2.1 Защита персональных данных

Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Этапы работ по защите персональных данных:

1. Обязательные (в том числе предварительные) этапы работ по защите персональных данных:

   1. Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).

   2. Выделить бизнес-процессы, в которых обрабатываются персональные данные.

   3. Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.

   4. Определить круг информационных систем и совокупность обрабатываемых ПДн.

   5. Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).

   6. Выработать меры по снижению категорий обрабатываемых ПДн.

   7. Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).

   8. Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.

   9. Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.

   10. Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.

   11. Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.

   12. Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.

   13. Подготовить технический проект по защите ИСПДн и помещений.

   14. Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты).

   15. Спроектировать и внедрить систему защиты персональных данных (СЗПДн);

   16. Взять согласия на обработку ПДн с субъектов персональных данных;

   17. Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.

   18. Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.

   19. Создание режима защиты персональных данных¹.

В Российской Федерации, защита персональных данных сводится к созданию режима обработки персональных данных, включающего:

1. Создание внутренней документации по работе с персональными данными

2. Создание организационной системы защиты персональных данных

3. Внедрение технических мер защиты

4. Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна

5. Получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации².

Согласно Постановлению Правительства №781, для защиты персональных данных должны применяться только СЗИ, в установленном порядке прошедшие процедуру оценки соответствия.

Основополагающие нормы, регулирующие отношения по поводу персональных данных, содержатся в Федеральном законе «О персональных данных». В соответствии с п. 1 ст. 3 этого Закона персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация¹.

В соответствии с ч. 1 ст. 85 ГК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Оценочный характер данного определения отражает лишь общий подход законодателя к категории персональных данных работника. Работодатель может собирать и обрабатывать не любую информацию о лице, являющемся его работником, а лишь ту, которая непосредственно связана с его трудовым правоотношением.

Защиту персональных данных работника можно рассматривать в нескольких аспектах. Во-первых, это гарантии, закрепленные в трудовом праве, которое представляет собой совокупность норм, регулирующих отношения по поводу персональных данных работника. Во-вторых, это система мероприятий организационно-правового характера, направленных на реализацию законодательных положений и выражающих политику работодателя в данной сфере. В-третьих, это обеспечение субъективного права работника на защиту своих персональных данных².

Информационные отношения возникают как между работником и работодателем, так и между каждым из них и третьими лицами. Отношения между работником и работодателем являются основными информационными отношениями. Поэтому их регулированию в законодательстве о труде отдастся приоритет. Работник не только обязан предоставлять сведения о себе, но и имеет право получать достоверную информацию об условиях труда и о требованиях охраны труда на рабочем месте (ст. 21 ТК РФ). Каждый работник имеет право на получение от работодателя достоверной информации об условиях и охране труда на рабочем месте, о существующем риске повреждения здоровья, а также о мерах по защите от воздействия вредных и (или) опасных производственных факторов (ч. 3 ст. 219 ТК РФ). Статья 210 этого Кодекса содержит термин «единая информационная система охраны труда». Получение от работодателя информации по вопросам, непосредственно затрагивающим интересы работников, является одной из основных форм участия работников в управлении организацией (ст. 53 ТК РФ). Работодатель обязан предоставлять представи телям работников полную и достоверную информацию, необходимую для заключения коллективного договора, соглашения и контроля за их выполнением (ст. 22 ТК РФ).

Определенные нормы отечественного кодифицированного закона о труде регулируют отношения по поводу конфиденциальной информации. Согласно ч. 3 ст. 57 ТК РФ в трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Работодатель имеет право расторгнуть трудовой договор в случаях разглашения работником охраняемой законом тайны, ставшей известной ему в связи с исполнением им трудовых обязанностей, прекращения допуска к государственной тайне, если выполняемая работа требует допуска к государственной тайне (подп. «в» п. 6 ст. 81 ТК РФ). На работника возлагается материальная ответственность в полном размере причиненного ущерба в случае разглашения сведений, составляющих охраняемую законом тайну. В соответствии с ч. 8 ст. 37 ТК РФ участники коллективных переговоров, другие лица, связанные с велением коллективных переговоров, не должны разглашать полученные сведения, если эти сведения относятся к охраняемой законом тайне. Лица, разгласившие указанные сведения, привлекаются к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в установленном законодательством порядке. Персональные данные гражданина в соответствии с действующими нормативными актами относятся к сведениям конфиденциального характера1. Поэтому положения ТК РФ по поводу охраняемой законом тайны также относятся к персональным данным работника.

В рыночных условиях хозяйствования эффективность и результативность деятельности работодателя непосредственным образом связаны с ее своевременным обеспечением информационными ресурсами. Деятельность работодателя в отношении персональных данных работника регулируется императивными нормами, что обусловлено публичной составляющей отрасли трудового права в целом и института защиты персональных данных работника в частности. Право на защиту персональных данных имеет абсолютный характер. Оно предоставлено каждому работнику безотносительно к размеру его вклада в достижение организацией поставленных задач. Поэтому согласно п. 9 ст. 86 ТК РФ работники не должны отказываться от своих прав на сохранение и защиту тайны.

Свое право на защиту персональных данных работники могут реализовать путем свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника; путем определения своих представителей для защиты своих персональных данных; путем получения полной информации о персональных данных и их обработке; путем предъявления к работодателю требования об исключении или исправлении неверных либо неполных персональных данных, а также данных, обработанных с нарушением законодательных требований; путем обжалования в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника и др. (ст. 89 ТК РФ).

Ответственность за нарушение норм, регулирующих защиту персональных данных работника

В соответствии с действующим законодательством предусмотрено несколько видов ответственности за нарушение норм в области защиты персональных данных (гражданско-правовая, материальная, дисциплинарная, административная и уголовная). Для отдельных составов правонарушений установлены санкции в отношении не только физических и должностных, но и юридических лиц. Таким образом, привлечение к отдельным видам ответственности возможно и для работников, и для работодателей¹.

Статья 150 ГК РФ к числу неотъемлемых и неотчуждаемых нематериальных прав, подлежащих правовой защите, относит личную неприкосновенность, неприкосновенность частной жизни, личную и семейную тайну. Гражданско-правовая ответственность за посягательство на неприкосновенность частной жизни непосредственно связана с категорией морального вреда. Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.

При определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные, заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред (ст. 151 ГК РФ). Кроме того, гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина (ст. 152 и 153 ГК РФ). Разъяснения вопросов, связанных с причинением морального вреда, содержатся в постановлении Пленума Верховного Суда РФ от 20 декабря 1994 г. № 10 «Некоторые вопросы применения законодательства о компенсации морального вреда». Компенсация морального вреда осуществляется в денежной форме. Характер физических и нравственных страданий оценивается судом с учетом фактических обстоятельств, при которых был причинен моральный вред, и индивидуальных особенностей потерпевшего (ст. 1101 ГК РФ)¹.

Материальная ответственность работника за разглашение сведений, относящихся к персональным данным других работников, возлагается на него в полном размере причиненного ущерба (п. 7 ст. 243 ТК РФ). Случаи полной материальной ответственности являются исключениями из общего правила, что подтверждает особое значение института защиты персональных данных работников в отечественном трудовом праве.

Дисциплинарная ответственность в виде увольнения наступает для работника, разгласившего охраняемую законом тайну (в том числе персональные данные другого работника). Однако необходимо, чтобы эти сведения стали известны работнику в связи с исполнением им своих трудовых обязанностей (поди, «в» п. 6 ст. 81 ТК РФ). В соответствии со ст. 192 ТК РФ привлечение работника, совершившего дисциплинарный проступок, является правом, а не обязанностью работодателя. При наложении дисциплинарного взыскания работодатель должен учесть тяжесть совершенного проступка и обстоятельства, при которых он был совершен. Поэтому вместо увольнения работодатель вправе наложить на виновное лицо взыскание в виде замечания или выговора. Права и обязанности работника в отношении доступа к персональным данным других работников определяются сто трудовой функцией, другими условиями трудового договора, а также содержанием локальных нормативных правовых актов, определяющих перечень его должностных обязанностей².

Административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 0,3 тыс. до 0,5 тыс. руб.; на должностных лиц — от 0,5 тыс. до 1 тыс. руб.; на юридических лиц — от 5 тыс. до 10 тыс. руб. (ст. 13.11 Кодекса РФ об административных правонарушениях (далее — КоАП РФ)). Разглашение информации ограниченного доступа лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 0,5 тыс. до 1 тыс. руб.; на должностных лиц — от 4 тыс. до 5 тыс. руб. (ст. 13.14 КоАП РФ)¹.

