Защита персональных данных работников на примере ООО «Диалком»

По результатам  аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить определение об отстранении сотрудника от работы с информацией и документами, составляющими секреты фирмы.

Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и выполнении ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками установленных правил защиты секретов фирмы.

Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направлений, заместителями первого руководителя и работниками службы безопасности.

Проверки могут  быть плановыми и внеплановыми (внезапными). Внезапные проверки проводятся при  возникновении малейшего подозрения о разглашении или утечке информации.

Самоконтроль состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании службы безопасности и непосредственного руководителя о фактах утери документов, утрате по какой-либо причине ценной информации, разглашении лично или другими сотрудниками сведений, составляющих секреты фирмы, нарушении работниками порядка защиты информации.⁸

При работе с  персоналом фирмы следует сосредоточивать  внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к секретам фирмы. Следует учитывать, что эти работники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т.п.

Кроме того, необходимо помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека в использовании информации может приводить к стрессам, нервным срывам. Сохранение чего-то в тайне противоречит потребности человека в общении путем обмена информацией. В связи с этим особенно важно, чтобы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства фирмы и службы безопасности.

В случае установления фактов невыполнения любым из руководителей или работников требований по защите информации к ним в обязательном порядке должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Важно, чтобы наказание было неотвратимым и своевременным, не взирая на должностной уровень работника и его взаимоотношения с руководством фирмы.

Одновременно с виновным лицом ответственность за разглашение сведений, составляющих секреты фирмы, несут руководители фирмы и ее структурных подразделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

Информационная  база для контроля работы персонала, владеющего конфиденциальной информацией, формируется на основе анализа степени осведомленности работников в секретах фирмы. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персоналом конфиденциальной информации.

Объектами комплексного аналитического исследования являются: выявление, классификация и постоянное изучение источников и объективных каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный контроль безопасности ценной информации.

Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю фирмы.

В целях превентивного  контроля рекомендуются следующие  учетные и аналитические действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией:

• анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям фирмы;
• анализ степени владения конфиденциальной информацией руководством фирмы, руководителями структурных подразделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы;
• анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов);
• анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника.

Своевременный учет состава конфиденциальной информации, известной каждому из работников фирмы, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого работника фирмы с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету выявленное несанкционированное ознакомление с информацией, к которой работник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией работника, вообще не имеющего допуска для работы с конфиденциальной информацией.⁹

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. ПРАВОВАЯ И НОРМАТИВНАЯ БАЗА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Нормативные  акты, устанавливающие правила  
по защите персональных данных

Одним из важнейших  вопросов регулирования любой сферы деятельности является вопрос правового регулирования. Не исключение и сфера персональных данных.

При найме сотрудника организация вынуждена собирать определенную личную информацию о своих работниках, которая необходима ей в связи с трудовыми отношениями. Законодательство устанавливает особые правила обращения с персональными данными, регулирующие обеспечение сохранности персональных данных вообще и работников в частности. Формирование национальных правовых систем в области защиты персональных данных началось с международных правовых актов.

Статья 12 Всеобщей декларации прав человека 1948 года гласит: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств»¹⁰. Право на уважение к личной и семейной жизни содержится так же и в Конвенции о защите прав человека    и основных свобод¹¹.. В 1995 году Содружеством Независимых Государств (в состав которого входит Россия) была принята Конвенция о правах и основных свободах человека, закрепившая основные права на территории распавшегося Союза СССР. ¹²

Что касается Российской Федерации, то законодательство о защите персональных данных стало работать только с 2007г. На сегодняшний день сохранность конфиденциальных сведений на ее территории обеспечивается следующими нормативными актами.

Во-первых, это  Конституция Российской Федерации. В ее положениях признается не только само право на неприкосновенность личной жизни, личную и семейную тайну (ч.1 ст.23), но и обеспечивающие это право дополнительные гарантии. В соответствии со ст. 2 Конституции «человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства». Таким образом, Российская Федерация не только устанавливает право, но и обязуется защищать его; ставит интересы человека и гражданина на ступень выше, чем интересы государства, общества, либо общественных или коммерческих организаций. Согласно ч.1 ст. 15 Конституция РФ является документом прямого действия, т.е. ее нормы не требуют дополнительного признания и исполняются «как есть». Ч.4 ст. 15 признает Международные договоры (в т.ч. указанные Конвенции) источником права и отводит им главенствующую роль. Ч.1 ст. 24 запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

И, наконец, согласно ст. 46 каждому гарантируется судебная защита его прав, в том числе  в межгосударственных органах.

