Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обеспечение защиты информации и персональных данных является одним из приоритетных направлений и важнейшей задачей в обеспечении информационной безопасности любой организации. Невозможно представить деятельность организации без обработки информации о человеке. В них хранятся и обрабатываются данные о членах органов управления и сотрудниках, партнерах, об акционерах (АО) и о лицах, посещающих организацию. Все это является персональными данными (ПДн).
Нарушение конфиденциальности в обеспечении сохранности базы персональных данных организации может стать серьезным инцидентом в обеспечении информационной безопасности, который может привести к невосполнимому ущербу и к многочисленным рискам. Это прежде всего финансовые риски, связанные с затратами на принятие срочных мер по устранению данной проблемы (проведение расследования, организация мероприятий по ликвидации данной проблемы), потеря репутации организации, а порой и полная остановка деятельности.
Именно необходимость обеспечения безопасности персональных данных в настоящее время стала объективной реальностью. Эта необходимость вызвана быстрым развитием современных информационных технологий, средств электронной коммерции и электронного информационного обмена между партнерами по бизнесу, свободного доступа к средствам массовых коммуникаций, возможностью копирования и распространения информации.
Организации, обрабатывающие персональные данные, принимали меры по их защите, исходя из собственных представлений, закрепленных во внутренней политике информационной безопасности. Сейчас ситуация изменилась. В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в редакции № 261-ФЗ от 25.07.2011), существенно возросли требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.
Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 установлены требования к защите персональных данных при их обработке в информационных системах, определяющие классификацию информационных систем по видам обрабатываемых данных, классификацию угроз для разных видов систем, а также необходимые уровни защищенности для каждого из видов таких систем. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Выбор средств защиты информации для системы осуществляется оператором в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России.
Согласно Федеральному закону №152 «О персональных данных» персональные данные являются информацией ограниченного доступа. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
При несоблюдении положений закона 152-Федеральному закон «О персональных данных» предусматривается гражданская, уголовная, административная, а так же дисциплинарная и другие виды ответственности. В отдельных случаях, предусмотренных законом, может быть приостановлена деятельность организации или отозвана лицензия. Это одна из причин того, что защита персональных данных является неотъемлемой частью успешного функционирования любого предприятия.
Титульный лист
ДИПЛОМНАЯ РАБОТА
ТЕМА: «ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА»
ВВЕДЕНИЕ 3
ГЛАВА I. ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКА: ПОНЯТИЕ И СУЩНОСТЬ 6
1.1. Ограничение персональных данных от другой информации 16
1.2. Развитие законодательства о защите персональных данных 26
1.3. Общие требования к обработке персональных данных работника и гарантия их конфиденциальности 33
ГЛАВА II. ПОРЯДОК РАБОТЫ С КОНФЕДЕНЦИАЛЬНЫМИ СВЕДЕНИЯМИ О РАБОТНИКЕ 36
2.1. Работа кадровой службы с персональными данными 39
2.2. Основные аспекты передачи персональных данных работника и защита информации при работе с персональными данными на ЭВМ 44
2.3. Контроль защиты персональной информации работника 59
ЗАКЛЮЧЕНИЕ 65
СПИСОК ЛИТЕРАТУРЫ 68
ВВЕДЕНИЕ
Персональные данные сторон трудового договора, под которыми понимается информация о работодателе и работнике, имеет важное значение для каждого из них. При заключении трудового договора работник получает информацию о работодателе, о месте его нахождения, характере будущей работы. Большое значение знание персональных данных работника имеет для работодателя, который при заключении трудового договора получает информацию о работнике, о его возрасте, профессии, специализации, квалификации, состоянии здоровья, семейном положении.
Регулированию и обеспечению конфиденциальности персонифицированной информации о работниках, посвящены нормы, содержащиеся в статьях главы 14 «Защита персональных данных работника», которой завершается раздел III «Трудовой договор» ТК РФ 1 .
Актуальность работы. Появление в российском трудовом праве норм о защите персональных данных работника продиктовано необходимостью реализации в сфере труда общепризнанных норм и принципов международного права, применение которых гарантировано Конституцией Российской Федерации 2 , которая в ст. 23 и 24 устанавливает, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну; сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.
В основе этого конституционного установления лежат акты международного права, к числу которых относится Всеобщая декларация прав человека, принятая 10 декабря 1948 г. Генеральной Ассамблеей Организации Объединенных Наций, в ст. 12 которой провозглашено: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Такие же нормы содержит Международный пакт о гражданских и политических правах, принятый 16 декабря 1966 г. Генеральной Ассамблеей ООН и ратифицированный Указом Президиума Верховного Совета СССР от 18 сентября 1&73 г., который установил, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции, на его честь и репутацию.
Предметом исследования выступает информационное поле по защите персональных данных работников предприятий, государственных органов, муниципальных образований и прочих видов деятельности.
Объект исследования – персональные данные работников и их защита от неправомерного вмешательства.
Цель работы: рассмотреть вопрос защиты персональных данных работников.
Для достижения цели работы необходимо выполнить следующие задачи:
Рассмотреть теоретические основы вопроса: понятие и сущность персональных данных;
Изучить особенности персональных данных и определить их отличия от иной информации;
Проследить развитие законодательства в этой области;
Выявить общие требования к обработке персональных данных работника;
Рассмотреть работу кадровой службы с персональными данными;
Изучить основные аспекты передачи персональных данных работника, а также их защиты при работе на ЭВМ;
Рассмотреть контроль защиты персональных данных.
В работе использовались методы сравнения и анализа – при изучении Российского законодательства в сфере защиты персональных данных, а также трудов и обобщении знаний таких ученых и исследователей как Алавердов А.Р., Маркевич А.С., Кибанов А.Я., Орловский Ю.П., Петровский С.А., Янковая В.Ф. и других, а также авторов тематических статей – специалистов в области кадрового менеджмента и делопроизводства.
ГЛАВА I. ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКА: ПОНЯТИЕ И СУЩНОСТЬ
Персональные данные сторон трудового договора, под которыми понимается информация о работодателе и работнике, имеет важное значение для каждого из них. При заключении трудового договора работник получает информацию о работодателе, о месте его нахождения, характере будущей работы. 3 Большое значение знание персональных данных работника имеет для работодателя, который при заключении трудового договора получает информацию о работнике, о его возрасте, профессии, специализации, квалификации, состоянии здоровья, семейном положении.
После заключения трудового договора информация о работнике необходима работодателю для надлежащего исполнения его обязательств, вытекающих не только из трудового, но и из гражданского, семейного, административного, других отраслей законодательства (например, для удержания из заработной платы налогов, средств в возмещение ущерба, алиментов), для предоставления работнику льгот и преимуществ, например, при переводе на другую работу в связи с болезнью, беременностью, наличием детей.
Предоставляя работодателю право получать объемную информацию о персональных данных работника, закон обязывает его принимать все меры для предупреждения несанкционированного выхода этой информации из ведения работодателя, чтобы персональные данные работника не стали достоянием третьих лиц без его ведома и согласия.
Регулированию и обеспечению конфиденциальности персонифицированной информации о работниках, посвящены нормы, содержащиеся в статьях главы 14 «Защита персональных данных работника», которой завершается раздел III «Трудовой договор» ТК РФ.
Эти нормы появились в отечественном трудовом праве недавно. Действовавший до 1 февраля 2002 г. КЗоТ РФ не только не содержал таких норм, но и не употреблял терминологию, которой охватывались бы понятия персональных данных или иной информации о работниках. И только с принятием Трудового кодекса Российской Федерации, в котором есть специальная глава 14 «Защита персональных данных работника», сбор, хранение, использование конфиденциальной информации о работнике стали предметом правового регулирования.
Появление в российском трудовом праве норм о защите персональных данных работника продиктовано необходимостью реализации в сфере труда общепризнанных норм и принципов международного права, применение которых гарантировано Конституцией Российской Федерации 4 , которая в ст. 23 и 24 устанавливает, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну; сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.
В основе этого конституционного установления лежат акты международного права, к числу которых относится Всеобщая декларация прав человека, принятая 10 декабря 1948 г. Генеральной Ассамблеей Организации Объединенных Наций, в ст. 12 которой провозглашено: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств»1. Такие же нормы содержит Международный пакт о гражданских и политических правах, принятый 16 декабря 1966 г. Генеральной Ассамблеей ООН и ратифицированный Указом Президиума Верховного Совета СССР от 18 сентября 1&73 г., который установил, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции, на его честь и репутацию Данное правовое положение продублировано в Европейской конвенции о защите прав человека и основных свобод, заключенной в г. Минске 26 мая 1995 г. Конвенции Содружества Независимых Государств «О правах и основных свободах человека»3, которые обязывают страны - участницы Конвенции обеспечить право каждого человека на уважение его личной и семейной жизни, неприкосновенность жилища и корреспонденции, не допускать вмешательства в осуществление этого права государственных органов, за исключением вмешательства, предусмотренного законом и необходимого в демократическом обществе в интересах государственной безопасности и общественного спокойствия, экономического благосостояния страны, а также в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности, защиты прав и свобод других лиц.
Провозглашая в соответствии с общепризнанными нормами и принципами международного права недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, Конституция Российской Федерации в то же время предоставляет каждому право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч. 4 ст. 29) 5 . Каждое из этих прав может быть ограничено исключительно федеральным законом и только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Регламентируя эти права, Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»1 относит информацию о работнике, его персональные данные к конфиденциальной информации, установление порядка использования и защиты которой находится в совместном ведении Российской Федерации и ее субъектов.
Дальнейшее развитие правовых предписаний о конфиденциальности информации о личности в правовом демократическом государстве получило в главе 14 Трудового кодекса Российской Федерации, и которая состоит из шести статей:
статья 85 «Понятие персональных данных работника. Обработка персональных данных работника»;
статья 86 «Общие требования при обработке персональных данных работника и гарантии их защиты»;
статья 87 «Хранение и использование персональных данных работников»;
статья 88 «Передача персональных данных работника»;
статья 89 «Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя;
статья 90 «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника».
Системно-сравнительный анализ норм, содержащихся в этих статьях, позволяет выявить их некоторую обособленность в системе трудового права, что дает основание рассматривать их в качестве самостоятельного института трудового права, который хотя и связан тесно с трудовым договором, но в то же время выходит за его рамки, приобретая общеотраслевое значение. 6
Рассмотрение защиты персональных данных работника в качестве института трудового права выявляет его недостаточную разработанность, отсутствие необходимых связей его с рядом важных норм и положений трудового права.
Например, установив в ст. 90 ТК РФ ответственность за нарушение норм, регулирующих защиту персональных данных работников, законодатель не назвал в ст. 22 ТК РФ среди общих обязанностей работодателя как стороны трудовых отношений обязанность по защите персональных данных работников. В целях устранения такого несоответствия было бы логично отнести защиту персональных данных работников к числу основных обязанностей работодателя, внеся соответствующее дополнение в ч. 2 ст. 22 ТК РФ «Основные права и обязанности работодателя» 7 .
Аналогичное несоответствие выявляется при сравнении ст. 89 «Права работника в целях обеспечения защиты персональных данных, хранящихся у работодателя» со ст. 21 «Основные права и обязанности работников», которая среди основных прав работника не упоминает право на защиту его персональных данных.
Общее понятие персональных данных работника приводится в статье 85 ТК РФ, в соответствии с которой персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. В этой же статье дается определение обработки персональных данных работника, под которой понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Приведенные в ст. 85 ТК РФ определения персональных данных и их обработки не являются исчерпывающими. Целый ряд дополнительных признаков содержат другие нормативные правовые акты, предназначенные для регулирования защиты персональных данных в сфере трудовых отношений, государственной и муниципальной службы.
Таким актом является, например, утвержденное Указом Президента РФ от 30 мая 2005 г. № 609 Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела. В статье 2 данное Положение устанавливает, что под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в его личном деле либо подлежащие включению в его личное дело. Персональные данные, внесенные в личные дела гражданских служащих, становятся сведениями конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, сведениями, составляющим государственную тайну 8 .
Круг информации, относящейся к персональным данным работника, определяется работодателем с учетом условий, установленных трудовым законодательством применительно к тому или иному виду трудового договора и трудовой деятельности, а также с учетом характера выполняемой работы. Например, специальная информация потребуется работодателю для заключения с работником трудового договора на выполнение работы, требующей специальных познаний или допуска к государственной тайне.
Информация о работнике получается работодателем прежде всего из документов, предъявляемых работником при заключении трудового договора в соответствии со ст. 65 ТК РФ: из паспорта и иного документа, удостоверяющего личность, из трудовой книжки, страхового свидетельства государственного пенсионного страхования, из документов воинского учета, об образовании и квалификации и из других документов, необходимость предъявления которых при заключении трудового договора может предусматриваться Трудовым кодексом, иными федеральными законами, указами Президента и постановлениями Правительства РФ.
Значительная по объему информация может быть почерпнута из паспорта гражданина, являющегося основным документом, удостоверяющим его личность на территории Российской Федерации, в котором в соответствии с Положением о паспорте гражданина Российской Федерации, утвержденном постановлением Правительства РФ от 8 июля 1997 г. № 8281 (в ред. от 23 января 2004 г.), производятся отметки:
о регистрации гражданина по месту жительства и снятии его с регистрационного учета;
об отношении к воинской обязанности граждан, достигших 18-летнего возраста;
о регистрации и расторжении брака;
о детях, не достигших 14-летного возраста;
о ранее выданных основных документах, удостоверяющих личность гражданина Российской Федерации на территории Российской Федерации;
о выдаче основных документов, удостоверяющих личность гражданина Российской Федерации за пределами Российской Федерации.
По желанию гражданина в паспорте могут производятся отметки о его группе крови и резус-факторе и об идентификационном номере налогоплательщика.
Вторым важным источником информации о работнике является его трудовая книжка, которая по праву называется трудовым паспортом гражданина. Она содержит полный объем сведений о трудовой деятельности работника, а также иную информацию о нем.
Так, в соответствии со ст. 66 ТК РФ «Трудовая книжка» и с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными постановлением Правительства РФ от 16 апреля 2003 г. № 2251 (в ред. от 6 февраля 2004 г.) в трудовую книжку при ее оформлении вносятся сведения о фамилии, имени, отчестве работника, дата его рождения (число, месяц, год), сведения о его образовании, профессии, специальности.
В дальнейшем по месту работы в трудовую книжку вносятся сведения о выполняемой работе, переводах на другую постоянную работу, об увольнении с указанием основания прекращения трудового договора, сведения о поощрениях и награждениях. По желанию работника в трудовую книжку по месту основной работы вносятся сведения о работе по совместительству на основании документа, подтверждающего работу по совместительству.
Записи в трудовую книжку о причинах прекращения трудового договора производятся в точном соответствии с формулировками Трудового кодекса или иного федерального закона, со ссылками на их статьи. Так, при прекращении трудового договора с работником, осужденным приговором суда к наказанию в виде лишения права занимать определенные должности или заниматься определенной деятельностью и не отбывшим это наказание, в трудовую книжку вносится запись о том, на каком основании, на какой срок и какую должность он лишен права занимать или какой деятельностью лишен права заниматься.
В трудовые книжки лиц, отбывших исправительные работы без лишения свободы, вносится по месту работы запись о том, что время работы в этот период не засчитывается в непрерывный трудовой стаж. Указанная запись вносится в трудовые книжки по окончании фактического срока отбытия наказания, который устанавливается по справкам органов внутренних дел.
В трудовую книжку по месту работы также вносятся записи о времени военной службы в соответствии с Федеральным законом от 28 марта 1998 г. № 53-ФЗ «О воинской обязанности и военной службе», службы в органах внутренних дел, органах налоговой полиции, органах по контролю за оборотом наркотических средств и психотропных веществ, в таможенных и других правоохранительных органах, о времени обучения на курсах и в школах по повышению квалификации, переквалификации и подготовке кадров.
Как видим, трудовая книжка может содержать значительный объем разнообразной информации о ее владельце, в том числе и выходящей за пределы его трудовой деятельности.
Источниками информации о работнике являются иные предоставляемые им при поступлении на работу документы: страховое свидетельство государственного пенсионного страхования, документы воинского учета, документы об образовании, о квалификации, наличии специальных знаний, ученых степеней и званий.
Информация о работнике, относящаяся к его персональным данным, концентрируется в унифицированных формах первичной учетной документации по учету труда и его оплаты, утвержденных постановлением Государственного комитета Российской Федерации по статистике от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», согласованным с Министерством финансов РФ, Министерством экономического развития и торговли РФ, Министерством труда и социального развития РФ. 9
Обязательность ведения унифицированных форм первичной учетной документации по учету труда и его оплаты распространена на все организации, осуществляющие использование труда наемных работников по трудовому договору на территории Российской Федерации, независимо от их организационно-правовых форм и формы собственности. Некоторые исключения в части учета рабочего времени и расчетов с персоналом по оплате труда предусмотрены лишь для бюджетных учреждений и работодателей - физических лиц.
В соответствии с названным выше постановлением все унифицированные формы первичной учетной документации по учету труда и его оплаты подразделяются на две группы. Первая - это документы по учету кадров, вторая - документы по учету рабочего времени и расчетов с персоналом по оплате труда.
К документам по учету кадров относятся приказ (распоряжение) о приеме работника на работу, личная карточка работника или личная карточка государственного (муниципального) служащего, учетная карточка научного, научно-педагогического работника, приказ (распоряжение) о переводе работника на другую работу, приказ (распоряжение) о предоставлении отпуска работнику, график отпусков, приказ (распоряжение) о прекращении (расторжении) трудового дрговора с работником, приказ (распоряжение) о направлении работника в командировку, командировочное удостоверение и служебное задание для направления в командировку, отчет о его выполнении, приказ (распоряжение) о поощрении работника.
К документам по учету рабочего времени и расчетов с персоналом по оплате труда относятся: табель учета рабочего времени и расчета оплаты труда, расчетная или платежная ведомость, лицевой счет, записка-расчет о предоставлении отпуска работнику, записка-расчет при прекращении (расторжении) трудового договора с работником, акт о приеме работ, выполненных по срочному трудовому договору, заключенному на время выполнения определенной работы.
Получение информации о работнике является правом работодателя. Она необходима ему в первую очередь для эффективной организации трудового процесса. Но информация о работнике может потребоваться работодателю и для исполнения обязанностей, возложенных на него трудовым законодательством. Например, для применения особых правил регулирования труда работников в возрасте до 18 лет (гл. 41 ТК РФ) или лиц с семейными обязанностями (гл. 42 ТК РФ) работодателю потребуется информации о возрасте работника, о наличии у него детей.
Получение информации о работнике может быть не только правом работодателя, но и его обязанностью, предусмотренной как трудовым правом, так и нормативными правовыми актами другой отраслевой принадлежности.
Например, налоговое законодательство, наделяя работодателя статусом налогового агента и возлагая на него обязанности по исчислению, удержанию у работника как налогоплательщика налогов и перечислению их в соответствующие бюджеты или внебюджетные фонды, обязывает работодателя учитывать целый комплекс сведений о работнике.
Сходные обязанности по сбору информации о работнике возлагает на работодателя Федеральный закон от 1 апреля 1996 г. № 27-ФЗ
«Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (действует в ред. от 9 мая 2005 г.).
В результате всего этого у работодателя концентрируется значительный объем разнообразной информации о работнике, совокупность которой и образует его персональные данные, защита которых входит в число обязанностей работодателя как обладателя персональных данных работника, осуществляющего их сбор, хранение, использование, передачу третьим лицам. 10
Ограничение персональных данных от другой информации
С момента появления персональных данных как категории в российском законодательстве в 1995 г. в Федеральном законе «Об информации, информатизации и защите информации» персональные данные сразу же были отнесены к разряду конфиденциальной информации, т.е. информации ограниченного доступа 11 . Принятый впоследствии Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» 12 также содержит их упоминание в качестве конфиденциальной информации. Действующий ныне Федеральный закон «Об информации, информационных технологиях и о защите информации» 13 аналогичным образом говорит о персональных данных в статье об ограничении доступа к информации, однако прямо не называет их в качестве конфиденциальной информации или информации ограниченного доступа, указывая лишь на особый порядок доступа к ним, предусмотренный специальным законом. Федеральный закон «О персональных данных» 14 , что интересно, также не характеризует персональные данные в целом как конфиденциальную информацию, даже более того, наряду с просто определением «персональных данных» содержит определение «общедоступных персональных данных» – термин, который невозможно логически соотнести с информацией ограниченного доступа.
В ст. 4 Закона содержится определение «конфиденциальности персональных данных», которая заключается в их нераспространении, т.е. недопущении действий, направленных на передачу и ознакомление с персональными данными третьими лицами, их опубликование, размещение в отрытом доступе. Соблюдение конфиденциальности не требуется в случае обработки общедоступных персональных данных и в случае их обезличивания, т.е. утраты всякой связи с субъектом, что не позволяет, по-видимому, их в дальнейшем вообще рассматривать в качестве персональных данных. Следовательно, рассматривать персональные данные в целом как информацию ограниченного доступа вряд ли представляется возможным, скорее, было бы правильным ввести в таком случае в оборот категорию «конфиденциальные персональные данные». В итоге из всей массы персональных данных это позволило бы выделить те из них, на которые законодательством распространяется требование соблюдения конфиденциальности. Исключением из правила следует считать случаи, упомянутые в ч. 2 ст. 1 Закона – персональные данные, составляющие государственную тайну, хранящиеся в архивах, находящиеся в едином реестре индивидуальных предпринимателей и юридических лиц, обрабатываемые исключительно для бытовых нужд. На часть из них будет распространяться другой режим ограничения доступа – режим государственной тайны. В отношении двух других случаев будут действовать совершенно другие правовые режимы, в рамках которых говорить об ограничении доступа к персональным данным в полной мере невозможно. Законодательство об архивном деле предусматривает общий запрет на доступ к информации о частной жизни лица, его личной и семейной тайне, о чем можно судить на основании п. 3 ст. 25 Федерального закона «Об архивном деле в РФ» 15 , учитывая, что ни того, ни другого определения законодательно не существует. Сведения единых государственных реестров юридических лиц и индивидуальных предпринимателей являются на основании закона общедоступными, за исключением паспортных данных физических лиц (но не в случае индивидуальных предпринимателей) и информации о банковских счетах юридических лиц, индивидуальных предпринимателей 16 . Последний упомянутый случай исключения из правового режима конфиденциальности персональных данных, когда речь идет об их обработке для личных бытовых нужд, следует рассматривать как достаточно спорный. Вероятно, в таком случае сложно вести речь о конфиденциальности таких персональных данных в полной мере, но можно говорить о существовании общего требования об уважении прав и свобод субъекта персональных данных, в первую очередь права на уважение частной жизни, личную и семейную тайну, при их обработке, установленного Конституцией РФ в ст. 23 и 24 17 .