Уголовная ответственность за нарушение неприкосновенности частной жизни предусмотрена ст. 137 Уголовного кодекса РФ. Незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

2.3. Хранение персональных данных

Организация учета и хранения персональных данных

1.1. Оформление журналов учета персональных данных

Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые¹.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника¹.

1.2. Требования к помещению, где хранятся персональные данные

Исходя из требований п. 7 ст. 86 и ст. 87 ТК РФ на работодателя возложена обязанность по защите персональных данных работников. Защита персональных данных включает в себя установление особого режима доступа в те помещения, где хранятся такие данные, направленного на защиту последних от несанкционированных доступа, изменений или распространения².

Действующим законодательством не предусмотрено конкретных требований к оборудованию помещения, где должны храниться персональные данные. Однако исходя из требований Трудового кодекса РФ во избежание несанкционированного доступа к персональным данным работников следует оборудовать помещение, где хранятся такие данные, запирающимися шкафами для хранения информации на бумажных носителях. Работодатель должен установить в локальном нормативном акте требования к помещению, где хранятся персональные данные работников, и условия их хранения. Следует также учитывать, что персональные данные работника хранятся в документированной форме, характер которой определяется работодателем.

Перечень документов по учету труда и его оплаты установлен Постановлением Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты". Работодатель должен обеспечивать сохранность такой документации в соответствии со сроками ее хранения (см. Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры РФ от 25.08.2010 N 558)¹.

Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

Статья 87 ТК РФ устанавливает, что порядок хранения и использования персональных данных определяется работодателем самостоятельно. Хранение персональных данных осуществляется в документированном виде. Персональные данные работника содержатся в следующих документах:

- в документе, удостоверяющем личность работника;

- в трудовой книжке;

- в страховом свидетельстве обязательного пенсионного страхования;

- в документах воинского учета;

- в документах об образовании, квалификации или специальной подготовке;

- в иных документах, представляемых работником (резюме, справки, характеристики, грамоты и пр.);

-в докладных, служебных записках;

- в материалах служебных проверок и расследований.

Основные документы, в которых содержатся персональные данные, объединяются в личное дело, порядок ведения и хранения которого устанавливается работодателем. Отметим также иные документы, регламентирующие сроки хранения носителей, содержащих персональные данные работников.

Так, персональные данные о трудовой деятельности и трудовом стаже содержатся в трудовой книжке. Порядок хранения трудовых книжек установлен Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16.04.2003 N 225)¹.

Формы первичной учетной документации по учету труда и его оплаты утверждены Постановлением Госкомстата России от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты". В соответствии с данным Постановлением работодатель осуществляет хранение этих документов, содержащих в том числе и персональные данные работников².

Поскольку персональные данные относятся к закрытой информации, работодатель должен создать технические условия, направленные на охрану персональных данных работников (особый режим доступа, защита персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения).

Обязанность защиты персональных данных снимается с работодателя в отношении обезличенных и общеизвестных персональных данных. Так, обезличенными являются персональные данные, которые невозможно отнести к тому или иному лицу. Говоря другими словами, неизвестно, кому именно они принадлежат. К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен широкому кругу лиц (например, информация, находящаяся в справочнике, адресной книге)³.

Ст. 87 Трудового кодекса устанавливает, что порядок хранения и использования персональных данных работодатель может определять самостоятельно. Хранение персональных данных должно происходить так, чтобы исключить их утрату. Российское законодательство устанавливает особые требования к оформлению журналов учета персональных данных и помещениям, где они хранятся¹.

3. Проблемы перехода к электронной обработке персональных данных

Под средствами автоматизации понимаются технические средства, освобождающие человека частично или полностью от непосредственного участия в процессах получения, преобразования, передачи и использования информации. В качестве примера можно привести автоматизированные банковские системы, содержащие данные о сотрудниках банка, о клиентах, партнерах, биллинговые системы, содержащие данные о клиентах, осуществляющих оплату услуг, call-центры, содержащие данные о клиентах и сотрудниках в зависимости от предназначения call-центра, автоматизированные медицинские системы, содержащие данные о пациентах и т.п¹.

Автоматизированная обработка ПД включает в себя действия с автоматизированными файлами ПД. В случае с обработкой ПД понятие "автоматизированный файл ПД" обозначает любой комплекс данных о субъектах ПД, подвергающийся автоматизированной обработке.