Развивает положения Конституции ФЗ «О персональных данных». Поводом для его принятия послужили общеизвестные факты кражи баз персональных данных в государственных и коммерческих структурах и их последующая продажа по всей стране. Кроме того, по мнению многих российских экспертов в области права, одной из целей принятия данного закона явилась необходимость устранения некоторых барьеров в торговле со странами Евросоюза, т.к. согласно Директиве Евросоюза персональные данные могут передаваться только в страны, обеспечивающие такой же уровень защиты, как и в Европе. Поэтому отсутствие в нашей стране соответствующей защиты существенно тормозило обмен сведениями российских госучреждений и компаний со своими зарубежными партнерами, делая невозможными многие коммерческие перспективные проекты.

Неудивительно, что ФЗ «О персональных данных» во многом повторяет основные положения  европейского законодательства в данной сфере.

ФЗ «О персональных данных» устанавливает дополнительные гарантии защиты персональных данных, а именно:

1. ограничения на передачу персональной информации третьим лицам без согласия человека;
2. требования к информированию человека о целях и способах обработки информации о нем;
3. необходимость получать согласие на сбор сведении о человеке у него самого;
4. обеспечение безопасности и конфиденциальности персональных данных.

Теперь никто  не имеет права без ведома и  согласия гражданина собирать и хранить  информацию о нем (за исключением  специально Уполномоченных органов  в случае, предусмотренных Федеральными законами).

Что же касается сферы действия закона, то данным законом регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий, совершаемых с персональными данными с использованием средств автоматизации.

Итак, ФЗ «О персональных данных» призван защитить, прежде всего, права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну. Конкретные требования к системам персональных данных, а также методология их классификации и защиты определяются рядом нормативных документов, разработанных в соответствии с ФЗ «О персональных данных».

Кроме того, данную сферу регулирует Федеральный Закон "Об информации, информатизации и  защите информации"¹³. В частности ч.1 ст. 11 Закона определяет, что персональные данные являются конфиденциальной информацией, а ч.3 этой же статьи предупреждает о наступлении ответственности юридических и физических лиц за нарушение режима защиты, обработки и порядка использования этой информации.

Сфера отношений, касающаяся персональных данных работника регулируется также гл.14 ТК РФ¹⁴ Где установлено понятие персональных данных работника, установлен порядок работы с ними и закрепляется ответственность работодателя за нарушение соответствующих норм.

Таким образом, на сегодняшний  день работодатель, получающий доступ к персональным данным работника, обязан обеспечить конфиденциальность таких данных, руководствуясь не только Конституцией РФ, Трудовым кодексом РФ, но и ФЗ «О персональных данных».

 

 

 

 

 

 

 

 

 

2. Нововведения в законодательстве по защите

персональных  данных

Развитие правового  регулирования в сфере защиты персональных данных пошло по двум направлениям: общего и специального законодательства. Этот путь уникален тем, что специальное законодательство стало формироваться гораздо раньше выхода в свет Федерального закона от 27 июля 2006 года №152 ФЗ «О персональных данных», раньше почти на 10 лет. Ведь первое упоминание о такой категории информации как персональные данные содержится в Указе Президента Российской Федерации от 06 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера».

Несмотря на то, что сегодня в основном говорят непосредственно о вышедшем в 2006 году Федеральном законе, стоит обратить внимание, что перечень иных законодательных и нормативных актов, так или иначе затрагивающих вопросы персональных данных уже достаточно велик. Появилось множество проблем, связанных с разницей во времени выхода этих актов и уже упоминавшегося ФЗ «О персональных данных».

Одновременно  процесс формирования законодательства продолжается. Так 25 июля 2011 года президент подписал Федеральный закон № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Надо сказать, что изменения коснулись буквально каждой статьи ФЗ «О персональных данных», и вряд ли все они принесут пользу гражданам.

Основная цель данных изменений – более четкая регламентация правоотношений, связанных с персональными данными (по сравнению с предыдущим периодом) и, что не менее важно, урегулирование обработки персональных данных в сети Интернет и электронных базах данных. В частности: