Проблемы правового регулирования института персональных данных в Российской Федерации
Содержание
Введение
. Общие положения о персональных данных
.1 Понятие и особенности персональных данных
.2 Нормативно-правовое регулирование в области персональных данных
. Проблемы защиты персональных данных
.1 Защита персональных данных
.2 Обеспечение безопасности персональных данных при их обработке
.3 Особенности ответственности за нарушение законодательства о защите персональных данных
.4 Проблемы правового регулирования института персональных данных
Заключение
Список использованной литературы
Приложение
Введение
В настоящее время технические средства позволяют производить сбор и обработку существенных объемов социально значимых сведений, необходимых для эффективного функционирования государственных механизмов, протекания общественных процессов, а также реализации прав человека. Стремительное развитие информационных технологий дает возможность получать доступ и использовать различные банки данных практически любым субъектам информационных отношений. Постоянно ускоряющаяся информатизация общества и активное развитие открытых информационных систем значительно упрощают утечку и иные формы незаконного доступа к личной информации, что делает задачу обеспечения необходимой правовой защиты персональной информации особо актуальной и значимой.
Персональные данные являются неотъемлемой частью информационных ресурсов всех уровней - от федерального до муниципальных образований. Интенсивно формируется институт персональных данных как важная составляющая информационного права России.
Основой регулирования правоотношений в сфере персональных данных являются положения ст. 24 Конституции РФ, которые устанавливают, что без согласия лица не допускаются сбор, хранение, использование и распространение информации о его частной жизни. Конституционной обязанностью органов государственной власти и органов местного самоуправления, их должностных лиц является обеспечение возможности каждому ознакомиться с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Среди соответствующих международно-правовых норм следует отметить ст. 8 Конвенции по защите прав человека и основных свобод (ETS N 5), допускающую необходимое в демократическом обществе вмешательство в частную жизнь лица только в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц (такое вмешательство предусмотрено законом).
Институт персональных данных в российском информационном праве формируется за счет норм об информации определенного вида, содержащихся в различных федеральных законах. Объем сведений, позволяющий идентифицировать лицо, определяется в них по-разному. Так, например, Федеральным законом от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем" (с изменениями и дополнениями от 2 мая 2015 г) к персональным данным отнесены сведения о документе, удостоверяющем личность, адрес места жительства или пребывания личности. Аналогичные указания содержатся и в Федеральном законе от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования". Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" (в ред. от 31 декабря 2014 г) считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. В ст. 387 новой редакции Таможенного кодекса РФ, вступившей в силу 1 января 2004 г., предусмотрено право таможенных органов накапливать в отношении физических лиц персональные данные и данные о частоте перемещения ими товаров через границу.
Детально регламентированы правоотношения по поводу персональных данных работника в Трудовом кодексе РФ (глава 14). Объем персональных данных определяется здесь очень широко: это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Она может быть получена только у самого работника или, с его письменного согласия, у третьих лиц. Установлен запрет на получение и обработку персональных данных о политических, религиозных, иных убеждениях работника и о его частной жизни. Данные о членстве его в общественных объединениях или о его профсоюзной деятельности могут собираться, обрабатываться и использоваться только в случаях, установленных законом. Трудовой кодекс РФ содержит также нормы о порядке передачи персональных данных работника: мероприятия по защите данной информации от неправомерного использования или утраты осуществляются за счет средств работодателя. Впервые в Трудовом кодексе РФ (и в российском законодательстве вообще) вводится такое понятие, как "персональные данные оценочного характера". Работник имеет право дополнить их заявлением, выражающим его (работника) собственную точку зрения в отношении такой информации.
Отдельные группы персональных данных могут приобретать правовой режим другого вида информации ограниченного доступа - государственной тайны. Это, в частности, касается персональных данных государственных служащих, внесенных в личные дела и документы учета, на что указано в Федеральном законе от 27.05.2003 N 58-ФЗ "О системе государственной службы в Российской Федерации"
Особенно остро стоит вопрос в отношении сбора и использования персональных данных в оперативно-розыскной деятельности.
