CC BY
17
научно-методическое обеспечение
Н. В. ЗЕНИНА старший научный сотрудник отдела изучения проблем управления
и реформирования УИС НИЦ-1 ФКУ НИИ ФСИН России, кандидат юридических наук, старший лейтенант внутренней службы
N. V. ZENINA
правовое регулирование создания информационных систем персональных данных работников в деятельности УИС
Workers personal data systems, the legal regulation of their creation as an activity of FPS
Аннотация. Автором проведен анализ нормативных правовых актов, регулирующих вопросы создания информационных систем персональных данных работников для деятельности УИС.
Ключевые слова: право, информационная система, персональные данные, уголовно-исполнительная система.
Abstract. The author gives the analysis of the legal base regulating the issues of creation of the FPS workers personal data systems.
Key words: law, personal information system, federal penitentiary system.
Информационные системы персональных данных создаются федеральными органами исполнительной власти только в целях реализации своих полномочий и на основании соответствующих федеральных законов или правовых актов государственных органов.
Законодательство Российской Федерации в названной сфере правового регулирования основывается на Конституции Российской Федерации [1], международных договорах и состоит из Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [2] и других федеральных законов, регулирующих отношения по использованию информации, Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных» (далее - ФЗ «О персональных данных») [3] и иных федеральных законов, определяющих случаи и особенности обработки персональных данных.
Вопросы, связанные с рассматриваемой проблемой, регулируются также положениями гл. 14 Трудового кодекса Российской Федерации [4] (в части, касающейся персональных данных рабочих и служащих), ст. 14 Федерального закона от 27.05.2003 № 58-ФЗ «О системе государственной службы Российской Федерации» [5], ст. 42 Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» [6] и принятым в соответствии с ним Положением о персональных данных государственного гражданского служащего Российской
Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» [7].
При создании и использовании информационных систем персональных данных граждан следует руководствоваться следующими положениями Конституции Российской Федерации:
■ в Российской Федерации признаются и гарантируются права и свободы человека и гражданина согласно общепризнанным принципам и нормам международного права (ст. 17, ч. 1);
■ каждый имеет право на неприкосновенность частной жизни, личную тайну, защиту своей чести и доброго имени (ст. 23, ч. 1);
■ сбор, хранение, использование информации о частной жизни гражданина без его согласия не допускается (ст. 24, ч. 1);
■ права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ст. 55, ч. 3);
■ не подлежат ограничению права и свободы, предусмотренные ст. 23 (ч. 1) и 24 Конституции Российской Федерации (ст. 56, ч. 3).
Среди международных договоров важное место занимает Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года [8], которая, в частности, обязывает лиц, осуществляющих сбор персональных данных, принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно и от несанкционированного доступа, изменения или распространения (с 1 сентября 2013 года положения Конвенции стали обязательными для Российской Федерации).
ФЗ «О персональных данных» является базовым законодательным актом, регулирующим отношения, связанные с обработкой персональных данных, и определяет принципы, условия и правила обработки персональных данных. В соответствии с ч. 1 ст. 1 указанного нормативного правового акта им регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими и физическими лицами. Федеральная служба исполнения наказаний является федеральным органом исполнительной власти, следовательно, рассматриваемая область общественных отношений подлежит и его регулированию.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (см. ФЗ «О персональных данных»).
Согласно общему правилу для обработки персональных данных субъекта требуется получение его согласия. На законодательном уровне закреплено право субъекта персональных данных на отзыв согласия на обработку персональных данных. Обязанность доказывания наличия подобного согласия возлагается на оператора.
Согласно ст. 13 ФЗ «О персональных данных» государственные органы (к числу которых относится ФСИН России) создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные информационные системы персональных данных. При этом федеральными законами могут быть установлены особенности учета персональных данных в государственных информационных системах персональных данных, в том числе особенности использования различных способов
научно-методическое обеспечение
обозначения принадлежности персональных данных, содержащихся в соответствующей государственной информационной системе персональных данных, конкретному субъекту. Однако в этом случае не допускается ограничение прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки персональных данных.
Следует отметить, что в действующем законодательстве содержатся конкретные положения, позволяющие определить, какую информацию надо относить к персональным данным, подлежащим включению в информационные системы персональных данных ФСИН России.
Так, согласно ст. 85 Трудового кодекса Российской Федерации персональные данные представляют собой информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника (рабочего или служащего), в том числе такую, как его фамилия, имя, отчество, год, месяц, дата и место рождения, место жительства, семейное положение, образование, профессия и др. В связи с заключением трудового договора работодателю необходимо получить от работника персональные данные, подтвержденные документами, перечисленными в ст. 65 названного Кодекса. В некоторых случаях трудовое законодательство расширяет перечень персональных данных, необходимых работодателю в связи с трудовыми отношениями, к числу которых относятся данные о медицинских освидетельствованиях, о наличии у работника двух и более иждивенцев (при решении вопроса о преимущественном праве оставления на работе) и некоторые другие.
В ст. 86 Трудового кодекса Российской Федерации содержится перечень требований, обязательных для исполнения работодателем при обработке персональных данных работника.
