Правовое регулирование организации конфиденциального делопроизводства в организации на примере ГБПОУ РО «РКРИПТ». Часть 2

1  2

---

2.2 Меры по обеспечению конфиденциальности персональных данных

 

В каждой организации должен быть установлен строгий порядок обмена конфиденциальной документированной информацией, который является составной частью внутри объектного режима и направлен на обеспечение сохранности конфиденциальных документов и предотвращение утечки содержащейся в них информации [2].

Для обеспечения физической сохранности конфиденциальных документов и дел, предотвращения утечки содержащейся в них информации должен быть установлен специальный режим их хранения.

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем.

В связи с этим работодатель должен издать локальный нормативный правовой акт, который будет регулировать порядок хранения и использования персональных данных, и с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Как указывалось выше, в ГБПОУ РО «РКРИПТ» таким актом является Положение «Об обработке и защите персональных данных» [13].

В случае приема на работу нового сотрудника, он должен ознакомиться с положением о персональных данных, как и с остальными локальными нормативными актами работодателя, до подписания трудового договора (ст.68 ТК РФ).

Нужно отметить, что при отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно – по части 2 статьи 5.27 КоАП РФ.

Работодатель должен определить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

В ГБПОУ РО «РКРИПТ» существует специфика работы с персональными данными. Поскольку колледж является образовательным учреждением, то он как оператор обработки персональных данных имеет дело не только с персональными данными сотрудников, но и лиц, обучающихся в данном учреждении.

Согласно п. 3.3 должностной инструкции инспектора по кадрам (по личному составу сотрудников) ГБПОУ РО «РКРИПТ», утвержденной 01.09.2014 г., на него возложена ответственность за сохранность конфиденциальности информации о персональных данных сотрудников колледжа, хранящихся в отделе кадров, и осуществлять их обработку в соответствии с Положением об обработке и защите персональных данных колледжа.

А согласно п. 3.5 он обязан контролировать изменения сведений о персональных данных сотрудников колледжа, вносить их в кадровую документацию. Следует отметить, что ФЗ «О персональных данных» не предусмотрена обязанность работника своевременно уведомлять работодателя об изменении своих персональных данных [4]. Однако несвоевременное предоставление работником измененных данных может повлиять на исполнение работодателем своих обязанностей. Поэтому в локальных нормативных правовых актах работодателя целесообразно зафиксировать обязанность работника ставить работодателя в известность о таких изменениях в конкретный срок. Это избавит работодателя от многих проблем, например от неблагоприятных последствий, которые могут возникнуть при подаче в налоговый орган документов, содержащих недостоверные сведения о персональных данных работников.

Так, в п. 4.3.17 Правил внутреннего трудового распорядка ГБПОУ РО «РКРИПТ»[2] зафиксировано, что работники обязаны в течение 2 недель предоставлять в отдел кадров документы, подтверждающие изменения их персональных данных.

Аналогичная ответственность и аналогичные обязанности возложены на инспектора по кадрам (по личному составу студентов) ГБПОУ РО «РКРИПТ» (п.3.2. п. 3.4. должностной инструкции).

Также согласно п.3.4.3 Положения «Об обработке и защите персональных данных» внутренний доступ (доступ внутри организации) [13] к персональным данным субъекта имеют: руководитель организации; бухгалтерия; отдел кадров; непосредственные руководители по направлению деятельности (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении); заведующие отделениями (доступ к персональным данным субъектов в части, его касающейся); классные руководители (доступ к персональным данным студентов своей группы в части, его касающейся); преподаватели (доступ к информации, содержащейся в журналах тех групп, в которых они ведут занятия); сам субъект, носитель данных.

Целесообразно с лицами, имеющими доступ к персональным данным, заключать соглашения о неразглашении персональных данных. В ГБПОУ РО «РКРИПТ» разработана форма такого соглашения (Приложение А). В этом соглашении определен перечень сведений, которые субъект обязуется не разглашать, а также дается указание на наступление юридической ответственности в случае их разглашения.

Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам. В ГБПОУ РО «РКРИПТ» разработана форма журнала учета передачи персональных данных (Приложение Б). Ведение такого журнала поручено специалисту отдела кадров. В журнале учета передачи персональных данных указываются следующие сведения:

1) сведения о запрашиваемом лице,

2) состав запрашиваемых персональных данных,

3) цель получения персональных данных,

4) отметка о передаче или отказе в передаче персональных данных,

5) дата передачи/отказа в передаче персональных данных,

6) подпись запрашивающего лица,

7) подпись ответственного сотрудника.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Работодатель обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер. Это следует из п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 ФЗ «О персональных данных».

В частности, работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.

ФЗ «О персональных данных» и ТК РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый режим доступа в них, требования к оборудованию, установить перечень лиц, имеющих право доступа в данные помещения.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Персональные данные при их обработке должны обособляться от иной документированной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков) документов. При фиксации персональных данных на материальных носителях не допускается фиксация на одном носителе данных, цели обработки которых заведомо не совместимы. При обработке различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.

Так в ГБПОУ РО «РКРИПТ» из п. 3.3. Положения «Об обработке и защите персональных данных» следует, что хранение персональных данных субъектов осуществляется кадровой службой, бухгалтерией, учебной частью на бумажных и электронных носителях с ограниченным доступом. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства РФ 15.09.2008 г. № 687. 3 [16].

Принимая меры по обеспечению конфиденциальности персональных данных, оператор персональных данных должен помнить о правах работника, предоставленных ему законодательством.

В соответствии с ч. 1 ст. 89 ТК РФ работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно, работодатель обязан ознакомить их с такой информацией.

Также работники, согласно ст. 89 ТК РФ, имеют право на свободный бесплатный доступ к своим персональным данным, в том числе на получение копии любой записи, содержащей такие данные.

Учитывая требования ст. 62 ТК РФ, по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня получения от работника заявления выдать ему копии документов, связанных с работой (приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки, справок о заработной плате, о начисленных и фактически уплаченных пенсионныхвзносах, о периоде работы у данного работодателя и др.). Данные копии заверяются надлежащим образом и предоставляются работнику безвозмездно.

Также работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований ТК РФ или иного федерального закона. В случае отказа работодателя исключить или исправить персональные данные работника,последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения (ст. 89 ТК РФ).

В соответствии со ст. 89 ТК РФ по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях. Работники имеют право обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

Конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным[14].

 

2.3 Обязанности оператора при сборе персональных данных

 

При сборе персональных данных работников и студентов ГБПОУ РО «РКРИПТ» должен соблюдать требования, установленные законодательством о персональных данных.

Все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ). Причем это допускается только с его согласия (п. 1 ч. 1 ст. 6 ФЗ «О персональных данных») [4].

Сказанное применимо и к соискателям. Например, согласие на получение персональных данных требуется:

— от претендента на замещение вакантной должности на период принятия работодателем решения о приеме либо отказе в приеме на работу (абз. 11, 12 — 17 п. 5 Разъяснений Роскомнадзора): при поступлении резюме по каналам электронной почты, факсимильной связи; при сборе персональных данных посредством типовой формы анкеты соискателя, утвержденной работодателем,

— для включения соискателя в кадровый резерв работодателя (абз. 22 — 25 п. 5 Разъяснений Роскомнадзора).

Решение работника (соискателя) о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо (п. 1 ст. 9 ФЗ«О персональных данных).

Принимая решение о предоставлении своих данных, работник дает согласие на их обработку (п. 1 ст. 9 ФЗ «О персональных данных»). Согласие должно быть конкретным, информированным и сознательным. Это означает, что содержание указанного согласия должно содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных (п. 1 ст. 9ФЗ «О персональных данных», абз. 3 п. 5 Разъяснений Роскомнадзора).

Согласие работника может быть, как закреплено в тексте трудового договора, так и оформлено в виде отдельного документа.

Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 ФЗ «О персональных данных»):

1) фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе,

2) при получении согласия от представителя работника — его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя,

3) наименование или фамилию, имя, отчество и адрес работодателя,

4) цель обработки персональных данных,

5) перечень персональных данных, которые подлежат обработке,

6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации,

7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки,

8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия,

9) подпись работника.