В ст.2 Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных от 28.01.81 "автоматизированная база данных" означает любой набор данных, к которым применяется автоматическая обработка. При этом "автоматическая обработка" включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств:

- накопление данных;

- проведение логических или/и арифметических операций с такими данными;

- их изменение, стирание, восстановление или распространение².

Статья 5 Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных от 28.01.81 гласит, что ПД, проходящие автоматизированную обработку, должны быть:

- получены и обработаны добросовестным и законным образом;

- накопленными для точно определенных и законных целей и не использоваться в противоречии с этими целями;

- адекватными, относящимися к делу и не избыточными применительно к целям, для которых они накапливаются;

- точными и в случае необходимости обновляться;

- сохранены в такой форме, которая позволяет идентифицировать субъектов данных, не дольше, чем этого требует цель, для которой эти данные накапливаются.

Статьей 6 вышеуказанной Конвенции устанавливается, что ПД о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно ПД, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии. Это же правило применяется к ПД, касающимся судимости. Кроме того Конвенция обязывает операторов ПД принимать надлежащие меры для охраны ПД, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения¹.

Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" установлен порядок обработки ПД без использования средств автоматизации. Согласно упомянутому Постановлению обработкой ПД, содержащихся в информационной системе ПД либо извлеченных из такой системы, без использования средств автоматизации называется такая обработка, когда действия с ПД, такие как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека. Из этого следует вывод, что обработка ПД не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПД содержатся в информационной системе ПД либо были извлечены из нее. И все же определение того, будет ли обработка ПД считаться автоматизированной или осуществляемой без использования средств автоматизации, является сложным вопросом для операторов. Как показала практика, даже в том случае, когда организация хранит ПД на компьютере только в текстовых файлах формата doc, не включая их в базу, то такая обработка ПД также признается Роскомнадзором автоматизированной, поскольку имеет место запись, систематизация и накопление ПД. При решении подобных вопросов Роскомнадзор ранее рекомендовал ориентироваться одновременно как на положения постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", так и на нормы постановления Правительства РФ от 01.11.2012 N 1119¹.

Закон N 261-ФЗ впервые ввел в ст.3 комментируемого Закона понятие "автоматизированной обработки ПД". Под ней сейчас понимается обработка ПД при помощи любых средств вычислительной техники.

При переходе к электронной обработке персональных данных возможны такие угрозы, как:

1. «Человек посередине» (Man in the middle) – прослушивание, перехват трафика, подмена данных.

2. Атаки на систему управления доступом

3. Кража или подмена незащищенных данных

4. Инсайдерская деятельность - со стороны персонала провайдера и со стороны персонала заказчика услуг¹.

Центр социальной поддержки населения так же имеет Положение об электронной обработке персональных данных. Данное учреждение, чья деятельность регулируется на уровне министерств, не использует электронные персональные данные. Да, имеются электронные базы данных, системы электронного документооборота, но персональные данные по-прежнему обрабатываются без помощи электронной техники.

Это связано с недостаточностью финансирования данного учреждения, некомпетентностью некоторых сотрудников и отсутствия контроля со стороны органов власти.

В деятельности данного учреждения есть и свои преимущества. В Центре социальной поддержки населения очень хорошо организована обработка персональных данных на бумажном носителе. В локальных нормативных актах четко прописан порядок сбора, обработки и хранения персональных данных как населения, так и самих сотрудников учреждения.

Заключение

Порядок обработки персональных данных находит подробное отражение в нормативных актах как на федеральном, так и на локальном уровне.

Федеральной закон от 25.07.2011 «О персональных данных» дает развернутое определение персональным данным - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные отнесены Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.97 № 188, к категории конфиденциальной информации, таким образом лицо, получившее доступ к персональным данным, обязано обеспечивать конфиденциальность таких данных, соблюдать требования о недопустимости их распространения без согласия субъекта персональных данных или иного законного основания. Обеспечение конфиденциальности не требуется в следующих случаях:

• обезличивания персональных данных (совершения действий, в результате которых невозможно определить принадлежность персональных данных конкретному работнику);

• в отношении общедоступных персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Правовой статус персональных данных устанавливается международными нормативно-правовыми актами: Всеобщей декларацией прав человека 1948 г., Европейской конвенцией о защите прав человека и основных свобод, - и нормами национального законодательства Российской Федерации: Конституцией РФ, Трудовым кодексом РФ, Федеральным законом «О персональных данных», Федеральным законом «Об информации, информационных технологиях и защите информации», Законом «О государственной тайне» и другими.

