ОРИГИНАЛЬНЫЕ ИССЛЕДОВАНИЯ
© Клищенко М.Ю., Кузнецов Д.А., 2016 УДК 614.27.008.2:331:517 DOЫ0.23888/HMJ2016425-32
РОЛЬ НОВЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В ОБЕСПЕЧЕНИИ И НОРМАТИВНО-ПРАВОВОМ РЕГУЛИРОВАНИИ КАДРОВОЙ БЕЗОПАСНОСТИ В ФАРМАЦИИ
М.Ю. КЛИЩЕНКО, ДА. КУЗНЕЦОВ
Рязанский государственный медицинский университет имени академика И.П. Павлова, ул. Высоковольтная, д. 9, 390026, г. Рязань, Российская Федерация
Авторами поставлена цель проанализировать нормативно-правовое регулирование в области кадровой безопасности, определить роль новых информационных технологий в обеспечении кадровой безопасности фармацевтической организации.
Ключевые слова: кадровая безопасность, персональные данные, защита персональных данных.
THE ROLE OF NEW INFORMATION TECHNOLOGIES IN PROVIDING AND LEGAL REGULATION OF PERSONNEL SAFETY IN PHARMACY
M.U. KLISCHENKO, DA. KUZNETSOV
Ryazan State Medical University, Vysokovoltnaya street, 9. 390026, Ryazan, Russian Federation
The authors aimed to analyze the legal regulation in the sphere of personnel security, to define the role of new information technologies in providing the safety of personnel of the pharmaceutical company.
Keywords: personnel safety, personal information, protection of personal information.
Одним из параметров кадровой безопасности фармацевтической организации является защита персональных данных (ПДн) как ее сотрудников, так и клиентов. В процессе найма сотрудника на работу в фармацевтическую организацию руководитель получает ПДн работника. А ввиду широкого использования дисконтных карт и различных рекламных кампаний в фармацевтических организациях, требующих персонификации участника, аптека получает ПДн покупателей. При этом защита ПДн
является основной частью права на личную жизнь человека. В связи с этим рассмотрение нормативно-правового регулирования защиты ПДн в фармацевтических организациях является весьма актуальным вопросом в настоящее время.
Материалы и методы
В процессе написания статьи были использованы контент-анализ нормативно-правовых актов, касающихся защиты персональных данных в фармацевтических организациях, а также интервьюирование фар-
мацевтических работников аптек различных форм собственности города Рязани.
Результаты и их обсуждение
В связи с развитием информационных технологий, внедрением их во все сферы современной жизни, на одно из первых мест кадровой политики выходит проблема безопасности ПДн. Данное требование обусловлено наличием угроз безопасности ПДн при их обработке в информационных системах аптечных организаций [1, 2].
В результате проведенного контент-анализа, нами установлено, что основными правовыми нормативами защиты ПДн в Российской Федерации являются Конституция РФ, Федеральный закон «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Основой для их создания послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию». Дальнейшее развитие проблема защиты ПДн получила в следующих международных нормативных актах:
- Европейской конвенции о защите прав человека и основных свобод, принятой в Риме 4 декабря 1950 г. Советом Европы;
- «Основных положениях о защите неприкосновенности частной жизни и международных обменов персональными данными», принятых в 1980 году Организацией по экономическому сотрудничеству и развитию;
- Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой 28 января 1981 г. Советом Европы;
- Директиве Европарламента и Совета Европейского союза 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных;
- Директиве Европарламента и Совета Европейского союза 97/66/ЕС от 15
декабря 1997 г., касающейся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций;
- Рекомендации Комитета министров государствам - членам Совета Европы по защите неприкосновенности частной жизни в Интернете, принятые 19 февраля 1999 г.
В целях исполнения международных обязательств, возникших после подписания и ратификации Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. 7 ноября 2001 г. в Страсбурге, в России приняты следующие законодательные акты:
- ФЗ от 27 июля 2006 г. № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;
- ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства Российской Федерации «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 г. № 512;
- Методические материалы Федеральной службы по техническому и экспертному контролю (ФСТЭК) России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г.;
- Методические материалы ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. ФСТЭК РФ 14 февраля 2008 г.;
- Методические материалы ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 г. № 149/54-144;
- Методические материалы ФСБ России «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 г. № 149/6/6-622;
- Постановление Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от
01.11.2012 г. № 1119;
- Методические материалы Роском-надзора «Об утверждении требований и методов по обезличиванию персональных данных» приказ Роскомнадзора от
05.09.2013 г. № 996 (Зарегистрировано в Минюсте России 10.09.2013 г. N 29935);
- Методические материалы ФСТЭК России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказ ФСТЭК России от 18.02.2013 г. № 21;
- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Методические материалы ФСБ России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из
уровней защищенности» приказ ФСБ России от 10.07.2014 г. № 378.