Согласно п. 3.2.1. Положения «Об обработке и защите персональных данных» ГБПОУ РО «РКРИПТ», субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором. Форма согласия на обработку персональных данных приводится в приложении № 1 к указанному Положению (Приложение В).

В связи с тем, что в ГБПОУ РО «РКРИПТ» многие обучающие являются несовершеннолетними, указанным выше Положением предусмотрен специальный прядок получения их персональных данных. Вслучае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором (п. 3.2.2 Положения). Форма согласия на обработку персональных данных несовершеннолетнего приводится в приложении №3 к Положению (Приложение Г)

Не требуется согласие на обработку персональных данных работника (соискателя), получаемых, в частности (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10ФЗ «О персональных данных», абз. 1 Разъяснений Роскомнадзора):

1) из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ,

2) по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора),

3) в объеме, предусмотренном унифицированной формой № Т-2 (утв. Постановлением Госкомстата России от 05.01.2004 № 1), в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора),

4) от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора),

5) из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6ФЗ «Оперсональных данных», абз. 12 п. 5 Разъяснений Роскомнадзора).

Согласно п. 3.2.3 Положения «Об обработке и защите персональных данных» ГБПОУ РО «РКРИПТ», письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных[13].

Может возникнуть ситуация при которой персональные данные работника могут быть получены только у третьей стороны. В этом случае действует следующее правило: в случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.

Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у оператора. Форма согласия субъекта на получение его персональных данных у третьей стороны представлена в приложении № 5 к Положению «Об обработке персональных данных» (Приложение Д).

Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 ФЗ «О персональных данных») (Приложение Е). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 ФЗ «О персональных данных». Это следует из ч. 2 ст. 9 указанного Закона.

Следует отметить, что в Положении воспроизведен установленный законодательством о персональных данных прямой запрет на получение и обработку персональных данных субъекта о его политических, религиозных и иных убеждениях и частной жизни (п. 3.2.6), а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами (п. 3.2.7)[13].

Кроме вопросов получения и сбора персональных данных работников, законодатель регламентирует вопросы передачи этих данных третьим лицам.

Работодатель вправе осуществлять передачу персональных данных работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия (абз. 2, 3 ч. 1 ст. 88 ТК РФ).

Перед передачей персональных данных работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ)[15].

Для защиты персональных данных от неправомерного использования работодатель обязан (абз. 5, 6, 7 ч. 1 ст. 88 ТК РФ):

а) осуществлять их передачу только в пределах одной организации,

б) регламентировать процедуру передачи персональных данных локальными нормативными актами (положение о персональных данных работников, утвержденный приказом список лиц, имеющих доступ к персональным данным, обязательство о неразглашении персональных данных),

в) ознакомить работников, которым открыт доступ к персональным данным других работников организации, с указанными локальными нормативными актами под подпись,

г) передавать персональные данные работников по мотивированному запросу только специально уполномоченным лицам, а также представителям работников, в том объеме, который необходим им для выполнения конкретных функций.

У работников отдела кадров часто возникает вопрос, может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам? Такие действия можно совершать только при наличии письменного согласия работника.

Из содержания п. 3 ст. 86 ТК РФ следует, что запрашивать информацию у третьей стороны, в том числе и у предыдущего работодателя, нынешний работодатель может только с согласия работника и только если данную информацию нельзя получить у самого работника. Иными словами, потенциальный работодатель вправе запросить информацию при наличии согласия работника, а прежний работодатель вправе ее передать с тем же условием.