Возвращаясь, собственно, к режиму конфиденциальности персональных данных, установленному Законом, следует сказать, что его суть, по аналогии с другими видами информации ограниченного доступа, должна заключаться в установлении особого порядка доступа к ним, их использования и распространения. Но в Законе (ст. 1 9) закреплено лишь крайне общее требование – предпринять организационные и технические меры по охране от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Технические меры, которые обязан предпринять оператор, можно считать достаточно определенными, поскольку действуют аналогичные нормативные положения, связанные с защитой иных видов конфиденциальной информации. Такая деятельность по защите конфиденциальной информации осуществляется путем лицензирования и сертификации средств защиты информации Федеральной службой по техническому и экспортному контролю, на основании соответствующих положений 18 . Но вот что касается организационных мер, то здесь совершенно отсутствуют какие-либо четкие указания на этот счет. По аналогии с другими категориями информации ограниченного доступа, такими, как государственная тайна 19 , коммерческая тайна 20 , служебная тайна (в том числе на основании находящегося на стадии рассмотрения в Государственной Думе РФ проекта Федерального закона «О служебной тайне» 21), к таким действиям логически следовало бы отнести:
Установление перечня персональных данных.
Установление круга субъектов, имеющих доступ к персональным данным.
Использование специального грифа и реквизитов, позволяющих в дальнейшем идентифицировать информацию как конфиденциальную, – «Конфиденциально».
Учет (регистрация) лиц, фактически получивших доступ к персональным данным.
Урегулирование отношений по охране конфиденциальности информации работниками и другими лицами на основании трудовых и гражданско-правовых договоров. 22
Во всех перечисленных случаях такие действия должны предприниматься своевременно (заблаговременно), и режим конфиденциальности/ секретности будет установлен в отношении информации, исключительно после принятия всех перечисленных мер. В отношении же персональных данных законодатель от такой четкой регламентации действий оператора по неясным причинам отказался. В частности, сформировать перечень персональных данных, обработка которых осуществляется конкретным оператором, представляется вполне возможным. Закон в ст. 5 указывает на то, что персональные данные не должны быть избыточными и превышать объем, необходимый для достижения заранее заявленных целей, а значит, их конкретный перечень можно и нужно сформировать заблаговременно. То же касается персональных данных, обработка которых разрешена на основании закона (персональные данные работников) или содержащихся в договорах между субъектом персональных данных и оператором (обработка персональных данных клиентов, потребителей, абонентов и т.д.). Хоть их обработка не требует соответствующего уведомления органа по защите прав субъектов персональных данных или согласия последнего их также необходимо было бы включить в рассматриваемый перечень. Использование специального грифа также дало бы возможность четкого обозначения той информации, на которую распространяется режим конфиденциальности персональных данных, установленный Законом.
Отдельно стоит рассмотреть проблему охраны конфиденциальности персональных данных в рамках трудовых отношений. По аналогии с другими видами конфиденциальной информации, такие положения необходимо включать в трудовые договоры с работниками, имеющими доступ к конфиденциальным персональным данным. То же касается предупреждения работников о возможной ответственности за передачу, распространение персональных данных, обязанность работников при увольнении передать все носители и другие материальные объекты, содержащие персональные данные, работодателю, обязанность работника сохранять конфиденциальность персональных данных ставших ему известными при исполнении трудовой функции, после расторжения трудового договора и т.д. К сожалению, Закон не содержит ни одного из указанных положений и, более того, в принципе не выделяет работника, т.е. физическое лицо, которое непосредственно при исполнении своих трудовых обязанностей осуществляет эксплуатацию информационной системы, базы/ банка персональных данных и имеет к ним прямой доступ.
Аналогичная ситуация сложилась в вопросе доступа к информационным системам, базам/банкам персональных данных третьих лиц на основании гражданско-правовых договоров, в частности договоров/ о технической поддержке, направленных на обеспечение бесперебойного функционирования информационных систем, баз/банков персональных данных, и других подобных случаях.
Учет данных рекомендаций позволил бы разрешить множество вопросов, связанных с привлечением к юридической ответственности виновных лиц, и в большей степени ее дифференцировать. Поскольку, по аналогии с другими видами конфиденциальной информации, чаще всего субъектом ответственности является специальный субъект, т.е. лицо, имеющее допуск/ доступ к ней на законном основании и принявшее в добровольном порядке на себя обязательства по сохранению конфиденциальности.
Отметим еще один существенный аспект, связанный с охраной конфиденциальности персональных данных. Основным «конфидентом» в отношении персональных данных, на основании Закона следует считать «оператора», а в некоторых случаях третьих лиц, которые получили к ним доступ. При этом сам субъект персональных данных, являясь одним из участников отношений по охране их конфиденциальности, такой обязанности по закону не несет. Более того, он обладает рядом «эксклюзивных прав» – правом доступа к своим персональным данным, включая право требовать их уточнения, а также, что самое главное, вправе в любой момент снять режим конфиденциальности – согласиться на их общедоступность, сообщить их или передать их третьим лицам, другим операторам, и в целом распорядиться ими по своему усмотрению. Однако оператор, как конфидент, предположительно, обязан сохранять иногда конфиденциальность персональных данных, ставших фактически общеизвестными. К примеру, если они стали таковыми без согласия субъекта в результате противоправных действий, предположим, путем публикации в СМИ. В таких случаях требовать дальнейшего сохранения конфиденциальности информации в большинстве случаев было бы просто нелогично, поскольку эта информации стала общедоступной. Общедоступность же персональных данных четко обусловлена двумя условиями – это согласие субъекта или прямое требование закона (например, положения ст. 7 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» 23 , предусматривающая идентификацию лица при совершении крупных сделок и передачу этой информации в соответствующие государственные структуры). Следовательно, ввиду отсутствия упомянутых выше двух условий в рассматриваемой ситуации, оператор по-прежнему был бы обязан сохранять их «конфиденциальность», как это ни парадоксально. В противном случае это было бы прямым нарушением прав субъекта, который мог пострадать, если бы информация о его частной или личной жизни, содержащаяся в персональных данных, стала предметом всеобщего обсуждения.
Часть указанных проблем в определении содержания правового режима конфиденциальности персональных данных можно объяснить особенностями природы персональных данных, которая тесным образом связана с правом на уважение частной жизни индивида, личную и семейную тайну. Некоторые российские авторы, например В.Н. Лопатин, в связи с этим прямо указывают на персональные данные как на институт охраны права на частную жизнь 24 . Такое положение дел объясняет необходимость особого подхода к персональным данным, при их обработке независимо от существования режима ограничения доступа к ним, поскольку их использование не должно нарушать общих фундаментальных прав индивида, таких, как право на частную жизнь, личную и семейную тайну.
Другая часть проблем объясняется тем, что персональные данные в случае наличия требования их конфиденциальности, которая обоснованно презюмируется, в том числе на основании последовательного анализа положений Закона, можно отнести к числу «производных» тайн 25 или категорий информации ограниченного доступа. Это, в свою очередь, требует от их обладателя принятия безусловных мер по охране их конфиденциальности, поскольку охраняются в данном случае не его права и интересы, а права и интересы других лиц, в частности фундаментальные права и свободы человека. Поэтому, по мнению авторов, в отсутствие прямого интереса обладателя в защите конфиденциальности персональных данных существует необходимость четкого формулирования его обязанности в этом случае.
Последнее, что стоит отметить при характеристике персональных данных как конфиденциальной информации, связано с их соотношением в таком качестве с другими категориями информации с ограниченным доступом, что может представлять некоторые сложности. С одной стороны, персональные данные связаны с необходимостью защиты частной жизни индивида, сферы, по мнению большинства современных авторов 26 , едва ли поддающуюся четкому определению, с другой стороны, почти все определения, в том числе и законодательное, характеризуют их как «любую информацию, которая может быть связана с индивидом или идентифицирована с ним», а следовательно, персональные данные могут охватывать практически все сферы жизни индивида. Совершенно очевидно, что ввиду такой сложной природы они могут потенциально охраняться на условиях других режимов конфиденциальности/секретности, в частности на условиях режима государственной тайны, коммерческой тайны, служебной тайны и многих видов профессиональных тайн (врачебной, нотариальной, тайны усыновления и т.д.). На подобный вывод наталкивает анализ целого ряда положений Закона, по смыслу которых персональные данные составляют одновременно: государственную тайну (ч. 2 ст. 1), личную, семейную тайну, тайну частной жизни (ст. 2, 12), врачебную тайну (п. 3–4 ч. 2 ст. 10 и ст. 12), тайну следствия (л. 6 ч. 2 ст. 10), тайну правосудия и оперативно-розыскной деятельности (ст. 11). Вполне очевидно, что за некоторым исключением в отношении такой информации будут действовать одновременно требования законодательства о защите персональных данных и иного специального законодательства.
В заключение выразим общее суждение о некотором несовершенстве российского Закона в части определения персональных данных в качестве информации ограниченного доступа или конфиденциальной, что было отмечено уже и другими авторами, в частности Н.И. Петрыкиной 27 . В качестве возможных путей совершенствования положений законодательства авторам видится целесообразным сформулировать следующие предложения и выводы.
Во-первых, стоит ввести в законодательную материю понятие «конфиденциальные персональные данные», т.е. персональные данные, на которые, в соответствии законом о персональных данных, распространяется специальный правовой режим ограничения доступа к ним – режим конфиденциальности персональных данных.
Во-вторых, следует выделить в законе о персональных данных основные организационные меры по установлению режима конфиденциальности персональных данных. К таковым мерам следует отнести: установление оператором перечня конфиденциальных персональных данных, обработку которых он осуществляет, определить круг субъектов, которые будут иметь доступ к ним, установить правила использования соответствующих реквизитов на материальных носителях, содержащих конфиденциальные персональные данные.
В-третьих, указать в законе о персональных данных в качестве субъектов отношений по охране конфиденциальности персональных данных, «обладателя» информационной системы, базы/банка персональных данных, и непосредственно «оператора» информационной системы, базы/банка персональных данных, т.е. лицо, которое на основании трудового или гражданско-правового договора осуществляет эксплуатацию, обслуживание такой информационной системы и имеет доступ к персональным данным. Определить особенности их правового статуса и ответственности.
Развитие законодательства о защите персональных данных
Институт персональных данных это достаточно молодой по правовым меркам институт. Его становление тесно связано с развитием конституционных прав и свобод человека и гражданина, и в первую очередь, с правом на неприкосновенность частной жизни.
Право на неприкосновенность частной сферы как юридическая категория зародилось в США. В английском языке все стороны частной жизни обозначаются единым термином «privacy», который не имеет буквального эквивалента в русском языке. Одна из первых попыток сформулировать суть понятия «privacy» была предпринята в 1890 г. известными американскими юристами Сэмюэлем Уорреном и Луисом Брандейсом, которые определили его как «the right to be alone» - право быть оставленным в покое или право быть предоставленным самому себе 28 . В своей статье «Право на приватность» в Гарвардском правовом журнале они утверждали, что приватность подвергается опасности со стороны новых изобретений и методов ведения бизнеса, и обосновывали необходимость создания специального «права приватности». С развитием научного и технического прогресса мы все более убеждаемся в справедливости указанных положений.
Огромную роль в становлении и формулировании права на частную жизнь сыграла деятельность американских судов. Так, в 1965 г. в деле Griswold v. Connecticut судья Верховоного суда США Дуглас вывел право на прайвеси из первых пяти поправок к Конституции США, признав, что эти поправки «охраняют различные аспекты неприкосновенности частной жизни». Широко известны слова, которые он произнес, резюмируя решение суда: «Мы имеем дело с правом на неприкосновенность частной жизни, которое старше, чем Билль о правах».
Сформированная в США концепция прайвеси оказала большое влияние на становление современной системы прав и свобод человека. 10 декабря 1948 года на Генеральной Ассамблеи ООН была утверждена Всеобщая Декларация прав человека, в статье 12 которой устанавливалось, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию; каждый человек имеет право на защиту закона от такого вмешательства и таких посягательств 29 .
В 1950 году аналогичная норма была закреплена в статье 8 Европейской конвенции о защите прав человека и основных свобод в следующей формулировке: «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции». Благодаря данным документам право на неприкосновенность частной жизни получило признание в качестве неотъемлемого права каждого человек.
С развитием информационных технологий внимание и интерес к проблеме неприкосновенности частной жизни начали существенно усиливаться. Появились новые технологии и средства для сбора, хранения и обработки данных, касающихся как личной жизни индивидов, так и их публичной деятельности. В праве остро встал вопрос о принятии особых правил регулирования сбора и обработки персональных данных как все более популярного объекта хозяйственного оборота. В это время наиболее активное развитие норм о защите персональных данных наблюдается в Европе.
Принципы, заложенные в Европейской конвенции о защите прав и основных свобод, получили свое развитие в специальных нормах Конвенции 108 Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных 1981 года, в которой защита данных рассматривается как защита основных прав и свобод индивидов, в частности, их права на неприкосновенность частной жизни в отношении обработки персональных данных.
Впоследствии в Директиве Европейского парламента и Совета Европейского союза от 24 октября 1995 г. №95/46ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных были заложены основы общеевропейской системы защиты персональных данных. В 2000 году в Хартии ЕС об основных правах право на защиту персональных данных было сформулировано в качестве самостоятельного фундаментального права.
Таковы основные этапы формирования нормативного механизма о защите персональных данных на европейском континенте. Заключительным этапом его формирования стало принятие национальных законов стран - участниц ЕС, направленных на регулирование вопросов защиты персональных данных.
Первый в мире специальный Закон о защите персональных данных был принят германской землей Гессен в 1970 г. До этого подобных законов нигде в мире не было. За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были закреплены реальные механизмы правового регулирования оборота персональных данных. Следует отметить, что создание нормативных актов в данной сфере шло самостоятельно наряду с развитием законодательства о защите права на неприкосновенность частной жизни. 30
В России отдельные элементы права на неприкосновенность частной жизни законодательно закреплялись и анализировались еще в дореволюционный период. Так, Почтовый устав 1857г. и Телеграфный устав 1876г. закрепляли тайну корреспонденции, уголовно-правовая охрана указанной тайны осуществлялась на основании норм Уложения о наказаниях уголовных и исправительных 1845г., Уголовного Уложения 1903 г. Так, в Уголовном Уложении 1903г. (ст. 162-170) устанавливался запрет на вмешательство должностных лиц при отправлении ими правосудия в личную и семейную жизнь человека.
После революции подход к проблеме прав человека существенным образом изменился. Так, Конституция РСФСР 1918г., хотя и содержала раздел о правах человека под названием «Декларация прав трудящегося и эксплуатируемого народа» (декларация была принята ранее на III Всероссийском съезде Советов), но не закрепляла даже элементарных прав, минимума личных, политических, экономических, культурных прав человека. В нее вошли лишь запрет эксплуатации, право уравнительного землепользования, освобождение трудящихся масс из-под ига капитала, право трудящихся в управлении.
В 1924 г. была принята новая конституция – Конституция СССР, в которой уже не содержалось Декларации прав. Из прав человека в ней были провозглашены лишь национальная свобода, равенство, единое союзное гражданство. Наряду с этим в Конституции СССР отдельная глава была посвящена учреждению с целью борьбы с политической и экономической контрреволюцией, шпионажем и бандитизмом Объединенного государственного политического управления, которое руководило репрессиями, попирающими все человеческие права.
Впервые глава о правах и обязанностях граждан появилась в Конституции СССР принятой 5 декабря 1936г. накануне массовых репрессий 1937-1938гг. Конституция закрепляла широкий перечень личных прав и свобод таких, как свобода совести (ст. 124), неприкосновенность личности (ст. 127), неприкосновенность жилища и тайна переписки (ст. 128). В теоретическом плане это было серьезным достижением советского права, а в практическом – всего лишь формальностью.
Так, приказом НКВД СССР от 29 декабря 1939 г. было предписано стенографировать все без исключения международные телефонные разговоры сотрудников иностранных посольств и иностранных корреспондентов, а также решением директивных органов была введена цензура всей входящей и исходящей международной корреспонденции.
Не только международные связи контролировались органами государственной безопасности, внутри государства «большое место в контроле над человеком и обществом отводилось деятельности по использованию осведомителей».
Несмотря на очевидное нарушение такой практикой права на неприкосновенность частной жизни, подобные действия оправдываются государствами как необходимые меры обеспечения безопасности.
Уже в 1940-е гг., с расширением репрессивно-карательной политики по отношению к инакомыслящим, с ужесточением тоталитарного режима, проблема прав человека фактически была «закрыта».
Вновь вопрос о правах человека был поднят только в период политической «оттепели» конца 1950-х – начала 1960-х гг., когда в СССР появились первые теоретические исследования по политическим и правовым учениям.
В 1977г. в связи с ратификацией Международного пакта о гражданских и политических правах от 16 декабря 1966г. была принята новая Конституция СССР. Конституция СССР 1977г. стала первой и единственной за весь советский период конституцией, включавшей в отдельном разделе стандартный для развитых европейских стран комплекс гражданских, политических, экономических, социальных и культурных прав. Статьями 54-56 Конституции СССР 1977г. гражданам были гарантированы неприкосновенность личности, жилища, а также охрана законом личной жизни, тайны переписки, телефонных переговоров и телеграфных сообщений. В ст. 57 Конституции СССР 1977г. было оговорено, что уважение личности, охрана прав и свобод граждан - обязанность всех государственных органов, общественных организаций и должностных лиц.
Впервые в России право на неприкосновенность частной жизни как самостоятельное право было сформулировано в Декларации прав и свобод человека и гражданина, принятой накануне распада союзного государства Верховным Советом РСФСР 22 ноября 1991 года. В ней предусматривается запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Впоследствии данная норма будет закреплена в Конституции РФ 1993 года 31 .
В 1995 году Федеральным законом «Об информации, информатизации и защите информации» от 20 февраля 1995г. № 24-ФЗ впервые было законодательно закреплено понятие персональных данных. Согласно статье 2 указанного Федерального закона персональные данные - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Кроме того, указанным законом устанавливались общие принципы сбора, использования информации о гражданах, согласно этому закону персональные данные были отнесены к информации конфиденциального характера.
Следует отметить, что разработка специального закона о защите персональной информации, началась в России еще до принятия Директивы Европейского Парламента и Совета Европы 95/46/ЕС 24 октября 1995 г. «О защите личности в отношениях обработки персональных данных и свободном обращении этих данных». Первоначальный проект закона с рабочим названием «Об информации персонального характера» разрабатывался в 1998 г. в Комитете по информационной политике и связи Государственной Думы РФ при участии рабочей группы экспертов в сфере информационного законодательства. Однако этот проект закона так и не был рассмотрен в Государственной Думе РФ. Затем по истечении более чем двух лет в Совете Безопасности РФ была сформирована другая рабочая группа, которой и был подготовлен проект принятого впоследствии Федерального закона «О персональных данных» от 27.07.2006г. №152-ФЗ 32 .
Основополагающие нормы, регулирующие отношения по поводу персональных данных, содержатся в Федеральном законе «О персональных данных». В соответствии с п. 1 ст. 3 этого Закона персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В соответствии с ч. 1 ст. 85 Г К РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Оценочный характер данного определения отражает лишь общий подход законодателя к категории персональных данных работника. Работодатель может собирать и обрабатывать не любую информацию о лице, являющемся его работником, а лишь ту, которая непосредственно связана с его трудовым правоотношением.
Общие требования к обработке персональных данных работника и гарантия их конфиденциальности
Концентрация у работодателя персонифицированной информации (персональных данных) о работнике предполагает ее обработку. По определению, данному в ч. 2 ст. 85 ТК РФ, обработка персональных данных - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Из этой дефиниции следует, что обработка персональных данных работника охватывает все стадии работы с информацией о работнике - от получения и до передачи ее другим лицам.
Общие требования, подлежащие соблюдению при обработке персональных данных работника, а также гарантии их защиты установлены в целях обеспечения прав и свобод человека и гражданина в ст. 86 ТК РФ, которая включает в себя девять пунктов, каждый из которых формулирует одно из требований, отнесенных к категории общих.
Так, п. 1 ст. 86 ТК РФ требует, чтобы обработка персональных данных работника осуществлялась исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Аналогичным образом решается вопрос о целях сбора персональных данных и в системе государственной службы. Так, в утвержденном Указом Президента РФ от 30 мая 2005 г. № 609 Положении о персональных данных государственного гражданского служащего Российской федерации и ведении его личного дела на этот счет сказано, что при получении, обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать требования, перечень которых приводится в ст. 5 данного Указа.
Первое из таких требований гласит, что обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации, в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей. 33
Пункт 2 ст. 86 ТК РФ устанавливает, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации 34 , Трудовым кодексом Российской Федерации и иными федеральными законами.
Данное требование следует рассматривать как ограничивающее право работодателя самому определять объем и характер сведений о работника, которые необходимы ему для организации эффективных трудовых отношений с работником. Собирая информацию о работнике, работодатель не должен выходить за пределы, установленные Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
Так, работодатель не должен нарушать гарантированные Конституцией Российской Федерации права и свободы человека и гражданина и требовать от работника информацию, нарушающую его право на неприкосновенность частной жизни, личную и семейную тайну (ст. 23), самостоятельно определять и указывать свою национальную принадлежность (ст. 26).
В Трудовом кодексе Российской Федерации объем и характер персональной информации о работнике, которую работодатель должен получить, определяются ст. 65, которая устанавливает перечень документов, представляемых гражданином работодателю при поступлении на работу, и запрещает требовать от лица, поступающего на работу, иные документы помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента и постановлениями Правительства Российской Федерации.
Как уже отмечалось, из этих документов работодатель может почерпнуть информацию о фамилии, имени, отчестве работника, его возрасте, дате и месте рождения, месте жительства, о наличии или отсутствии у него детей, семейных обязанностей, о трудовом стаже, регистрации в системе государственного пенсионного страхования, состоянии на воинском учете, об образовании, квалификации, наличии специальных знаний и т.д.
ГЛАВА II. ПОРЯДОК РАБОТЫ С КОНФЕДЕНЦИАЛЬНЫМИ СВЕДЕНИЯМИ О РАБОТНИКЕ
Конфиденциальными называются документы, содержащие сведения, известные только определенному кругу лиц, не подлежащие огласке, доступ к которым ограничен.
К конфиденциальным относятся документы, имеющие гриф ограничения доступа: «конфиденциально», «коммерческая тайна», «для служебного пользования».
Законодательством РФ предусмотрена ответственность за несанкционированный доступ, разглашение или продажу сведений, имеющих подобные грифы.
Сотрудники, допущенные к конфиденциальным документам, должны пройти инструктаж и ознакомиться с инструкцией по работе с конфиденциальными документами.
Организация делопроизводства, обеспечивающего сохранность и учет конфиденциальных документов, предусматривает:
назначение должностного лица, ответственного за их учет, хранение и использование;
порядок подготовки и размножения документов;
отдельную регистрацию документов;
формирование дел;
организацию выдачи и хранения документов;
проверку наличия документов;
архивное хранение и порядок уничтожения.
Отпечатанные и подписанные документы передаются для регистрации должностному лицу, ответственному за их учет. Черновики, варианты документа, файлы уничтожаются с подтверждением факта уничтожения записью на копии документа.
Размножение конфиденциальных документов производится:
с разрешения руководства предприятия;
с ограниченным количеством копий;
в специально выделенном помещении;
в присутствии должностного лица, ответственного за документ;
с немедленным уничтожением бракованных копий.
Конфиденциальные документы должны регистрироваться отдельно от остальной документации в «Журнале регистрации конфиденциальных документов».
Листы журналов регистрации нумеруются, прошиваются, опечатываются, указывается их общее количество (цифрами и прописью) в заверительном листе.
Все поступающие конфиденциальные документы принимаются и вскрываются специально назначенным должностным лицом.
При поступлении проверяется: количество листов; количество экземпляров; наличие приложений к документу.
Конфиденциальные документы формируются в отдельное дело, которое должно иметь: гриф ограничения доступа; список сотрудников, имеющих право пользоваться этим делом; нумерацию листов; внутреннюю опись документов; заверительный лист.
Хранение дел с конфиденциальными документами производится в опечатываемом сейфе, в специально отведенном помещении, оснащенном средствами охраны.
Выдача и возврат конфиденциальных документов должны отражаться в «Журнале учета выдачи конфиденциальных документов».
При выдаче документа сверяется номер документа с номером в журнале; сверяется количество листов; ставится подпись получателя документа и дата.
При возврате документа сверяется номер документа с номером в журнале; сверяется количество листов; ставится отметка о возврате; ставится подпись получателя документа и дата возврата.
Запрещается:
изъятие конфиденциальных документов из дел;
перемещение их одного дела в другое без разрешения руководства и отметок в «Журнале учета выдачи конфиденциальных документов»;
несанкционированный вынос конфиденциальных документов из офиса. Конфиденциальный документ личный состав регистрационный индекс.
Проверка наличия конфиденциальных документов проводится с целью обеспечения их сохранности; предотвращения утечки конфиденциальной информации.
При установлении факта утраты конфиденциального документа:
ставится в известность руководитель предприятия:
служба безопасности;
принимаются меры к розыску документа.
На утерянный документ составляется акт, вносится соответствующая отметка об утрате в «Журнале регистрации конфиденциальных документов».
Экспертная комиссия предприятия ежегодно отбирает конфиденциальные документы для архивного хранения или уничтожения.
Архивное хранение конфиденциальных документов производится в опечатанных коробках, в помещениях, исключающих несанкционированный доступ.
Уничтожение конфиденциальных документов производится с составлением акта, утверждаемого руководителем предприятия; в присутствии комиссии; с помощью специальной машины (шредера) или иным способом, исключающим возможность восстановления имеющейся в них информации.
Работа кадровой службы с персональными данными
Специфика защиты персональных данных лиц, осуществляющих свою профессиональную деятельность на основании трудового договора, проявляется в том, что основополагающие требования по обработке персональных данных устанавливаются нормами федерального законодательства, а порядок осуществления отдельных операций с персональными данными работника (сбор, хранение, использование, распространение) может детализироваться в локальных правовых актах. В соответствии с абз. 7 ч. 1 ст. 22 ТК РФ за работодателями закреплено право принимать локальные нормативно-правовые акты, в которых могут быть отражены вопросы защиты конфиденциальной информации. 35
Одним из таких локальных нормативно-правовых актов является Положение о персональных данных. Положение определяет основные требования к порядку получения, хранения, комбинирования, передачи или любого другого использования персональных данных работника в связи с трудовыми отношениями в организации.
Разработка и использование эффективной системы обеспечения безопасности персональных данных работников является одной из важных частей системы управления безопасностью персонала, системы охраны жизни и здоровья работников. 36
Основным документом, регламентирующим отношения между работодателем и работником, является трудовой договор, при заключении которого следует учитывать положения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" 37 . Он вступил в силу с 1 января 2007 года и регулирует отношения в области сбора, изменения и передачи сведений федеральными органами государственной власти РФ и ее субъектов, а также юридическими и физическими лицами с использованием средств автоматизации и без них. Цель этого закона - защита прав и свобод человека при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.
Согласно ст. 2 Закона о персональных данных любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: 38
семейное, социальное, имущественное положение;
образование;
профессия;
доходы и другая информация, признаются персональными данными.
фамилия, имя, отчество;
год, месяц, дата и место рождения;
Этот перечень не является закрытым - в него можно включить практически все сведения о работнике, которые получает работодатель.
Помимо этого ст. 10 и 11 Закона о персональных данных установлены специальные данные, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся:
расовой, национальной принадлежности;
политических взглядов, религиозных или философских убеждений;
состояния здоровья, интимной жизни физического лица, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека. 39
Принципы и условия обработки информации
Обработка персональных данных включает все действия и операции с ними, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение. Согласно закону это обычные хозяйственные операции учреждения, с которыми часто сталкивается как руководитель, так и бухгалтерская служба.
В соответствии с п. 1 ст. 6 Закона о персональных данных обработка данных возможна только с согласия работника. Поэтому при оформлении сотрудника на работу необходимо получить от него письменное заявление о согласии на обработку данных. В таком заявлении работник в обязательном порядке должен сообщить:
фамилию, имя, отчество, свой адрес, номер документа, удостоверяющего личность, сведения о дате выдачи и органе, его выдавшем;
наименование и адрес учреждения, которое получило согласие на использование персональных данных;
цель обработки данных;
перечень персональных данных, на обработку которых согласен работник;
перечень действий, на которые дается согласие, общее описание используемых учреждением способов обработки сведений;
срок, в течение которого действует согласие, а также порядок его отзыва (п. 4 ст. 9 Закона о персональных данных).
Представим образец заявления работника (см. приложение).
В процессе трудовой деятельности любой работник может столкнуться с пристальным вниманием со стороны злоумышленников или конкурентов - как своих, так и конкурентов организации, в которой он работает. Статья посвящена вопросам обеспечения безопасности персонала на основе защиты персональных данных работников.
Безопасность собственного персонала - это одно из тех направлений, которое должно быть обеспечено организацией в первую очередь.
Безопасность персонала - это состояние защищенности работников - самого важного ресурса предприятия - от внешних и внутренних угроз, нанесения материального, морального или физического вреда в результате случайных или преднамеренных действий.
Управление безопасностью персонала является сложной проблемой, которая представляет собой управление комплексом организационных и технических мероприятий, снижающих угрозы безопасности персонала на предприятиях. 40
Приведем примерный перечень некоторых потенциальных угроз персоналу: 41
прямое переманивание конкурентами ведущих руководителей и специалистов;
вербовка сотрудников конкурирующими и криминальными структурами, а в отдельных случаях - правоохранительными органами;
шантаж или прямые угрозы в адрес конкретных сотрудников с целью склонения их к нарушению доверия со стороны работодателя (т. е. к совершению различных должностных нарушений);
покушения на сотрудников (прежде всего высших руководителей) и членов их семей.
Подобные угрозы могут быть реализованы в любой организации и по отношению к любому сотруднику, к которому по той или иной причине появился интерес со стороны злоумышленников. Осуществление подобных угроз возможно за счет знания злоумышленниками персональной информации, личных специфических данных о работнике.
Работа кадровых служб всегда связана с накоплением, формированием, обработкой и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к персональным данным, которые по своей сути отражают личную и семейную тайну работников, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа. Бесконтрольное распространение персональных данных может нанести значительный ущерб как физическому лицу - субъекту персональных данных, так и организации, в стенах которой произошла утечка конфиденциальной информации.
В организации защиты персональных данных на локальном уровне особое внимание должно быть уделено элементарным требованиям по правильной, грамотной, квалифицированной кадровой работе, профессиональному уровню подготовки и информационно-правовой культуре сотрудников кадровых подразделений. Несоблюдение сотрудниками кадровых подразделений организационных условий, направленных на защиту персональных данных работников, может способствовать образованию каналов утечки конфиденциальной информации.
Основные аспекты передачи персональных данных работника и защита информации при работе с персональными данными на ЭВМ
Установленные в ст. 86 ТК РФ общие требования при обработке персональных данных работника призваны обеспечивать безопасное хранение и использование работодателем конфиденциальной информации о работниках. Основное назначение этих требований - обеспечение соблюдения конституционных прав работников на неприкосновенность персонифицированных сведений о них. Эти общие требования работодатель должен знать и учитывать прежде всего при разработке правил их получения, обработки, хранения, использования, передачи третьим лицам. 42
Возложив на работодателя обязанность разработать и ввести в действие указанные правила, ст. 87 ТК РФ определила, что эти правила устанавливаются работодателем с соблюдением требований Трудового кодекса Российской Федерации и иных федеральных законов. Они должны обеспечивать соблюдение законодательства при хранении персональных данных работника, недоступность этих сведений для лиц, которые не имеют допуска к работе с документами и другими источниками информации о личности работника.
Все документы и материалы, содержащие персональные данные работника, в своей совокупности образуют его личное дело. В него помещаются заявление работника о приеме на работу, его анкета, копии документов об образовании, квалификации, приказ (распоряжение) о принятии на работу, экземпляр трудового договора, все предусмотренные нормативными актами стандартные унифицированные формы первичной учетной документации по кадровой работе и по учету труда и его оплаты. 43 В дело помещается также заявление работника об увольнении, материалы, явившиеся основанием расторжения трудового договора или его прекращения, приказ (распоряжение) работодателя, которым прекращены трудовые отношения с работником.
Общий порядок ведения и хранения личного дела работника устанавливает работодатель, а ведут его, как правило, работники отделов кадров или иных служб работодателя. Для них работодателем устанавливаются специальные обязанности по обеспечению сохранности и конфиденциальности информации, образующей персональные данные работников. Эти обязанности должны быть включены в трудовые договоры работников, трудовой функцией которых является обработка персональных данных работников.
Разрабатывая и принимая правила хранения и использования персональных данных работников, работодатель должен установить сроки хранения различных документов и материалов, как образующих личное дело работника, так и не вошедших в него. 44 При этом работодатель должен учитывать, что сроки хранения наиболее важных документов, содержащих персональные данные работников, определяются различными нормативными актами, среди которых можно назвать Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков их хранения, утвержденный руководителем Федеральной архивной службы России 6 октября 2000 г.
В частности, в соответствии с этим Перечнем личные дела (заявления, автобиографии, копии приказов и выписки из них, копии личных документов, характеристики, листки по учету кадров, анкеты, аттестационные листы и др.) руководителя организации, членов руководящих, исполнительных, контрольных органов организации, а также работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно.
Аналогичные документы других работников хранятся 75 лет.
Также в течение 75 лет хранятся не вошедшие в состав личных дел трудовые договоры, характеристики, личные карточки, другие материалы (в том числе временных работников).
Трудовые книжки и дубликаты трудовых книжек, не полученные работниками при увольнении либо в случае смерти работника не полученные его ближайшими родственниками, хранятся в течение двух лет в кадровой службе работодателя отдельно от остальных трудовых книжек. По истечении указанного срока невостребованные трудовые книжки хранятся в архиве организации в течение 50 лет, после чего подлежат уничтожению в установленном порядке.
Документы лиц, не принятых на работу (анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма, резюме и др.), хранятся работодателем один год. 45
В течение действия трудового договора с работником, а также в течение сроков хранения документов, содержащих персональные данные о работнике, эти данные используются работодателем, в том числе передаются другим лицам, в результате чего информация о работнике может получить широкое распространение.
По общему правилу, закрепленному в ст. 88 ТК РФ, передача работодателем персональных данных работника другим лицам допускается только при наличии добровольного волеизъявления работника, подтвержденного его письменным заявлением. Исключения из этого правила могут предусматриваться Трудовым кодексом Российской Федерации и иными федеральными законами, например, с целью обеспечения безопасности работников.
В целом ст. 88 ТК РФ «Передача персональных данных работника» устанавливает семь требований, которые работодатель должен соблюдать при передаче информации о работнике другим лицам. 46
Первое из таких требований запрещает работодателю сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
Из этого следует, что работодатель может сообщать персональные данные работника третьему лицу только с письменного согласия работника. Без такого согласия работодатель может сообщать персональные данные работника третьему лицу только в двух случаях: а) когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, например, передача сведений о группе крови лица, находящегося в тяжелом состоянии; б) в других случаях, предусмотренных федеральным законодательством. 47
Так, федеральными законами предусмотрено обязательное направление работодателем соответствующей информации о своих работниках в Фонд социального страхования, в Пенсионный фонд, в налоговые органы, в органы государственного надзора и контроля за соблюдением законодательства о труде, в органы исполнительной власти и профессиональных союзов, участвующих в расследовании несчастных случаев на производстве, в суд, прокурору, в органы предварительного следствия и дознания.
В соответствии со ст. 357 ТК РФ государственные инспекторы труда при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимые для выполнения надзорных и контрольных функций, включая персональные данные работников.
По предписанию, содержащемуся в ч. 2 ст. 228 ТК РФ, при несчастном случае на производстве, вызвавшим причинение вреда здоровью двум человекам и более или со смертельным исходом, работодатель (его представитель) в течение суток обязан направить об этом необходимую информацию: в соответствующую государственную инспекцию труда; в прокуратуру по месту происшествия несчастного случая; в федеральный орган исполнительной власти по ведомственной принадлежности и в орган исполнительной власти субъекта Российской Федерации; в организацию, направившую работника, с которым произошел несчастный случай; в территориальные объединения организаций профсоюзов; страховщику по вопросам обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.
Эту информацию в те же органы при несчастном случае направляет любой работодатель - как организация, так и физическое лицо. 48
Второе требование, содержащееся в ст. 88 ТК РФ, запрещает работодателю сообщать персональные данные работника в коммерческих целях без его письменного согласия.
Важность персональных данных работника, как и любого гражданина, с точки зрения их коммерческой и иной значимости трудно переоценить. Они всегда пользовались спросом и в деятельности государства, которое собирало сведения о своих гражданах в разнообразных информационных банках, и кредиторами, и работодателями, которые запрашивали или требовали от граждан самую разную информацию о них - имя, дату и место рождения, адрес места жительства, наличие семьи, образования и т.д.
С наступлением эры компьютеров и телекоммуникационных технологий конфиденциальная информация, образующая персональные данные гражданина, становится практически общедоступной. Снижение затрат времени и финансовых средств на ее получение сделало подобную информацию объектом бизнеса, доходным видом предпринимательской деятельности (не всегда законной). Об этом свидетельствует наличие на компьютерных рынках большого количества различных баз данных, содержащих информацию персонального характера о гражданах как абонентах телефонных сетей, владельцах автомототранспортных средств, собственниках недвижимого имущества, налогоплательщиках. В них приводятся достаточно полные сведения о лице, дате и месте рождения, месте жительства, информация о заболеваниях, привычках, увлечениях, пристрастиях и др. 49
Информация о работнике в коммерческих целях может предоставляться работодателем партнерам по бизнесу как о своих представителях, чтобы обеспечить доверие к ним со стороны контрагента. Об объеме и характере такой информации работник должен быть осведомлен, поскольку анализируемая норма требует для использования персональной информации в коммерческих целях получение письменного согласия работника.
Третье требование обязывает работодателя предупредить лиц, получающих от него персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности) обработки и использования полученной информации. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.
В четвертых, работодатель обязан обеспечить осуществление передачи персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.
Такие локальные нормативные акты могут разрабатываться в качестве самостоятельного документа (положения, инструкции) или в качестве приложения к коллективному договору. Они должны учитывать действующее законодательство, инструкции и положения, касающиеся допуска граждан к сведениям, относящимся к государственной и иным видам тайны.
Пятое требование, предусмотренное в ст. 88 ТК РФ, устанавливает, что работодатель должен разрешать доступ к персональным данным работников только специально уполномоченным лицам. При этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
Без дополнительного разрешения к документам, содержащим персональные данные работника, допускаются только лица, представляющие такие документы, их исполнители, работники, которые визировали, подписывали или утверждали документ, а также лица, указанные или названные в тексте документа.
Шестое требование гласит, что работодатель не вправе запрашивать информацию о состоянии здоровья работника, за исключением тех сведений о его здоровье, которые необходимы для рассмотрения вопроса и принятия решения о возможности выполнения работником конкретной трудовой функции, обусловленной трудовым договором.
Информация о состоянии здоровья гражданина составляет врачебную тайну. Передача ее кому бы то ни было допускается только с согласия работника или его законного представителя. Исключение составляют случаи, когда информация о состоянии здоровья работника передается работодателю при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений или при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий. Информация о состоянии психического здоровья гражданина может передаваться работодателю лишь в случаях, установленных федеральными законами, например, законом «О психиатрической помощи и гарантиях прав граждан при ее оказании».
Работодателю информация о состоянии здоровья работника, необходимая для решения вопроса о возможности выполнения им конкретной трудовой функции, представляется в форме медицинского заключения с выводом о соответствии или несоответствии работника по состоянию здоровья конкретной должности или виду работы.
Наконец, седьмое требование, предусмотренное в ст. 88 ТК РФ, гласит, что работодатель обязан передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Представители работников, например, выборный профсоюзный орган, применительно к получению персональных данных работника являются третьей стороной. Поэтому передача работодателем им данной информации осуществляется в соответствии с ограничениями и правилами, установленными ст. 88 ТК РФ. Представители работников обязаны соблюдать режим конфиденциальности полученных ими персональных данных работника. 50
Круг информации о работнике, передаваемой представителям работников, определяется функциями и полномочиями представителей. Общей функцией любого представителя работников в сфере трудовых отношений является участие в коллективных переговорах по заключению коллективного договора, при разрешении коллективных трудовых споров, при защите работника в процессе индивидуального трудового спора. Поэтому персональная информация о работниках может служить выработке условий коллективного договора, разрешению коллективного конфликта, принятию решения по индивидуальному трудовому спору, обеспечению интересов данного работника, улучшению условий работы всем или отдельным категориям работников. 51
Важная роль в защите персонифицированной информации о работнике отводится и самому работнику как стороне трудового договора. В целях обеспечения защиты персональных данных, хранящихся у работодателя, ст. 89 ТК РФ наделяет работников правом: 52
на полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или без действия работодателя при обработке и защите его персональных данных.
Предусматривая права и обязанности сторон трудового договора, направленные на защиту персональных данных работника, в ст. 90 ТК РФ «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника» Кодекс устанавливает, что лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. 53
Как можно заметить, данная норма носит отсылочно-бланкетный характер, так как отсылает к нормам трудового права, предусматривающим дисциплинарную ответственность, а также к нормам других отраслей права, устанавливающим правила получения, обработки и защиты персональных данных работника, за нарушение которых установлена административная, гражданско-правовая или уголовная ответственность.
По мнению авторов Комментария к Трудовому кодексу Российской Федерации 54 , перечень видов юридической ответственности, указанных в ст. 90 ТК РФ, не является исчерпывающим, поскольку лица, виновные в нарушении правил работы с персональными данными работника, также могут быть привлечены к материальной ответственности. Причем к материальной ответственности за виновное нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных работника, могут привлекаться как работодатель, так и работники, непосредственно обрабатывающие персональные данные работников.
Административная ответственность в виде штрафа в размере от 5 до 10 минимальных размеров оплаты труда для должностных лиц, а для юридических лиц - от 50 до 100 или более минимальных размеров оплаты труда может наступить за совершение таких проступков, предусмотренных Кодексом Российской Федерации об административных правонарушениях, как:
отказ в предоставлении гражданину информации, собранных в установленном порядке документов, материалов, непосредственно затрагивающих его права и свободы, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39);
нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11);
нарушение правил защиты информации, за исключением информации, составляющей государственную тайну (ст. 13.12);
незаконная деятельность в области защиты информации (ст. 13.13);
разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
Субъектами административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах и за нарушение правил защиты информации могут быть как работодатели - физические лица, так и работодатели - юридические лица (организации), их руководители и конкретные работники, исполняющие трудовые функции, связанные со сбором, хранением, использованием персональных данных работников. 55
Гражданско-правовая ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, наступает в случае, если такое нарушение причиняет ущерб неотчуждаемым правам и свободам человека и другим нематериальным благам, к числу которых относятся честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна (ст. 2, 150 ГК РФ).
Гражданско-правовая ответственность может выражаться в возложении обязанности по возмещению имущественного ущерба или компенсации морального вреда. Например, моральный вред работнику может быть причинен в результате виновного распространения персональных данных работника, в случае представления третьим лицам недостоверной информации о работнике, содержащей сведения, порочащие его честь, достоинство, деловую репутацию.
Компенсация морального вреда и защита чести, достоинства и деловой репутации работника осуществляется по основаниям, установленным ст. 151, 152 ГК РФ, в порядке гражданского судопроизводства.
Уголовная ответственность за нарушение правил работы с персональными данными работника может наступить при условии, если это нарушение содержит признаки состава какого-либо преступления против конституционных прав и свобод человека.
Среди них может быть нарушение неприкосновенности частной жизни (ст. 137 УК РФ), выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо в распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан. Наказывается это преступление штрафом до 200 000 руб. (ч. 1) или штрафом до 300 000 руб. (ч. 2), если оно совершено с использованием служебного положения, либо иными наказаниями, альтернативно предусмотренными в санкциях ч. 1 и 2 ст. 137 УК РФ.
Другим преступлением в этой сфере является отказ в предоставлении гражданину информации. В соответствии со ст. 140 УК РФ данное преступление выражается в неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан.
Наказывается это преступление штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
Как отмечает А.М. Лушников, лица, виновные в нарушении законодательства об обработке персональных данных работника, могут быть привлечены к уголовной также по ст. 129 УК РФ за клевету, если представители работодателя допустят при обработке персональных данных работника распространение о нем заведомо ложных сведений, порочащих его честь и достоинство или деловую репутацию, а также по ст. 130 УК РФ, если при обработке персональных данных работника будет допущено унижение его чести и достоинства в неприличной форме, например с использованием нецензурной брани. 56
Неправомерный доступ к охраняемой законом компьютерной информации, в электронно-вычислительной машине, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию или копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети – наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. 57
Как известно реализация Федерального закона № 152-ФЗ неоднократно откладывалась. Дело в том, что достижение соответствия ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов компании. Но наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее – их неконкретность. Исполнение некоторых требований стало практически невыполнимой задачей, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы. Так, согласно сделанным расчетам защита персональных данных в соответствии с законом требует увеличения финансовых средств в 3-5 раз.
Технические меры по защите информации подразумевают: 58
средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические средства и т.п.);
средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).
Все программные средства по защите информации должны пройти оценку соответствия в установленном порядке.
Следовательно, для того, чтобы обеспечить соблюдение требований Федерального закона № 152 – ФЗ придется существенно изменить работу с информацией и документацией, содержащих персональные данные.
Действия по реализации требований Федерального закона № 152-ФЗ включают в себя:
1. Проведение инвентаризации всех систем обрабатывающих персональные данные.
2. Наличие согласий субъектов на обработку их персональных данных.
3. Формирование перечня персональных данных, оценка законности обработки ПД.
5.Формирование документов, регламентирующих работу с персональными данными.
6. Формирование модели угроз, содержащих актуальные угрозы информационной безопасности персональных данных при их обработке.
7. Определение класса ИСПД и выработка решений по снижению класса информационной системы. Порядок проведения классификации информационных систем утвержден совместным Приказом ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 г. № 55/86/20. Цель проведения классификации – установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
8. Утверждение акта классификации.
10. Контроль ИСПД.