Обработка персональных данных работника возможна только с их согласия. Порядок обработки устанавливается Трудовым кодексом Российской Федерации и Федеральным законом «О персональных данных».

Защита персональных данных является прямой обязанностью работодателя. Ее можно рассматривать в нескольких аспектах. Работники имеют право на защиту своих персональных данных и могут реализовать его путем доступа к своим персональным данным.

Порядок сбора и хранения персональных данных может устанавливаться работодателем самостоятельно. Хранение персональных данных должно происходить так, чтобы исключить возможность их утери.

Проблеме перехода персональных данных на электронную обработку посвящены многие статьи и нормативные акты. Характеристику электронной обработки дает и ФЗ «О персональных данных».

В то же время учреждения, находящиеся на министерском уровне, несмотря на использование нормативных актов, посвященных электронной обработке персональных данных, обрабатывают их без использования средств автоматизации.

Список использованных источников и литературы

1. Конституция Российской Федерации от 12.12.1993 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

2. Гражданский Кодекс Российской Федерации от 30.11.1994 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

3. Уголовный Кодекс Российской Федерации от 13.06.1996 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

4. Кодекс об административных правонарушениях Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

5. Трудовой Кодекс Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

6. Федеральный закон от 19.12.2005 «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» [Электронный ресурс]. URL: http://xki.infosec.ru (дата обращения 01.01.2013).

7. Федеральный закон Российской Федерации от 03.12.2008 «О государственной геномной регистрации в Российской Федерации» [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 02.01.2013).

8. Федеральный закон от 25.07.2011 «О персональных данных». [Электронный ресурс]. URL: http://rg.ru (дата обращения 30.11.2012).

9. Постановление Правительства Российской Федерации от 17.11.2007 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 04.01.2013).

10. Постановление Правительства Российской Федерации от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» [Электронный ресурс]. URL:http/:/zki.infosec.ru (дата обращения 06.01.2013).

11. Постановление Правительства Российской Федерации от 06.07.2008 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» [Электронный ресурс]. URL:http://zki.infosec.ru (дата обращения 06.01.2013).

12. Постановление Правительства Российской Федерации от 02.06.2008 «О федеральной службе по надзору в сфере связи и массовых коммуникаций» [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 06.01.2013).

13. Распоряжение Правительства от 15.08.2007 «План подготовки проектов нормативных актов, необходимых для реализации федерального закона «О персональных данных»» [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 06.01.2013).

14. Указ Президента Российской Федерации от 30.05.2005 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 07.01.2013).

15. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных» [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 08.01.2013).

16. Приказ Россвязькомнадзора от 17.07.2008 «Об утверждении образца формы уведомления об обработке персональных данных» [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 08.01.2013).

17. Методические материалы ФСТЭК от 15.02.2008 «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 09.01.2013).

18. Приказ ФСТЭК от 05.02.2010 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» [Электронный ресурс]. URL: http://zki.infosec.ru (дата обращения 09.01.2013).

19. Положение о персональных данных.

20. Правила обработки персональных данных а бумажном и электронном носителе (Центр социальной поддержки населения Зато Северск).

21. Перечень персональных данных, обрабатываемых в Центре социальной поддержки населения ЗАТО Северск.

22. Перечень сотрудников, имеющих доступ к персональным данным.

23. Правила осуществления внутреннего контроля соответствия требованиям к защите персональных данных.

24. Альбрехт Б.В. Персональные данные // Секретарское дело. – 2011. - №4. – С.13-15.

25. Андреева В.И. Делопроизводство. Изд.10-е. – М.: Управление персоналом. – 275 с.

26. Андреева В.И. Организация кадрового делопроизводства // Справочник секретаря и офис-менеджера. – 2011. - №5. – С. 30-31.

27. Басаков М.И. Обработка персональных данных // Делопроизводство в учреждениях, организациях и на предприятиях. – 2011. – №9. – С.12-17.

28. Борисов М.А. Особенности защиты персональных данных – М.: Управление персоналом. – 2012. – 224 с.

29. Васильев Д.С. Особенности работы с персональными данными // Справочник кадровика. – 2011. – №2. – С. 14-19.

30. Денисов Т.В. Особенности работы с персональными данными // Справочник кадровика. – 2011. – №2. – С. 17-23.

31. Защита персональных данных [Электронный ресурс]. URL:http://54.rsoc.ru (дата обращения 05.12.2012).

32. Кузнецова Т.В., Санкина Л.В, Быкова Т.А. и др. Под. ред. Т.В. Кузнецовой. Делопроизводство. [Электронный ресурс]. URL: http://iai.rsuh.ru (дата обращения 15.11.2012).

33. Обработка персональных данных [Электронный ресурс]. URL:http://ru.wikipedia.org (дата обращения 05.12.2012).

34. Обработка и защита персональных данных. С чего начать? [Электронный ресурс]. URL: http:// http://_pdsec.ru (дата обращения 12.12.2012).

35. Организация работы с персональными данными [Электронный ресурс]. URL: http:// hrm.ru (дата обращения 12.12.2012).

36. Персональные данные. [Электронный ресурс]. URL: http://gorodpravo.ru (дата обращения 01.12.2012).

37. Персональные данные: законодательство. [Электронный ресурс]. URL:zki.infosec.ru (дата обращения 23.12.2012).

38. Персональные данные. Общая характеристика [Электронный ресурс]. URL: http://ipdn.ru (дата обращения 24.10.2012)

39. Петров М.И. Комментарий к Федеральному закону от 13.07.2011 // Кадровик. – 2011. – №7. – С. 10-16.

40. Политика в отношении обработки персональных данных [Электронный ресурс]. URL: http://rostatus.ru (дата обращения 30.11.2012).

41. Получение персональных данных работника от третьих лиц [Электронный ресурс]. URL: http://ali-x.narod.ru (дата обращения 12.12.2012).

42. Порядок хранения и использования персональных данных работника [Электронный ресурс]. URL: http://vohma.ru (дата обращения: 11.12.2012).

43. Романов М.И. О субъекте персональных данных // Делопроизводство. – 2011. – №6. – С. 18-22.

44. Романов М.Н. Нормативное регулирование персональных данных // Кадровая служба и управление персоналом предприятия. – 2011. - №7. – С.10-16.

45. Скрипник А. Обработка персональных данных // Кадровые решения: профессиональный журнал кадровика. – 2011. – №6. – С. 16-20.

46. Хранение и использование персональных данных [Электронный ресурс]. URL: http://referent.ru (дата обращения 11.12.2012).

47. Царев Е. Как уничтожать персональные данные? – М.: Управление персоналом. – 2011. – 330с.

48. Что такое персональные данные. Нормативное регулирование. [Электронный ресурс]. URL: http:// ispdn.ru (дата обращения 24.10.2012).

1 Альбрехт Б.В. Персональные данные // Секретарское дело. 2011. №4. С. 14-18.

2 Борисов М.А. Особенности защиты персональных данных в трудовых отношениях. М.:Управление персоналом. 2012. С. 105-120.

3 Денисов Т.В. Нормативная база персональных данных // Кадровые решения: профессиональный журнал кадровика. 2-11.№10.С.17-23.

4 Басаков М.И. Обработка персональных данных // Делопроизводство в учреждениях, организациях и на предприятиях. 2011. №9. С.13-15.

5 Кузнецова Т.В., Санкина Л.В., Быковы Т.А. и др.; под. ред. Т, В. Кузнецовой. Делопроизводство. [Электронный ресурс]. URL:http:// iai.rsuh.ru/article.htnl?id=51274 (дата обращения 15.11.2012).

6 Васильев Д.С. Особенности работы с персональными данными // справочник кадровика. 2011. №2.С.12-17.

7 Царев. Е. Как уничтожить персональные данные? // Управление персоналом. 2011..№.2С.20-25.

8 Романов М.И. О субъекте персональных данных // Делопроизводство. 2011.№6.С.18-22.

1¹ Скрипник А. Обработка персональных данных // Кадровые решения: профессиональный журнал кадровика. 2011. №6. С.16-20.

2² Трудовой Кодекс Российской Федерации от 30.12.2001. [Электронный ресурс]. Востребованные законы. URL:http://consultant.ru> (дата обращения 16.12.2013).

3³ Федеральный закон РФ «О персональных данных» от 25.07.2011 №261-ФЗ. [Электронный ресурс]. URL:http//:rg.ru (дата обращения 30.11.2012

1¹ Федеральный закон РФ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19.12.2005 .[Электронный ресурс]. URL: http://zki/infosec.ru (дата обращения 01.01.2013).

2² Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных даанных» от 17.11.2007. [Электронный ресурс]. URL:http://consultant.ru (дата обращения 02.01.2013).

1¹ Конституция Российской Федерации от 12.12.1993 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Трудовой Кодекс Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Федеральный закон от 25.07.2011 «О персональных данных». [Электронный ресурс]. URL: http://rg.ru (дата обращения 19.04.2014).

1¹ Уголовный Кодекс Российской Федерации от 13.06.1996 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

11Кодекс об административных правонарушениях Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Персональные данные. Общая характеристика [Электронный ресурс]. URL: http://ipdn.ru (дата обращения 24.10.2012)

2² Трудовой Кодекс Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Альбрехт Б.В. Персональные данные // Секретарское дело. 2011. №4. С.14.

2² Андреева В.И. Организация кадрового делопроизводства // Справочник секретаря и офис-менеджера. 2011. №5. С. 30-31.

1¹ Андреева В.И. Указ. соч. С. 27-29.

22 Федеральный закон от 25.07.2011 «О персональных данных». [Электронный ресурс]. URL: http://rg.ru (дата обращения 30.11.2012).

1¹ Федеральный закон от 25.07.2011 «О персональных данных». [Электронный ресурс]. URL: http://rg.ru (дата обращения 19.04.2014).

1¹ Трудовой Кодекс Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Романов М.Н. Нормативное регулирование персональных данных // Кадровая служба и управление персоналом предприятия. 2011. №7. С.12-14.

1¹ Васильев Д.С. Особенности работы с персональными данными // Справочник кадровика. 2011. №2. С. 17.

1¹ Андреева В.И. Организация кадрового делопроизводства // Справочник секретаря и офис-менеджера. 2011. №5. С. 31.

2² Организация работы с персональными данными [Электронный ресурс]. URL: http:// hrm.ru (дата обращения 12.12.2012).

1¹ Федеральный закон от 25.07.2011 «О персональных данных». [Электронный ресурс]. URL: http://rg.ru (дата обращения 19.04.2014).

2² Романов М.Н. Нормативное регулирование персональных данных // Кадровая служба и управление персоналом предприятия. 2011. №7. С.11-12.

1¹ Трудовой Кодекс Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Гражданский Кодекс Российской Федерации [Электронный ресурс]. URL: http://consultant.ru (дата обращения 23.12.2012).

2² Трудовой Кодекс Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Кодекс об административных правонарушениях Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Трудовой Кодекс Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Хранение и использование персональных данных [Электронный ресурс]. URL: http://referent.ru (дата обращения 11.12.2012).

2² Трудовой Кодекс Российской Федерации от 30.12.2001 [Электронный ресурс]. Востребованные законы. URL: http://consultant.ru> (дата обращения 16.10.2012).

1¹ Борисов М.А. Особенности защиты персональных данных. М.: Управление персоналом. 2012. С.115.

1¹ Басаков М.И. Обработка персональных данных // Делопроизводство в учреждениях, организациях и на предприятиях. 2011. №9. С.12-17.

2² Кузнецова Т.В., Санкина Л.В, Быкова Т.А. и др. Под. ред. Т.В. Кузнецовой. Делопроизводство. [Электронный ресурс]. URL: http://iai.rsuh.ru (дата обращения 15.11.2012).

3³ Петров М.И. Комментарий к Федеральному закону от 13.07.2011 // Кадровик. 2011. №7. С.11.

1¹ Политика в отношении обработки персональных данных [Электронный ресурс]. URL: http://rostatus.ru (дата обращения 30.11.2012).

1¹ Что такое персональные данные. Нормативное регулирование. [Электронный ресурс]. URL: http:// ispdn.ru (дата обращения 24.10.2013)

2² Хранение и использование персональных данных [Электронный ресурс]. URL: http://referent.ru (дата обращения 24.12.2013).

1¹ Скрипник А. Обработка персональных данных // Кадровые решения: профессиональный журнал кадровика. 2011. №6. С. 16-20.

1¹ Романов М.Н. Нормативное регулирование персональных данных // Кадровая служба и управление персоналом предприятия. 2011. №7. С.12.

1¹ Организация работы с персональными данными [Электронный ресурс]. URL: http:// hrm.ru (дата обращения 12.12.2013).