Согласно ст. 14 Федерального закона «О системе государственной службы Российской Федерации» [10] персональные данные федеральных государственных служащих, сведения об их профессиональной служебной деятельности и о стаже (об общей продолжительности) государственной службы вносятся в личные дела и документы учета государст-
венных служащих, ведение и хранение которых осуществляются в соответствии с федеральными законами и иными нормативными правовыми актами Российской Федерации.
В соответствии с п. 2 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела [11] под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением (в частности, соответствующие данные анкеты установленной формы и др.).
Персональные данные Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» [12] отнесены к категории конфиденциальной информации, то есть работодатель обязан обеспечивать конфиденциальность таких данных - соблюдение лицом, получившим доступ к персональным данным, требования о недопустимости их распространения без согласия субъекта персональных данных или иного законного основания. Обеспечение конфиденциальности не требуется в случаях обезличивания персональных данных (совершения действий, в результате которых невозможно определить принадлежность персональных данных конкретному работнику) и в отношении общедоступных персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
При создании ведомственной нормативной правовой базы необходимо учитывать, что в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ информационные системы персональных данных, применяемые в УИС, могут быть отнесены к государственным информационным системам и иным информационным системам.
Одна из обязанностей операторов и иных лиц, получивших доступ к персональным
данным, - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено ФЗ «О персональных данных».
В ст. 19 ФЗ «О персональных данных» закреплены меры, предъявляемые к обеспечению безопасности персональных данных при их обработке. В соответствии с данной нормой федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и в области технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных (далее - ИСПД), эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Рос-
сийской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение ч. 4 ст. 19 Федерального закона «О персональных данных».
В целях обеспечения безопасности персональных данных должна быть создана система защиты, основной целью которой является обеспечение их конфиденциальности, целостности и доступности при обработке в информационной системе во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования.
Система защиты персональных данных включает в себя организационные и технические меры, средства защиты информации, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных, а также используемые в ИСПД информационные технологии.
Помещения, в которых размещены объекты информатизации, содержащие ИСПД, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.
Для каждой ИСПД на этапе ее создания (модернизации) должна быть разработана модель угроз, а также документы для парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПД, обезличивания персональных данных, проведения технического обслуживания ИСПД, работы с машинными носителями персональных данных.
Для обеспечения сохранности информационных ресурсов ИСПД должно производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.
Допуск сторонних организаций к персональным данным, содержащимся в ИСПД, деятельность которых не связана с исполнением функций ведомства, регламентируется законодательством Российской Федерации, контрактами (договорами, соглашениями) и другими нормативными правовыми актами Российской Федерации.
научно-методическое обеспечение
Разрешением на обработку персональных данных на объекте ИСПД является приказ руководителя органа о вводе указанного объекта в эксплуатацию, который издается на основании положительных выводов комиссии и результатов оценки соответствия требованиям безопасности информации.
ИСПД, которые могут быть созданы органами УИС, согласно разделению информационных систем можно будет отнести к государственным информационным системам -федеральным информационным системам и региональным информационным системам, созданным на основании, соответственно, федеральных законов, законов субъектов Российской Федерации. Особенности создания и эксплуатации ИСПД в УИС устанавливаются в соответствии с техническими регламентами, нормативными правовыми актами государственных органов, нормативными правовыми актами органов местного самоуправления, принимающими решения о создании таких информационных систем, федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере исполнения уголовных наказаний. ■
1. Конституция Российской Федерации // СЗ РФ. 2009. № 4. Ст. 445.
2. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 № 149-ФЗ (с изм. и доп., вступ. в силу
с 1 февраля 2014 года) // Российская газета. - 2006. -29 июля.
3. О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 23 июля 2013 г.) // Российская газета. - 2006. - 29 июля.
4. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ред. от 28 декабря 2013 г.) // Российская газета. - 2001. - 31 декабря.
5. О системе государственной службы Российской Федерации: Федеральный закон от 27.05.2003 № 58-ФЗ (ред. от 2 июля 2013 г.) // Российская газета. - 2003. - 31 мая.
6. О государственной гражданской службе Российской Федерации: Федеральный закон от 27.07.2004№ 79-ФЗ (ред. от 28 декабря 2013 г.) // СЗ РФ. 2004. № 31. Ст. 3215.
7. Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела: Указ Президента РФ от 30.05.2005 № 609 (ред. от 23 октября 2008 г.) // Российская газкта - 2005. - 7 июня.
8. О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных: Федеральный закон от 19.12.2005 № 160-ФЗ // СЗ РФ. 2005. № 52 (1 ч.). Ст. 5573.
9. Об обеспечении защиты персональных данных: письмо Федерального агентства по образованию Министерства образования и науки Российской Федерации от 29 июля 2009 г. № 17-110 // СПС «КонсультантПлюс».
10. О системе государственной службы... // Российская газета. - 2003. - 31 мая.
11. Об утверждении Положения о персональных данных государственного гражданского служащего. // Российская газета. - 2005. - 7 июня.
12. Об утверждении Перечня сведений конфиденциального характера: Указ Президента РФ от 06.03.1997 № 188 (ред. от 23 сентября 2005 г.) // Российская газета. - 1997. - 14 марта.
