантированного удаления данных при запросе доступа к объекту в принципе учитывать, и если да, то каким образом учитывать то, какой пользователь и каким процессом обращается к объекту. Другими словами, следует управлять тем, какие пользователи сохраняют данные в зашифрованном виде (соответственно их информация гарантированно удаляется), либо тем, в какие объекты данных сохраняются в шифрованном виде (соответственно, в каких объектах данные гарантированно удаляются);
- Что должно служить сущностью “право шифрования”. Дело в том, что при построении СЗИ от НСД возможны два подхода к реализации разграничительной политики доступа к ресурсам: посредством назначения атрибутов, присваиваемых объектам (здесь можно говорить об атрибутах “шифрование” и “гарантированное удаление”), либо посредством назначения прав доступа к объектам для пользователей. Этот вопрос тесно связан с предыдущим;
- Как обеспечить коллективный доступ пользователей к зашифрованным данным (это одна из ключевых задач для корпоративных приложений при защите персональных данных, состоящая в том, что данные должны располагаться на общем ресурсе (как правило, разделенные в сети файловые объекты), причем в зашифрованном виде, при этом к этим данным должно предоставляться право доступа нескольким пользователям, например, удаленно к файловому серверу с рабочих станций корпоративной сети). Соответственно следует говорить и о гарантированном удалении данных в коллективно используемых ресурсах. Важным здесь является вопрос, учитывать ли какие-либо идентификационные данные пользователя (если да, то каким образом) при генерации ключа шифрования.
Рассмотрим эти вопросы по порядку, при этом будем учитывать, во-первых, что обе процедуры, и шифрование, и гарантированное удаление весьма ресурсоемки и оказывают влияние на загрузку вычислительного ресурса (даже при их реализации на уровне системного драйвера, в случае же реализации их на уровне приложения загрузка вычислительного ресурса возрастает в разы), во-вторых, на одном вычислительном средстве в корпоративных приложениях, как правило, обрабатывается как открытая, так и конфиденциальная информация (причем, подчас, конфиденциальная информация также может категорироваться), т.е. далеко не все данные следует дополнительно защищать средствами шифрования и гарантированного удаления.
Различные по категории конфиденциальности данные должны храниться в различных файловых объектах (только в этом случае могут быть реализованы различные режимы их обработки), причем, как на жестком диске, так и на внешних накопителях, причем как на локальных, так и на разделенных в сети (при этом не обеспечить коллективный доступ к данным - без возможности разделения файловых объектов в сети) . Основным объектом реализации разграничительной политики доступа к ресурсам является “папка”. Что касается внешних накопителей (например, Flash-устройств), то подчас на них разрешается записывать информацию только в зашифрованном виде, т.е. в этом случае объектом шифрования должен служить диск (однако, может разрешаться в зависимости от типа информации на одном внешнем накопителе сохранять данные, как в открытом, так и в шифрованном виде, тогда объектом шифрования вновь становится “папка”, например, каталог на накопителе). Папка является и обязательным объектом шифрования при использовании разделяемого ресурса (например, жесткого диска на сервере) при реализации коллективного доступа к данным в корпоративной сети. В некоторых конкретных случаях может потребоваться шифрование и отдельного файла, в частности, вся база данных может располагаться в отдельном файле. Не смотря на частность данных случаев, их возможность - объектом шифрования является файл, также должна быть реализована в средстве защиты.
Требование к реализации. Объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети. При этом средством защиты должна предоставляться возможность задания любого набора объектов (например, несколько каталогов на выбор, включая разделенные в сети) в качестве объектов криптографической защиты и гарантированного удаления остаточной информации
Несмотря на кажущуюся очевидность данных требований, на практике широко распространены средства с весьма ограниченными возможностями задания объектов защиты, например, только локальный диск (так называемый, “файловый сейф”), либо только локальные файловые объекты могут назначаться для шифрования данных, или, например, совсем уж странное решение реализуется в некоторых средствах защиты в части гарантированного удаления остаточной информации - если активизируется этот режим, то гарантированно удаляются данные во всех файловых объектах (а как же совершенно не оправданное в этом случае дополнительное влияние на загрузку вычислительного ресурса?). Естественно, что подобные средства более просты в практической реализации, однако, следствием реализации подобных решений является их невысокая потребительская стоимость в корпоративных приложениях.
Перейдем к рассмотрению следующих двух очень важных взаимосвязанных вопросов. Следует ли учитывать каким-либо образом сущность “пользователь” при построении схемы защиты, следовательно, дополнительная защита должна являться привилегией пользователя (рассматриваться как его право), либо объекта (рассматриваться, как дополнительный атрибут файлового объекта). Заметим, что права доступа к объектам в корпоративных приложениях следует рассматривать, как принадлежность пользователя, а не как атрибут файлового объекта В данном же случае, все наоборот. Особенностью корпоративных приложений является то, что один и тот же пользователь должен обрабатывать на одном компьютере, как открытую, так и конфиденциальную информацию (если только открытую, то отсутствует потребность в дополнительной защите данных, а только конфиденциальную - на практике, как правило, не бывает). Следовательно, если дополнительную защиту данных рассматривать, как привилегию пользователя (т.е. для учетной записи устанавливать соответствующий режим сохранения и удаления (модификации) данных), то в корпоративных приложениях это будет означать, что все данные (как открытые, так и конфиденциальные) пользователя следует шифровать и гарантированно удалять. Это бессмысленно! Следовательно, шифрование и гарантированное удаление необходимо рассмаривать не как привилегию пользователя (учетной записи), а как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, присваиваемыми объектам - при сохранении данных в этот объект они автоматически шифруются, при удалении (модификации) объекта данные гарантированно удаляются.
Требование к реализации. Возможность дополнительной защиты данных методами шифрования и гарантированного удаления необходимо рассмаривать как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, устанавливаемыми для дополнительно защищаемого объекта.
Теперь о коллективном доступе к ресурсам. Это очень важная функциональная возможность. Без ее практической реализации невозможно обеспечить не только общие для пользователей файловые хранилища, но и принципиально организовать обмен защищаемыми данными через файловую систему, причем не только в сети, но и локально, на одном компьютере. Коллективный доступ к ресурсам априори возможен лишь в том случае, когда такая сущность, как “ключ шифрования” едина (ключ одинаковый) для пользователей, имеющих право доступа к коллективно используемому ресурсу.
С учетом сказанного можем сделать два очень важных вывода, во-первых, средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, во-вторых, ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей, т.к. в противном случае, эти данные должны совпадать для учетных записей, под которыми разрешен доступ к коллективно используемым объектам (что недопустимо). Заметим, что несмотря на данное, казалось бы, очевидное требование, подобные решения, реализованные на практике, существуют.
Требование к реализации. Средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, при этом ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей.
В порядке замечания отметим, что с целью снижения ресурсоемкости средства защиты, с учетом того, что на одном компьютере может обрабатываться конфиденциальная информация различных категорий, как следствие, требующая различной дополнительной защищенности, целесообразно предусмотреть возможность шифровать данные различных категорий (различные объекты) с использованием различных алгоритмов шифрования (в частности, с использованием различных длин ключа шифрования), соответственно, гарантированно удалять данные различных категорий с использованием различных правил (в частности, с возможностью задания для различных объектов различного числа проходов очистки - записи маскирующей информации, и различных способов задания маскирующей информации - маскирующая информация - это те данные, которые записываются поверх исходных данных при уничтожении, либо при модификации объекта, другими словами, эти те данные, которые остаются на носителе в качестве остаточной информации).
Теперь остановимся еще на одном важном вопросе реализации коллективного доступа, в данном случае, удаленного доступа к разделенным в сети дополнительно защищаемым объектам. Упрощенно, имеем следующую структуру системы. На рабочих станциях пользователями осуществляется обработка данных, которые сохраняются в разделенный между пользователями объект, располагаемый на отдельном компьютере (файловом сервере). Возникает вопрос, где осуществлять процедуру шифрования данных - на рабочих станциях, перед их сохранением на сервере, либо собственно на сервере? Наверное, ответ на этот вопрос очевиден - на рабочих станциях. Это объясняется тем, что при таком решении данные передаются по каналу связи в зашифрованном виде (в противном случае, в открытом).
Требование к реализации. При реализации коллективного доступа к разделенным в сети дополнительно защищаемым объектам шифрование данных должно осуществляться на рабочих станциях, на которых пользователями осуществляется обработка данных.
В порядке замечания отметим, что такое решение возможно лишь в том случае, если средством защиты выполняется требование к реализации, состоящее в том, что объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети (см. выше).
Заключение
Обязанностью оператора, согласно статье 19, является также обеспечение безопасности персональных данных при их обработке. Чтобы не было неприятностей, организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты персональных данных, содержащихся в ее информационных системах.
Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Мининформсвязи России, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны сообщаться в уполномоченный орган.
Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:
- при наличии трудовых отношений;
- при заключении договора, стороной которого является субъект персональных данных;
- если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
- если персональные данные являются общедоступными;
- если персональные данные включают в себя только фамилии, имена и отчества субъектов;
- при оформлении пропусков;
- если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- если персональные данные обрабатываются без использования средств автоматизации.
В заключение дадим ряд рекомендаций организациям-операторам. Исполнить требования закона о персональных данных будет не столь уж трудно, если данную работу начать сейчас, не дожидаясь поступления первых заявлений и жалоб. Начать можно со следующих очевидных мер:
Желательно назначить ответственного сотрудника для рассмотрения всех вопросов, связанных с исполнением данного закона в организации, а для крупных компаний может быть оправдано создание специальной комиссии.
Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:
- определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по собственной инициативе и т.д.);
- уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
- установить сроки хранения и сроки обработки данных в каждом информационном ресурсе;
- определить способы обработки;
- определить лиц, имеющих доступ к данным;
- сформулировать юридические последствия;
- определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.