Цель данной работы рассмотреть основные нормативно-правовые акты, которые используются в сфере персональных данных для определения их правового статуса, а также рассмотреть основные проблемы регулирования. Эта цель достигается за счет решения следующих задач: определения понятия персональных данных и их особенностей в нормативно-правовых актах, выделения основных источников законодательства, решение проблем, связанных с обработкой и защитой персональных данных.
1.Общие положения о персональных данных
1.1Понятие и особенности персональных данных
Введенные в правовой оборот Указом Президента РФ от 6 марта 1997г. № 188 «Об утверждении Перечня сведений конфиденциального характера», и получившие значительное распространение в связи с принятием нового Трудового кодекса РФ, персональные данные постепенно становятся неотъемлемой частью информационных процессов, связанных с обработкой, использованием и защитой сведений конфиденциального характера.
Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.
Действующие в отношении них ограничения снимаются при наличии согласия обладателя персональных данных. Последнее предполагается также и в том случае, когда субъект выполняет ряд возложенных на него обязанностей, например при оформлении паспорта, регистрации актов гражданского состояния и т.п.
Персональные данные имеют достаточно четкое внутреннее структурирование. Формирование в их составе ряда самостоятельных групп сведений обусловлено необходимостью их повышенной правовой защиты.
В этой связи принято различать:
) общедоступные персональные данные, доступ к которым неограниченного круга лиц предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
К разряду общедоступных персональных данных могут быть отнесены: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии субъекта и т.д. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
) биометрические персональные данные, характеризующие физиологические особенности человека и на основе которых можно установить его личность;
) персональные данные специальной категории, включающие в свой состав данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.
Следует отметить, что распределение персональных данных по самостоятельным категориям имеет место в большинстве иных законодательных и подзаконных нормативных правовых актах
В частности, нормами Трудового кодекса РФ предусмотрено, что персональные данные работника представляют собой обобщенные данные последнего, необходимые работодателю в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ). По смыслу последнего к их числу относятся: фамилия, имя, отчество работника, сведения о предшествующей трудовой деятельности, отношение к воинской обязанности, образование или уровень квалификации. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодателю категорически запрещается получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.
В целях получения допуска по соответствующей форме к сведениям, составляющим государственную тайну, в состав предоставляемых персональных данных по смыслу Закона РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» (с изменениями и дополнениями от 8 марта 2015 г), в обязательном порядке относятся: фамилия, имя, отчество оформляемого, дата и место его рождения, сведения об образовании - специальность и квалификация по диплому; гражданская принадлежность, наличие ученой степени или ученого звания, владение иностранными языками и соответствующий уровень и т.д.
Работники кадрового аппарата в ходе беседы с оформляемым на работу (службу) гражданином сверяют указанные в анкете данные с его личными документами, уточняют отдельные вопросы анкеты, выявляют представляющие интерес сведения, не предусмотренные вопросами анкеты, выясняют у гражданина, имел ли он за последний год отношение к секретным работам, документам и изделиям, давал ли он обязательство по неразглашению сведений, составляющих государственную тайну, работал ли (служил) на режимных объектах, запрашивают необходимые справки и документы, знакомят гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.
.2Нормативно-правовое регулирование в области персональных данных
Необходимость защиты персональных данных базируется на одном из фундаментальных прав человека, не относящихся исключительно к предмету трудового права: защите от вмешательства в личную жизнь. В статье 12 Всеобщей декларации прав человека 1948 г. указывается:
Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств.
Это право воспроизводится и в ст. 8 Европейской конвенции о защите прав человека и основных свобод, ратифицированной Россией.
Кроме того, в Европейской конвенции говорится о том, что не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случая, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц.
В Российской Федерации основным законом, регулирующим правоотношения в области персональных данных, стал Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями от 21 июля 2014 г.). Сфера действия Федерального закона ограничивается исключительно обработкой персональных данных, подразумевая под этим, в силу буквального толкования термина, их сбор, хранение, их возможный анализ, и тем самым исключает возможность защиты индивидуальной информации при ее распространении, хотя по статистике чаще нарушение прав и законных интересов граждан и организаций является следствием незаконного распространения персональных данных.
Однако следует отметить, что в термин «обработка персональных данных» законодателем было заложено куда более расширенное содержание, чем это представляется на первый взгляд. По смыслу пп. 3 п. 1 ст. 3 настоящего Закона под «обработкой персональных данных» понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ст. 3 настоящего Закона).