Не требуется согласие работника на передачу персональных данных:

— третьим лицам в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора),

— в ФССРоссии, ПФР в объеме, предусмотренном законом (абз. 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора),

— в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора),

— в военные комиссариаты (пп. «г» п. 30, пп. «а» — «в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений Роскомнадзора),

— по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона «О профессиональных союзах, их правах и гарантиях деятельности» от 12.01.1996 № 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора),

— по мотивированному запросу органов прокуратуры (п. 1 ст. 22Федерального закона «О прокуратуре Российской Федерации» от 17.01.1992 № 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора),

— по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 ФЗ «О коммерческой тайне», п. «м» ч. 1 ст. 13Федерального закона «О федеральной службе безопасности» от 03.04.1995 № 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора),

— по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора),

— в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ,

— в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку. Это следует из совокупного анализа ч. 5 — 5.2 ст. 11Федерального закона «О транспортной безопасности» от 09.02.2007 № 16-ФЗ,

— для предоставления сведений в банк, обслуживающий банковские карты работников при условии, что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать персональные данные работников, либо он действует на основании доверенности на представление интересов работников (абз. 10 п. 4 Разъяснений).

 

Глава 3 Охрана и защита конфиденциальной информации

3.1 Юридическая ответственность за нарушения законодательства о конфиденциальной информации

 

Нарушение требований по защите информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации [1].

Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

Данные мероприятия за правонарушения в области защиты информации устанавливают нормативные правовые акты и предусматривают следующие виды ответственности:

— дисциплинарную (замечание, выговор, увольнение),

— гражданскую (возмещение причинённого ущерба),

— административную (предупреждение, административный штраф),

— уголовную (штраф, лишение свободы).

Рассмотрим подробно каждый вид ответственности:

1) дисциплинарная ответственность работников предприятий предусмотрена ст. 57, 81, 192 и 193 Трудового кодекса РФ. В соответствии со ст. 57 [15] в заключаемом работодателем и работником трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной).

В отношении работника, совершившего дисциплинарный проступок, связанный с неисполнением или ненадлежащим исполнением трудовых обязанностей, работодателем могут быть применены следующие дисциплинарные взыскания.

Определенные ст. 192 Трудового кодекса РФ: замечание, выговор, увольнение по соответствующим основаниям. Порядок применения дисциплинарных взысканий определен в ст. 193 кодекса.

Увольнение работника осуществляется в соответствии с положениями ст. 81 Трудового кодекса РФ «Расторжение трудового договора по инициативе работодателя» [15]. В соответствии с подп. 6в указанной статьи трудовой договор с работником может быть расторгнут в случае однократного грубого нарушения работником трудовых обязанностей — разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

2) гражданская ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФматериальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

Согласно п. 4.8.3 (е) Правилвнутреннего распорядка в ГБПОУ РО «РКРИПТ», материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами [13].

3) административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей — для физических лиц; от 5000 до 10000 рублей — должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

4) уголовная ответственность за нарушение неприкосновенности частной жизни, выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, регулируется ст. 137 УК РФ и наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами насрок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если же эти действия совершены лицом с использованием своего служебного положения, то наказание предусмотрено более строгое. Такие действия наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Отдельно следует указать на юридические последствия передачи персональных данных работника без его согласия в случае, когда такое согласие обязательно.В соответствии со ст. 90 ТК РФ лица, которые виновны в нарушении норм, регулирующих обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности. Следовательно, передача персональных данных без согласия работника в случае, когда такое согласие обязательно, расценивается как нарушение законодательства о персональных данных. Работник может обратиться за защитой своих прав в государственные органы, к компетенции которых эти вопросы относятся. Необходимо иметь в виду, что за нарушение законодательства о персональных данных ответственность будут нести лицо, допустившее нарушение (единоличный исполнительный орган), и организация в целом.

 

3.2 Надзор за соблюдением законодательства о конфиденциальной информации

 

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных» [4], является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи — Роскомнадзор.

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных,

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений,

3) вести реестр операторов,

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных,

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, федерального органа исполнительной власти в области государственной охраны или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных,

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных,

7) выполнять иные предусмотренные законодательством РФ обязанности.

Контроль осуществляется с помощью плановых и внеплановых проверок и в строгом соответствии с установленным порядком проведения данных проверок. Проверки осуществляет Роскомнадзор или его территориальные органы.

