Организация доступа к персональным данным в архивах

С О Д Е Р Ж  А Н И Е

Введение…………………………………………………………………….……………..3

Глава 1 Анализ законодательных актов о персональных данных....…………………..5

1.1 Понятие и особенности персональных данных……...……………………….5

1.2 Порядок обработки персональных данных…………………………………...8

Глава 2 Организация доступа к персональным данным в архивах….……………….11

2.1 Доступ к персональным данным конфиденциального характера……...…..11

2.2 Порядок доступа к персональным данным работников организации……14

Заключение…………………………………………………………………………….....21

Список используемой литературы……………………………………….......................22

В В Е Д Е Н И Е

Настоящее время, характеризуется бурным развитием информационных технологий, наступлением цифрового века - века компьютеров, информатизации и глобальных сетей. Это приносит как новые возможности, так и новые беспокойства. Одной из проблем нашего государства является проблема защиты неприкосновенности частной жизни вообще и персональных данных в частности и поэтому на первый план встает вопрос защиты персональных данных при их накоплении, обработке и передаче с использованием этих средств. В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно – работодателю.

Для регулирования  информационных правоотношений в области  персональных данных законодателем  установлен целый ряд нормативно-правовых актов, основным из которых является Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Но уже в 2011 годы был издан новый ФЗ "О внесении изменений в Федеральный закон "О персональных данных" от 25.07.2011 г. N 261. Данный нормативно-правовой акт содержит все изменения, которые необходимо внести в предшествующий ФЗ «О персональных данных».

Проблема защиты персональных данных является одной из наиболее актуальных для нашей страны.

Цель курсовой работы рассмотреть порядок доступа к документам, содержащим персональные данные с точки зрения существующего законодательства и практического его воплощения.

Задачи:

1 изучить основные законодательные акты о работе с персональными данными;

2 изучить понятие и порядок обработки персональных данных;

3 рассмотреть порядок организации доступа к персональным данным в архиве;

4 описать порядок  доступа к персональным данным работников в организации.

В курсовой были использованы такие нормативные  документы как Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», ФЗ "О внесении изменений в Федеральный закон "О персональных данных" от 25.07.2011 г. N 261, Федеральным законом от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», а также методическая литература таких авторов как И.А.Курникова, Л.Н.Лютова, В. Сердюка.

Курсовая работа состоит  из содержания, введения, двух глав, заключения и списка литературы.

Во введении обозначена актуальность темы, цели, задачи, поставленные для ее решения, структура и содержание работы.

В первой главе  проанализированы основные законодательные акты о персональных данных.

Во второй главе  рассмотрен порядок организация  доступа к персональным данным, в частности к персональным данным, имеющим конфиденциальный характер.

В заключение подведены  итоги работы и сделаны выводы по теме.

Глава 1 Анализ законодательных  актов о персональных данных

1. Понятие и особенности персональных данных

Защита персональных данных граждан Российской Федерации задача весьма насущная. В случае если персональные данные используются произвольно и становятся доступными лицам, которым они не должны быть известны, гражданам наносится моральный вред и материальный ущерб. И для того чтобы не было несанкционированного доступа к персональным данным, был принят Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», который является основным нормативно-правовым актом в данной сфере правоотношения.

Данный Федеральный  закон вступил в силу 26 января 2007 года. Он содержит 6 глав, которые состоят из 25 статей, разделенных на части и пункты. ФЗ «О персональных данных» регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти и её субъектов, иными государственными и муниципальными органами, юридическими и физическими лицами, с использованием средств автоматизации, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В первой главе Федеральном  законе даются определения таким  понятиям как: персональные данные, оператор, обработка, распространение, использование, блокирование, уничтожение, обезличивание, информационная система, конфиденциальность, трансграничная передача, общедоступность персональных данных.

Согласно Федеральному закону персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.

Действующие в отношении  них ограничения снимаются при  наличии согласия обладателя персональных данных. Последнее предполагается также и в том случае, когда субъект выполняет ряд возложенных на него обязанностей, например при оформлении паспорта, регистрации актов гражданского состояния и т.п.

Существует четкое внутреннее структурирование персональных данных. Различают:

1) общедоступные персональные  данные, доступ к которым неограниченного  круга лиц предоставлен с согласия  субъекта персональных данных  или на которые в соответствии  с федеральными законами не  распространяется требование соблюдения конфиденциальности;

2) биометрические персональные  данные, характеризующие физиологические  особенности человека и на  основе которых можно установить  его личность;

3) персональные данные  специальной категории, включающие  в свой состав данные, касающиеся  расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.

Следует отметить, что  распределение персональных данных по самостоятельным категориям имеет  место в большинстве иных законодательных и подзаконных нормативных правовых актах. В основу существующей категоризации положен критерий их целевого использования. Например, нормами Трудового кодекса РФ предусмотрено, что персональные данные работника представляют собой обобщенные данные, необходимые работодателю в целях содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ). Работодателю категорически запрещается получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.