Объективные сложности правового регулирования в сфере защиты персональных данных обусловлены необходимостью сбалансировать в законе противоречивые интересы, как минимум, трех групп субъектов:
)граждан, чьи персональные данные собираются и обрабатываются (субъекты персональных данных);
)государственных органов, обязанных обрабатывать персональные данные в связи с исполнением своих полномочий;
)негосударственных организаций, заинтересованных в обработке персональных данных в соответствии с целями своей деятельности, в том числе в интересах бизнеса.
В такого рода ситуациях действующее законодательство, а равно органы государственной власти, ответственные за его исполнение, не могут в полной мере гарантировать охрану всех персональных данных, а также установить ограничения на сбор и распространение некоторых из них (в большей части это касается персональных данных, которые их обладатель распространяет самостоятельно). Однако с их стороны требуется реальный контроль за соблюдением установленных запретов с целью обеспечения надежной охраны для законодательно установленного минимума.
Цель Федерального закона «О персональных данных» заключается в обеспечении защиты прав и свобод гражданина при обработке его персональных данных в соответствии с основными правами и свободами, провозглашенными Декларацией прав и свобод человека и гражданина, принятой Верховным Советом РСФСР 22 ноября 1991 г., и Конституцией Российской Федерации (ст. 17).
Так, в ст. 9 Декларации провозглашается право каждого на неприкосновенность его частной жизни, тайну переписки, телефонных переговоров, телеграфных и иных сообщений. В соответствии со ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
А на основании ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
В соответствии со ст. 9 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина, если иное не предусмотрено федеральными законами. Однако гражданин имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информацию, непосредственно затрагивающую его права и свободы (ст. 8 указанного Закона).
Необходимо также отметить, что и трудовое законодательство направлено на защиту персональных данных субъектов, состоящих в трудовых отношениях. При поступлении на работу человек сообщает о себе много различной информации.
Трудовой кодекс РФ обязывает предприятие разработать специальное положение по защите персональных данных - «Положение о работе с персональными данными работников».
Кроме того, в ст. 86 ТК РФ предусмотрены требования, которые необходимо соблюдать при обработке персональных данных работника и гарантии их защиты. Обработка персональных данных работника должна осуществляться исключительно в целях содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, а так же в целях выполнения требований законов. Все персональные данные работника следует получать только у него самого. Если персональные данные работника возможно получить лишь у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель же должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Конституцией РФ и федеральным законодательством информация о частной жизни отнесена к охраняемой законом информации, доступ к ней без согласия лица, к которому она относится, не допускается. Другими словами, информация о частной жизни лица, в том числе персональные данные, признается конфиденциальной.
В силу вышеназванных причин правовое регулирование оборота персональных данных должно развиваться в трех основных направлениях.
Первое направление, самое общее, связано с защитой конфиденциальности персональных данных в процессе социальной жизни индивида (взаимоотношения с государственными органами, профессиональная деятельность, брачно-семейные отношения, финансовая сфера, здравоохранение и медицина, получение нотариальных, адвокатских услуг и т.п.), т.е. с обработкой персональных данных операторами информационных систем персональных данных.
Второе направление связано с обеспечением конфиденциальности персональных данных личности в условиях свободы СМИ.
Третье направление - это правовые изъятия из общего режима конфиденциальности персональных данных, действующие во время избирательных кампаний и в иных случаях.
Общие требования относительно правил работы с персональными данными работников операторов - юридических лиц устанавливаются подзаконными актами.
Статья 15 Закона о персональных данных регулирует вопрос о защите прав субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. По общему правилу прямые контакты с потенциальным потребителем - субъектом персональных данных с помощью средств электронной связи и с целью политической агитации допускаются с предварительного согласия субъекта персональных данных. Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить обработку персональных данных субъекта по его требованию.
Согласно п.7 ч.2 ст.6 Закона о персональных данных от лиц, замещающих государственные должности, должности государственной гражданской службы, кандидатов на выборные государственные или муниципальные должности, не требуется согласия на опубликование их персональных данных в соответствии с федеральными законами.