Плановые проверки проводятся на основании ежегодного плана проведения проверок:

— в отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных,

— в отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.

Внеплановые проверки проводятся по следующим основаниям:

1) истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных,

2) поступление в Роскомнадзор или его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах,

3) возникновение угрозы причинения вреда жизни, здоровью граждан,

4) причинение вреда жизни, здоровью граждан,

5) нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных,

6) нарушение Операторами требований законодательства в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

Обращение гражданина РФ, не позволяющее установить его лицо, либо не содержащее сведения о фактах, указанных выше, не может являться основанием для внеплановой проверки.

О проведении внеплановой выездной проверки оператор уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

Если в результате деятельности оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление оператора о начале проведения внеплановой выездной проверки не требуется.

Срок проведения, как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.

В исключительных случаях срок проведения проверки может быть продлен, но не более чем на 20 рабочих дней, в отношении малых предприятий и микропредприятий – на 15 часов.

В ходе проверки осуществляется следующее:

— рассмотрение документов оператора, таких как уведомление об обработке, письменное согласие субъекта, локальных документов, регламентирующих порядок хранения и обработки персональных данных,

— исследование ИСПД в части, касающейся субъектов персональных данных.

Основанием для приостановления проверки является:

— необходимость получения заключений экспертов по вопросам обработки персональных данных, связанным с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований,

— мотивированное решение руководителя контролирующего органа, принятое по причине изъятия документов, являющихся объектами контроля, проведенного ранее сотрудниками прокуратуры, правоохранительных органов, болезни должностных лиц, проводящих проверку. Оператору представляется копия приказа, в котором указываются причины приостановления проверки и период, на который данная проверка приостановлена [25].

Основанием для принятия решения об исключении Оператора из плана проведения плановых проверок является:

— ликвидация или реорганизация Оператора,

— прекращение Оператором деятельности по обработке персональных данных.

Проверка соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных завершается:

— составлением и вручением Оператору акта проверки,

— выдачей Оператору предписания об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных,

— составлением протокола об административном правонарушении в отношении Оператора,

— подготовкой и направлением материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

В случае выявления в ходе плановых и внеплановых проверок нарушений в области обеспечения безопасности персональных данных, предусмотрена гражданская, уголовная, административная, дисциплинарная ответственность, которая может применяться в отношении руководителя организации, подразделения или виновного в разглашении работника. Наказанием за нарушение требований ФЗ «О персональных данных» [4] могут стать исправительные работы до 1 года или лишение свободы на срок до 2-х лет.

 

Заключение

 

В данной дипломной работе были рассмотрены вопросы нормативно-правового регулирования конфиденциальной информации. Дано понятие конфиденциальной информации и конфиденциального делопроизводства, рассмотрены виды конфиденциальной информации.

Нормативно-правовая база в сфере защиты конфиденциальной информации представляет собой широкий свод законов, подзаконных актов и локальных актов, всесторонне регулирующих общественные отношения, возникающие по поводу доступа, хранения, обработки, использования и защиты конфиденциальной информации.

Таким образом, организация и технология конфиденциального делопроизводства регламентированы не только федеральными нормативными правовыми актами. Их должен определять обладатель конфиденциальной информации, учитывая специфику деятельности организации, путем принятия локальных нормативных правовых актов. Однако при этом ему необходимо руководствоваться определенными нормами и правилами работы с конфиденциальными документами, обеспечивающими нужный уровень функционирования предприятия, сохранность документов и конфиденциальность содержащейся в них информации.

Учитывая специфику деятельности ГБПОУ РО «РКРИПТ», особое внимание в дипломной работе было уделено рассмотрению вопросов обработки, хранения и защиты персональных данных. Было изучено Положение «Об обработке и защите персональных данных» ГБПОУ РО «РКРИПТ». Указанное Положение принято в соответствии с ФЗ «О персональных данных» и не противоречит ему.

Следует отметить, что работа отдела кадров ГБПОУ РО «РКРИПТ» с персональными данными работников и обучающихся осуществляется в строгом соответствии с законом. В личных делах имеются согласия на обработку персональных данных, как и требует Положение «Об обработке и защите персональных данных», все личные дела хранятся в сейфе.