При выполнении указанных действий, информационная система персональных данных будет соответствовать требованиям закона. 59
Контроль защиты персональной информации работника
Контроль за исполнением требований закона возложен на Федеральную службу безопасности (ФСБ России), Федеральную службу по техническому и экспортному контролю (ФСТЭК) и Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Каждое из этих ведомств выполняет свою задачу. Так, ФСБ России курирует вопросы безопасности персональных данных при их обработке в информационных системах, в том числе защиту информации с использованием средств шифрования (криптографии).
Компетенции ФСТЭК России - защита информации с применением технических средств, в том числе подтверждение отсутствия в средствах защиты не декларируемых возможностей. Технические средства защиты персональных данных необходимо сертифицировать.
Роскомнадзор является основным регулятором в области защиты прав физических лиц, чьи персональные данные обрабатываются. Сотрудники этого ведомства имеют право:
проверять сведения в уведомлении, поданном оператором;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов и представлять их интересы в суде. А также направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии;
направлять материалы в правоохранительные органы для решения вопроса о возбуждении уголовного дела в связи с нарушением прав субъектов персональных данных;
привлекать к административной ответственности лиц, виновных в нарушении закона.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации влечет наложение административного штрафа на граждан от пятисот до тысячи рублей с конфискацией несертифицированных средств защиты информации, на должностных лиц - от одной до двух тысяч рублей, а на юридических лиц – от десяти до двадцати тысяч рублей с конфискацией несертифицированных средств.
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) лицом, которое имело к ней доступ по служебным или профессиональным обязанностям, влечет наложение на должностных лиц административного штрафа – от четырех тысяч до пяти тысяч рублей. 60
Неправомерный доступ к охраняемой законом компьютерной информации, в электронно-вычислительной машине, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию или копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети – наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. 61
Как известно, реализация Федерального закона № 152-ФЗ неоднократно откладывалась. Дело в том, что достижение соответствия ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов компании. Но наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее – их неконкретность. Исполнение некоторых требований стало практически невыполнимой задачей, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы. Так, согласно сделанным расчетам защита персональных данных в соответствии с законом требует увеличения финансовых средств в 3-5 раз. 62
Все это свидетельствует о необходимости дальнейшего совершенствования нормативно-правовой базы, регулирующей отношения по обработке персональных данных.
В соответствии с действующим законодательством предусмотрено несколько видов ответственности за нарушение норм в области защиты персональных данных (гражданско-правовая, материальная, дисциплинарная, административная и уголовная). Для отдельных составов правонарушений установлены санкции в отношении не только физических и должностных, но и юридических лиц. Таким образом, привлечение к отдельным видам ответственности возможно и для работников, и для работодателей.
Статья 150 ГК РФ к числу неотъемлемых и неотчуждаемых нематериальных прав, подлежащих правовой защите, относит личную неприкосновенность, неприкосновенность частной жизни, личную и семейную тайну. Гражданско-правовая ответственность за посягательство на неприкосновенность частной жизни непосредственно связана с категорией морального вреда. Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
При определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные, заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред (ст. 151 ГК РФ) 63 . Кроме того, гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина (ст. 152 и 153 ГК РФ). Разъяснения вопросов, связанных с причинением морального вреда, содержатся в постановлении Пленума Верховного Суда РФ от 20 декабря 1994 г. № 10 «Некоторые вопросы применения законодательства о компенсации морального вреда». Компенсация морального вреда осуществляется в денежной форме. Характер физических и нравственных страданий оценивается судом с учетом фактических обстоятельств, при которых был причинен моральный вред, и индивидуальных особенностей потерпевшего (ст. 1101 ГК РФ).
Материальная ответственность работника за разглашение сведений, относящихся к персональным данным других работников, возлагается на него в полном размере причиненного ущерба (п. 7 ст. 243 ТК РФ). Случаи полной материальной ответственности являются исключениями из общего правила, что подтверждает особое значение института защиты персональных данных работников в отечественном трудовом праве.
Дисциплинарная ответственность в виде увольнения наступает для работника, разгласившего охраняемую законом тайну (в том числе персональные данные другого работника). Однако необходимо, чтобы эти сведения стали известны работнику в связи с исполнением им своих трудовых обязанностей (поди, «в» п. 6 ст. 81 ТК РФ). В соответствии со ст. 192 ТК РФ привлечение работника, совершившего дисциплинарный проступок, является правом, а не обязанностью работодателя. При наложении дисциплинарного взыскания работодатель должен учесть тяжесть совершенного проступка и обстоятельства, при которых он был совершен. Поэтому вместо увольнения работодатель вправе наложить на виновное лицо взыскание в виде замечания или выговора. Права и обязанности работника в отношении доступа к персональным данным других работников определяются сто трудовой функцией, другими условиями трудового договора, а также содержанием локальных нормативных правовых актов, определяющих перечень его должностных обязанностей.
Административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 0,3 тыс. до 0,5 тыс. руб.; на должностных лиц - от 0,5 тыс. до 1 тыс. руб.; на юридических лиц - от 5 тыс. до 10 тыс. руб. (ст. 13.11 Кодекса РФ об административных правонарушениях (далее - КоАП РФ)). Разглашение информации ограниченного доступа лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 0,5 тыс. до 1 тыс. руб.; на должностных лиц - от 4 тыс. до 5 тыс. руб. (ст. 13.14 КоАП РФ).
Уголовная ответственность за нарушение неприкосновенности частной жизни предусмотрена ст. 137 Уголовного кодекса РФ 64 . Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
ЗАКЛЮЧЕНИЕ
Защиту персональных данных работника можно рассматривать в нескольких аспектах. Во-первых, это гарантии, закрепленные в трудовом праве, которое представляет собой совокупность норм, регулирующих отношения по поводу персональных данных работника. Во-вторых, это система мероприятий организационно-правового характера, направленных на реализацию законодательных положений и выражающих политику работодателя в данной сфере. В-третьих, это обеспечение субъективного права работника на защиту своих персональных данных.
Информационные отношения возникают как между работником и работодателем, так и между каждым из них и третьими лицами. Отношения между работником и работодателем являются основными информационными отношениями. Поэтому их регулированию в законодательстве о труде отдастся приоритет. Работник не только обязан предоставлять сведения о себе, но и имеет право получать достоверную информацию об условиях труда и о требованиях охраны труда на рабочем месте (ст. 21 ТК РФ). Каждый работник имеет право на получение от работодателя достоверной информации об условиях и охране труда на рабочем месте, о существующем риске повреждения здоровья, а также о мерах по защите от воздействия вредных и (или) опасных производственных факторов (ч. 3 ст. 219 ТК РФ). Статья 210 этого Кодекса содержит термин «единая информационная система охраны труда». Получение от работодателя информации по вопросам, непосредственно затрагивающим интересы работников, является одной из основных форм участия работников в управлении организацией (ст. 53 ТК РФ). Работодатель обязан предоставлять представителям работников полную и достоверную информацию, необходимую для заключения коллективного договора, соглашения и контроля за их выполнением (ст. 22 ТК РФ).
Определенные нормы отечественного кодифицированного закона о труде регулируют отношения по поводу конфиденциальной информации. Согласно ч. 3 ст. 57 ТК РФ в трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Работодатель имеет право расторгнуть трудовой договор в случаях разглашения работником охраняемой законом тайны, ставшей известной ему в связи с исполнением им трудовых обязанностей, прекращения допуска к государственной тайне, если выполняемая работа требует допуска к государственной тайне (подп. «в» п. 6 ст. 81 ТК РФ). На работника возлагается материальная ответственность в полном размере причиненного ущерба в случае разглашения сведений, составляющих охраняемую законом тайну. В соответствии с ч. 8 ст. 37 ТК РФ участники коллективных переговоров, другие лица, связанные с велением коллективных переговоров, не должны разглашать полученные сведения, если эти сведения относятся к охраняемой законом тайне. Лица, разгласившие указанные сведения, привлекаются к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в установленном законодательством порядке. Персональные данные гражданина в соответствии с действующими нормативными актами относятся к сведениям конфиденциального характера1. Поэтому положения ТК РФ по поводу охраняемой законом тайны также относятся к персональным
В рыночных условиях хозяйствования эффективность и результативность деятельности работодателя непосредственным образом связаны с ее своевременным обеспечением информационными ресурсами. Деятельность работодателя в отношении персональных данных работника регулируется императивными нормами, что обусловлено публичной составляющей отрасли трудового права в целом и института защиты персональных данных работника в частности. Право на защиту персональных данных имеет абсолютный характер. Оно предоставлено каждому работнику безотносительно к размеру его вклада в достижение организацией поставленных задач. Поэтому согласно п. 9 ст. 86 ТК РФ работники не должны отказываться от своих прав на сохранение и защиту тайны.
Свое право на защиту персональных данных работники могут реализовать путем свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника; путем определения своих представителей для защиты своих персональных данных; путем получения полной информации о персональных данных и их обработке; путем предъявления к работодателю требования об исключении или исправлении неверных либо неполных персональных данных, а также данных, обработанных с нарушением законодательных требований; путем обжалования в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника и др. (ст. 89 ТК РФ).
Таким образом, все поставленные во введении задачи были выполнены в ходе написания работы, а следовательно, цель работы достигнута.
СПИСОК ЛИТЕРАТУРЫ
Нормативные правовые акты
Всеобщая декларация прав человека Организации Объединенных Наций от 10 декабря 1948 года принята Генеральной Ассамблеей ООН 10 декабря 1948 года. // Международное публичное право: сборник документов.-М.: БЕК, 1996.-Т. 1.-С. 460-464.
Закон РФ от 27.12.1991 № 2124-1 «О средствах массовой информации» Электронный ресурс.: [текст в ред. от 27.07.2012] // Консультант Плюс- справочная правовая система. Версия 3000.02.12. М.: ЗАО «Консультант Плюс», 1992-2006.
Семейный кодекс Российской Федерации от 29.12.1995 № 223-Ф3 Электронный ресурс.: [принят ГД ФС РФ 08.12.1995: текст в ред. от 03.06.2012] // Консультант Плюс справочная правовая система. Версия 3000.02.12.-М.: ЗАО «Консультант Плюс», 1992-2006.
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ Электронный ресурс.: [принят ГД ФС РФ 21.12.2001: текст в ред. от 30.06.2012] // Консультант Плюс справочная правовая система. Версия 3000.02.12. -М.: ЗАО «Консультант Плюс», 1992-2006.
Уголовный кодекс Российской Федерации от 13.06.1996 № 63-Ф3 Электронный ресурс.: [принят ГД ФС РФ 24.05.1996: текст в ред. от 27.07.2012] // Консультант Плюс справочная правовая система. Версия 3000.02.12. - М.: ЗАО «Консультант Плюс», 1992-2006.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Электронный ресурс.: [принят ГД ФС РФ 08.07.2006] // Консультант Плюс справочная правовая система. Версия 3000.02.12. - М.: ЗАО «Консультант Плюс», 1992-2012.
Научная литература
Алавердов А. Р. Организация и управление безопасностью в кредитно-финансовых организациях: Учебное пособие. М.: Московский государственный университет статистики и информатики, 2004.
Балашкина И.В. Особенности конституционного регулирования права на неприкосновенность частной жизни в Российской Федерации // Право и политика. 2007. №7. С. 92-105.
Бачило И..Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2006. с.473.
Блоцкий В.Н. Конституционное обеспечение права человека на неприкосновенность частной жизни в Российской Федерации: Автореф. дис. канд. юрид. наук. М., 2007. с. 31.
Борисова С. А. Общие требования при обработке персональных данных работника и гарантии их защиты // Трудовое право. - 2005. - N 11. - С. 30-36.
Глушкова С.И. Права человека в России: теория, история, практика: учеб. Пособие. Екатеринбург. 2008. с.748.
Ищейнов В. Я. Персональные данные в законодательных и нормативных документах Российской Федерации и информационных системах // Делопроизводство. - 2008. - N 3. - С. 87-90.
Кибанов А. Я. Управление персоналом организации: Учеб. 4-е изд., доп. и перераб. М.: Инфра-М, 2010. 695 с.
Кужукеева Г. Право на частную жизнь и право на свободу выражения: проблемы соотношения. [Электронный ресурс]. URL: http://medialaw.asia
Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 Трудового кодекса РФ // Трудовое право. 2009. № 9. С. 93-101.
Маркевич А. С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях: Автореф. дис. на соиск. уч. ст. канд. юрид. наук. Воронеж, 2006.
Новичкова Ю. В. Персональные данные - без права передачи, или Особенности расторжения трудового договора за разглашение персональных данных // Справочник кадровика. - 2007. - N 1. - С. 14-23.
Орловский Ю. П., Кузнецов Д. Л., Белицкая И. Я., Корякина Ю. С. Кадровое делопроизводство (правовые основы): Практическое пособие / Под ред. Ю. П. Орловского. М.: Контракт, 2009. 239 с.
Преображенский, Е. Инсайдер: вариант с заклеиванием USB-порта не поможет / Управление персоналом. - 2009. - N 7 (209). - С. 8-15.
Савинцева М. Правовая защита персональной информации граждан в России // Законодательство и практика масс-медиа. - 2006. - № 9. [Электронный ресурс]. URL: http://www.medialaw.ru/publications
Соколова О. С. Проблемы реализации Федерального закона "О персональных данных" // Современное право. - 2006. - N 9. - С. 37-41.
Федосова, М. А. Защита персональных данных работника // Финансовые и бухгалтерские консультации. - 2007. - N 11. - С. 71-74.
Хачатурян Ю. А. Право работника на защиту персональных данных // Современное право. - 2006. - N 1. - С. 43-51.
Чаннов, С. Е. Правовой режим персональных данных на государственной и муниципальной службе // Российская юстиция. - 2008. - N 1. - С. 21-23.
Чиркин В.Е. Конституционное право зарубежных стран: Учебник. 4-е изд., перераб. и доп. - М.: Юристъ, 2005. с. 391.
Янковая В. Ф. Положение о защите персональных данных работников. М.: ООО "Профессиональное издательство" // Секретарь-референт. 2008. N 2.
Приложение
Руководителю музыкального театра,
расположенного
по адресу:
г.
Москва, ул. Неизвестная, д. 6,
Иванову
Ивану Ивановичу
от
Сидорова Петра Михайловича
(паспорт
N 33 00 612745, выдан
Ленинским
ОВД г. Москвы 25.02.2001)
Заявление.
Я, Сидоров Петр Михайлович, даю свое согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение своих персональных данных:
Фамилия, имя, отчество;
Год, месяц, дата и место рождения;
Семейное, социальное, положение;
Образование;
Профессия;
Доходы, полученные мной в данном учреждении, для передачи в налоговую инспекцию по форме 2-НДФЛ и органы ПФР индивидуальных сведений о начисленных страховых взносах на обязательное пенсионное страхование и данных о трудовом стаже.
8 Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ
9 Бачило И..Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2006. с.473.
10 Борисова С. А. Общие требования при обработке персональных данных работника и гарантии их защиты // Трудовое право. - 2005. - N 11. - С. 30-36.
11 Об информации, информатизации и защите информации: федеральный закон от 20 февраля 1995 г. № 24-ФЗ, ч. 1 ст. 11 // Российская газета. 2003
12 Об утверждении Перечня сведений конфиденциального характера: указ Президента РФ от 6 марта 1997 г. № 188 // Справочная правовая система «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru
13 Об информации, информационных технологиях и о защите информации: федеральный закон от 27 июля 2006 г. № 149-ФЗ // Российская газета. 2006
14 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Электронный ресурс.: [принят ГД ФС РФ 08.07.2006] // Консультант Плюс справочная правовая система. Версия 3000.02.12. - М.: ЗАО «Консультант Плюс», 1992-2012.
15 Об архивном деле: федеральный закон от 22 октября 2004 г. № 125-ФЗ (в ред. Федерального закона от 4 декабря 2006 г. № 202-ФЗ) // Справочная правовая система «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru
16 О государственной регистрации юридических лиц и индивидуальных предпринимателей: федеральный закон 8 августа 2001 г. № 129-ФЗ, ст. 6 (в ред. Федерального закона от 4 декабря 2006 г. № 202-ФЗ) // Правовая система «Гарант» по состоянию на 1 мая 2008 г. URL: http://www.garant.ru
17 Конституция РФ. Принята всенародным голосованием 12.12.1993г. // Российская газета. 25.12.1993.
18 Положение о сертификации средств защиты информации. Утверждено Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 (с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808); Положение о сертификации средств защиты информации по требованиям безопасности информации. Утверждено Приказом Председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199; Положение о лицензировании деятельности по технической защите конфиденциальной информации. Утверждено Постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504
19 О государственной тайне: закон Российской Федерации от 21 июля 1993 г. № 5485-1, раздел 3 «Отнесение сведений к государственной тайне и их засекречивание»
20 О коммерческой тайне: федеральный закон от 29 июля 2004 г. № 98-ФЗ, ст. 10 в ред. Федерального закона от 2 февраля 2006 г. № 19-ФЗ, от 18 декабря 2006 г. № 231-ФЗ)
21 О служебной тайне: проект федерального закона, законопроект № 124871 -4, глава 2 «Отнесение сведений к служебной тайне и снятие ограничений на их распространение».
22 Бачило И..Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2006. с.473.
23 О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма: федеральный закон от 7 августа 2001 г. № 115-ФЗ // Российская газета. 2001
24 Бачило И.Л., Лопатин В.Н., Федотов МА Информационное право. СПб.: изд. «Юридический центр Пресс», 2005. С. 243.
25 О классификации конфиденциальной информации на «первичные» и «производные» тайны см.: Волчинская Е.К. Коммерческая тайна в системе конфиденциальной информации
26 Бачило И.Л., Лопатин В.Н., Федотов М.А. Указ. соч. С. 220 ; Головкин Р.Б. Правовое и моральное регулирование частной жизни в современной России: дис. ... д-ра юрид. наук: 12.00.01. Н. Новгород/ 2005. С. 117; Баранов В.М. Категория «частная жизнь» // Право граждан на информацию и защита неприкосновенности частной жизни. Н. Новгород, 1999. С. 34-37.
27 Петрыкина Н.И. К вопросу о конфиденциальности персональных данных // Правовая система «Гарант» по состоянию на 1 мая 2008 г.
28 Борисова С. А. Общие требования при обработке персональных данных работника и гарантии их защиты // Трудовое право. - 2005. - N 11. - С. 30-36.
29 Борисова С. А. Общие требования при обработке персональных данных работника и гарантии их защиты // Трудовое право. - 2005. - N 11. - С. 30-36.
36 Бачило И..Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2006. с.473.
37 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Электронный ресурс.: [принят ГД ФС РФ 08.07.2006] // Консультант Плюс справочная правовая система. Версия 3000.02.12. - М.: ЗАО «Консультант Плюс», 1992-2012.
38 Кибанов А. Я. Управление персоналом организации: Учеб. 4-е изд., доп. и перераб. М.: Инфра-М, 2010. 695 с.
39 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Электронный ресурс.: [принят ГД ФС РФ 08.07.2006] // Консультант Плюс справочная правовая система. Версия 3000.02.12. - М.: ЗАО «Консультант Плюс», 1992-2012.
40 Бачило И..Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2006. с.473.
49 Преображенский, Е. Инсайдер: вариант с заклеиванием USB-порта не поможет / Управление персоналом. - 2009. - N 7 (209). - С. 8-15.
50 Хачатурян Ю. А. Право работника на защиту персональных данных // Современное право. - 2006
51 Бачило И..Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2006. с.473.
52 Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 Трудового кодекса РФ // Трудовое право. 2009
53 Хачатурян Ю. А. Право работника на защиту персональных данных // Современное право. - 2006
54 Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 Трудового кодекса РФ // Трудовое право. 2009
55 Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 Трудового кодекса РФ // Трудовое право. 2009
56 Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 Трудового кодекса РФ // Трудовое право. 2009
57 Преображенский, Е. Инсайдер: вариант с заклеиванием USB-порта не поможет / Управление персоналом. - 2009. - N 7 (209). - С. 8-15.
58 Преображенский, Е. Инсайдер: вариант с заклеиванием USB-порта не поможет / Управление персоналом. - 2009. - N 7 (209).
59 Преображенский, Е. Инсайдер: вариант с заклеиванием USB-порта не поможет / Управление персоналом. - 2009. - N 7 (209).
60 Бачило И..Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2006. с.473.
61 Преображенский, Е. Инсайдер: вариант с заклеиванием USB-порта не поможет / Управление персоналом. - 2009. - N 7 (209). - С. 8-15.
62 Борисова С. А. Общие требования при обработке персональных данных работника и гарантии их защиты // Трудовое право. - 2005. - N 11. - С. 30-36.
63 Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 Трудового кодекса РФ // Трудовое право. 2009
64 Уголовный кодекс Российской Федерации от 13.06.1996 № 63-Ф3 Электронный ресурс. [Принят ГД ФС РФ 24.05.1996: текст в ред. от 27.07.2012] // Консультант Плюс справочная правовая система. Версия 3000.02.12. - М.: ЗАО «Консультант Плюс», 1992-2006.
Федеральное агентство по образованию
Алтайский государственный университет
Исторический факультет
Кафедра архивоведения и исторической информатики
Правовая защита персональных данных в РФ
(Курсовая работа)
Выполнила студентка
1 курса 194 группы
Никифорова К.А.
________________________
(подпись)
Научный руководитель
к.и.н., ст. преп. Сарафанов Д.Е.
________________________
(подпись)
Работа защищена
«____»___________2010 г.
Оценка _________________
Барнаул 2010
Введение…………………………………………………………………………………...2
Глава 1 Понятие «персональные данные» в отечественном законодательстве и научной литературе…………………………………………………………...…………..6
1.1 Определение понятия «персональные данные» в законодательстве………………6
1.2 Определение понятия «персональные данные» в научной литературе………….13
Глава 2 Защита персональных данных и ответственность за нарушение работы с ними....................................................................................................................................17
1.1 Правовые меры по защите персональных данных...………………………………17
1.2 Ответственность за нарушение работы с персональными данными……….…….24
Заключение ……………………………………………………………………………....28
Список источников и литературы ……………………………………………………....30
Введение
С течением времени у человечества появляется все больше новых объектов, нуждающихся в защите путем закрепления соответствующих норм в законе. Основной объект на сегодняшний день – это информация. В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность.
В виду вышесказанного, законодательными актами, как в России, так и зарубежных стран предусматривают немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.
Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Ст.2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью» . Соответственно и информация, непосредственно затрагивающая частные интересы человека должны уважаться и защищаться государством.
Цель работы заключается в исследовании правовой защиты персональных данных в РФ. Для достижения цели, необходимо решить следующие задачи:
1. на основе анализа научных работ и законодательств изучить содержание понятия «персональные данные»;
2. изучить различные аспекты защиты персональных данных
Историография. “Персональные данные” рассматриваются как информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие . В современном мире к защите этих сведений предъявляют все большие требования, к обеспечению гарантий по их сохранности и неразглашению относятся очень серьезно.
А.Г. Саидов посвятил свой труд вопросам информационной безопасности, правовому регулированию и компонентам системы информационной безопасности государства. Предметом его исследования выступает содержание и значение конституционно-правовых норм, обеспечивающих создание системы информационной безопасности личности, российского общества и государства. Абдулмуталиб Гасанович внес немалый вклад в исследование правовой защиты персональных данных и информационной безопасности в целом. По мнению А.Г.Саидова, главное, чего не хватает российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной (некарательной) направленности . Защита персональных данных – это новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать.
Автор считает необходимым принятие Федерального закона «О неприкосновенности частной жизни», в котором бы устанавливался исчерпывающий перечень случаев ограничении прав в соответствии с конституционными основаниями и решениями Европейского суда по правам человека. По мнению Саидова, государство должно создавать условия для обеспечения защиты персональных данных каждого гражданина Российской Федерации.
В работе В.Я. Ярочкина «Информационная безопасность», персональные данные относятся к тому типу информации, которым необходима правовая защита. Он рассматривает необходимость правовой защиты персональных данных человека и гражданина, доказывает важность сохранности личной информации. Автор перечисляет виды правовых актов, ориентированных на правовую защиту информации, и другие средства, направленные на сокрытие персональных данных . В его работе можно увидеть и угрозы конфиденциальной информации, а также виды таких угроз, приводящие к неправомерному овладению охраняемыми сведениями. В заключении, Владимир Иванович перечислил рекомендации по обеспечению защиты информации.
В целом, можно сказать, что труд В.И. Ярочкина направлен на характеристику и полное описание охраны безопасности персональных данных и других видов конфиденциальной информации.
В исследовании В.В. Полякова и В.А. Мазурова «Проблемы правовой и технической защиты информации» идет речь о создании и применении эффективных методов и средств для обеспечения информационной безопасности. Отдельной важной задачей, исследуемой в этом сборнике, является подготовка специалистов по защите информации .Авторы отмечают, что квалифицированных специалистов по информационной безопасности не хватает. Это связано в значительной степени с большими требованиями, предъявляемыми к ним.
В «Большом справочнике кадровика», автором которого является Н.А.Алимова, рассматриваются проблемы защиты персональных данных работника (на мой взгляд, они относятся к разновидностям персональных данных в целом). Н.А. Алимова, разъясняет, что такое персональные данные работника, для чего они нужны, каким образом они охраняются, какие требования должен выполнять работодатель при обработке данных работника при приеме на работу . В данной работе говориться о том, что порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. Н.А. Алимова исследовала в своей работе сами правила передачи персональных данных работника и необходимые для этого требования. Немаловажным аспектом исследования данной темы в работе является порядок привлечения к дисциплинарной ответственности за невыполнение обязанностей и требований по хранению и обеспечению безопасности персональных данных работника, а также формы такой ответственности.
В.А. Мазуров в своем труде «Уголовно-правовые аспекты информационной безопасности» рассматривает понятие и принципы информационной безопасности, основные направления развития законодательства об информации, а также правовое понятие и классификацию охраняемой законом информации. Он выделил различные меры по обеспечению защиты конфиденциальных данных, а также раскрыл определение и классификацию возможных угроз безопасности . Особой частью его работы является исследование и описание уголовно-правовой защиты информации ограниченного доступа. В.А. Мазуров изучает и характеризует объект и предмет преступлений, посягающих на тайну частной жизни. Раскрывает объективную сторону составов преступлений, посягающих на неприкосновенность частной жизни, разъясняет в каком случае наступает правонарушение в сфере информационной защиты, и перечисляет формы ответственности за нарушение тайны о персональных данных, в соответствии со статьями УК РФ.
В целом, можно сказать, что тема, касающаяся персональных данных и их защиты, изучена довольно хорошо и тщательно. В большом количестве работ содержится информация о классификации, охраняемой законом информации, о видах правовых актов, направленных на сохранение безопасности персональных данных, о методах и способах защиты, о типах угроз, о видах ответственности за нарушение работы с персональными данными. Обилие такой информации способствует увеличению степени и качества защиты персональных данных.
Глава 1
Понятие «персональные данные» в отечественном законодательстве и научной литературе.
1.1. Определение понятия «персональные данные» в законодательстве.
В современном мире к защите персональных данных относятся очень серьезно. Нормативные акты, регулирующие обеспечение их сохранности предусмотрены не только национальным законодательством, но и международными актами.
Всеобщая декларация прав человека является одним из важнейших документов в истории человечества. 10 декабря 1948 года Генеральная Ассамблея Организации Объединенных Наций приняла Декларацию.
Статья 12 Всеобщей декларации прав человека 1948 года гласит «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию.Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств» .
Право на уважение к личной и семейной жизни содержится так же и в Конвенции о защите прав человека и основных свобод, в которой так же говориться о том, что «Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц» . Конвенция была принята Советом Европы 4 ноября 1950 года в Риме. Российская Федерация ратифицировала ее, приняв Федеральный закон № 54-ФЗ от 30 марта 1998 г.
Спустя некоторое время закрепление политических прав человека, право неприкосновенности личной жизни было подтверждено Международным пактом о гражданских и политических правах .
Международный пакт о гражданских и политических правах Принят резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года в Нью-Йорке. СССР подписал пакт 18 марта1968 года. Ратифицирован Президиумом Верховного Совета СССР 18 сентября1973 года с заявлением. Ратификационная грамота СССР депонирована Генеральному секретарю ООН 16 октября 1973 года. Вступил в силу для СССР 3 января 1976 года.
Эти международные правовые акты заложили основу создания национальных правовых систем. В Российской Федерации на ряду с международными правовыми актами сохранность персональных данных обеспечивается отечественными нормативными актами.
Во-первых это Конституция РФ . В ее положениях признается не только само право на неприкосновенность личной жизни, личную и семейную тайну (ч.1 ст.23), но и обеспечивающие это право дополнительные гарантии. В соответствии со ст. 2 Конституции «человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства». Таким образом, Российская Федерация не только устанавливает право, но и обязуется защищать его; ставит интересы человека и гражданина на ступень выше, чем интересы государства, общества, либо общественных или коммерческих организаций. Ч.1 ст. 24 запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. И, наконец, согласно ст. 46 каждому гарантируется судебная защита его прав, в том числе в межгосударственных органах.
Конституция Российской Федерации обладает высшей юридической силой, ее прямое действие применяется на территории всей страны, любые законы, применяемые в стране не должны противоречить Конституции. Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются основной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора .
8 июля 2006 года Государственной думой был принят Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных». Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну . Данный закон дает определение понятию «персональные данные», а так же другим основным понятиям, используемым в Федеральном законе. Также, в законе рассматривается его сфера действия, принципы и условия обработки персональных данных, права субъекта персональных данных, обязанности оператора , контроль и надзор за обработкой персональных данных, ответственность за нарушение требований за нарушение настоящего Федерального закона.
Следуя статье 3 Федерального закона, персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
20.02.1995 г. был утвержден Федеральный закон N 24-ФЗ «Об информации, информатизации и защите информации», в котором в ч. 1 ст. 11 было определено, что персональные данные являются конфиденциальной информацией, а ч. 3 этой же статьи предупреждает о наступлении ответственности юридических и физических лиц за нарушение режима защиты, обработки и порядка использования этой информации. Также в этом законе было дано понятие «персональные данные», оно определялось как «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» . В настоящее время данный закон не действует, его заменил Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. N149-ФЗ.
В ст.2 нового закона об информации рассмотрены основные понятия, используемые в данном законе, а в ст. 3 говориться о правовом регулировании отношений, возникающих в сфере информации, информационных технологий и защите информации. В этой статье говориться о том, что ограничения доступа к информации может устанавливаться только федеральным законом. Конкретного понятия персональных данный в этом законе нет, очевидно, потому что был утвержден Федеральный закон «О персональных данных».
В статье 5, ФЗ «Об информации, информационных технологиях и защите информации», сказано: «информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Общедоступная информация – это та информация, которую нельзя скрывать от общества. Примером может служить информация о состоянии окружающей среды, о деятельности органов государственной власти и органов местного самоуправления, документы, накапливаемые в открытых фондах библиотек и архивов. Так же в эту категорию можно отнести нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, правовое положение организаций и полномочия государственных органов, органов местного самоуправления.
Информацией ограниченного доступа является информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании. В свою очередь информация ограниченного доступа подразделяется на информацию, составляющую государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом (конфиденциальная информация).
22 октября 2002 года был принят Федеральный Закон N 125-ФЗ «Об архивном деле в Российской Федерации». Этот закон регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда нашей страны и других архивных документов независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства. Данный закон в 3 статье рассматривает такие понятия, как документы по личному составу (отражающие трудовые отношения работника с работодателем), особо ценный документ (документ, который имеет непреходящую культурно-историческую и научную ценность, особую важность для общества и государства и в отношении которого установлен особый режим учета, хранения и использования), уникальный документ (особо ценный документ, не имеющий себе подобных по содержащейся в нем информации и (или) его внешним признакам, невосполнимый при утрате с точки зрения его значения и (или) автографичности) и т.д. Также в этом законе выделяются архивные документы, относящиеся к государственной собственности, а так же муниципальной и частной . В ст. 10 поясняются особенности положения архивных документов, находящихся в собственности Российской Федерации или муниципальных образований. Глава 6 посвящена сфере доступа к архивным документам и их использованию. Пользователь архивными документами имеет право свободно искать и получать для изучения архивные документы. Но существует и ограничение на доступ к архивным документам, которые рассматриваются в 25 статье. В данной статье сказано, что Доступ к архивным документам может быть ограничен в соответствии с международным договором Российской Федерации, законодательством Российской Федерации, а также в соответствии с распоряжением собственника или владельца архивных документов, находящихся в частной собственности, также в данной статье сказано, что ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, устанавливается на срок 75 лет со дня создания указанных документов.
ФЗ РФ “Об оперативно - розыскной деятельности” от 12 августа 1995 № 144-ФЗ предусмотрены ограничения конституционных прав граждан на тайну телефонных переговоров, переписки, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи на основании судебного решения и только при наличии информации о подготовке, совершении или совершенном противоправном деянии либо о событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации.
Данный нормативный устанавливает исчерпывающий перечень оперативно - розыскных мероприятий и органов, осуществляющих оперативно - розыскную деятельность. Он разрешает иметь оперативно - технические силы и средства для контроля почтовых отправлений, телеграфных и иных сообщений; прослушивания телефонных переговоров с подключением к стационарной аппаратуре предприятий, учреждений и организаций независимо от форм собственности, физических и юридических лиц, предоставляющих услуги связи; снятия информации с технических каналов связи только лишь органам ФСБ и МВД, которые могут предоставлять эти силы и средства на основе специальных соглашений или межведомственных нормативных актов другим органам, осуществляющим оперативно - розыскную деятельность . Но органы (должностные лица), осуществляющие оперативно-розыскную деятельность, при проведении оперативно-розыскных мероприятий должны обеспечивать соблюдение прав человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну, неприкосновенность жилища и тайну корреспонденции .
Сфера отношений, касающаяся персональных данных работника регулируется гл.14 Трудового кодекса Российской Федерации. Где установлено понятие персональных данных работника, установлен порядок работы с ними и закрепляется ответственность работодателя за нарушение соответствующих норм. В Трудовом кодексе говориться, что персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника .
В Уголовно-процессуальном кодексе Российской Федерации от 5.12.2001 г. также затрагивается сфера персональных данных. В ст. 13 говорится о тайне переписки, телефонных и иных переговоров, почтовых, телеграфных и иных сообщений. В данной статье сказано о том, что наложение ареста на почтовые и телеграфные отправления и их выемка в учреждениях связи, контроль и запись телефонных и иных переговоров могут производиться только на основании судебного решения .
Перечень сведений конфиденциального характера опубликован в Указе Президента РФ от 6.03.97 г. N 188 «Об утверждении перечня сведений конфиденциального характера». К видам конфиденциальной информации можно отнести следующее:
- Персональные данные - сведения о фактах, событиях и обстоятельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
- Тайна следствия и судопроизводства - сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации;
- Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
- Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);
- Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
- Сведения о сущности изобретения - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Перечень сведений, отнесенных к государственной тайне опубликован в ст. 5 Закона РФ N 5485 от 21.07.1993 «О государственной тайне». Согласно данному закону к таким сведениям относятся: сведения в военной области; в области экономики, науки и техники; в области внешней политики и экономики; в области разведывательной, контрразведывательной и оперативно-розыскной деятельности. Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью, а также в соответствии с настоящим Законом. В ст. 2 раскрывается понятие государственной тайны – «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». В данном законе также говориться о рассекречивании, защите, распоряжении сведениями, относящихся к государственной тайне.
Федеральный закон Российской Федерации «О коммерческой тайне» рассматривает и регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну. Согласно данному закону «коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных доходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду» . А также рассматриваются понятия режима коммерческой тайны; обладателя такой информации; передачи и предоставления информации, составляющей коммерческую тайну и т.д. В ст. 5 перечислены данные, которые не могут составлять коммерческую тайну. В Федеральном законе «О коммерческой тайне» сказано также и об охране конфиденциальности информации и последствиях невыполнения необходимых мер по охране такой информации.
В Федеральном законе «О кредитных историях» говорится о создании единой системы формирования, хранения и раскрытия информации о добросовестности исполнения заемщиками обязательств перед кредиторами. Нормами закона вводится легальное определение кредитной истории, регламентируется ее состав, порядок формирования, основания хранения и использования кредитных историй, а также круг субъектов данных правоотношений, в состав которых входят: заемщики, бюро кредитных историй, пользователей кредитных историй, Центральный каталог кредитных историй .
2.02.2010 года вышел приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) N 58 об утверждении положения о методах и способах защиты информации в информационных системах персональных данных. Это положение было разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001). Данное положение устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных. В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
1.2. Определение понятия «персональные данные» в научной литературе
В юридической литературе представлена неоднозначная классификация охраняемой законом информации (сведений).
Так, В.А. Копылов по доступу к информации подразделяет ее на открытую и ограниченного доступа.
К открытой информации он относит информацию как объект гражданских прав (произведения, патенты, авторские свидетельства); массовую информацию; информацию о выборах, референдуме (данные о ходже подготовки выборов, референдуме и результатах голосования); официальные документы (документы принятые органами законодательной, исполнительной и судебной власти, носящие обязательный, рекомендательный или информационный характер); обязательно представляемую (контрольные экземпляры документов, представляемые в органы статистики, регистрационная и другая такого рода информация); научно-юридическую и другую информацию.
К информации ограниченного доступа относится информация, составляющая государственную тайну; ноу-хау, коммерческая тайна, персональные данные (в порядке защиты личной тайны), другая информация ограниченного доступа .
Информация о гражданах (персональные данные), по мнению В.А.Копылова, создается самими гражданами в их повседневной деятельности, в том числе связанной с реализацией прав и свобод (прав на труд, на жилище, на отдых, медицинское обслуживание, социальное страхование, пенсионное обеспечение, на свободу слова и многое другое) и выполнением обязанностей (например, воинской обязанности) и представляется как сведения о себе (персональные данные) разным субъектам .
И.В. Смолькова дает следующую классификацию:
1. Государственная (в том числе военная) тайна.
2. Конфиденциальная информация.
· Личная тайна (в том числе персональные данные)
· Семейная тайна
· Профессиональная тайна
· Коммерческая тайна
На взгляд В.А. Мазурова информацию можно классифицировать следующим образом: информация открытого доступа, ограниченного доступа (конфиденциальная информация (тайна частной жизни, профессиональная тайна, служебная тайна, коммерческая тайна) и государственная тайна) .
Наличие нескольких точек зрения поп поводу классификации информации подтверждает то, что в научно-исследовательской литературе нет единого мнения по вопросам о персональных данных. Они изучаются все глубже и тщательней, что обеспечивает более полные знания об информации ограниченного доступа, а принятие множества законодательных актов, направленных на защиту различных видов тайн, обеспечивают более качественную защиту персональных данных. Но все же создание правовой базы защиты различных видов информации, и персональных данных в частности, находится на стадии становления. Несмотря на то, что число нормативных актов, регулирующих те или иные аспекты различных видов информации, насчитывает большое количество. Нельзя сказать, что правовое обеспечение защиты персональных данных удовлетворяет потребностям современного общества.
Глава 2
Защита персональных данных.
2.1. Защита персональных данных.
Вопрос о необходимости охраны и защиты персональных данных не вызывает сомнений. На данный момент Российское законодательство всеми силами пытается предотвратить нарушение прав граждан государства в сфере персональных данных. Существует масса законов обеспечивающих информационную безопасность, которые обновляются с каждым годом, создавая все большие условия по сохранности конфиденциальности персональных данных. За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности.
Повышению информационной безопасности способствует международное сотрудничество Российской Федерации со странами мирового сообщества в области обеспечения информационной безопасности. Это неотъемлемая составляющая политического, военного, экономического, культурного и многих других видов взаимодействия стран, входящих в мировое сообщество.
Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Так же является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.
Государственная система защиты информации как система более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.
Органы, которые регулируют защиту персональных данных:
· Федеральная служба технического и экспортного контроля (ФСТЭК России) и ее территориальные органы (региональные управления в субъектах Российской Федерации)
· Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР)
· Структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации
· Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации
· Научно-исследовательские организации по проблемам защиты информации
· Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации
· Предприятия, оказывающие услуги в области защиты информации
· Организации Федерального агентства по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации
· Органы системы лицензирования деятельности в области защиты информации
· Органы системы сертификации средств защиты информации
· Органы системы аттестации объектов защиты по требованиям безопасности информации
Правовые меры – деятельность законодательных органов по созданию правовой базы, обеспечивающей надлежащее формирование, распространение и использование информации; регулирующей деятельность субъектов, осуществляющих создание, преобразование и потребление информации; предусматривающей ответственность за нарушение в информационной сфере, меры обеспечения безопасности и правовой защиты информации, информационной инфраструктуры .
Правовая основа механизма защиты персональных данных сформировалась по двум направлениям: специализированное законодательство и иное законодательство, которое лишь частично содержит правовые нормы, гарантирующие неприкосновенность частной жизни и регулирующие сферу защиты персональных данных. К специализированному законодательствуотносятся такие правовые акты как: Федеральный закон «О персональных данных» от 27 июля 2006 г., Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г., Указ Президента РФ от 6 марта 1997 г. №188, утверждающий «Перечень сведений конфиденциального характера», и другие.
Правовые нормы, регулирующие работу с персональными данными, содержатся также в главе 14 Трудового кодекса РФ «О защите персональных данных работника», в Законе «Об архивном деле в Российской Федерации» от 22 октября 2004 г. (ст.25), в Законе «Об оперативно-розыскной деятельности» (ст. 3, 5, 9, 10, 12, 21), в Законе «О средствах массовой информации» (ст. 41, 43, 46, 51, 57), Закон «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования», в соответствии с которым персональные данные содержатся в индивидуальном лицевом счете застрахованного лица, нормы о защите сведений, полученных в ходе всероссийской переписи населения (персональные данные) содержатся в Законе «О всероссийской переписи населения».
В Европейском Союзе вопросам защиты интересов владельцев персональных данных, которые были подвергнуты электронной обработке, посвящена Конвенция СЕ «О защите физических лиц при автоматизированной обработке персональных данных», подписанная в Страсбурге (Франция) в 1981 году. Федеральный закон о ратификации Конвенции был подписан Президентом РФ 19 декабря 2005 года.
В соответствии со ст. 5 Конвенции, персональные данные, подвергающиеся автоматизированной обработке:
a) собираются и обрабатываются на справедливой и законной основе;
б) хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями;
в) являются адекватными, относящимися к делу и не чрезмерными для целей их хранения;
г) являются точными и, когда это необходимо, обновляются;
д) сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных .
Основным Законом, регулирующим защиту персональных данных в Российской Федерации, является Федеральный Закон «О персональных данных». Основу этого Закона составляют базовые принципы и условия обработки персональных данных, которые были разработаны во исполнение норм Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», а также положений Директивы Европейского Парламента и Совета Европы 95/46/ЕС «О защите личности в отношениях обработки персональных данных и свободном обращении этих данных» и Директивы Европейского Парламента и Совета Европы 2002/58/ЕС от 12 июля 2002 г., касающейся защиты персональных данных и защиты личных данных в электронном коммуникационном секторе, которая заменила Директиву Европейского Парламента и Совета Европы 97/66/ЕС от 15 декабря 1997 г., регламентирующую использование персональных данных и гарантирующую неприкосновенность частной жизни в сфере телекоммуникаций.
Принципы и условия, обработки персональных данных, которые дополняются также обязательными базовым требованиям, предъявляемыми к деятельности по обработке персональных данных, соответствуют принципам и критериям, касающимся персональных данных и легитимизации их обработки, установленные в статьях 6 и 7 Директивы95/46/ЕС. Статья 5 Закона «О персональных данных» устанавливает шесть принципов обработки персональных данных, защищающих персональную информацию человека; данные принципы схожи с принципами, содержащимися во многих европейских правовых актах. Во-первых, персональные данные должны собираться и использоваться законно и добросовестно. Эта норма говорит о том, что персональные данные должны быть собраны и использованы в соответствии с законодательством РФ и только с согласия субъекта персональных данных, но за исключением случаев, четко оговоренных в части 2 статьи 6 Закона, когда такое согласие не требуется. Согласие на обработку своих персональных данных субъект персональных данных должен дать в письменной форме; содержание этого документа четко установлено в п. 4 статьи 9 Закона. К примеру, в письменном согласии субъекта должна быть обязательно указана цель обработки персональных данных и их перечень, а также срок, в течение которого действует согласие и порядок его отзыва.
Во-вторых, заранее четко определенные цели использования персональных данных не должны изменяться. Персональные данные не могут собираться и использоваться для иных целей, о которых субъект, давший письменное согласие на обработку своих данных, не был заранее информирован (п.2 ч. 1 ст. 5).
В-третьих, объем, характер и способы обрабатываемых персональных данных должны соответствовать целям обработки персональных данных. Эта норма направлена на исключение ситуаций, когда при сборе персональных данных пытаются получить иную персональную информацию, выходящую за рамки объявленных целей.
В-четвертых, персональные данные должны быть достоверными, а объем собираемой персональной информации должен быть оправдан целями ее сбора. Объем собираемых персональных данных не должен быть избыточным, если это не соответствует определенным и законным целям. При этом, если обнаружено, что были допущены ошибки и персональные данные неточны, субъекту персональных данных принадлежит право внести необходимые изменения (п.3 статья 20).
В-пятых, Закон запрещает объединение персональных данных в единую информационную систему персональных данных, которые были собраны операторами персональных данных для разных целей. Эта норма направлена на то, чтобы избежать ситуации, когда оператор связи содержит базу персональных данных человека, и в случае утечки такой базы, человек будет уязвим перед несанкционированным и недобросовестным использованием этих сведений.
И, наконец, в-шестых, хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Эта норма соответствует п. «е» статьи 5 Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» и также направлена на защиту субъекта персональных данных от несанкционированного использования его персональных данных. Стоит иметь в виду, что данное правило не относится к персональным данным человека, содержащимся в архивных документах, срок хранения которых установлен Законом «Об архивном деле в Российской Федерации» 2004 г.
Доктрина информационной безопасности РФ, утвержденная Президентом РФ 9 сентября 2000г. представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Доктрина информационной безопасности определяет 4 основные составляющие национальных интересов РФ в информационной сфере, в том числе соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, а также защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
Настоящая доктрина служит основой для:
· Формирования государственной политики в области обеспечения информационной безопасности РФ;
· Подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
· Разработки целевых программ обеспечения информационной безопасности Российской Федерации .
Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
В пункте 2 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных говорится о том, что безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. В пункте 10 сказано, чтобезопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).При обработке персональных данных в информационной системе должно быть обеспечено:
· проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
· своевременное обнаружение фактов несанкционированного доступа к персональным данным;
· недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
· постоянный контроль за обеспечением уровня защищенности персональных данных.
· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных из-за несанкционированного доступа к ним ;
2.2. Ответственность за нарушение работы с персональными данными
Закон устанавливает, что лица, виновные в нарушении требований настоящего Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность . В случае нарушения прав субъекта персональных данных, он может обжаловать действия или бездействия в Уполномоченныйорган по защите персональных данных или в судебном порядке. Уполномоченный орган по защите прав субъекта персональных данных является новым для России институтом, деятельность которого направлена на осуществление контроля и надзора за обработкой персональных данных. Уполномоченный орган имеет право обращаться в суд с исковыми заявлениями для защиты персональных данных и представлять интересы субъектов персональных данных в суде.
Дисциплинарная ответственность должна быть установлена внутренними правилами распорядка организации (в данном случае оператора). В виде дисциплинарной ответственности работнику, совершившему какой-либо дисциплинарный проступок в связи с обработкой персональных данных, не повлекший за собой административную, гражданскую или уголовную ответственность, может быть вынесено замечание, выговор, или он может быть уволен по соответствующим основаниям, предусмотренным ст.81 Трудового кодекса РФ. В Трудовом кодексе РФ четко не установлен вид дисциплинарной ответственности за нарушение порядка обработки персональных данных, а лишь указано, за нарушение норм защиты персональных данных работника также устанавливается гражданская, уголовная, административная, дисциплинарная ответственность.
Что касается гражданской ответственности, то субъект персональных данных в порядке гражданского судопроизводства может требовать возмещение убытков и (или) компенсацию морального вреда.
В соответствии со статьей 13.11 Кодекса РФ об административных правонарушениях (КоАП) административная ответственность предусмотрена за нарушение установленного Законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или наложения на граждан административного штрафа в размере от трех до пяти минимальных размеров оплаты труда (МРОТ), от пяти до десяти МРОТ для должностных лиц и от пятидесяти до ста МРОТ для юридических лиц. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет за собой наложение административного штрафа на граждан в размере от пяти до десяти МРОТ, а на должностных лиц - в размере от сорока до пятидесяти МРОТ .
Посколькузащита персональных данных человека являются составной частью института гарантий неприкосновенности частной жизни человека, нормы особенной части Уголовного кодекса РФ относительно уголовной ответственности за нарушение неприкосновенности частной жизни человека распространяются, в том числе, и на порядок защиты персональных данных. Так, уголовная ответственность статьей 137 Уголовного кодекса РФ устанавливается за незаконное собирание или распространение сведений о частной жизни лица, составляющих личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Указанные деяния наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Заключение
Таким образом, проанализировав ситуацию по поводу охраны персональных данных, можно сделать следующие выводы.
Существует несколько точек зрения по поводу классификации информации, но в целом, ее можно разделить на информацию открытого и ограниченного доступа. Ограничение доступа к информации может устанавливаться только федеральными законами. Перечень информации ограниченного доступа, установлен в Указе Президента «Об утверждении перечня сведений конфиденциального характера». К таким сведениям относятся и персональные данные.
Следуя статье 3 Федерального закона «О персональных данных», можно сформировать следующее определение понятия «персональные данные» - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
Также, благодаря нормативно-правовым актам и научно-исследовательским работам становиться ясно, что персональные данные являются конфиденциальной информацией и что за нарушение работы с ними наступает юридическая ответственность.
Что касается защиты персональных данных, то нужно заметить, что безопасность персональных сведений находится на высоком уровне. Этому способствуют как правовая база, так и многочисленные средства технического контроля. Законодательствами стран Европы и Российской Федерации предусмотрены практически все необходимые нормы для защиты этой категории правоотношений. Основным Законом, регулирующим работу с персональными данными, является Федеральный закон «О персональных данных». В нем описаны основные принципы и условия обработки и защиты таких сведений
Закон устанавливает, что лица, виновные в нарушении требований настоящего закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерацией, ответственность.
Обилие нормативно-правовых актов, регулирующих отношения в сфере персональных данных, обеспечивает надежную защиту безопасности информации ограниченного доступа, но следует заметить, что необходимо дальнейшее совершенствование механизмов защиты персональных данных, находящихся в распоряжении федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и др.
Список источников и литературы
Источники
1. Конституция Российской Федерации принята на всенародном голосовании 12 декабря 1993 г.– М., 2002.
2. Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.)//СПС Консультант плюс, 2009 г.
3. Конвенция о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) (с изменениями от 21 сентября 1970 г., 20 декабря 1971 г., 1 января, 6 ноября 1990 г., 11 мая 1994 г.)//СПС Консультант плюс, 2009 г.
4. Международный пакт о гражданских и политических правах (Нью-Йорк, 19 декабря 1966 г.)//СПС Консультант плюс, 2009 г.
5. Конвенция о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (ратифицирована РФ 19 декабря 2005 года)// СПС Консультант плюс, 2009 г.
6. Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»//СПС Консультант плюс, 2009 г.
7. Федеральный закон РФ от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации" //СПС Консультант плюс, 2009 г.
8. Федеральный Закон РФ от 12 августа 1995 № 144-ФЗ “Об оперативно - розыскной деятельности” // СПС Консультант плюс, 2009 г.
10. Перечень сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. N 188) //СПС Консультант плюс, 2009 г.
11. Гражданский кодекс Российской Федерации от 30 ноября 1994 г. N 51-ФЗ (с изменениями и дополнениями, вступившими в силу 11 января 2009г.) //СПС Консультант плюс, 2009 г.
12. Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ (с изменениями от 30 декабря 2008г.) //СПС Консультант плюс, 2009 г.
13. Кодекс Российской Федерации об административных правонарушениях от 20 декабря 2001 г. N 195-ФЗ (с изменениями от 30 декабря 2008 г.) //СПС Консультант плюс, 2009 г.
14. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г.) //СПС Консультант плюс, 2009 г.
15. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17 ноября 2007г. N-781(утв. Постановлением Правительства РФ)//СПС Консультант плюс, 2009г.
Список литературы
1. Алимова Н.А. Большой справочник кадровика. – М.: Издательско-торговая корпорация «Дашков и Кْ», 2007. – 536 с.
2. Копылов В.А. Информационное право. М.: Юристъ, 2005. – 512 с.
3. Магнитская Е.В. Правоведение: учебник, Е.В. Магнитская, Е.П. Евстигнеев: Питер, 2003. - 512с.
4. Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: учебное пособие – Барнаул: Изд-во Алт. Ун-та, 2004. – 288с.
5. Поляков В.В., Мазуров В.А. Проблемы правовой и технической защиты: сб. науч. ст./ АлтГУ, 2008. – 179 с.
6. Саидов А.Г. Конституционно-правовые основы обеспечения информационной безопасности Российской Федерации: автореферат: Махачкала, 2004. – 26 с.
7. Смолькова И.В. Проблемы охраняемой законом тайны в уголовном процессе. – М.: 1999. – 346 с.
8. Теория оперативно-розыскной деятельности: учебник. Ред. – сост. К.К. Горяинов, В.С. Овчинский, Г.К. Синилов – М.: Лист Нью, 2008. - 842 с.
9. Ярочкин В.И. Информационная безопасность: учебник для ВУЗов. - М.: Гаудеамус, 2004. - 544с.
Конституция Российской Федерации, принятая на всенародном референдуме 12 декабря 1993 года//СПС Консультант плюс, 2009 г.
Магнитская Е.В. Правоведение: учебник, Е.В. Магнитская, Е.П. Евстигнеев: Питер, 2003. – С. 346.
Саидов А.Г. Конституционно-правовые основы обеспечения информационной безопасности РФ: Махачкала, 2004. – С. 24.
Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2004. – С.31-49, 99-117.
Поляков В.В., Мазуров В.А. Проблемы правовой и технической защиты: сб. науч. ст./ АлтГУ, 2008. – С. 73-76.
Алимова Н.А. Большой справочник кадровика. – М.: Издательско-торговая корпорация «Дашков и Кْ», 2007. – С. 126-129, 192-196.
Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: Издательство Алтайского университета, 2004. – С. 12-16.
Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.)//СПС Консультант плюс, 2009г.
Конвенция о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) (с изменениями от 21 сентября 1970 г., 20 декабря 1971 г., 1 января, 6 ноября 1990 г., 11 мая 1994 г.) //СПС Консультант плюс, 2009г. ст. 8.
Международный пакт о гражданских и политических правах (Нью-Йорк, 19 декабря 1966 г.)//СПС Консультант плюс, 2009г. ст. 17.
Конституция Российской Федерации от 12 декабря 1993 г.//СПС Консультант плюс, 2009 г. ст.15
Федеральный закон № 152-ФЗо «персональных данных» //СПС Консультант плюс, 2009г. гл.1 ст.2
Федеральный закон № 152-ФЗ о «персональных данных» гл.1 ст.3: оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Федеральный закон N24-ФЗ «Об информации, информатизации и защите информации» от 20.02.1995 г.//СПС Консультант плюс, 2009г. ст.
Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: учебное пособие – Барнаул: Изд-во Алт. Ун-та, 2004. – С. 244.
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17 ноября 2007г. N-781//СПС Консультант плюс, 2009г., п. 11.
Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»// СПС Консультант плюс, 2009 г., ст. 24.
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г.) //СПС Консультант плюс, 2009 г., ст. 13.14.
Автореферат диссертации по теме "Защита персональных данных"
ВОРОНЕЖСКИЙ ИНСТИТУТ МВД РОССИИ
На правах рукописи
ПРОСВЕТОВ А ОЛЬГА БОРИСОВНА
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Специальность: 05.13.19 - Методы и системы защиты
информации, информационная безопасность (юридические науки)
Воронеж 2005
Диссертация выполнена на кафедре конституционного и админттра-тивного права Воронежского института МВД России
Научный руководитель;
кандидат юридических наук, доцент Занина Татьяна Митрофановна
Официальные оппоненты:
доктор юридических наук, профессор - Лелеков Виктор Андреевич
кандидат юридических наук, доцент - Головко Владимир Владимирович
Ведущая организация - Белгородский юридический институт МВД России
Защита диссертации состоится « 26 » 04 2005г, в 15ч. ООмин., в аудитории №329 на заседании диссертационного совета К! 203 004 01 при Воронежском институте МВД России по адресу: 394065, Воронеж, просп. Патриотов, 53.
С диссертацией можно ознакомится в библиотеке Воронежского института МВД России.
Ученый секретарь диссертационного совета
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы диссертационного исследования Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению зашиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.
Представляемое диссертационное исследование посвящено анализу правовых аспектов, обеспечивающих защиту конфиденциальной информации персонального характера. В связи с этим следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Феде-
ральный закон «Об информации, информатизации и защите информации»", а также Федеральный закон «Об участии в международном информационном обмене»2. Однако при этом процесс формирования комплексной правовой системы защиты персональных данных не может считаться завершенным, вследствие чего еще предстоит рассмотреть и принять значительное число проектов новых законов, а также дополнений и изменений в действующее законодательство.
Учитывая тот фактор, что в отечественной системе права отсутствует демократический опыт защиты отношений в сфере персональных данных с помощью правовых средств, а также в связи с существенной трансформацией задач и функций государства в сравнении с социалистическим периодом времени, возникла необходимость в научном аналше и осмыслении возможностей юридической науки по обеспечению защиты конфиденциальной информации персонального характера
Исходя из вышеизложенного, исследование в данном направтении является весьма актуальным с научной точки зрения, а также может иметь практическое преломление в случае принятия сформулированных автором проектов и предложений при дальнейшем совершенствовании правовых норм.
Степень разработанности темы исследования. Изучение значительного количества источников юридической и технической литературы позволяет констатировать, что проблема зашиты персональных данных является малоизученной, в связи с чем нуждается в отдельной проработке. Значительное количество научных ра5от, посвященных информационной безопасности, защите информации тишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации
В представляемом исследовании в определенной степени произошло соединение доктринальных подходов в изучении защиты персональных
2 СЗ РФ, 08.07.1996, №28, ст 3347.
данных специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями технических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.
Теоретические проблемы информационного права, правового обеспечения информационной безопасности и защиты информации исследовались И.Л. Бачило, В А. Копыловым, В.Н. Лопатиным, В А Пожилых, М.М. Рассоловым, А.А Фатьяновым, M А Федотовым, O.A. Федотовой, С.Г. Чубуковой, А.А Шиверским, В.Д Элькиным и др.
Проблемы функционирования системы обеспечения информационной безопасности с точки зрения технических наук нашли отражение в трудах А.Л Балыбердина, M А. Вуса, В А Герасименко, А А. Грушо, C.B. Дворянкина, П.Д. Зегжды, Е.В Касперского, В.Д. Курушина, А А Малю-ка, В.А Минаева, В.Е. Потанина, В.Н. Саблина, C.B. Скрыля, А.П. Фисуна и ряда других ученых.
Объект и предмет исследования. В качестве объекта исследования в рамках темы рассмотрены общественные отношения склад1 тающиеся в процессе правового регулирования обеспечения защиты персональных данных.
Цель и задачи исследования Целью диссертационного исследования является выработка научно обоснованных предложений по разработке и совершенствованию законодательства, обеспечивающего защиту конфиденциальности персональных данных.
В рамках достижения данной цели в диссертационном исследовании решаются следующие теоретические и научно-практические задачи.
1) рассмотреть актуальные проблемы конституционно-правовою регулирования персональных данных на современном этапе;
2) проанализировать статьи, устанавливающие юридическую ответственность за нарушение норм о персональных данных, и предложить ре-
комендации по их реализации и совершенствованию с учетом имеющегося международного опыта;
1. Исследованные и предложенные автором, имеющие научно-методологическое значение для развития и совершенствования доктри-нального понимания проблемы, определения категорий «персональные данные», «информационные процессы», «автоматическая обработка персональных данных», «распространение сведений».
2. Разработанный автором исчерпывающий перечень ка!егорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным). Формирование данного перечня является одним из ключевых моментов в создании правовой основы, обеспечивающей защиту персональных данных. Это следует из того, что отечественный правоприменитель, не сталкивавшийся ранее с категорией «персональные данные» и не обладая вековой традицией формирования и реализации законодательства через призму обеспечения прав и свобод человека и фажданина.
не может обеспечить комплексную защиту персональных данных, исходя только лишь из абстрактных определений.
4. Вывод о том, что защита конфиденциальной информации персонального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобра-зующих законов, предложенных автором исследования, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
5. Предложения по новой редакции статей 13.11 КоАП РФ, 137 УК РФ, о дополнении главы 28 УК РФ следующим составом преступления-«Нарушение установленного порядка оборота конфиденциальных сведений о гражданах (персональных данных) с применением ЭВМ» а также некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ. Указанные предложения могут быть положены в основу формирования системы защиты конфиденциальной информации персонального характера, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, посредством юридических санкций
6 Заключение о том, что в государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и
функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах зашиты прав граждан
Научная новизна исследования. Диссертация является первой монографической работой, в которой с позиций соединенных доктринальных подходов в изучении персонифицированной информации специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой исследованы проблемы защиты персоналтныч данных. Автором анализируются теоретические положения в сфере конституционно-правового регулирования персональных данных, критически анализируется состояние норм, затрагивающих отношения в данной иаж-ной для общества и государства области общественных отношений.
Автор предлагает свое видение в определении понятия персональные данные, исходя из которого следует разрабатывать комплекс мер по обеспечению защиты конфиденциальной информации персонального характера с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые мо1ут быть использованы ирг отработке понятийного аппарат нормативно-правовых актов в сфере зашиты персональных данных.
Теоретические и практические выводы диссертационного исследования, ее содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты персональных данных.
Материалы диссертационного исследования опубликованы в четырех научных статьях и учебном пособии, общий объем публикаций составил 5,8 пл. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД РФ.
Во введении обосновывается актуальность темы, определяются объект и предмет, а также цели и задачи исследования, раскрываются его методология и методика, характеризуются эмпирическая база, обоснованность и достоверность исследования, его научная новизна, теоретическая и практическая значимость, сформулированы основные положения, выносимые на защиту, приводятся данные об апробации результатов исследования.
Первая глава - «Конституционно-правовое регулирование персональных данных» - посвящена исходным теоретическим положениям о персональных данных, которые установлены Конституцией РФ, международными правовыми актами и нормативно-правовыми актами РФ, регулирующими изучаемую сферу отношений.
Конституция Российской Федерации, принятая на всеобщем референдуме 12 декабря 1993 года стала основным шагом для создания дгмо кратического правового государства в нашей стране, где особой защитой должны пользоваться права и свободы человека и гражданина Закрепленные в основном законе России положения свидетельствуют о решительном отказе от тоталитарного подхода к проблеме «человек - государство», при котором государство берется за решение наиболее важных вопросов жизнеобеспечения, а человек превращается в винтик большой государственной машины.
Новая российская государственность радикально меняет отношения личности и государства. Не человек создан для государства, а государство для человека - таков теперь главный принцип их отношений. Приоритет человека перед государством позволяет осознавать место человека в гражданском обществе. Это место не определяется государством, оно неотъемлемо принадлежит человеку и реализуется в меру его способностей и инициативы. Так, содержание главы 2 Конституции РФ подчинено кпавному принципу права и свободы человека и гражданина являются высшей ценность государства. Отсюда следует, что все ветви власти, все звенья государственного механизма служат основной цели" обеспечению прав и свобод человека и гражданина, защите его правового статуса
Первооснову правового статуса человека и гражданина составляют личные (гражданские) права и свободы. Большинство из них носят абсолютный характер, т.е. являются не только неотъемлемыми, но и не подлежащими ограничению (право на жизнь, на национальную принадлежность, свобода совести и вероисповедания и тд.) Часть таких прав и свобод (на-
пример, право на защиту персональных данных) могут быть ограничены государством, в силу чего их правовая защита приобретает особую актуальность и значимость.
Всеобщая декларация прав человека (ст. 12) провозгласила, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от таких посягательств»1. Данное право также закреплено в ст. 17 Международного пакта о гражданских и политических правах4, в ст. 16 Конвенции о правах ребенка5, в ст. 8 Европейской конвенции о защите прав человека и основных свобод"".
Положения указанных выше международных правовых актов нашли свое конкретизированное отражение в нормах статей 23 и 24 Конституции РФ, где закреплено право на неприкосновенность частной жизни. В свою очередь «частная жизнь», «личная, семейная тайны», «честь» являются важнейшими благами человека, персонифицирующими личность. Все это позволяет говорить о синтезирующем понятии «персональные данные», которое приводится в отдельных правовых актах, но до настоящего времени подробно не исследовалось.
По мнению автора, несмотря на уже имеющееся законодательное определение персональных данных, на основе проведенного исследования дефиницию «персональные данные» необходимо изложить в следующей редакции - это сведения о фактах событиях и обстоите тьствах жизни конкретного физического лица или его семьи, а также птвочяющие отождествить их с конкретным индивидом и отражающие особенности последнего по отношению к другим людям (обществу)
В исчерпывающий перечень категорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным) включить следующие данные: фамилия, имя, отчество (если иное не вытекает из закона или национального обычая) человека; дата и место рождения, иные данные свидетельства о рождении, пол; гражданство; национальность; отношение к воинской обязанности; адрес места жительства (регистрации); адрес места пребывания; семейное положение (наличие или отсутствие дс-
3 Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 г. // Права человека. Сб. международных документов. - М. Изд. МГУ. 1986. С. 21-29.
4 Ведомости Верховного Совета СССР, 1976, № 17(1831), ст 291.
5 Издание Организации Объединенных Наций - Нью-Йорк, 1992
тей (также усыновленных или внебрачных), данные о ранее заключенных и расторгнутых браках, алиментных отношениях); состав семьи; профессиональная деятельность родителей; имущественное положение родителей и самого гражданина; сведения о доходах; информация о жилище (размер и вид собственности занимаемого жилья): номер контактного телефона (домашнего, рабочего, мобильного); номер электронной почты: профессиональная деятельность гражданина (должность); место работы; данные паспорта или иного документа, удостоверяющего личность (серия и номер, орган, выдавший документ, дата выдачи документа); данные дипломов об окончании учебных заведений, получении ученых степеней, званий и др; дактилоскопическая информация и сведения о генотипе; медицинская информация о личности; информация об особенностях половой жизни гражданина и его половой ориентации; сведения о политических взглядах и религиозных убеждениях; информация о местах посещения и отдыха гражданина или его семьи; содержание личных разговоров; сведения о наличии неснятой судимости или случаях привлечения к юридической ответственности; государственный номер находящихся в собственности транспортных средств, водительский стаж; личный код; информация для предоставления льгот по оплате жилищно-коммунальных услуг; идентификационный номер налогоплательщика (при его наличии); сведения об индивидуальном предпринимателе: ИНН; свидетельство о предпринимательской деятельности; виды деятельности; наличие лицензии; номера открытых в банках счетов; место осуществления деятельности и телефоны; иные (в частности, описание личности, которое предусматривает- 1 Рост; 2 Цвет глаз; 3. Особые приметы).
Учитывая всю сложность работы с персональными данными, автором сформулированы следующие требования- персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства; персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме, за исключением случаев, прямо установленных в законе; персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации; персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться; персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подле-
жать уничтожению по достижении этой цели или по минованию надобности; персональные данные охраняются в режиме конфиденциальной информации, исключающем их случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к данным, их изменение, блокирование или передачу, для лиц, занимающих высшие государственные должности, и кандидатов на эти должности, может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных.
За нарушение установленных требований и норм о персональных данных должна наступать юридическая ответственность эквивалентная совершенному правонарушению. Стоит отметить, что в этом направлении уже достаточно много сделано в рамках Трудового кодекса, Гражданского кодекса, Кодекса об административных правонарушениях, Уголовного кодекса и других нормативно-правовых актов федерального уровня, однако, в совокупности юридическая ответственность за нарушение норм о персональных данных далека от своего совершенства.
Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие системности между различными сферами оборота персональных данных. Среди других недостатков следует выделить, во-первых, отсутствие комплексности в обеспечении юридической ответственности за нарушение норм о персональных данных, а целый ряд норм вообще представляет собой отдельные фрагменты указанной деятельности, системно между собой не связанные, во-вторых, в нормативно-правовых актах отсутствует системный подход в регулировании отношений, связанных с защитой персональных данных посредством юридических санкций; в-третьих, наличие существенных недостатков в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения
Стоит сказать, что совокупность правовых институтов, регулирующих отношения в сфере оборота конфиденциальной информации, в настоящий период времени находятся в стадии формирования. Не в полной мере устоялось и доктринальное понимание многих аспектов данных отношений Тем не менее, можно предположить, что через непродолжительный промежуток времени, по мере развития законодательства, потребуется разработка целой системы составов правонарушений, специализированных на защите именно этих отношений. В особенности, как полагает автор, это будет касаться персональных данных.
