Персональные данные и методы их защиты (Обработка персональных данных, их хранение и использование)
Содержание:
Введение
Жизнь человека в информационном мире неизбежно делает его более прозрачным для государства и общества, поэтому желание сохранить "информационную приватность" становится все более ощутимым. Именно развитие информационно-телекоммуникационных технологий, внедрение их во все сферы жизни общества и государства побудили людей задуматься о защите этой информации.
Одной из причин, вызвавшей появление в Трудовом кодексе Российской Федерации главы 14 "Защита персональных данных работника", стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина - обязанностью государства. По Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.
Почему необходимо защищать персональные данные?
Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника - в средство мщения, в руках инсайдера - товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.
В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
Необходимость принятия мер по защите персональных данных (ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.
Обработка персональных данных, их хранение и использование
Защита персональных данных - это требование бизнеса.
Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Все персональные данные на конкретного работника могут быть подвергнуты необходимой обработке (например, формирование списков работников в целом по организации, по структурному подразделению, полу, возрасту, профессии, образованию и т.п.; подготовка работодателем списков работников, подлежащих медицинским осмотрам, и т.д.). Основное требование при обработке персональных данных работника - соблюдение конституционных норм, гарантирующих охрану прав и свобод человека и гражданина.
Под обработкой персональных данных Конвенция Совета Европы "О защите личности в связи с автоматической обработкой персональных данных" от 28 января 1981 г. понимается накопление данных, проведение логических и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. Определение, сформулированное в статье 85 ТК РФ, в принципе аналогично указанному.
В связи с этим работодатель обязан соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или чем это требуется в интересах лиц, о которых собраны данные.
Работу по хранению и использованию персональных данных работника осуществляют лица, состоящие с работодателем в трудовых отношениях (сотрудники кадровых, бухгалтерских и иных служб). Особое место среди них занимают операторы по сбору и обработке персональных данных: обязанности данной категории работников изложены в главе 4 ФЗ "О персональных данных". Поэтому к числу мер по охране персональных данных относится и установление конкретных обязанностей этих работников по обеспечению конфиденциальности информации, относящейся к охраняемой законом тайне.
Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке? Вряд ли.
Права работников в целях обеспечения защиты персональных данных
В соответствии со статьей 89 Трудового кодекса Российской Федерации работники имеют право на:
1) полную информацию об их персональных данных и обработке этих данных;
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.
Информация, содержащаяся в медицинских документах работника, составляет врачебную тайну и может представляться без его согласия только по основаниям, предусмотренным статьями 31 и 61 Основ законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 г. N 5487-I.
Категории персональных данных
1. Общедоступные ПДн
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать Ф.И.О., год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п.
2. Специальные категории ПДн
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
· субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
· персональные данные являются общедоступными;
· персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
· обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
· обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности.
3. Категории персональных данных, обрабатываемых в ИСПДн
Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Категория 2 - персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
Категория 3 - персональные данные, позволяющие идентифицировать субъекта ПДн.
Категория 4 - обезличенные и (или) общедоступные персональные данные.
4. Биометрические персональные данные
Биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения - в системах видеонаблюдения.
Мероприятия по защите ПДн при обработке в ИСПДн
· определение угроз безопасности в отношении ПДн при их обработке в ИСПДн, формирование на их основе моделей угроз;
· проверку готовности средств защиты информации (СЗИ) к применению и составление заключений о возможности их эксплуатации;
· обучение лиц, которые будут эксплуатировать СЗИ, правилам работы с ними;
· контроль за применением СЗИ, учет эксплуатационной и технической документации к ним, носителей персональных данных;
· учет лиц, допущенных к работе с персональными данными в информационной системе;
· контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
· проведение расследований и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн; а также принятие мер по предотвращению возможных опасных последствий подобных нарушений;
описание системы защиты персональных данных.
Заключение
Законодательное регулирование сбора и использования персональных данных обусловлено защитой неприкосновенности частной жизни как базового конституционного принципа.
Законодательство ряда стран расширяет перечень гарантий защиты персональных данных работника. Речь идет о создании специализированных государственных органов, призванных контролировать сбор, обработку персональных данных.
- Оценка конкурентоспособности и рынка сбыта
- Фазы жизненного цикла проекта и их краткое содержание(Понятие жизненного цикла проекта)
- Профессиональное выгорание и способы его профилактики (Способы выявления и профилактики профессионального выгорания)
- Профессиональное выгорание и способы его профилактики (Стадии профессионального выгорания)
- Профессиональное выгорание и способы его профилактики (Общая характеристика профессионального выгорания)
- Обязанности и ответственность членов совета директоров и оценка деятельности совета директоров и его членов, корпоративный секретарь
- Принципы оценки стоимости бизнеса (Основные методы и подходы к оценке стоимости компании)
- Метод сделок и условие его применения
- Основные положения доходного подхода к оценке стоимости предприятия (Доходный подход к оценки предприятия)
- Профессиональное выгорание и способы его профилактики (Понятие профессионального выгорания и его отличительные признаки)
- Профессиональное выгорание и способы его профилактики (способы выявления профессионального выгоранияя)
- Субъекты международного частного права