Обобщая вышесказанное, нужно отметить, что в целом Закон о персональных данных установил лишь основные требования к порядку обеспечения конфиденциальности персональных данных. Однако некоторые важные вопросы, напрямую связанные с обеспечением конфиденциальности персональных данных, остались неурегулированными. К ним относятся вопрос вторичного использования персональных данных, проблема применения идентификаторов, вопрос о правилах работы закрытых информационных систем, вопрос об организационных основах деятельности операторов. В особом регулировании по-прежнему нуждается проблема обеспечения конфиденциальности (а также изъятий из нее) в условиях свободы СМИ.
персональные данные защита правовой
2.Проблемы защиты персональных данных
.1Защита персональных данных
Субъектом защиты персональных данных является физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Персональные данные субъектов обрабатываются в различных целях, в том числе и в связи с трудовыми отношениями. В таком случае работодатель является оператором, осуществляющим обработку персональных данных работника.
Защита персональных данных представляет собой комплекс организационных, правовых, технических и иных мероприятий по предотвращению (пресечению) любых нелегитимных (в ряде источников также - противозаконных) действий с целью несанкционированного доступа к персональным данным либо их несанкционированного, в т. ч. случайного, уничтожения, изменения, блокирования, копирования, предоставления или распространения
Статья 22 Федерального закона "О персональных данных" закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.
Персональные данные - это термин, используемый в европейском законодательстве, который обозначает одновременно группу правоотношений и объект защиты . Таким образом, объектом защиты выступают сами персональные данные о понятии, содержании и видах которых было сказано выше.
В плане определения персональных данных как объекта защиты со стороны работодателя существует настоятельная необходимость в их четком установлении и детализации с тем, чтобы регламентировать возможность их обработки не иначе как с письменного согласия субъекта персональных данных и только в ряде исключительных случаев (ч.2 ст.10).
.2Обеспечение безопасности персональных данных при их обработке
Обоснование комплекса мероприятий по обеспечению безопасности персональных данных (ПДн) в информационной системе персональных данных (ИСПДн) производится с учетом результатов оценки опасности угроз и определения класса ИСПДн на основе «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».
Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.
Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:
üкатегория обрабатываемых персональных данных;
üобъем обрабатываемых персональных данных;
üтип информационной системы;
üструктура информационной системы и местоположение ее технических средств;
üрежимы обработки персональных данных;
üрежимы разграничения прав доступа пользователей;
üналичие подключений к сетям общего пользования и (или) сетям международного информационного обмена.
Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
Кроме того, в обязательном порядке к специальным системам должны быть отнесены:
üинформационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
üинформационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.
При этом должны быть определены мероприятия по:
üвыявлению и закрытию технических каналов утечки ПДн в ИСПДн;
üзащите ПДн от несанкционированного доступа и неправомерных действий;
üустановке, настройке и применению средств защиты.
Мероприятия по защите ПДн при их обработке в ИСПДн от несанкционированного доступа и неправомерных действий включают:
üуправление доступом;
üрегистрацию и учет;
üобеспечение целостности;
üконтроль отсутствия недекларированных возможностей;
üантивирусную защиту;
üобеспечение безопасного межсетевого взаимодействия ИСПДн;
üанализ защищенности;
üобнаружение вторжений.
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, осуществляющей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты.
Для защиты ПДн от утечки по техническим каналам применяются организационные и технические мероприятия, направленные на исключение утечки акустической (речевой), видовой информации, а также утечки информации за счет побочных электромагнитных излучений и наводок.
2.3Особенности ответственности за нарушение законодательства о защите персональных данных
При неисполнении требований по обеспечению безопасности персональных данных (далее ПДн) у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.
Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и (или) ее руководителя к административной или иным видам ответственности, а при определенных условиях - к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152):
Разглашение персональных данных работника - новое для трудового законодательства основание для увольнения, введенное в действие ФЗ от 30 июня 2006 г. Помимо Трудового кодекса, отношения по использованию персональных данных работника регулируются ФЗ от 27 июля 2006 г. "О персональных данных", а также ФЗ от 27 июля 2006 г. "Об информации, информационных технологиях и защите информации".
Трудовым законодательством на работодателя накладывается обязанность соблюдать меры по защите персональных данных работника (ст.86 ТК). Доступ к персональным данным работника разрешен только специально уполномоченным лицам работодателя (работникам отдела кадров, бухгалтерии и др.). Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Их действия по разглашению персональных данных работника можно считать аморальным проступком.
Законодатель не ставит расторжение трудового договора с лицом, разгласившим персональные данные работника, в зависимость от наступления неблагоприятных последствий для работника. Достаточно самого факта разглашения персональных данных работника .
Однако, возникает вопрос об ответственности работодателя за разглашение специалистом отдела кадров персональных данных работников. В связи с этим отметим, что за разглашение работником отдела кадров персональных данных других работников работодатель может быть привлечен к административной ответственности по ст.13.11 Кодекса РФ об административных правонарушениях , в случае если будет доказана его вина. Также на работодателя может быть возложена обязанность возмещения морального и материального вреда работникам, чьи персональные данные распространены, что будет рассмотрено в следующем разделе настоящего исследования.
Из п.7 ст.86 Трудового кодекса РФ следует, что защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств.
Статья 88 ТК РФ устанавливает общее правило о запрете передачи персональных данных работника третьим лицам без письменного согласия работника.
Таким образом, на работодателя возложена обязанность обеспечить сохранность персональных данных работника.
Согласно ст.90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
В связи с разглашением специалистом отдела кадров персональных данных работника работодатель может нести административную ответственность, предусмотренную ст.13.11 КоАП РФ.
В соответствии со ст.13.11 КоАП РФ установлена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Тот факт, что персональные данные разглашены специалистом отдела кадров, не освобождает работодателя-организацию от административной ответственности. Частью 2 ст.2.1 КоАП РФ предусмотрено, что юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.
Персональные данные работника могут быть отнесены к сведениям, составляющим служебную тайну. За разглашение сведений, составляющих охраняемую законом служебную тайну, в случаях, предусмотренных федеральными законами, возможно привлечение работника к полной материальной ответственности (п.7 ч.1 ст.243 ТК РФ). Только проблема заключается в том, что ни Федеральный закон "О персональных данных", ни какой-либо другой федеральный закон не предусматривают случаев полной материальной ответственности за разглашение персональных данных работника. Поскольку в этом случае материальная ответственность предусмотрена только Трудовым кодексом РФ, представляется, что привлечение к материальной ответственности возможно только на общих основаниях, установленных Трудовым кодексом РФ .
Материальная ответственность работника наступает, если соблюдены следующие условия, изложенные в ст.233 ТК РФ:
üИмеется прямой действительный ущерб, подтвержденный соответствующими документами (доказательствами).
üИмеется вина работника в причинении работодателю такого ущерба. Под виной здесь понимаются умысел или неосторожность в действиях сотрудника, которые привели к возникновению ущерба у работодателя. Умысел состоит в том, что работник знал (предполагал) о том, что в результате его действий работодателю будет нанесен прямой действительный ущерб. Неосторожность заключается в том, что сотрудник мог предполагать вероятность ущерба, но самонадеянно рассчитывал на предотвращение таких последствий либо вовсе не предвидел вреда.
üУстановлен факт совершения работником неправомерных действий (или бездействия), т.е. нарушающих нормы законодательства.
üСуществует причинная связь между действиями работника и возникшим у работодателя ущербом.
Возмещение ущерба производится независимо от привлечения работника к дисциплинарной, административной или уголовной ответственности (ч.6 ст.248 ТК РФ). Закон позволяет конкретизировать материальную ответственность трудовым договором или заключаемыми в письменной форме соглашениями, прилагаемыми к нему. Но в таком случае договорная ответственность сотрудника перед работодателем не может быть выше, чем это предусмотрено ТК РФ и федеральными законами (ст.232 ТК РФ).
Работодатель имеет право отказаться от взыскания причиненного ущерба как полностью, так и частично - такое право предоставлено ему ст.241 ТК РФ. Орган по рассмотрению трудовых споров вправе снизить размер взыскания во всех случаях, за исключением вреда, причиненного преступлением, совершенным в корыстных целях (ст.250 ТК РФ). Согласно п.16 Постановления Пленума ВС РФ от 16.11.2006 № 52 сумму возмещения могут уменьшить с учетом степени и формы вины, материального положения работника (заработной платы, иных основных и дополнительных доходов), его семейного статуса (количества членов семьи, наличия иждивенцев, удержания по исполнительным документам) и других обстоятельств.
