CC BY
201
ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Парфенов Н.П.1, Стахно Р.Е.2 Email: Parfenov17101@scientifictext.ru
'Парфенов Николай Петрович — кандидат технических наук, доцент; 2Стахно Роман Евгеньевич — кандидат технических наук, кафедра математики и информатики, Санкт-Петербургский университет МВД России, г. Санкт-Петербург
Аннотация: положение о защите персональных данных работника (сотрудника) — это внутренний (локальный) документ организации. Данный документ разрабатывает кадровая служба организации. В настоящее время Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к охране персональных данных работника Трудовой кодекс РФ. В настоящей статье авторы обращают внимание на вопросы правового регулирования обработки и защиты персональных данных работников организаций. Ключевые слова: персональные данные, обработка персональных данных, защита персональных данных, методика правового регулирования.
ISSUES OF LEGAL REGULATION OF PROCESSING AND PROTECTION OF PERSONAL DATA Parfenov N.P.1, Stahno R.E.2
'Parfenov Nikolay Petrovich — PhD in Technical, assistant professor; 2Stahno Roman Evgenyevich — PhD in Technical, DEPARTMENT OF MATHEMATICS AND INFORMATICS, SAINT PETERSBURG UNIVERSITY OF MINISTRY OF INTERNAL AFFAIRS OF RUSSIAN FEDERATION, ST. PETERSBURG
Abstract: the regulation on protection of personal data of an employee (employee) is an internal (local) document of the organization. This document develops the HR department of the organization. Currently, the Law has not established a strict form of this document, but it must comply with the requirements that the Labor Code of the Russian Federation requires for the protection of personal data. In this article, the authors draw attention to the issues of legal regulation of processing and protection of personal data of employees of organizations.
Keywords: personal data, processing of personal data, protection of personal data, legal regulation technique.
УДК 004.056.52
Методика правового регулирования вопросов по обработке и защите персональных данных работников закреплена в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее в тексте Закон) [1].
Закон начал действовать с января 2007 года.
Для усиления защиты информации о гражданах в Закон были дополнены значительные поправки, начавшие действовать с 1 июля 2011 года (см. Федеральный закон от 25 июля 2011 г. № 261-ФЗ) [2]. Претерпело изменение также понятие персональных данных, к которым причислена всякая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 Закона).
Ответственность за нарушения в сфере защиты персональных данных Закон отнес к административной. По современным меркам штрафы не такие уж большие: 5000-10000 руб. для организации и 500-1000 руб. для руководителя организации. За каждое допущенное нарушение в соответствии с Законом может налагаться данный штраф, поэтому суммарно штраф может превысить100 или 200 тысяч руб. в ходе одной проверки.
Законодательно ведомством, имеющим право проверять выполнение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее в тексте - Роскомнадзор).
По Закону данная организация неправомочна, налагать и взыскивать штрафы. Роскомнадзор материалы по нарушениям, обнаруженным в ходе проверок, передает в прокуратуру.
Прокурор же, основываясь на законных требованиях, принимает решение о возбуждении или об отказе производства по административному правонарушению. Вопросы наложения и размеров штрафов решает федеральный суд общей юрисдикции.
Необходимо подчеркнуть, что требования, предусмотренные Законом, обязательны для организаций, в которых имеется хотя бы один работник. Это связано с тем, что Закон к персональным данным отнес и сведения, получаемые организацией от принятых на работу сотрудников. В соответствии с Законом организация обязана их защищать в полном объеме.
Далее кратко перечислим основные этапы правового регулирования обработки и защиты персональных данных.
Первый этап - это назначение по приказу руководителем организации сотрудника, ответственного за работу с персональными данными и их защиту.
Второй этап - утверждение документа, содержащего список персональных данных, которые практически применяются в деятельности организации.
Третий этап - установление лиц, имеющих допуск к персональным данным и утверждение их списка.
Четвертый этап - подготовка и утверждение положения о работе с персональными данными (далее в тексте Положение).
В Положении нужно перечислить все требования к работе с персональными данными, а также методы и меры по их защите.
Пятый этап - это ознакомление с Положением под подпись работников, имеющих допуск к работе с персональными данными и включенных в список (см. третий этап).
Шестой этап - это уведомление организацией Роскомнадзора о работе с персональными данными.
Седьмой этап - присвоение класса информационной системе для защиты персональных данных.
Восьмой этап - обязательное лицензирование информационных систем специального назначения для дальнейшей эксплуатации.
Информационные системы специального назначения содержат сведения о состоянии здоровья, а также те сведения, которые имеют юридические последствия.
Другими словами, сведения из информационных систем специального назначения могут оказать влияние на жизнь или здоровье носителя персональных данных.
Класс информационным системам специального назначения присваивается с учетом нормативно-методических документов регуляторов на основе модели угроз безопасности персональных данных.
На самом деле, новые требования Закона по защите персональных данных обязательны практически для всех организаций.
Общепринято, что в настоящее время информационные системы персональных данных включают в себя кадровые и бухгалтерские системы. На данный момент, рассматривается вопрос о целесообразности включения биллинговых систем, са11-центров и автоматизированных систем бюро пропусков в состав информационных систем персональных данных [6, 7].
Например, если даже сотрудник составляет в своем компьютере список сослуживцев с данными телефонов и даты рождений - эти сведения требуют защиты.
С другой стороны, уже, достоверно, наступила объективная необходимость обеспечения эффективной защиты персональных данных.
В настоящее время наряду с повышением ценности информации также совершенствуются способы несанкционированного ее получения.
В последнее время, увеличились несанкционированные доступы к персональным данным.
Исследования компании InfoWatch свидетельствуют о том, что объем утечек персональных данных составил 89,8%. от общего объема зарегистрированных утечек информации.
Защиты персональных данных является также необходимым условием для сотрудничества со странами Евросоюза, так как при совершении сделок необходим обмен персональными данными.
Персональные данные относятся к конфиденциальной информации, то есть, к которой нет свободного доступа. В настоящее время защита информации на предприятиях, в организациях, органах внутренних дел приобретает актуальное значение. Ключевое место в технологии защиты персональных данных работников занимает разработка Положения (см. четвертый этап).
Положение о защите персональных данных работника - это основной документ, регламентирующий алгоритм защиты персональных данных работника в данной организации [8].
Данный документ занимает основное место в системе защиты информации организации.
Как правило, Положением определяется порядок обработки, получения, передачи хранения, и любого другого применения персональных данных сотрудника, а также ведения его личного дела в соответствии с трудовым законодательством Российской Федерации [3].
Положение о защите персональных данных работника (сотрудника)- это внутренний (локальный) документ организации. Данный документ разрабатывает кадровая служба организации. В настоящее время Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к охране персональных данных работника Трудовой кодекс РФ.
Организация, обрабатывающая персональные данные, считается оператором. В последнее время внесены уточнения принципов обработки сведений в ст. 5 Закона.
В Законе появилась новая, дополнительная статья 18.1. В данной статье приведены обновленные требования. Работодатель разрабатывает список мер по обработке персональных данных.
Обращаем особое внимание - организации теперь дополнительно к Положению по защите персональных данных работников нужно приготовить новый документ - Политику в отношении обработки персональных данных [4].
В развитие вопросов указанного направления издан Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (Зарегистрировано в Минюсте России 10 сентября 2013 г. № 23395) [5].
Согласно статье 3 Закона под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без применения дополнительной информации установить принадлежность персональных данных конкретному носителю, субъекту персональных данных.
Подведя итоги рассмотренных вопросов необходимо подчеркнуть, что своевременное и точное исполнение требований Закона обеспечит надежную защиту и правовое регулирование обработки персональных данных в организациях.
Список литературы / References
1. Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных». [Электронный ресурс]. Режим доступа: http://www.consultant.ru/ (дата обращения: 20.04.2017).
2. Федеральный закон от 25 июля 2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». [Электронный ресурс]. Режим доступа: http://www.consultant.ru/ (дата обращения 28.03.2017).
3. Трудовой кодекс Российской Федерации (ТК РФ) от 30.12.2001 № 197-ФЗ: http://www.consultant.ru/ (дата обращения:19.05.2017).
4. Егорова И.С. Работа с персональными данными: новые правила. Журнал «Учет в строительстве» № 12, 2011 г. С. 16-18.
5. Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (Зарегистрировано в Минюсте России 10.09.2013 № 29935).
6. Парфенов Н.П., Стахно Р.Е. Технология защиты персональных данных // Наука, техника и образование, 2016. № 4. С. 15-16.
7. Домбровская Л.А., Яковлева Н.А., Стахно Р.Е. Современные подходы к защите информации, методы, средства и инструменты защиты // Наука, техника и образование, 2016. № 4. С. 16-19.
8. Стахно Р.Е., Гончар А.А. Защита информации в современном документообороте // Наука, техника и образование, 2016. № 4. С. 19 -21.