Вместе с тем, уже имеющийся в КоАП РФ состав правонарушения «Нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», являющийся своего рода предвестником для появления новой системы, по мнению автора, не в полной мере отражает реальное положение вещей в данной сфере. В связи с этим автором предложена собственная редакция ст 13.11 КоАП РФ.
Следует констатировать, что имеющиеся существенные недостатки в юридико-техническом конструировании самих составов правонарушений, затрагивающих вышеуказанные отношения, в ряде случаев существенно снижают эффективность их применения. В иных случаях их содержание оказывается более узким либо вообще отличается от названия соответствующих статей.
По мнению автора, проблема установления юридической ответственности за нарушение норм о персональных данных не является единственной в данной сфере, одним из основных недостатков является то, что нормы, касающиеся регулирования отношений, связанных с конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких нормативно-правовых актах.
В Федеральном законе «Об информации, информатизации и защите информации» дано определение термина «персональные данные» и заложены основные принципы правового регулирования деятельности, связанной с персональными данными. В частности, статьей! I этого Закона такие данные отнесены к конфиденциальной информации, вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных Но эти нормы носят общий характер и до сих пор не конкретизированы
Вопросы правового регулирования работы с персональными данными затронуты в Основах законодательства Российской Федерации «Об Архивном фонде Российской Федерации и архивах» (ст.20). Федеральном законе «Об оперативно-розыскной деятельности» (ст.ст.З, 5, 9, 10, 12, 21), законах Российской Федерации «О государственной тайне» (ст.5), «О средствах массовой информации» (ст.ст.41, 43, 46, 51, 57), «О милиции», законодательстве о выборах и др. Однако все эти нормативно-правовые ак-
ты не находятся во взаимосвязи между собой при регулировании вопросов защиты конфиденциальной информации персонального характера.
Защита конфиденциальной информации персонального характера с помощью кодифицированных источников находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять Федеральные законы «О неприкосновенности частной жизни», «Об информации персонального характера», «О личном (персональном} коде», «О государственном регистре населения». Помимо принятия указанных законов, парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
Резюмируя сказанное, отметим, что Федеральный закон «Об информации персонального характера» должен дать правовую основу для развития нормативной правовой базы, обеспечивающей формирование, использование и защиту массивов персональных данных в стране, где приоритетами будут считаться:
а) защита персональных данных лиц от несанкционированного доступа к ним со стороны криминальных структур, других граждан, представителей государственных органов и служб, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов персональных данных к своим данным;
б) обеспечение сохранности, целостности и достоверности данных на основе:
Установления режима конфиденциальности соответствующих персональных данных;
Регламентации обязанностей, прав и ответственности держателей (обладателей) массивов персональных данных по работе с этими данными;
в) обеспечение в условиях развития рыночных отношений в стране возможностей для работы с персональными данными держателей (обладателей) или третьих лиц, которым раскрыты персональные данные, имеющих лицензию на проведение работ с этими данными, в частности, на основе прямого маркетинга.
Вторая глава - «Обеспечение информационных процессов в сфере персональных данных» - посвящена современным технико-правовым средствам осуществления информационных процессов в обеспечении оборота персональных данных.
Проблема защиты права личности на конфиденциальность информации персонального характера с развитием передовых технологий рассматривается в индустриально развитых государствах как одна из наиболее трудноразрешимых, так как здесь законодатель сталкивается с задачей установления оптимального соотношения между интересами личности и общества.
Регулирование данных интересов осуществляется в рамках информационных процессов, которые определяются нормативно-правовыми актами государства. На сегодняшний день в нормативно-правовых актах Российской Федерации даже простое перечисление существующих информационных процессов дается законодательством неоднозначно.
Так, согласно ч. 4 ст. 29 Конституции РФ каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. В соответствии со ст. 2 Федерального закона «Об информации...»" информационные процессы определены, как процессы сбора, обработки, накопления, хранения, поиска и распространения информации. В Федеральном законе от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» под информационными процессами понимаются процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации*.
Сопоставление и анализ приведенных определений свидетельствует, что в законодательстве (да и в научной литературе) отсутствует системность в понятийном аппарате, те. в нормативно-правовых актах поиятия информационных процессов не соотносятся друг с другом Следовательно, необходимо их упорядочивание.
В контексте рассматриваемого вопроса приходится признать, что в отечественном законодательстве практически полностью отсутствует правовое регулирование процессов сбора и обработки персональных данных о гражданах, особенно если используются автоматизированные системы. И это при том, что такие данные, включаемые в состав федеральных информационных ресурсов и информационных ресурсов субъектов Российской Федерации, а также получаемые и собираемые негосударственными организациями, отнесены Федеральным законом «Об информации, информатизации и защите информации»4 к категории конфиденциальной информации.
7 СЗ РФ от 20 февраля 1995 г., № 8, ст.609. " СЗ РФ от 8 июля 1996 г. № 28, ст. 3347. 9 СЗ РФ от 20 февраля 1995 г., № 8, ст.609.
По мнению автора, в понятие «автоматическая обработка персональных данных» должны быть включены следующие операции, если они noi-ностью или частично осуществляются с применением автоматизированных средств: накопление данных, выделение их по отдельным блокам содержащейся информации, проведение логических или/и арифметических операций с такими данными, их анализ, изменение, стирание, восстановление, подготовка для использования или распространения. Как представляет, данное определение должно быть включено в действующие федеральные законы «Об информации, информатизации и защите информации», «О Государственной автоматизированной системе Российской Федерации «Выборы»"0, а также в проекты федеральных законов «О неприкосновенности частной жизни», «Об информации персонального характера», «О личном (персональном) коде», «О государственном регистре населения».
Особо значимой является проблема регулирования порядка автоматической обработки персональных данных применительно к развивающимся глобальным компьютерным сетям, где наибольший интерес, несомненно, представляет сеть Интернет, на данный момент прочно занимающая положение главной мировой информационной инфраструктуры.
В этой связи автор предлагает на сайте поместить заметное и понятное по смыслу описание порядка использования информации владельцем сайга, а также обеспечить программным способом невозможность доступа посетителя к содержанию сайта без нажатия кнопки, подтверждающей согласие посетителя на сбор и использование информации. Сайт, собирающий информацию, не только должен получить согласие лица на сбор информации о нем, но и создать определенные условия ее хранения. Как минимум, должна обеспечиваться сохранность полученной информации и ее конфиденциальность, а субъект информации должен иметь возможность проверить соблюдение оговоренных правил.
Для того, чтобы облегчить посетителям оценку сайта с точки зрения сохранения конфиденциальной информации, предлагаем ввести специальные сертификаты, которые может получить только сайт, соблюдающий на практике определенные правила обращения с получаемой конфиденциальной информацией персонального характера (на сайте в этом случае размещается особый логотип такого сертификата).
Но даже соблюдение отправителем и адресатом сообщения всех установленных правил обращения с персональными данными еще не обеспе-
чивает сохранения их конфиденциальности. В связи с этим выбор Интернета в качестве средства передачи конфиденциальной информации является достаточно ответственным. К сожалению, одним из аспектов рассматриваемой проблемы является то, что современное законодательство пока не предусматривает эффективных средств обеспечения сохранности такой информации лицами, которым она становится доступной в процессе передачи.
Другим аспектом выступает не сформированность в государстве современной инфраструктуры обшей информатизации и, в частности, сферы персональных данных, способной удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Как представляется, для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
Другим важным аспектом является установление режима общедоступной информации персонального характера, хранящейся в автоматизированных базах данных. Режим конфиденциальности персональных данных может быть снят в случаях обезличивания персональных данных или по желанию субъекта для его персональных данных, в том числе может быть установлен режим общедоступной информации - в биобиблиографических справочниках, телефонных книгах, адресных книгах, частных объявлениях и тд. В этих случаях в общедоступные базы данных могут включаться следующие установочные персональные данные: фамилия, имя, отчество, год и место рождения, адрес местожительства и работы, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и/или полученные из открытых источников. В последнем случае, держатель должен проинформировать субъекта о содержании его персональных данных, об источниках получения и цели использования. Персональные данные конкретного субъекта безотлагательно должны исключаться держателем персональных данных из общедоступной базы данных на основании распоряжения этого субъекта или решения полномочною государственного органа, в случаях, указанных в законе.
Кроме задач технического решения по накоплению, хранению и управлению информационными ресурсами, содержащими персональные данные, большое значение должно придаваться вопросам применения и обновления действующих в этой области нормативных актов. Наиболее социально острой проблемой в области правового регулирования информатизации является защита прав личности в условиях накопления и хранения персональных данных с использованием ЭВМ.
Обращение к международному опыту в рассматриваемом контексте свидетельствует, что для зарубежного законодательства очевидна одна тенденция: составы собственно компьютерных преступлений (Действия против только охраняемой компьютерной информации) либо просто отсутствуют, либо существуют наряду с традиционными составами (мошенничество, выдача государственной тайны, собирание и распространение персональных данных). Последние либо предусматривают самостоятельный состав, который выступает как специальный по отношению к общему (тому же мошенничеству), либо находятся в той же статье в качестве квалифицированного состава.
В этом отношении применение соответствующих положений УК РФ 1996 г. является более сложным. Практика применения существующих составов весьма невелика, что позволяет утверждать о практических сложностях квалификации деяний и об отсутствии дополнительных норм в УК РФ, которые корреспондировали бы как со статьями КоАП РФ, так и иными нормами федерального законодательства.
Еще одним важным аспектом в обеспечении информационных процессов в сфере персональных данных является регулирование процесса распространения конфиденциальной информации персонального характера. Распространение представляет более существенную общественную опасность для конкретных граждан, нежели иные отношения, свойственные информационным процессам, в связи с чем решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.
Следует учитывать то, что на сегодняшний день в законе или иных нормативно-правовых актах не раскрыто правовое содержание понятия «распространение сведений», под которым автор предлагает понимать опубликование сведений в печати, трансляцию по радио и телевидеопрограммам, демонстрацию в кинохроникапьных программах и других средствах массовой информации, изложение в судебных характеристиках, публичных выступлениях, заявлениях, адресованных должностным лицам.
или сооби/ение в иной, в том числе устной форме нескольким или хотя бы одному лицу.
Для полного, всестороннего и объективного понимания проблемы ее необходимо рассматривать с позиции определения способов распространения персональных данных. Среди таковых следует выделить непосредственное и опосредованное распространение. Нисколько ни умаляя важность регулирования первого способа распространения конфиденциальной информации персонального характера, все же наибольший интерес в настоящее время представляет второй, что, прежде всего, обусловлено происходящим в обществе процессом информатизации. При этом от того, насколько остро в обществе преломляются технолого-социальные особенности передачи информации, зависит направленность правового регулирования отношений в данной области. В этой связи особую озабоченность вызывает возрастающая популярность глобальной сети Интернет. Учитывая пробелы правового регулирования Сети, они должны быть устранены в новом информационном законодательстве.
В заключении диссертации излагаются основные теоретические выводы и практические предложения, вытекающие из результатов исследования.
2. Учитывая важность развития правовой основы в сфере работы с персональными данными, а также необходимость внесения коррективов в действующем законодательстве, автором предложено свое концептуальное видение данной проблемы, сформулирован ряд нормативно-правовых актов, восполняющих возникший пробел и позволяющих сформировать систему норм, обеспечивающих защиту отношений в рассматриваемой сфере посредством как регулирующих норм, норм-дефиниций, так и юридических санкций.
3 Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие взаимосвязанности между различными сферами оборота персональных данных. В силу сказанного автором сформулирован ряд составов правонарушений, позволяющих устранить вышеуказанные недостатки в сфере за-
щиты персональных данных. Среди исследованных составов можно выделить собственную редакцию статей 13.11 КоАП РФ, 137 УК РФ, новую статью, дополняющую главу 28 УК РФ, а также автором предложены некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ.
4. Имеющиеся в нормативно-правовых актах определения составляющие понятие «информационных процессов» свидетельствуют, что в законодательстве отсутствует системность в понятийном аппарате, в связи с чем автором предложено определение «автоматическая обработка персональных данных», включающее исчерпывающий перечень возможных операций с персональными данными. Также предлагается раскрыть на федеральном уровне правовое содержание понятия «распространение сведений». Учитывая пробелы правового регулирования Интернета, автор предлагает в новом информационном законодательстве отработать понятийный аппарат с привлечением соответствующих экспертов в области технических знаний для выработки четких законодательных понятий и др.
Таким образом, проведенное диссертационное исследование позволило отметить, что проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества
В приложении к диссертации представлены анкета, изучения мнения сотрудников правоохранительных органов, в ф>нкциональные обязанности которых входит работа с персональными данными, а также результаты аналитического исследования.
Основные положения диссертационного исследования нашли свое отражение в четырех научных статьях и учебном пособии общим объемом 5,8 п.л.
1. Просветова ОБ, Рымарева НВ Информационная безопасность и современные информационные технологии // IV Всероссийская научно-практическая конференция «Охрана, безопасность и связь»: Сборник материалов. Часть 2. - Воронеж: Воронежский институт МВД России, 2003. - 0,23 п.л. (в соавторстве).
2 Просветова О.Б. Конституционное регулирование правовых средств защиты персональных данных // Всероссийская научно-
практическая конференция «Современные проблемы борьбы с преступностью»: Сборник материалов. - Воронеж: ВИ МВД РФ, 2004. (Информационная безопасность в деятельности органов внутренних дел) - 0, 23 п.л.
3. Занина ТМ., Просветова О.Б. Административная ответственность в сфере защиты конфиденциальной информации персонального характера// Вестник Воронежского института МВД России. - Т. 4 (19). - Воронеж: Воронежский институт МВД России, 2004. - 0,2 п.л.. (в соавторстве).
4. Просветова О Б Правовое регулирование персональных данных// Вестник Воронежского института МВД России. - Т. 4 (19). -Воронеж: Воронежский институт МВД России, 2004. - 0,2. п.л.
5. Просветова О Б, Федотов И.С Персональные данные: Учебное * пособие. - Воронеж: Воронежский институт МВД России, 2004. -
Просветова Ольга Борисовна Корректор
Усл. печ. л. 1,21 Подписано в печать 21,03.2005г. Уч. -изд. л. 1,07
Тираж 100 экз._Заказ № 5"?
Типография Воронежского института МВД России 394065, Воронеж, просп. Патриотов, 53.
РНБ Русский фонд
Введение.
Глава 1. Конституционно-правовое регулирование персональных данных
1. Конституционная защита персональных данных.
2. Юридическая ответственность за нарушение норм о персональных данных.
3. Систематизация законодательства о персональных данных.
Глава 2. Обеспечение информационных процессов в сфере персональных данных
1. Регулирование порядка автоматизированного сбора и обработки персональных данных.
2. Технико-правовое обеспечение накопления и хранения персональных данных.
3. Распространение персональных данных.
Введение 2005 год, диссертация по информатике, вычислительной технике и управлению, Просветова, Ольга Борисовна
Актуальность темы исследования. Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей «персональные данные».
Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.
Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.
Представляемое диссертационное исследование посвящено анализу правовых аспектов, обеспечивающих защиту конфиденциальной информации персонального характера. В связи с этим следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации»1, а также Федеis ральный закон «Об участии в международном информационном обмене» . Однако при этом процесс формирования комплексной правовой системы защиты персональных данных не может считаться завершенным, вследствие чего еще предстоит рассмотреть и принять значительное число проектов новых законов, а также дополнений и изменений в действующее законодательство.
Учитывая тот фактор, что в отечественной системе права отсутствует демократический опыт защиты отношений в сфере персональных данных с помощью правовых средств, а также в связи с существенной трансформацией задач и функций государства в сравнении с социалистическим периодом времени, возникла необходимость в научном анализе и осмыслении возможностей юридической науки по обеспечению защиты конфиденциальной информации персонального характера.
Оценка возможностей законодательства по оказанию позитивного воздействия на состояние системы обеспечения защиты персональных данных до настоящего времени юридической наукой практически не исследовалась, хотя, по мнению автора, здесь открываются довольно широкие возможности.
1 СЗ РФ, 20.02.95, №8, ст.609.
2 СЗ РФ, 08.07.1996, №28, ст.3347.
Исходя из вышеизложенного, исследование в данном направлении является весьма актуальным с научной точки зрения, а также может иметь практическое преломление в случае принятия сформулированных автором проектов и предложений при дальнейшем совершенствовании правовых норм.
Степень разработанности темы исследования. Изучение значительного количества источников юридической и технической литературы позволяет констатировать, что проблема защиты персональных данных является малоизученной, в связи с чем нуждается в отдельной проработке. Значительное количество научных работ, посвященных информационной безопасности, защите информации лишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации.
В представляемом исследовании в определенной степени произошло соединение доктринальных подходов в изучении защиты персональных данных специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями технических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.
Теоретические проблемы информационного права, правового обеспечения информационной безопасности и защиты информации исследовались И.Л. Бачило, В.А. Копыловым, В.Н. Лопатиным, В.А. Пожилых, М.М. Рассо-ловым, А.А. Фатьяновым, М.А. Федотовым, О.А. Федотовой, С.Г. Чубуко-вой, А.А. Шиверским, В.Д. Элькиным и др.
Проблемы функционирования системы обеспечения информационной безопасности с точки зрения технических наук нашли отражение в трудах А.Л. Балыбердина, М.А. Вуса, В.А. Герасименко, А.А. Грушо, С.В. Дворянкина, П.Д. Зегжды, Е.В. Касперского, В.Д. Курушина, А.А. Малюка, В.А. Минаева, В.Е. Потанина, В.Н. Саблина, С.В. Скрыля, А.П. Фисуна и ряда других ученых.
Вместе с тем, проблемы совершенствования защиты персональных данных предметом отдельного монографического исследования до сего времени не становились.
Объект и предмет исследования. В качестве объекта исследования в рамках темы рассмотрены общественные отношения, складывающиеся в процессе правового регулирования обеспечения защиты персональных данных.
Предметом исследования выступает совокупность правовых норм, регулирующих отношения в информационной сфере и, в частности, совокупность норм законодательства по обеспечению конфиденциальности персональных данных.
Цель и задачи исследования. Целью диссертационного исследования является выработка научно обоснованных предложений по разработке и совершенствованию законодательства, обеспечивающего защиту конфиденциальности персональных данных.
В рамках достижения данной цели в диссертационном исследовании решаются следующие теоретические и научно-практические задачи:
1) рассмотреть актуальные проблемы конституционно-правового регулирования персональных данных на современном этапе;
2) проанализировать статьи, устанавливающие юридическую ответственность за нарушение норм о персональных данных, и предложить рекомендации по их реализации и совершенствованию с учетом имеющегося международного опыта;
3) исследовать проблемы систематизации законодательства о персональных данных, учитывая как действующие законы, так и существующие проекты и предложения;
4) изучить технический опыт и нормативно-правовые акты, по регулированию порядка автоматизированного сбора и обработки персональных данных;
5) исследовать проблемы технико-правового обеспечения накопления и хранения персональных данных;
6) раскрыть с позиции имеющихся современных возможностей процесс распространения персональных данных для разработки рекомендаций и совершенствования норм по их защите.
Методологическая и источниковедческая основы исследования. Методологическую основу исследования составляет диалектический метод познания, исторический, системный, комплексный, целевой подходы к изучаемой проблеме, а также специальные методы познания: формальнологический, формально-юридический, сравнительно-правовой, а также методы абстрагирования, аналогии и моделирования.
В ходе работы автором диссертации проанализированы следующие источники: Конституция Российской Федерации, международные правовые акты, административное, гражданское, уголовное законодательство, подзаконные акты федерального уровня, а также иной юридический и технический материал.
Положения, выносимые на защиту:
1. Исследованные и предложенные автором, имеющие научно-методологическое значение для развития и совершенствования доктриналь-ного понимания проблемы, определения категорий «персональные данные», «информационные процессы», «автоматическая обработка персональных данных», «распространение сведений».
2. Разработанный автором исчерпывающий перечень категорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным). Формирование данного перечня является одним из ключевых моментов в создании правовой основы, обеспечивающей защиту персональных данных. Это следует из того, что отечественный правоприменитель, не сталкивавшийся ранее с категорией «персональные данные» и не обладая вековой традицией формирования и реализации законодательства через призму обеспечения прав и свобод человека и гражданина, не может обеспечить комплексную защиту персональных данных, исходя только лишь из абстрактных определений.
3. Обоснование положения о том, что нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.
4. Вывод о том, что защита конфиденциальной информации персо- . нального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, предложенных автором исследования, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
5. Предложения по новой редакции статей 13.11 КоАП РФ, 137 УК РФ, о дополнении главы 28 УК РФ следующим составом преступления: «Нарушение установленного порядка оборота конфиденциальных сведений о гражданах (персональных данных) с применением ЭВМ», а также некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ. Указанные предложения могут быть положены в основу формирования системы защиты конфиденциальной информации персонального характера, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, посредством юридических санкций.
6. Заключение о том, что в государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
7. Рекомендации по урегулированию порядка распространения персональных данных, учитывая происходящий в обществе процесс информатизации. В этой связи особое внимание уделено возрастающей популярности глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.
Научная новизна исследования. Диссертация является первой монографической работой, в которой с позиций соединенных доктринальных подходов в изучении персонифицированной информации специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой исследованы проблемы защиты персональных данных. Автором анализируются теоретические положения в сфере конституционно-правового регулирования персональных данных, критически анализируется состояние норм, затрагивающих отношения в данной важной для общества и государства области общественных отношений.
Теоретическая и практическая значимость результатов исследования. В соответствии с поставленными целью и задачами все выводы и положения, являющиеся результатом проведенного исследования, подчинены идее использования их при разработке нового и совершенствовании действующего законодательства и построения эффективной системы обеспечения защиты персональных данных.
Автор предлагает свое видение в определении понятия персональные данные, исходя из которого следует разрабатывать комплекс мер по обеспечению защиты конфиденциальной информации персонального характера с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые могут быть использованы при отработке понятийного аппарата нормативно-правовых актов в сфере защиты персональных данных.
Автором предлагается изложить в новой редакции два действующих состава КоАП РФ и УК РФ, дополнить составом главу 28 УК РФ, а также внести некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ и иные федеральные законы, что в комплексе позволит определенным образом повысить уровень обеспечения защиты персональных данных с помощью юридических санкций. Помимо этого предложены нормативно-правовые акты в целях систематизации законодательства о сведениях персонального характера.
Теоретические и практические выводы диссертационного исследования, его содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты персональных данных.
Эмпирическую базу исследования составили анализ изучения результатов анкетирования 120 сотрудников правоохранительных органов из двадцати субъектов России, из которых три республики, три края, тринадцать областей и один город федерального значения (г. Москва), а также результаты изучения 50 материалов гражданских дел, затрагивающих сферу частной жизни.