Работник и работодатель могут заключить соглашение о размере и порядке компенсации материального вреда работнику.
Кроме того, согласно ст.238 ТК РФ работник, разгласивший персональные данные, обязан возместить работодателю причиненный прямой действительный ущерб.
В соответствии с п.7 ч.1 ст.243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
При наличии спора работник вправе обратиться с иском к работодателю в суд.
2.4Проблемы правового регулирования института персональных данных
Одной из главных проблем является:
üНесовершенство законодательства, которое должным образом не охватывает сферу регулирования персональных данных.
üНизкий профессионализм операторов, допускающих серьезные ошибки при обработке, хранении данных.
üОтсутствие комплексной защиты автоматических информационных систем, направленной на сохранение и защиту персональных данных.
üТаким образом, на сегодняшний день в России сложилась парадоксальная ситуация: с одной стороны, несмотря на закрепление гарантий права граждан на доступ к информации в основополагающих международно-правовых документах, Конституции РФ и в целом ряде иных нормативных актов, реальный механизм реализации права граждан на доступ к информации, в том числе информации о них в России отсутствует, реализации данного права препятствует социально-экономический кризис; низкая правовая культура должностных лиц и граждан; недостаточный уровень компьютеризации; принятые законы не обеспечивают реальных действий по получению необходимой информации; отсутствует нормативно закрепленный механизм ответственности должностных лиц за нарушение данного права. Вместе с тем, информацию, содержащую персональные данные о гражданах, в том числе базы данных различных органов государственной власти любой желающий может практически свободно приобрести за небольшие деньги.
üПри этом российские граждане в полной мере не владеют информацией о том, в каких базах данных о них накапливается информация, и совершенно точно практически не имеют возможности по своему первому требованию получить эту информацию, изменить или исключить ее из свободного доступа.
üБорьба с преступлениями в сфере телекоммуникаций, доступ к услугам и ресурсам связи, в том числе сотовой, международной и междугородной.
üБорьба с компьютерными преступлениями (неправомерный доступ к охраняемой законом компьютерной информации, создание и использование вредоносных программ для ЭВМ, нарушение эксплуатации ЭВМ); борьба с незаконным оборотом радиоэлектронных и специальных технических средств).
üБорьба с распространением контрафактной продукции и нарушениями действующего законодательства в области авторских прав.
Заключение
Федеральной закон от 27.07.2006 № 152-ФЗ «О персональных данных» дает развернутое определение персональным данным - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные отнесены Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.97 № 188, к категории конфиденциальной информации, таким образом лицо, получившее доступ к персональным данным, обязано обеспечивать конфиденциальность таких данных, соблюдать требования о недопустимости их распространения без согласия субъекта персональных данных или иного законного основания. Обеспечение конфиденциальности не требуется в следующих случаях:
обезличивания персональных данных (совершения действий, в результате которых невозможно определить принадлежность персональных данных конкретному работнику);
в отношении общедоступных персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Правовой статус персональных данных устанавливается международными нормативно-правовыми актами: Всеобщей декларацией прав человека 1948 г., Европейской конвенцией о защите прав человека и основных свобод, - и нормами национального законодательства Российской Федерации: Конституцией РФ, Трудовым кодексом РФ, Федеральным законом «О персональных данных», Федеральным законом «Об информации, информационных технологиях и защите информации», Законом «О государственной тайне» и другими.
Список использованной литературы
1.Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.).// Российская газета от 10 декабря 1998 г.
2.Европейская конвенция о защите прав человека и основных свобод ETS N 005 (Рим, 4 ноября 1950 г) (с изменениями о дополнениями от 11 мая 1994 г).// Собрание законодательства Российской Федерации от 8 января 2001 г., N 2, ст. 163.
.Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ) // Собрание законодательства РФ, 14.04.2014, N 15, ст.1691.
.Трудовой кодекс РФ от 30.12.2001 N 197-ФЗ (с изменениями и дополнениями от: 2 мая 2015 г). // Собрание законодательства Российской Федерации от 7 января 2002 г. N 1 (часть I) ст. 3.
.Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ (с изменениями и дополнениями от 23 мая 2015 г).// Собрание законодательства Российской Федерации от 7 января 2002 г. N 1 (часть I) ст. 1.
.Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями от 21 июля 2014г).// Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451.
.Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» (с изменениями и дополнениями от 31 декабря 2014г).// Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3448.
.Федеральный закон от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" (в ред. от 31 декабря 2014 г).// Собрание законодательства Российской Федерации от 24 ноября 1997 г., N 47, ст. 5340.
.Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (с изменениями и дополнениями от 1 декабря 2014 г).// Собрание законодательства Российской Федерации от 1 апреля 1996 г. N 14 ст. 1401.
.Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма" (в ред. от 2 мая 2015г).// Собрание законодательства Российской Федерации от 13 августа 2001 г. N 33 (Часть I) ст. 3418.
.Федеральный закон от 8 августа 2001 г. № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (с дополнениями и изменениями от 30 марта 2015 г). // Собрание законодательства Российской Федерации от 13 августа 2001г., N 33 (Часть I), ст. 3431.
.Закон от 21 июля 1993 г. № 5485-1 «О государственной тайне» (с изменениями и дополнениями от 8 марта 2015 г).// Собрание законодательства Российской Федерации от 13 октября 1997 г., N 41, ст. 4673.
.Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» (с изменениями и дополнениями от 4 октября 2014 г).// Собрание законодательства Российской Федерации от 25 октября 2004 г. N 43 ст. 4169.
.Городов О.А. Информационное право. - М.: Проспект, 2009 г.
.Бачило И.Л. Информационное право. - М.: Высшее образование, 2009 г.
.Лютов Н.Л. Защита персональных данных: международные стандарты и внутреннее российское законодательство - М.: «Трудовое право», № 8, 2010 г.
.Шалыгина Л.С. Нормативно-правовое регулирование работы с информационными системами и персональными данными. - М.: «Медицинское право», № 2, 2010 г.
.Электронный ресурс URL:#"justify">Приложение
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ сотрудника
Я, ________________________________________________________________,
(Ф.И.О.)
Проживающий по адресу:______________________________________
Паспорт №________________, выданный (кем и когда)______________________________
настоящим даю свое согласие на обработку в (наименование и юридический адрес оператора) моих персональных данных, к которым относятся:
паспортные данные;
данные страхового Свидетельства государственного пенсионного страхования;
данные документа воинского учета;
документы об образовании, профессиональной переподготовке, повышении квалификации, стажировки, присвоении ученой степени, ученого звания (если таковые имеются);
анкетные данные, предоставленные мною при поступлении на работу или в процессе работы (в том числе - автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
данные иных документов, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены мною при заключении трудового договора или в период его действия
данные трудового договора и соглашений к нему;
данные кадровых приказов о моем приеме, переводах, увольнении;
данные личной карточки по формам Т-2 и Т-1;
данные документов о прохождении мной аттестации, собеседования, повышения квалификации, результатов оценки и обучения;
фотография;
иные сведения обо мне, которые необходимо (оператору) для корректного документального оформления правоотношений между мною и (оператором).
Я даю согласие на использование моих персональных данных в целях:
корректного документального оформления трудовых правоотношений между мною и (оператор);
обеспечения выполнения мною должностных обязанностей (трудовой функции);
предоставления информации в государственные органы Российской Федерации в порядке, предусмотренным действующим законодательством;
предоставления информации в медицинские учреждения, страховые компании;
обеспечения предоставления мне социального пакета.
Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу третьим лицам), обезличивание, блокирование, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными, предусмотренных действующим законодательством Российской Федерации.
(Оператор) гарантирует, что обработка моих личных данных осуществляется в соответствии с действующим законодательством РФ и «Положением о защите персональных данных работников (оператора), с которым я ознакомлен (а) при трудоустройстве в (оператор).
Данное Согласие действует с момента заключения мною Трудового договора с (оператором) и до истечения сроков, установленных действующим законодательством Российской Федерации.
Я подтверждаю, что, давая такое Согласие, я действую своей волей и в своих интересах.
Дата:_______________ Подпись______________ /________________/