Особенности обеспечения безопасности персональных данных в органах государственной власти

    Министерство  по делам молодёжи Удмуртской Республики 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Экзаменационная (реферативная) работа

     тема: «Особенности обеспечения безопасности персональных данных в органах государственной власти» 
 
 
 
 
 
 
 
 
 
 
 
 
 

выполнил:

ведущий специалист –эксперт отдела                                                       Иванов И.В.

гражданско-патриотического  воспитания   
 
 
 
 
 
 
 
 
 

    г. Ижевск 2010

     Содержание 

     Введение 

     В XXI веке у человечества появляется все больше новых объектов, нуждающихся в защите путем закрепления соответствующих норм в законе. Основной объект на сегодняшний день – это информация. В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность.

     В виду вышесказанного, законодательными актами как в России, так и зарубежных стран предусматривают немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.

     Особой  ценностью обладает информация, несущая  в себе данные о личной, индивидуальной или семейной жизни человека. Ст.2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью». Соответственно и информация, непосредственно затрагивающая частные интересы человека должны уважаться и защищаться государством.

     В повседневной жизни человека сохранность  информации о его жизни зависит  от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно – работодателю. Работник в данной ситуации передает конфиденциальную  информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.

     Цель  этой работы заключается в рассмотрении трудовых отношений в сфере защиты персональных данных госслужащего. Рассматривается порядок работы с конфиденциальными сведениями о работнике, способы их защиты, а также ответственность работодателя за невыполнение обязательств по обеспечению сохранности персональных данных.

    Ниже  приведены термины, закреплённые в Федеральном законе № 152 «О персональных данных»

    Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ФЗ 152 ст.3.1).

    Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ 152 ст.3.2).

    Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ 152 ст.3). 
 
 

1. Персональные данные госслужащих и их защита в трудовых правоотношениях

    Персональные  данные работников являются конфиденциальной информацией и передача их третьим лицам должна производиться с соблюдением определенных требований, закрепленных в ст. 88 Трудового кодекса РФ.

    Институт  защиты персональных данных работника, в том числе госслужащего, введен в трудовое право сравнительно недавно  с принятием нового Трудового кодекса Российской Федерации, вступившего в действие с 1 февраля 2002 г. Одним из оснований введения института защиты персональных данных госслужащего являются международно-правовые договоры.

    Так, в ст. 12 Всеобщей декларации прав и свобод человека от 10 декабря 1948 г. закреплено важное положение о том, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь или незаконным посягательствам на его честь и репутацию и что каждый имеет право на защиту от такого вмешательства или таких посягательств.

    В соответствии с п. 1 ст. 8 Конвенции  от 4 ноября 1950 г. "О защите прав человека и основных свобод" каждый имеет  право на уважение его личной и  семейной жизни, жилища, корреспонденции. Этот принцип закреплен также в п. 1 ст. 9 Конвенции Содружества Независимых Государств от 26 мая 1995 г. "О правах и основных свободах человека", ратифицированной Федеральным законом от 4 ноября 1995 г.

    Принцип уважения частной жизни установлен Декларацией прав и свобод человека и гражданина, принятой Верховным Советом РСФСР 22 ноября 1991 г., и Конституцией Российской Федерации.

    Декларация  регламентирует право каждого работника  на неприкосновенность его частной  жизни, тайну переписки, телефонных переговоров, телеграфных и иных сообщений.

    В силу ст. 23 Конституции РФ каждый имеет  право на неприкосновенность частной  жизни, личную и семейную тайну, защиту своей чести и доброго имени.

    Статья 85 Трудового кодекса Российской Федерации содержит определение  двух новых для трудового права понятий: "персональные данные работника" и "обработка персональных данных работника".

    Персональные  данные работника (в т.ч. и госслужащего) - это прежде всего информация, которая  касается конкретного работника  и которая необходима работодателю в связи с трудовыми отношениями. Следовательно, среди всей информации, касающейся конкретного работника, к персональным данным можно отнести только такую информацию, которая необходима работодателю в связи с трудовыми отношениями.

    В силу ст. 65 Трудового кодекса РФ такой информацией являются:

    - личные данные государственного  гражданского служащего;

    - сведения о трудовом стаже  государственного гражданского  служащего;

    - сведения об образовании, квалификации, о наличии специальных знаний;

    - сведения о состоянии здоровья;

    - персональные данные;

    - сведения, отраженные в документах  воинского учета.