Нами выявлено, что основным нормативным актом в проблематике защиты персональных данных в фармацевтической отрасли является Федеральный Закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных».
Согласно статье 3 этого Закона, ПДн представляют собой любую информацию, относящуюся к определенному или определяемому на основании такой информации лицу, в том числе его: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, социальное и имущественное положение; образование и профессия; доходы и другая информация [3].
В результате проведенного анализа, нами отмечено, что Трудовой кодекс РФ (ТК РФ) более узко определяет ПДн работника. В соответствии со статьей 85 ТК РФ персональные данные работника -информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Другими словами, это сведения, которые могут охарактеризовать человека именно как работника. Каких-либо иных критериев, как и конкретного перечня ПДн работника, ТК РФ не устанавливает. Как правило, это информация, необходимая для заключения трудового договора, заполнения личной карточки, назначения на другую должность и т.д.
Таким образом, ПДн - это персонализированная информация, которая позволяет однозначно определить, о каком именно лице идет речь. Персональные данные - это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, идентификационного номера налогоплательщика, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть в каждой фармацевтической организации. Все эти данные, согласно нынешнему законодательству, подлежат защите.
Работодатель фармацевтической организации должен обеспечивать «секретность» ПДн сотрудников и покупателей [4]. В связи с этим, в трудовом договоре с работниками, обрабатывающими персональные данные, должны быть предусмотрены обязанности по обеспечению и сохранению конфиденциальности ПДн.
Поскольку ПДн - это информация, с которой нужно работать, законодательство вводит такое понятие, как обработка персональных данных, и устанавливает конкретные требования к работе с ними. Согласно статье 85 ТК РФ обработка ПДн - это получение, хранение, комбинирование, передача или любое другое использование ПДн работника. Закон N 152-ФЗ более подробно раскрывает указанное понятие. Операции с ПДн, согласно статье 3 Закона N 152-ФЗ, включают: сбор; систематизацию; накопление; хранение; уточнение; использование; распространение; обезличивание; блокирование; уничтожение персональных данных.
Таким образом, под обработкой персональных данных подразумеваются любые действия, производимые сПДн.
В процессе исследования нами установлено, что в статье 86 ТК РФ представлены требования к обработке ПДн работника, предъявляемые к руководителю фармацевтической организации и направленные прежде всего на защиту ПДн. Таким образом, руководитель фармацевтической организации должен соблюдать следующие требования:
• предупредить лиц, получающих ПДн работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие ПДн, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен ПДн работников в порядке, установленном законодательством РФ;
• разрешать доступ к ПДн работников лишь специально уполномоченным лицам, причем они должны получать только те ПДн, которые необходимы для выполнения конкретных функций;
• передавать ПДн представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только темиПДн, которые необходимы для выполнения указанными представителями их функций.
Нами выявлено, что документы, устанавливающие порядок обработки ПДн работников являются новшеством ТК РФ. Если ранее за отсутствие таких локальных нормативных актов не наказывали, то статьей 90 ТК РФ установлено, что виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн работника, лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность. Таким образом, в фармацевтической организации для работы с ПДн должны быть следующие документы:
1. Положение о персональных данных.
2. Приказ о назначении ответственных за работу с персональными данными.
3. Приказ о назначении ответственных за обеспечение безопасности персональных данных.
4. Заявления работников на обработку персональных данных.
5. Договоры (допсоглашения) с работниками об обработке персональных данных.
6. Обязательство о неразглашении персональных данных работников.
Положение по обеспечению безопасности персональных данных - это внутренний документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а, следовательно, в нем должно быть указано: цель и задачи в области защиты персональных данных; понятие и состав ПДн; в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные; как происходит сбор и хранение персональных данных; как они обрабатываются и используются; кто (по должностям) в пределах фирмы имеет к ним доступ; принципы защиты ПДн, в том
числе от несанкционированного доступа; права работника в целях обеспечения защиты своих ПДн; ответственность за разглашение конфиденциальной информации, связанной с ПДн работников. Перечень лиц, имеющих доступ к персональным данным работников организации, целесообразно оформить в качестве приложения к положению о персональных данных.