Например, сведения, составляющие государственную тайну, в состав предоставляемых персональных данных по смыслу Закона РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» в обязательном порядке относятся: фамилия, имя, отчество оформляемого, дата и место его рождения, сведения об образовании - специальность и квалификация по диплому; гражданская принадлежность, наличие ученой степени или ученого звания, владение иностранными языками и соответствующий уровень, сведения о судимости как его самого, так и его родственников, пребывании за границей, наличии за границей родственников, отношении к воинской обязанности, наличии загранпаспорта, семейном положении, место регистрации и жительства.

Федерального  закона «О персональных данных» сообщает, что законодательство Российской Федерации в области персональных данных основывается не только на Конституции Российской Федерации, но и на международных договорах Российской Федерации.

Вскоре был издан новый ФЗ «О внесении изменений в Федеральный закон «О персональных данных» от 25.07.2011 г. N 261. Он содержит все изменения, которые необходимо внести в предшествующий ФЗ «О персональных данных». В ст. 3 ФЗ «О персональных данных» были внесены поправки и дополнения в определения некоторых понятий, например:

персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному  кругу лиц;

блокирование персональных данных – временное прекращение  обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) и др.

Также ФЗ «О персональных данных» теперь регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Для обеспечения безопасности персональных данных при их обработке были приняты следующие меры:

Оператор при обработке  персональных данных обязан принимать  необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Правительство Российской Федерации с учетом возможного вреда  субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении  которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает уровни и требования к защищенности персональных данных при их обработке.

Таким образом, ФЗ «О внесении изменений в Федеральный закон  «О персональных данных» от 25.07.2011 г. N 261 содержит важные изменения и поправки, а также позволяет более эффективно регулировать правоотношения в области персональных данных.

2. Порядок обработки персональных данных

В течение достаточно долгого времени практически ни в каких законодательных актах не было специальных правил о порядке получения, хранения, обработки и передачи персональных данных. Ситуация стала меняться после начала распространения компьютеров, благодаря чему у компаний и государственных органов стало скапливаться большое количество персональных данных, которые относительно легко могли быть разглашены и тем самым нанести как моральный, так иногда и материальный вред лицам, которых касаются эти данные. Поэтому начиная с 1970-х гг. в промышленно развитых странах стало появляться соответствующее законодательство .

Федеральный закон «О персональных данных» дает определение понятию обработка персональных данных. Это любое действие (операция) или совокупность действия (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 настоящего Закона).

Согласно Федеральному закону в ст. 6 указано, что осуществление обработки персональных данных производится оператором только с согласия субъектов персональных данных.

Осуществление в тех случаях, если оператор на основании  договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность  обеспечения указанным лицом  конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Осуществление обработки специальных категорий  персональных данных, а также биометрических персональных данных в особом порядке.

Существует  также ряд исключений, в котором  согласие субъекта персональных данных на их обработку не требуется. Это происходит, когда:

Обработка персональных данных осуществляется на основании  федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

Обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами  электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях  научной, литературной или иной творческой деятельности при условии, что при  этом не нарушаются права и свободы субъекта персональных данных осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Целью законодательных актов «О персональных данных» заключается в обеспечении защиты прав и свобод гражданина при обработке его персональных данных.

В соответствии со ст. 9 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина, если иное не предусмотрено федеральными законами. Однако гражданин имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информацию, непосредственно затрагивающую его права и свободы (ст. 8 указанного Закона).

Проанализировав нормативно-законодательные акты можно сделать вывод, что Федеральный закон «О персональных данных» регулирует основные направления в сфере обработки, хранения и доступа к персональным данным, а также содержит права и обязанности как оператора, так и субъекта персональных данных, регулируя отношения, связанные с обработкой данной документации.

Глава 2 Организация доступа к персональным данным в архивах

2.1 Доступ к персональным данным конфиденциального характера

В архивах нашей  страны не всегда возможно получить ту или иную информацию о человеке, так как она является конфиденциальной и не может рассматриваться без согласия владельца. В настоящем Федеральном законе «О персональных данных» в ст.14 прописано, что субъект персональных данных может ограничить доступ к своим персональным данным в случаях, если:

1. обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2. обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3. предоставление персональных данных нарушает конституционные права и свободы других лиц.

Так же для защиты и ограничения доступа к персональным данным в организации может быть разработано Положение о персональных данных, в котором указывается  какие персональные данные относятся  к категории конфиденциальных, как осуществляется обработка и передача персональных данных, а самое главное кто в организации имеет допуск к персональным данным и права работника.

Конкретного документа, в котором были бы подробно описаны  возможность и условия доступа  к конфиденциальным персональным данным в отечественной законодательно-нормативной базе нет. Впервые этот вопрос был затронут в 1991 г. в Федеральном законе «О реабилитации жертв политических репрессий».

Соблюдение  интересов всех лиц, персональные данные которых содержаться в документе, возможно в том случае, если право доступа будет относиться не к документу, а к информации.

В тексте Федеральном законе «О реабилитации жертв политических репрессий» впервые названы лица, имеющие почти безоговорочное право  на доступ к конфиденциальным персональным данным до окончания периода их конфиденциальности. Ими являются: сам человек, информация о котором содержится в документе, и его родственники. В Законе названы и условия доступа родственников к документам: они должны иметь доверенность, если человек, информация о котором содержится в документе, жив, или документы о наследовании, если человек, информация о котором содержится в документе, умер.