Апробация работы и внедрение результатов исследования. Основные положения диссертации докладывались и обсуждались на кафедре конституционного и административного права Воронежского института МВД России, на практических занятиях с адъюнктами очной формы обучения, на IV Всероссийской научно-практической конференции «Охрана, безопасность и связь» (г. Воронеж, 2003 г.), на Всероссийской научно-практической конференции курсантов, адъюнктов и слушателей «Современные проблемы борьбы с преступностью» (г. Воронеж, 2004 г.).
Материалы диссертационного исследования опубликованы в четырех научных статьях и учебном пособии, общий объем публикаций составил 5,8 п.л. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД РФ.
Структура диссертации. Диссертация состоит из введения, двух глав (включающих 6 параграфов), заключения, списка использованной литературы и приложения.
Заключение диссертация на тему "Защита персональных данных"
Обобщая ранее изложенное, отметим основные выводы по диссертации.
1. В настоящее время в России нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.
2. Защита конфиденциальной информации персонального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
Учитывая важность развития правовой основы в сфере работы с персональными данными, а также необходимость внесения коррективов в действующем законодательстве, автором предложено свое концептуальное видение данной проблемы, сформулирован ряд нормативно-правовых актов, восполняющих возникший пробел и позволяющих сформировать систему норм, обеспечивающих защиту отношений в рассматриваемой сфере посредством как регулирующих норм, норм-дефиниций, так и юридических санкций.
3. В совокупности юридическая ответственность за нарушение норм о персональных данных далека от своего совершенства, однако, уже достаточно много сделано в рамках Трудового кодекса, Гражданского кодекса, Кодекса об административных правонарушениях, Уголовного кодекса и других нормативно-правовых актов федерального уровня.
Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие взаимосвязанности между различными сферами оборота персональных данных. Среди других недостатков следует выделить, во-первых, отсутствие комплексности в обеспечении юридической ответственности за нарушение норм о персональных данных, а целый ряд норм вообще представляет собой отдельные фрагменты указанной деятельности, системно между собой не связанные, во-вторых, в нормативно-правовых актах отсутствует системный подход в регулировании отношений, связанных с защитой персональных данных посредством юридических санкций; в-третьих, наличие существенных недостатков в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения.
Следует констатировать, что имеющиеся недостатки в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения, в ряде случаев существенно снижают эффективность их применения. В иных случаях их содержание оказывается более узким либо вообще отличается от названия соответствующих статей.
В силу сказанного автором сформулирован ряд составов правонарушений, позволяющих устранить вышеуказанные недостатки в сфере защиты персональных данных. Среди исследованных составов можно выделить собственную редакцию статей 13.11 КоАП РФ, 137 УК РФ, новую статью, дополняющую главу 28 УК РФ, а также автором предложены некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ.
4. Имеющиеся в нормативно-правовых актах определения информационных процессов свидетельствуют, что в законодательстве (да и в научной литературе) отсутствует системность в понятийном аппарате, т.е. понятия информационных процессов не соотносятся друг с другом.
В контексте рассматриваемого положения приходится признать, что в отечественном законодательстве практически полностью отсутствует правовое регулирование процессов сбора и обработки персональных данных о гражданах (особенно если используются автоматизированные системы). И это при том, что такие данные, включаемые в состав федеральных информационных ресурсов и информационных ресурсов субъектов Российской Федерации, а также получаемые и собираемые негосударственными организациями, отнесены Федеральным законом «Об информации, информатизации и защите информации» к категории конфиденциальной информации.
Следуя изложенному, в представленном исследовании предложено определение «автоматическая обработка персональных данных», включающее исчерпывающий перечень возможных операций с персональными данными. Данное определение, по мнению автора, должно быть включено как в действующие федеральные законы, так и в проекты законов, призванных регулировать сферу персональных данных.
5. В государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
6. Исходя из того, что распространение конфиденциальной информации персонального характера представляет более существенную общественную опасность для конкретных граждан, нежели иные отношения, свойственные информационным процессам, решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.
В этой связи автор предлагает раскрыть на федеральном уровне правовое содержание понятия «распространение сведений». Для полного, всестороннего и объективного понимания проблемы урегулированности распространения персональных данных, предлагается рассматривать ее с позиции определения способов распространения. Среди таковых следует выделить непосредственное и опосредованное распространение. Нисколько ни умаляя важность регулирования первого способа распространения конфиденциальной информации персонального характера, все же наибольший интерес в настоящее время представляет второй, что, прежде всего, обусловлено происходящим в обществе процессом информатизации. При этом от того, насколько остро в обществе преломляются технолого-социальные особенности передачи информации, зависит направленность правового регулирования отношений в данной области. В связи с этим особую озабоченность вызывает возрастающая популярность глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.
7. Учитывая пробелы правового регулирования Интернета, они должны быть устранены в новом информационном законодательстве. Наряду с законом, регулирующим государственную политику в Сети, следует принять рамочный закон об Интернете. В нем, как считает автор, необходимо: 1) отработать понятийный аппарат с привлечением соответствующих экспертов в области технических знаний для выработки четких законодательных понятий; 2) закрепить наиболее важные принципы «сетевых отношений»; 3) отразить специфику субъектного состава сетевых отношений; 4) установить правила информационного обмена в сети Интернет; 5) сформулировать ответственность участников сетевых отношений за нарушение закрепленных норм, а также предусмотреть способы доказывания и особенности рассмотрения «сетевых споров»; установить пределы ответственности каждого участника сетевых отношений.
В завершении хотелось бы отметить, что проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества.
Библиография Просветова, Ольга Борисовна, диссертация по теме Методы и системы защиты информации, информационная безопасность
1. Конституция Российской Федерации М.: «Проспект», 2000. - 48с.
2. Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 г. // Права человека. Сб. международных документов. - М. Изд. МГУ. 1986. С. 21-29.
3. Европейская конвенция о защите прав человека и основных свобод // Собрание законодательства РФ, 2001, 8 января, №2, ст. 163.
4. Конвенция о правах ребенка // Издание Организации Объединенных Наций Нью-Йорк, 1992.
5. Международный пакт о гражданских и политических правах // Ведомости Верховного Совета СССР, 1976, № 17(1831), ст. 291.
6. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 17.12.1999) // Собрание законодательства РФ, 29.01.1996, №5, ст. 410.
7. Кодекс об административных правонарушениях. Кодексы Российской Федерации: Выпуск 2. М.: МНФРА - М, 2002. - 283с.
9. Семейный кодекс Российской Федерации. М.: Ассоциация авторов и издателей «ТАНДЕМ». Издательство «ЭКМОС», 2002. 96 с.
10. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ // СЗ РФ от 7 января 2002 г. № 1 (часть I) ст. 3.
11. Уголовный кодекс РФ от 13 июня 1996 г. № 63-Ф3 // СЗ РФ от 17 июня 1996 г. № 25 ст. 2954.
12. Уголовно-процессуальный кодекс Российской Федерации // Российская газета, 2001,22 декабря.
13. Доктрина информационной безопасности Российской Федерации» от 9 сентября 2000 г. утв. Президентом РФ № ПР 1895. // Российская газета, №187, от 28 сентября 2000 г.
14. Федеральный закон от 20.02.95 г. №24-ФЗ «Об информации, информатизации и защите информации» // СЗ РФ 20.02.95, №8, ст.609.
15. Федеральный закон РФ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» // СЗ РФ. 1995. № 17. Ст. 1455.
16. Федеральный закон РФ от 12.08.95г. №144-ФЗ (ред. 30.12.99.) «Об оперативно-розыскной деятельности» // СЗ РФ 14.08.95, №33, ст.3349.
17. Федеральный закон от 3.04.95 г. №40-ФЗ «Об органах федеральной службы безопасности в Российской Федерации» // Российская газета. 1995, 12 апреля.
19. Федеральный закон от 9 августа 1995 г. №129 ФЗ «О почтовой связи» // СЗ РФ. 1995, №33, ст.3334.
20. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» // СЗ РФ, 08.07.1996, №28, ст.3347.
21. Федеральный закон от 26.09.97 г. № 125-ФЗ «О свободе совести и о религиозных объединениях» // СЗ РФ, 1997, № 39, ст. 4465.
22. Федеральный закон РФ от 25.07.98 г. №128-ФЗ «О государственной дактилоскопической регистрации в РФ» // Российская газета, 1998, №145.
23. Федеральный закон от 30.03.99 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» // СЗ РФ, 1999, № 14, ст. 1650.
24. Федеральный закон от 18.06.01 г. № 77-ФЗ «О предупреждении распространения туберкулеза в Российской Федерации» // СЗ РФ, 2001, № 26, ст. 2581.
25. Федеральный закон от 25.04.02 г. № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств» // СЗ РФ от 6 мая 2002 г., № 18, ст. 1720.
26. Федеральный закон от 10.01.03 г. № 20-ФЗ «О Государственной автоматизированной системе Российской Федерации «Выборы» // СЗ РФ от 13 января 2003 г. № 2 ст. 172.
27. ЗО.Закон Российской Федерации «О милиции» от 18.04.91 г. №1026-1 // Ведомости Съезда народных депутатов и Верховного Совета РСФСР, 18.04.91. №16, ст.503.
28. Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» // Российская газета, 1993, 21 сентября.34.3акон Воронежской области от 13 января 1998 г. № 28-Н-ОЗ «Об информатизации Воронежской области».
29. Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» // СЗ РФ 1997, №10, ст. 1127.
30. Постановление Правительства РФ от 14.03.97 г. № 298 «Об утверждении образцов и описания бланков основных документов, удостоверяющих личность гражданина Российской Федерации за пределами Российской Федерации» // СЗ РФ от 24 марта 1997 г. № 12, ст. 1435.
31. Постановление Администрации Воронежской области от 6 сентября 1999 г. № 886 «О внедрении системы защиты информационных ресурсов Воронежской области».
32. Комментарий к Закону РФ «О средствах массовой информации» М.: Га-лерия, 2001.
33. Комментарий к Закону Российской Федерации «О милиции» / Ю.П. Соловей, В.В. Черников. Издание второе, переработанное и дополненное. М.: «Проспект», 2001.
34. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В. М. Лебедев. М., 2001.
35. Комментарий к «Закону о СМИ». Под ред. В.Н. Монахова. М., 2001.
36. Комментарий к Налоговому кодексу Российской Федерации для торговых организаций / М.Ю. Ракитина, O.JI. Арутюнова, С.В. Шарова М.: Изда-тельско-консультационная компания «Статус-Кво 97», 2003.
37. Комментарий к Трудовому кодексу Российской Федерации (под ред. К.Н. Гусова) М.: ООО «ТК Велби», ООО «Издательство Проспект», 2003.
38. Комментарий к Гражданскому кодексу Российской Федерации, части второй / Под ред. проф. Т.Е.Абовой и А.Ю.Кабалкина; Ин-т государства и права РАН. М.: Юрайт-Издат; Право и закон, 2003. - 976 с.
39. Научно-практический комментарий к Конституции Российской Федерации / Отв. ред. В.В. Лазарев // Электронная версия для справочной правовой системы «Гарант» по состоянию на 1 октября 2004 г.1. МОНОГРАФИИ И СТАТЬИ
40. Агапов А.Б. Проблемы правовой регламентации информационных отношений в Российской Федерации // Государство и право, 1993, №4. С. 125130.
41. Аносов В.Д., Стрельцов А.А. О доктрине информационной безопасности РФ (проект) // Информационной общество, 1997, № 2, 3.
42. Архипов А.В. Информационная защита объекта- задача многогранная. // Конфидент. №1-2.1999. С.30-31.
43. Бачило И.Л. Правовое регулирование процессов информатизации // Государство и право 1994, №12. С.72-80.
44. Бойко Б.Б. Комплексный подход к обеспечению информационной безопасности. // Межрегиональная конференция «Информационная безопасность регионов России», Санкт-Петербург, 13-15 октября 1999г.: конференции. Части 1и 2. СПб., 1999.- С.38-39.
45. Волков С., Булычев В. Защита деловой репутации от порочащих сведений // Российская юстиция, 2003, №8. С. 51.
46. Волчинская Е.К. О направлениях развития законодательства в сфере обращения информации / Аналитическая записка, 1998, август. С.24-32.
47. Гиляров Е.М., Янина Е.В. Информация как объект правового регулирования //Безопасность информационных технологий. 2001, №3. С.5-10.
48. Гостев И. М. Защита персональных данных и сведений о частной жизни граждан. // Конфидент. № 3. 1999. С. 13.
49. Гросс Г. Украли очень личное // Computerworld, 2003, №35.
50. Жуков И.А., Леонов Т.Е. Комплексная защита информации в сетях передачи данных органов внутренних дел / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. М., 1998. С. 112-119.
51. Калятин В.О. Персональные данные в Интернете // Журнал российского права, 2002, №5. С. 12.
52. Кирин В.И. Зарубежный опыт законодательной практики использования технических средств / Компьютерные технологии и управление органами внутренних дел. Труды Академии управления. М., 2000. С.181-187.
53. Климова Ю. Как пресечь распространение компромата в виртуальном мире // Российская юстиция, 2001, № 12. С. 48-50.
54. Копылов А.В. Защита информации в помещениях и технических каналах горрайорганов внутренних дел / Организационно-технические, математические и правовые аспекты информации деятельности органов внутренних дел. Труды Академии управления. М., 2001. С.49-57.
55. Костенко М.Ю. Налоговая тайна и другие виды конфиденциальной информации // Ваш налоговый адвокат, 2001, №2.
56. Крылов В. В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации // Уголовное право. 1998. № 3.
57. Маршани М.Б. Имеет ли право врач разглашать наши тайны // Безопасность информационных технологий. 2001, №3. С.52-54.
58. Погуляева Е. Не болтай! // «эж-ЮРИСТ», 2003, № 43.
59. Полупанов В. Чем лечат это секрет // Аргументы и факты, 2002, №7. С.24.
60. Сабынин В.Н. Организация работ по обеспечению безопасности информации в фирме// Информост. 2001, №18. С.56-58.
61. Степанов О.А. Сущность юридического режима регулирования информационно-электронных отношений в Российской Федерации / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. - М., 1998. С.50-59.
62. Степанюк Л. Какие гарантии защиты персональных данных работников установлены ТК РФ? // Финансовая газета. Региональный выпуск, 2003, №37.
63. Тибенко К.А. Некоторые аспекты правового обеспечения информационной безопасности // Безопасность информационных технологий. 2001, №3. С.63-69.
64. Фатьянов А.А. Тайна и право (основные системы ограничения на доступ к информации в российском праве): Монография. - М.: МИФИ, 1999. 288 с.
65. Французова Л. Личные данные работников // Кадровое дело, 2003, № 4.
66. Ходорыч А. Расколотая база // Коммерсант деньги. 2001, №7. С. 13-20.
67. Ходорыч А. «На каждый роток не накинешь платок» // Коммерсант деньги. 2001, №7. С.21.
68. Чекулаев Р.А. Обеспечение информационной безопасности как новая функция частных охранных и сыскных структур // Безопасность информационных технологий. 2001, №3. С.76-79.
69. Шляхтина С. Интернет в цифрах и фактах (http://www/compress.ru/Article.asp.id=4205).
70. УЧЕБНИКИ, УЧЕБНЫЕ ПОСОБИЯ, ЛЕКЦИИ, ДИССЕРТАЦИИ,1. АВТОРЕФЕРАТЫ
71. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. М., 1999.
72. Бачило И.Л., Лопатин В.Н. Федотов М.А. Информационное право: Учебник / Под ред. акад. РАН Б.Н. Топорнина. СПб.: Издательский центр Пресс, 2001.789 с.
73. Бородин С.В. Постатейный Комментарий к Уголовному кодексу РФ 1996г. / Под ред. А.В. Наумова М.: «Гардарика», Фонд «Правовая культура», 1996.
74. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Под ред. Н.Г. Шурухнова. М.: Книжный мир, 2001. 88 с.
75. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. М.: МИФИ, 1995. 96 с.
76. Герасименко В.А., Малюк А.А. Основы защиты информации. М.: МИФИ, 1997. 537с.
77. Гомьен Д., Харрис Д., Зваак JI. Европейская конвенция о правах человека и Европейская социальная хартия: право и практика». М., 1998.
78. Грачев Г.В. Информационно-психологическая безопасность личности: состояние, возможности психологической защиты. М.: Изд. РАГС, 1998. 125с.
79. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. Серия «Информатизация России на пороге 21 века».- М.: СИНТЕГ, 1999. 232 с.
80. Домарев В.В. Защита информации и безопасность компьютерных систем. Киев: Издат-во: ДиаСофт. 1999. 480с.
81. Карелина М.М. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В.М. Лебедев. М.: Юрайт-М, 2001.
82. Ковалев В.И. Комментарий к Трудовому кодексу Российской Федерации о материальной ответственности работников М.: За право военнослужащих, 2003.
83. Компьютерные террористы: Новейшие технологии на службе преступного мира. / Автор-составитель Т.И. Ревяко. Мн.: Литература, 1997. -640с.
84. Кондратьева C.J1. Юридическая ответственность: соотношение норм материального и процессуального права. Дисс. . канд. юрид. наук. М., 1998. 187 с.
85. Копылов В.А. Информационное право: Учебное пособие. М.: Юристъ, 1997. 472 с.
86. Костюк В.Д. Нематериальные блага. Защита чести, достоинства и деловой репутации. М., 2002.
87. Котов Б.А. Юридический справочник руководителя. Тайна. - М.: «Издательство ПРИОР», 1999. 128с.
88. Крапивин О.М., Власов В.И. Работодатель: права и обязанности / Под общ. ред. профессора С.И. Шкуро. М.: Норма, 2004. 400 с.
89. Лопатин В.Н. Информационная безопасность в системе государственного управления (теоретическме и организационно-правовые проблемы). Дисс. . канд. юрид. наук. СПб., 1997. 193с.
90. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности Российской Федерации (проект). - М.: Издание Государственной Думы, 1998. 159с.
91. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / Санкт-Петербургский университет МВД России. - СПб., 2000. 428 с.
92. Лопатин В.Н. Правовые основы информационной безопасности: Курс лекций, М.: МИФИ, 2000. 355 с.
93. Люшер Ф. Конституционная защита прав и свобод личности. М., 1993.
94. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информацию в автоматизированных системах. М.: Горячая линия-Телеком, 2001. - 148с.
95. Матвеева А.А. Преступления в сфере компьютерной информации. / Курс уголовного права. Том 4. Особенная часть / Под ред. доктора юридических наук, профессора Г.Н. Борзенкова и доктора юридических наук, профессора B.C. Комиссарова. М., 2002. 543 с.
96. Мелик-Гайказян И.В. Информационные процессы и реальность. М., 1997.
97. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика. 1997. 368с.
98. Михайлов С.Ф., Петров В.А., Тимофеев Ю.А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции: Учебное пособие. М.: МИФИ, 1995. 112 с.
99. Наумов В.Б. Право в Интернете: Очерки теории и практики. М.: Книжный дом «Университет», 2002. 135 с.
100. Ожегов С.И., Шведова Н.Ю. Толковый словарь русского языка: 80 000 слов и фразеологических выражений / Российская академия наук. Институт русского языка им. В.В. Виноградова. 4-е издание, дополненное. М.: Азбуковник, 1999. 944 с.
101. Организация и современные методы защиты информации (под общей редакцией Диева С.А., Шаваева А.Г.)- М., Концерн «Банковский Деловой Центр». 1998. 472с.
102. Осипенко A.JI. Борьба с преступностью в глобальных компьютерных сетях: Международный опыт: Монография. М., 2004. 432 с.
103. Основы информационной безопасности: Учебник / В.А. Минаев, С.В. Скрыль, А.П. Фисун, В.Е. Потанин, С.В. Дворянкин. Воронеж: Воронежский институт МВД России, 2000. - 464с.
104. Пожилых В.А. Организационно-правовые особенности защиты информации в автоматизированных информационных системах органов внутренних дел. Автореф. дисс. . канд. юрид. наук. Воронеж, 2003. 21 с.
105. Право и информационная безопасность // Под общ. ред. доктора юрид. наук, профессора Е. Н. Щендригина. В 2-х кн. Кн.1. Орел: ОрЮи МВД РФ, 2000. 143.
106. Преступления в сфере компьютерной информации: Квалификация и доказывание: Учебное пособие / Под ред. Ю. В. Гаврилина. М., 2003.
107. Расследование неправомерного доступа к компьютерной информации / Под ред. Н. Г. Шурухнова. М., 1999.
108. Рассолов М.М. Информационное право: Учебное пособие. М.: Юристъ, 1999. 400с.
109. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -М., 2003.
110. Симкин JI.C. Программы для ЭВМ: правовая охрана (правовые средства против компьютерного пиратства). - М.: издательство «Городец», 1998. 208с.
111. Смолькова И. В. Тайна: понятие, виды, правовая защита: Юридический терминологический словарь - комментарий. М., 1998. 79с.
112. Снытников А.А., Туманов JI.B. Обеспечение и защита права на информацию. М.: Городец - издат, 2001. 344с.
113. Стельмах Н.Н. Практическое пособие по налогообложению доходов индивидуальных предпринимателей. -М.: «Статус-Кво 97», 2002.
114. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. -М.: ИНФРА-М, 2001. 304с.
115. Фатьянов А. А. Правовое обеспечение безопасности информации. Дисс. док. юрид. наук. -М., 1999. 503 с.
116. Фатьянов А.А. Правовое обеспечение безопасности информации в РФ. Учебное пособие. -М., 2001. 412 с.
117. Фисун А.П., Касилов А.Н. Мешков А.Г. Информатика и информационная безопасность: Учебное пособие. // Под общей редакцией к.т.н., доцента Фисуна А.П. Орел: ОГУ, 1999. 282с.
118. Федотова О.А. Административная ответственность в сфере обеспечения информационной безопасности. Дисс. . канд. юрид. наук. - М., 2003. 195 с.
119. Черешкин Д.С., Антопольский А.Б. Кононов А.А., Смолян Г.Л., Цы-гичко В.Н. Защита информационных ресурсов в условиях развития мировых открытых сетей. М., 1997. 75с.
120. Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики) Учебное пособие / Под ред. доктора юридических наук, профессора М.М. Рассолова. М., 2004. 252 с.
121. Шиверский А.А. Защита информации: проблемы теории и практики. -М.: Юристъ, 1996. 112с.
122. Шевердяев С. Информационные отношения и система информационного законодательства. М., 1999.
123. Шураков В.В. Обеспечение сохранности информации в системах обработки данных. М.: Финансы и статистика. 1985. 224с.
124. Энтин М.Л. Международные гарантии прав человека. Опыт Совета Европы. М., 1997.
125. Эределевский A.M. Моральный вред и компенсация за страдания. М. БЕК. 1997.
126. Grande С. Plan to fight moves on long-term eOmail records//Financial Times. 2001.29 June.
127. Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 21-22.
128. Regulation of Investigatory Powers Act 2000.
129. See Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 8, 24.
130. Tareg al Baho v. Marc Fermigier, Hans Hermann, and Francoise Vireux, Tribunal Correctionnel de Paris, 2000.
131. The Washington Post Company: http://www.newsbvtes.eom/news/01/166216.html; BBC: http://news.bbc.co.uk/hi/english/world/europe/newsid 1325000/1325186.stm.