    Однако  к такой информации могут относиться иные сведения, содержащиеся в личном деле работника, такие, например, как  сведения о переводах, о профессиональном росте, профессиональной карьере госслужащего, повышении его квалификации; профессиональной подготовке, переподготовке, приобретении им другой специальности, квалификации; сведения об аттестации, конкурсных испытаниях, иная информация, которая непосредственно касается госслужащего и которая может быть отнесена к разряду конфиденциальной.

    Исходя  из смысла ч. 6 ст. 89 Трудового кодекса  РФ, можно сделать вывод, что персональные данные госслужащего могут быть двух видов:

    - данные, представляющие собой факты,  которые не подлежат субъективной оценке, например специальность государственного гражданского госслужащего, приобретенная им в результате окончания какого-либо учебного заведения;

    - данные оценочного характера,  которые могут, в частности,  содержаться в характеристике, заключении аттестационной комиссии, других документах.

    На  основании положений Федерального закона от 20 февраля 1995 г. "Об информации, информатизации и защите информации" можно некоторым образом определить круг сведений, которые являются персональными  данными государственного гражданского служащего.

    В соответствии со ст. 2 Закона от 20 февраля 1995 г. к персональным данным госслужащего можно отнести:

    - документированную информацию, например  приказ о переводе на другую  работу, об установлении различного  рода гарантий и компенсаций;

    - информацию о гражданах, например  сведения, сообщенные работником  работодателю при приеме на  работу, а также в процессе  осуществления своей трудовой  деятельности.

    По  смыслу ст. 88 Трудового кодекса такая  информация относится к разряду конфиденциальной.

    Понятие "обработка персональных данных", содержащееся в ч. 2 ст. 85 Трудового  кодекса РФ, представляет собой совокупность отношений, возникающих в процессе:

    - формирования информационных ресурсов  на основе получения, хранения, комбинирования, документирования информации о конкретном работнике в порядке, предусмотренном ст. 86 Трудового кодекса РФ;

    - использование отдельных документов, а также иной информации, составляющих  персональные данные госслужащего, хранящихся у работодателя, путем  передачи их другим лицам с учетом требований, предъявляемых ст. 88 Трудового кодекса РФ или любым другим способом, не противоречащим требованиям действующего законодательства; путем предоставления работнику свободного и бесплатного доступа к своим персональным данным в соответствии со ст. 89 Трудового кодекса РФ.

    Как уже отмечено выше, институт защиты персональных данных госслужащего включает в себя понятие "обработка его  персональных данных". Статья 86 Трудового  кодекса РФ закрепила следующие  требования:

• обработка персональных данных госслужащего может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия госслужащему в трудоустройстве, обучении и продвижении по службе, обеспечении личной безопасности госслужащего, контроля количества и качества выполняемой работы и обеспечение сохранности имущества;
• при определении объема и содержания обрабатываемых персональных данных государственного гражданского служащего работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами;
• все персональные данные государственного гражданского служащего следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то госслужащий должен быть уведомлен об этом заранее и на это должно быть получено письменное согласие. Работодатель должен сообщить госслужащему о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа госслужащего дать письменное согласие на их получение;
• работодатель не имеет права получать и обрабатывать персональные данные госслужащего о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
• работодатель не имеет права получать и обрабатывать персональные данные госслужащего о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
• при принятии решений, затрагивающих интересы госслужащего, работодатель не имеет права основываться на персональных данных госслужащего, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• защита персональных данных госслужащего от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств, в порядке, установленном федеральным законом;
• госслужащие и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных госслужащего, а также об их правах и обязанностях в этой области;
• государственные гражданские служащие не должны отказываться от своих прав на сохранение и защиту тайны;
• работодатели и госслужащие должны совместно выбирать меры защиты персональных данных госслужащих.

    К сожалению, процедура обработки персональных данных госслужащего в законе не определена.

    Персональные  данные госслужащего являются конфиденциальной информацией, и передача их третьим  лицам должна производиться с  соблюдением следующих требований, закрепленных в ст. 88 Трудового кодекса РФ:

    - не сообщать персональные данные  госслужащего третьей стороне  без письменного согласия госслужащего, за исключением случаев, когда  это необходимо в целях предупреждения  угрозы жизни и здоровью госслужащего, а также в случаях, установленных федеральным законом;

    - не сообщать персональные данные  госслужащего в коммерческих  целях без его письменного  согласия;

    - предупредить лиц, получающих  персональные данные госслужащего  о том, что эти данные могут  быть использованы лишь в целях,  для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получающие персональные данные госслужащего, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными госслужащего в порядке, установленном федеральным законом;