В Федеральном законе об архивном деле, опущены очень важные положения, касающиеся доступа к персональным данным. Не указано, что:

- право лица разрешить доступ к его персональным данным может быть ограничено;

- если в документе содержатся конфиденциальные персональные данные «третьих лиц», они должны быть защищены от доступа к ним других лиц, включая основное лицо, которому посвящен документ.

В соответствии с Федеральным законом «О персональных данных» человек может установить режим общедоступности в отношении своих персональных данных, если это не противоречит федеральному закону, т.е., если эта информация не может быть отнесена к сведениям, составляющим государственную тайну.

Поскольку речь идет о доступе к информации, то, с одной стороны, разрешение, данное лицом в отношении своих персональных данных, может быть реализовано, с другой стороны, при необходимости может быть обеспечена конфиденциальность персональных данных других лиц, если они содержаться в том же документе.

Задача архивиста  или любого сотрудника, в обязанности  которого входит обеспечение конфиденциальности персональных данных, проверить, содержатся ли в документе конфиденциальные персональные данные других лиц. Если конфиденциальных персональных данных других лиц в документе нет, пользователю может быть выдан для ознакомления документ полностью. Если в документе присутствует конфиденциальные персональные данные других лиц, есть два пути решения этой проблемы.

Первый путь – пользователю выдается только информация о человеке, разрешившем доступ к  его персональным данным. При этом соблюдается конфиденциальность персональных данных других лиц.

Второй путь – пользователю необходимо получить разрешение на доступ к информации всех лиц, конфиденциальные персональные данные которых содержатся в документе. Это путь осуществления одного из основных прав демократического общества – права человека быть защищенным от обнародования информации, которая может нанести ему ущерб. И если пользователь получает разрешение на досрочный доступ конфиденциальным данным, он берет на себя обязательство, что информация будет использована только в обезличенном виде.

2.2 Порядок  доступа к персональным данным работников организации

Как же происходит доступ к персональным данным в архиве организации. Для этого были изучены следующие вопросы:

1 Какие документы  содержат персональные данные?

2 Как происходит передача персональных данных работника работодателю?

3 Возможно ли получение персональных данных работника от третьих лиц?

4 Может ли  работодатель передавать персональные  данные своих бывших работников новым работодателям по их запросам?

5 Какие права есть у работника на защиту своих персональных данных?

Исходя из определения  персональных данных, которое приведено  в Федеральном законе «О персональных данных», можно сделать вывод, что персональные данные – это любая информация, которая позволяет идентифицировать конкретного человека.

Таким образом, для определения состава персональных данных, необходимых работодателю в рамках трудовых отношений, рекомендуется руководствоваться формулировкой, приведенной в Трудовом кодексе РФ.

Персональные данные могут содержать следующую информацию:

- фамилия, имя,  отчество;

- пол, возраст;

- физиологические  особенности человека;

- образование,  квалификация, профессиональная подготовка  и сведения о повышении квалификации;

- состояние  здоровья и сексуальная ориентация;

- принадлежность  лица к конкретной нации, этнической  группе, расе;

- место жительства;

- привычки и  увлечения, в том числе вредные  (алкоголь, наркотики и др.);

- семейное положение,  наличие детей, родственные связи;

- факты биографии  и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

- религиозные  и политические убеждения (принадлежность  к религиозной конфессии, членство  в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);

- финансовое  положение (доходы, долги, владение  недвижимым имуществом, денежные  вклады и др.);

- деловые и  иные личные качества, которые  носят оценочный характер;

- прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют  гражданина как сторону трудового  договора.

В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст. 85 ТК РФ и в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:

- анкета, автобиография,  личный листок по учету кадров, которые заполняются работником  при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;

- копия документа,  удостоверяющего личность работника.  Здесь указываются фамилия, имя,  отчество, дата рождения, адрес регистрации,  семейное положение, состав семьи  работника, а также реквизиты этого документа;

- личная карточка N Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.;

- трудовая книжка  или ее копия. Содержит сведения  о трудовом стаже, предыдущих местах работы;

- копии свидетельств  о заключении брака, рождении  детей. Такие документы содержат  сведения о составе семьи, которые  могут понадобиться работодателю  для предоставления работнику  определенных льгот, предусмотренных  трудовым и налоговым законодательством;

- документы  воинского учета. Содержат информацию  об отношении работника к воинской  обязанности и необходимы работодателю  для осуществления в организации  воинского учета работников;

- справка о  доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;

- документы  об образовании. Подтверждают  квалификацию работника, обосновывают  занятие определенной должности;

- документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов;

- трудовой договор.  В нем содержатся сведения  о должности работника, заработной  плате, месте работы, рабочем месте,  а также иные персональные  данные работника;

- подлинники  и копии приказов по личному  составу. В них содержится информация  о приеме, переводе, увольнении и  иных событиях, относящихся к  трудовой деятельности работника;

- при необходимости  - иные документы, содержащие персональные  данные работников.

Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую  для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.