Следует отметить, что в настоящее время ГБПОУ РО «РКРИПТ» подключился к системе электронного документооборота «ДЕЛО» (СЭД «ДЕЛО»).

Система «ДЕЛО», разработанная компанией ЭОС, — комплексное решение, обеспечивающее автоматизацию процессов делопроизводства компаний различных масштабов и сфер деятельности, а также ведение полностью электронного документооборота в организации.

Делопроизводители получают автоматизацию знакомых задач, которые обычно ведутся в бумажных журналов с риском потерять документы или пропустить сроки исполнения СЭД «ДЕЛО» предотвращает такие ситуации.

Технология электронной подписи повышает информационную безопасность СЭД «ДЕЛО». Она позволяет удостоверять авторство служебных актов, облегчает процесс согласования между руководителями разных организационных уровней. СЭД «ДЕЛО» зарекомендовало себя с положительной стороны в вопросах работы с конфиденциальной информацией. Шифровка облегчает передачу документов высокого уровня секретности, а также помогает регламентировать доступ к ним с помощью цифровых ключей.

Также в данной дипломной работе рассмотрены вопросы наступления юридической ответственности за нарушение законодательства о конфиденциальной информации. Установлено, что за нарушение законодательства в сфере информации предусматривается дисциплинарная, административная, гражданско-правовая или уголовная ответственность.

Таким образом, подводя итог, можно сделать вывод, что главная задача защиты конфиденциальной информации — это защита доступа (физического или программного) к информации, содержащей сведения ограниченного доступа, таким образом, чтобы максимально обезопасить ее от несанкционированного доступа.

 

Список использованных источников

 

1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
2. Конфиденциальное делопроизводство и защищенный электронный документооборот: учебник / Н.Н. Куняев, А.С. Дёмушкин, А.Г. Фабричнов; под общ.ред. Н.Н. Куняева. – М.: Логос, 2016.— 500 c.
3. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» (ред. от 13.07.2015)
4. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ
5. Постановление Правительства РФ от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности»
6. https://www.profiz.ru/sr/4_2008/normativnaya_baza_raboty/
7. Федеральный закон «Об адвокатской деятельности и адвокатуре в Российской Федерации» от 31.05.2002 № 63-ФЗ
8. «Основы законодательства Российской Федерации о нотариате» (утв. ВС РФ 11.02.1993 № 4462-1) (ред. от 27.12.2018) (с изм. и доп., вступ. в силу с 01.02.2019)
9. Федеральный закон «О почтовой связи» от 17.07.1999 № 176-ФЗ
10. Федеральный закон «О коммерческой тайне» от 29.07.2004 № 98-ФЗ
11. Конфиденциальное делопроизводство и защита коммерческой тайны. Курс лекций: МАБИВ; Орел; 2014
12. Конфиденциальное делопроизводство: Учебное пособие: / Сост. Е.А.Давыденко. — Нижневартовск: Изд-во Нижневарт. гос. ун-та, 2015. — 83 с.
13. Положение «Об обработке и защите персональных данных» в ГБПОУ РО «РКРИПТ», утвержденное директором колледжа от 07.08.2017 г.
14. «Конституция Российской Федерации» (принята всенародным голосованием 12.12.1993)
15. «Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ
16. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
17. Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»
18. Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»
19. «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
20. Правила внутреннего трудового распорядка в ГБПОУ РО «РКРИПТ», утвержденные директором колледжа от 26.12.2016 г.
21. Комплексная система защиты информации на предприятии : учеб.пособие для студ. высш. учеб. заведений / В.Г.Грибунин, В.В.Чудовский. — М. : Издательский центр «Академия», 2015. — 416 с.
22. https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/
23. «Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ
24. Постановление Правительства РФ от 16.03.2009 № 228 (ред. от 28.02.2019) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»
25. https://studme.org/78426/pravo/kontrol_nadzor_obrabotkoy_personalnyh_dannyh
26. https://www.intuit.ru/studies/courses/697/553/lecture/12459

---

1  2