Контент-анализ литературных источников показал, что положение по обеспечению безопасности ПДн утверждается руководителем фармацевтической организации и вводится в действие приказом руководителя. Работодатель обязан ознакомить сотрудников с Положением под подпись.
Государственной инспекцией по труду проверяется наличие документов по защите ПДн работников, выясняется насколько законно собираются данные о работниках. По общему правилу всю информацию о работнике можно узнать только у него самого. Если приходится обращаться в другие организации, даже для того, чтобы просто поинтересоваться, работал ли там человек, не говоря уже о получении о нем каких-то оценочных данных, необходимо получить письменное согласие работника.
Нами установлено, что в деятельности фармацевтических организаций образуются бумажные носители персональных данных и электронные носители ПДн (информационные системы и базы данных). К работе и хранению информации на материальных и электронных носителях предъявляются разные требования. Примерами бумажных носителей персональных данных могут служить трудовая книжка; журналы учета трудовых книжек; журнал учета командировок; материалы по учету рабочего времени; личная карточка Т-2; журналы сверки по военнообязанным; входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов; приказы по личному составу.
Закон «О персональных данных» требует от работодателя раздельного хранения ПДн (материальных носителей),
обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним. При этом в отношении каждой категории должно быть возможно определить места хранения персональных данных.
Электронные носители персональных данных - базы данных, содержащие ПДн работников организации. Данные, хранящиеся на электронных носителях, обрабатываются и передаются техническими средствами. Это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Безопасность ПДн на электронных носителях достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий [5, 6].
Статья 89 ТК РФ предусматривает, что в целях обеспечения защиты ПДн, хранящихся у работодателя, работники имеют право на:
- полную информацию об их ПДн и об обработке этих данных;
- свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
- определение собственных представителей для защиты своих ПДн. В основном представителями работников в отношениях с работодателями являются профсоюзы (в том числе и в вопросах защиты персональных данных), также работник может защищать свои права самостоятельно;
- требование об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований ТК РФ;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его ПДн.
В соответствии с ТК РФ главой 14 защита ПДн работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым Кодексом РФ.
Таким образом, в результате проведенного контент-анализа можно сделать вывод, что защита ПДн представляет собой комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу. Государство гарантирует работникам защиту их ПДн, а также их права на труд, с учетом использования их ПДн.
В процессе исследования нами разработана ориентировочный перечень работ по защите ПДн в фармацевтических организациях. Он включает в себя следующие этапы:
• определить все ситуации, когда требуется проводить обработку ПДн;
• выделить бизнес-процессы, в которых обрабатываются ПДн;
• выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников фармацевтической организации участвующих в обработке ПДн в рамках своей служебной деятельности;
• определить круг информационных систем и совокупность обрабатываемых ПДн;
• провести категорирование ПДн и предварительную классификацию информационных систем;
• сформировать актуальную модель угроз для каждой информационной системы обработки ПДн;
• подготовить техническое задание по созданию требуемой системы защиты;
• подать уведомление о начале обработки ПДн в Уполномоченный орган по защите прав субъектов персональных данных для регистрации в качестве оператора ПДн;
• отправить заявку на получение экземпляров руководящих документов ФСТЭ К России по организации системы защиты;
• подготовить технический проект по защите ПДн и помещений;
• разработать пакет организационно-распорядительных документов для систем защиты ПДн (положения, приказы, инструкции, регламенты);
• спроектировать и внедрить систему защиты персональных данных;
• взять согласия на обработку ПДн с субъектов персональных данных;
• проводить контрольные мероприятия по выявлению нарушений защиты ПДн.
Выводы
Нами оценено значение новых информационных технологий в обеспечении кадровой безопасности фармацевтических организаций; изучены нормативно-правовые акты в области защиты персональных данных в фармацевтических организациях; выявлены требования к внутренней документации фармацевтических организации по обеспечению защиты персональных данных; определены основные этапы работ по защите персональных данных в фармацевтической организации.
Нами установлено, что с целью обеспечения кадровой безопасности руководители фармацевтических организаций должны уделять особое внимание следующим вопросам: четкому следованию требованиям и новациям трудового законодательства; оформлению кадровой документации с особой точностью; разработке и внедрению специальных трудовых договоров для каждой штатной единицы; проведению тренингов и семинаров по выявлению у сотрудников вопросов и
требований относительно персональных данных. Вышеуказанные меры позволят
Литература
1. Кузнецов Д.А. Кадровая безопасность фармацевтических организаций / Д.А. Кузнецов // Фармация Казахстана: интеграция науки, образования и производства: матер. Междунар. науч.-практ. конф. Шымкент, 2009. Т. 2. С. 188-189.
2. Кузнецов Д.А. Анализ кадровой безопасности в фармации / Д.А. Кузнецов // Российский медико-биологический вестник имени академика И.П. Павлова. 2011. № 2. С. 139-145.
3. Корнеева О.И. Анализ отечественного законодательства, регулирующего отношения в части обработки персональных данных в деятельности медицинских учреждений / О.И. Корнеева // Российский медико-биологический вестник имени академика И.П. Павлова. 2015. № 2. С. 151156, doi:10.17816/PAVLOVJ20152149-154.
4. Емельянов Д.Н. Триллема финансирования здравоохранения в условиях перехода к инновационному развитию экономики / Д.Н. Емельянов // Российский медико-биологический вестник имени академика И.П. Павлова. 2016. № 2. С. 153158, doi:10.17816/PAVLOVJ20162153-165.
5. Кузнецов Д.А. Изучение угроз кадровой безопасности фармацевтических организаций // Разработка, исследование и маркетинг новой фармацевтической продукции: сб. науч. тр. Пятигорск: Пятигорская ГФА, 2011. Вып. 66. С. 754-755.
6. Кузнецов Д.А. Подходы к анализу угроз кадровой безопасности в фармации // Вестник новых медицинских технологий. 2012. Т. 19, № 2. С. 380-383.
References
1. Kuznetsov DA. Kadrovaja bezopas-nost farmatsevticheskih organizatsij [Personnel safety of the pharmaceutical organizations]. Pharmacya Kazachstana: integracia nauki i proizvodstva: mater. Mezhdunar. nauch.-prakt. konf. [Pharmacy Kazakhstan:
обеспечить защиту персональных данных в фармацевтических организациях.
Конфликт интересов отсутствует.
integration of science, education and industry: Materials of the international scientific-practical conference]. Shymkent, 2009. 2: 188-189.
2. Kuznetsov DA. Analiz kadrovoi be-zopasnosti v farmatsii [The analysis of personnel safety in pharmacy]. Rossijskij mediko-biologicheskij vestnik imeni akademika I.P. Pavlova [I.P. Pavlov Russian Medical Biological Herald]. 2011. 2: 139-145. (in Russian)
3. Korneeva OI. Analiz otechestvennogo zakonodatelstva, reguliruyuschego otnosheniya v chaste obrabotki personalnych dannych v deyatelnosti meditsinskich yuchrezhdenij [Analysis of national legislation relations in parts of the processing of personal data in the health service]. Rossijskij mediko-biologiches-kij vestnik imeni akademika I.P. Pavlova [I.P. Pavlov Russian Medical Biological Herald].
2015. 2: 151-156, doi: 10.17816/PAVLOVJ 201521 49-154. (in Russian)
4. Emelyanov DN. Trillema finansiro-vaniya zdravoochraneniya v yusloviyach pe-rechoda k innovatsionnomyu razvitiyu eko-nomiki [Trilemma of health financing in the transition toinnovative development of economy]. Rossijskij mediko-biologi-cheskij vestnik imeni akademika I.P. Pavlova [I.P. Pavlov Russian Medical Biological Herald].
2016. 2: 153-158, doi: 10.17816/PAVL0V J20162153-165. (in Russian)
5. Kuznetsov DA. Izuchenie yugroz ka-drovoj bezopasnosti farmatsevticheskich orga-nizatsij [Study personnel security threats pharmaceutical organizations]. Razrabotka, issledovanie i marketing novoj farmazevti-cheskoj produktsii: sb. nauch. tr. [Development, research and marketing of a new pharmaceutical production: collection of scientific works]. Pyatigorsk: Pyatigorskaya GFA, 2011. T. 66. S. 754-755.
6. Kuznetsov DA. Podchody k analizu ugroz kadrovoj bezopasnosti v farmatsii [The approaches to the analysis of threats to the
security of personnel in the pharmacy]. Vest- [Bulletin of new medical technologies]. 2012. nik novych meditsinskich technologij T. 19, № 2. S. 380-383.
СВЕДЕНИЯ ОБ АВТОРАХ
Клищенко М.Ю. - ассистент кафедры управления и экономики фармации ФГБОУ ВО РязГМУ Минздрава России, г. Рязань.
E-mail: [email protected]
Кузнецов Д.А. - д.фарм.н., доц., зав. кафедрой управления и экономики фармации ФГБОУ ВО РязГМУ Минздрава России, г. Рязань.