    - осуществлять передачу персональных  данных госслужащего в пределах  одной организации в соответствии  с локальным нормативным актом  организации, с которым госслужащий  должен быть ознакомлен под расписку;

    - разрешить доступ к персональным  данным госслужащего только специально  уполномоченным лицам, при этом  указанные лица должны иметь  право получать только те персональные  данные госслужащего, которые необходимы  для выполнения конкретных функций;

    - не запрашивать информацию о  состоянии здоровья госслужащего  за исключением тех сведений, которые относятся к вопросу  о возможности выполнения госслужащим  трудовых функций;

    - передавать персональные данные  госслужащего представителям работников  в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными госслужащего, которые необходимы для выполнения указанными представителями их функций.

    В целях обеспечения защиты персональных данных, хранящихся у работодателя, госслужащие имеют право на:

    - полную информацию об их персональных  данных и обработке этих данных;

    - свободный и бесплатный доступ  к своим персональным данным, включая право на получение  копий любой записи, содержащей  персональные данные госслужащего, за исключением случаев, предусмотренных федеральным законом;

    - определение своих представителей  для защиты своих персональных  данных;

    - доступ к относящимся к ним  медицинским данным с помощью  медицинского специалиста по  их выбору;

    - требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе работодателя исключить или исправить персональные данные госслужащего, он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера госслужащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

    - требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные госслужащего, обо всех произведенных в них исключениях, исправлениях и дополнениях;

    - обжалование в суд любых неправомерных  действий или бездействий работодателя  при обработке и защите его персональных данных.

    В трудовом законодательстве устанавливается  и ответственность за нарушение  норм, регулирующих обработку и защиту персональных данных.

    Однако  эта норма - ст. 90 Трудового кодекса  РФ носит отсылочный (бланкетный) характер и может быть предметом отдельного рассмотрения. 
 
 
 
 
 

2. Защита  персональных данных. Основные мероприятия.

    2.1 Основные требования по защите персональных данных 

    Защита  персональных данных в себя включает:

• Федеральный закон № 152 «О персональных данных» предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании
• установлен предельный срок выполнения требований для информационных систем ПДн, созданных до дня вступления в силу Закона «О персональных данных» - 01.01.2011 года
• вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных»
• за неисполнение требований предусмотрены различные виды ответственности
• перечень организационных и технических мероприятий:

- уведомление  уполномоченного органа по защите  прав субъектов персональных  данных (Роскомнадзор) о своем намерении  осуществлять обработку персональных  данных

- разработка  документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)

- создание  системы защиты персональных данных, в т.ч. выполнение требований по инженерно-технической защите помещений

- аттестация информационных систем персональных данных (далее –ИСПДН) (аттестация или декларирование соответствия ИСПДн требованиям безопасности информации)

- повышение  квалификации сотрудников в области защиты персональных данных. 

2.2 Алгоритм действий оператора персональных данных обеспечивающих защиту персональных данных в соответствии с требованиями законодательства 

    Сначала нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов госоргана (оператора персональных данных): 

    2.2.1 Установка перечня персональных данных, обрабатываемых оператором

    В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то специфика деятельности органов госвласти подразумевает под собой более широкий список персональных данных используемых в работе.

    Также нужно определить цели обработки персональных данных, сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты. 

    2.2.2 Способы обработки персональных данных

    Обработка персональных данных может осуществляться с использованием средств автоматизации  или без использования таких  средств.

    Обработка ПДн без использования средств  автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в Постановлении Правительства РФ № 687  от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.

    Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) (например, система бухгалтерского учета, система кадрового учета, различные базы данных). 

    2.2.3 Определение состава и объема обрабатываемых персональных данных

    В зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.п.) определяется категория, к которой они относятся (согласно Приказу ФСТЭК России ФСБ России Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. №55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"):

• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 4 - обезличенные и (или) общедоступные персональные данные.

    Установить  объем персональных данных (количество субъектов ПДн), обрабатываемых в  каждой информационной системе ПДн:

• 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
• 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
• 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

    2.2.4 Провести предварительную классификацию информационных систем ПДн

    Информационные системы ПДн делятся на:

• Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
• Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

    На  основании данных, полученных в предыдущих пунктах, провести предварительную  классификацию «типовых» информационных систем ПДн. Классификация ИСПДн  осуществляется в соответствии с  таблицей 1, рекомендованной регуляторами:

    Таблица 1

    В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.

    2.2.5 Полученные результаты и способы защиты персональных данных

    После проведения предварительного анализа  информационных ресурсов можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), определить масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных».