Правовой режим персональных данных по законодательству РФ

    Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.

    В информационных системах, имеющих подключение  к информационно - телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты. 

    § 2.2. Методы и способы защиты информации от утечки по техническим каналам.

    Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса могут применяться следующие методы и способы защиты информации:

• использование технических средств в защищенном исполнении;
• использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• размещение объектов защиты в соответствии с предписанием на эксплуатацию;
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
• обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
• обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.

    При применении в информационных системах функции голосового ввода

персональных  данных в информационную систему  или функции воспроизведения информации акустическими средствами информационных систем для информационной системы 1 класса реализуются методы и способы защиты акустической (речевой) информации.

     Методы  и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами. 

    § 2.3. Внедрение средств защиты

    В соответствии с положениями Федерального закона от 08 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке, либо привлекать к проведению данных мероприятий организации, имеющие соответствующие лицензии.

    Данный  этап выполняется специалистами  прошедшими обучение и получившими сертификаты на выполнение данного спектра работ. Которые не только выполнят пусконаладочные работы, но ещё и проведут обучение вашего персонала работе с данным комплексом. 

    § 2.4. Аттестация.

    Требование  по проведению аттестации ИСПДн в  настоящий момент в действующем законодательстве явно нигде не прописано. Однако ФСТЭК и ФСБ уполномочены проводить мероприятия по контролю/надзору за выполнением требований по технической защите ПДн. Поэтому проект защиты ПДн разумно завершить неким “аудиторским заключением” о достаточности предпринятых мер, позволяющим оператору быть более уверенным, что при проведении проверки его ИСПДн не будет выявлено существенных нарушений. Такой аудит, позволяющий проверять защищенность ИСПДн и ее соответствие требованиям закона, следует проводить ежегодно на договорной основе, так как план проверок формируется раз в год. Преимущество аттестации в том, что аттестат действует три года.

    Оператор  может провести аттестацию своей  ИСПДн добровольно, для того чтобы иметь гарантированный документ для проверяющих органов. Легитимность аттестации можно обосновать тем, что в настоящий момент не установлен технический регламент по защите информации ограниченного доступа.⁵ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     ГЛАВА III. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЯ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.

     Статья 90 ТК РФ предусматривает ответственность  за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может  нести дисциплинарную, административную, гражанско-правовую и уголовную ответственность. 

§ 3.1. Уголовная ответственность.

     Самая строгая, конечно, уголовная. Статья 137 УК РФ предусматривает наказание  за незаконное собирание или распространение  сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность  грозит в том случае, если эти  действия совершены намеренно, из корыстной  или иной личной заинтересованности и повлекли за собой нарушение  законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

    Личную  или семейную тайну составляют сведения, не подлежащие, по мнению лица, которого они касаются, оглашению. Личную и  семейную тайну не могут составлять сведения, которые были ранее опубликованы либо оглашены иным способом.

    Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

    а) незаконном собирании сведений о  частной жизни;

    б) незаконном их распространении;

    в) незаконном их распространении в  публичном выступлении, публично демонстрирующемся  произведении или средствах массовой информации.

      Закон не связывает ответственность  за незаконное распространение  сведений о частной жизни лица  с конкретным способом распространения.  Под распространением имеется  в виду любая незаконная передача  указанных сведений третьим лицам.  Незаконным распространением является  разглашение личной или семейной  тайны лицом, обязанным ее хранить  в силу своей профессии. В  некоторых случаях разглашение сведений о частной жизни по УК образует одновременно состав другого преступления например, разглашение тайны усыновления (ст. 155), В таких случаях содеянное квалифицируется по совокупности со ст. 137 УК.

    Обязательным  элементом объективной стороны  преступления, предусмотренного ст. 137 УК, является причинение вреда правам и законным интересам граждан. Характер вреда закон не ограничивает. Он может быть:

    а) материальным (имущественным), например потеря хорошо оплачиваемой работы, срыв выгодной сделки, иные убытки в предпринимательской  деятельности;

    б) физическим (телесным), например заболевание  от пережитого;

    в) моральным, например распад семьи, подрыв репутации.

    Установление  наличия вреда правам и законным интересам потерпевшего производится в каждом конкретном случае с учетом индивидуальных особенностей личности и ситуации.

    Нарушение неприкосновенности частной жизни  считается оконченным преступлением  только с момента причинения соответствующего вреда (материальный состав).

    Субъективная  сторона данного преступления характеризуется  прямым умыслом. Обязательным элементом  субъективной стороны является мотив: корыстная или иная личная заинтересованность. Корыстная заинтересованность выражается в стремлении приобрести материальную (имущественную) выгоду за счет потерпевшего или в виде вознаграждения от третьей  стороны. Иная личная заинтересованность может заключаться в стремлении дискредитировать конкурента, сделать  карьеру, отомстить за что-либо, продемонстрировать свое превосходство либо привлечь внимание к себе.

     Ответственность по ч. 1 ст. 137 УК несет любое физическое вменяемое лицо, достигшее 16 лет (общий  субъект), а по ч. 2 ст. 137 УК - должностное  лицо либо служащий государственного или муниципального учреждения, использующий для совершения преступления свое служебное  положение (специальный субъект).⁶

     А если кадровик или руководитель допустили  ситуацию, когда информация о работнике  стала известна другим, ненамеренно? Или даже существует пока только угроза "утечки" такой информации? Тогда  в ход могут пойти меры административной и дисциплинарной ответственности, которые применяются к должностным  лицам предприятия. Остановимся  на них подробнее. 

     § 3.2. Административная ответственность.

     Административные  штрафы. Нарушение правил работы с  персональными данными может  повлечь административную ответственность  работодателя или его представителей. Кодекс РФ об административных правонарушениях  содержит на этот счет две статьи.

     Статья 13.11 предусматривает ответственность  в виде предупреждения или наложения  штрафа на работодателя в размере  от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования  или распространения информации о гражданах (персональных данных). Этот порядок установлен главой 14 Трудового  кодекса РФ и локальными нормативными актами предприятия.

     Объективная сторона данного правонарушения состоит в действии или бездействии, нарушающем установленный законом  порядок сбора, хранения, использования  или распространения информации о гражданах (персональных данных). Вина в совершении данного правонарушения может быть как умышленной, так  и неосторожной.⁷

     Ввиду того, что персональные данные - один из видов охраняемой законом тайны, защита ее конфиденциальности предусмотрена  также статьей 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных  или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, то административный штраф  для него будет составлять от 40 до 50 МРОТ.

     Объектом  правонарушения, предусмотренного данной статьей, является порядок получения  информации с ограниченным доступом.

     Объективная сторона данного правонарушения состоит в действии, представляющем собой разглашение информации, доступ к которой ограничен федеральным  законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных  или профессиональных обязанностей.

     Отнесение информации к конфиденциальной осуществляется в порядке, установленном отраслевым законодательством Российской Федерации (гражданским, административным и т.д.).

     Вина  в совершении данного правонарушения может быть как умышленной, так  и неосторожной.

     К административной ответственности  работодателя или его представителей может привлечь Рострудинспекция или  суд⁸. 

     § 3.3. Дисциплинарная ответственность. 

     Дисциплинарная  ответственность кадровика. В отношении  сотрудника-кадровика работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 Трудового кодекса РФ: замечание, выговор, увольнение. Более того, кодекс предусматривает специальное основание  для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом  тайны, ставшей известной работнику  в связи с исполнением им трудовых обязанностей (п.п. "в" п.6 ст.81).