Правовая защита персональных данных работника

В случае установления фактов невыполнения любым из руководителей или работников требований по защите информации к ним в обязательном порядке должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Важно, чтобы наказание было неотвратимым и своевременным, не взирая на должностной уровень работника и его взаимоотношения с руководством фирмы.

Одновременно  с виновным лицом ответственность за разглашение сведений, составляющих секреты фирмы, несут руководители фирмы и ее структурных подразделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

Информационная  база для контроля работы персонала, владеющего конфиденциальной информацией, формируется на основе анализа степени осведомленности работников в секретах фирмы. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персоналом конфиденциальной информации.

Объектами комплексного аналитического исследования являются: выявление, классификация и постоянное изучение источников и объективных каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный контроль безопасности ценной информации.

Одновременно  подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно главному руководителю.

В целях  превентивного контроля рекомендуются  следующие учетные и аналитические  действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией:

• анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям фирмы;
• анализ степени владения конфиденциальной информацией руководством фирмы, руководителями структурных подразделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы;
• анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов);
• анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника.

Своевременный учет состава конфиденциальной информации, известной каждому из работников фирмы, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого работника фирмы с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету выявленное несанкционированное ознакомление с информацией, к которой работник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией работника, вообще не имеющего допуска для работы с конфиденциальной информацией.

Для учета  и последующего анализа степени  осведомленности работников о секретах фирмы ведется специальная учетная форма.

Традиционная (карточная) или электронная учетная форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, и который должен соответствовать выполняемым видам работы. Целесообразно включить в учетную форму следующие зоны:

• зона штатных функциональных обязанностей работника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции);
• зона изменений и дополнений, внесенных в функциональные обязанности работника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ;
• зона стандартного состава конфиденциальные сведений или их индексов, по перечню конфиденциальной информации фирмы, к которым допущен работник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);
• зона изменений и дополнений в составе конфиденциальных сведений, к которым допускается работник в связи с пересмотром его должностных обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы);
• зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами;
• зона недокументированной конфиденциальной информации, которая стала известна работнику, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений или их индексов по перечню;
• зона обнаруженного несанкционированного ознакомления работника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного работника, места ознакомления, состава конфиденциальных сведений или их индексов по перечню.

Анализ  осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия.

По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование.

Служебное расследование проводит специальная  комиссия, формируемая приказом первого  руководителя фирмы. Расследование  предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба. По результатам расследования даются рекомендации по устранению причин случившегося.

План  проведения служебного расследования:

• определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.);
• определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);
• назначение ответственных лиц за проведение каждого мероприятия;
• указание сроков проведения каждого мероприятия;
• определение порядка документирования;
• обобщение и анализ выполненных  действий по всем мероприятиям;
• установление причин утраты информации, виновных лиц, вида и объема ущерба;
• передача материалов служебного расследования с заключительными выводами первому руководителю фирмы для принятия решения.

При проведении служебного расследования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

• письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;
• акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и Дата;
• другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.).

Служебное расследование проводится в кратчайшие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего.¹

 

Глава II

Ответственность за нарушение правил работы с персональными  данными.

 

Статья 90 ТК РФ предусматривает ответственность  за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может  нести дисциплинарную, административную, гражданско-правовую и уголовную  ответственность.

 

Уголовная ответственность

 

Самая строгая, конечно, уголовная. Статья 137 УК РФ предусматривает  наказание за незаконное собирание  или распространение сведений о  частной жизни лица, составляющих его личную и семейную тайну. Уголовная  ответственность грозит в том  случае, если эти действия совершены  намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан. Причем наказание  ужесточается, если виновный использовал  свое служебное положение.

 

Личную  или семейную тайну составляют сведения, не подлежащие, по мнению лица, которого они касаются, оглашению. Личную и  семейную тайну не могут составлять сведения, которые были ранее опубликованы либо оглашены иным способом.

Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

а) незаконном собирании сведений о частной  жизни;

б) незаконном их распространении;

в) незаконном их распространении в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

 Закон  не связывает ответственность  за незаконное распространение  сведений о частной жизни лица  с конкретным способом распространения.  Под распространением имеется  в виду любая незаконная передача  указанных сведений третьим лицам.  Незаконным распространением является  разглашение личной или семейной  тайны лицом, обязанным ее хранить  в силу своей профессии. В  некоторых случаях разглашение  сведений о частной жизни по  УК образует одновременно состав другого преступления например, разглашение тайны усыновления (ст. 155), В таких случаях содеянное квалифицируется по совокупности со ст. 137 УК.

Обязательным  элементом объективной стороны  преступления, предусмотренного ст. 137 УК, является причинение вреда правам и законным интересам граждан. Характер вреда закон не ограничивает. Он может быть:

а) материальным (имущественным), например потеря хорошо оплачиваемой работы, срыв выгодной сделки, иные убытки в предпринимательской  деятельности;

б) физическим (телесным), например заболевание от пережитого;

в) моральным, например распад семьи, подрыв репутации.

Установление  наличия вреда правам и законным интересам потерпевшего производится в каждом конкретном случае с учетом индивидуальных особенностей личности и ситуации.

Нарушение неприкосновенности частной жизни  считается оконченным преступлением  только с момента причинения соответствующего вреда (материальный состав).

Субъективная  сторона данного преступления характеризуется  прямым умыслом. Обязательным элементом  субъективной стороны является мотив: корыстная или иная личная заинтересованность. Корыстная заинтересованность выражается в стремлении приобрести материальную (имущественную) выгоду за счет потерпевшего или в виде вознаграждения от третьей  стороны. Иная личная заинтересованность может заключаться в стремлении дискредитировать конкурента, сделать  карьеру, отомстить за что-либо, продемонстрировать свое превосходство либо привлечь внимание к себе.

Ответственность по ч. 1 ст. 137 УК несет любое физическое вменяемое лицо, достигшее 16 лет (общий  субъект), а по ч. 2 ст. 137 УК - должностное  лицо либо служащий государственного или муниципального учреждения, использующий для совершения преступления свое служебное  положение (специальный субъект).¹

А если кадровик или руководитель допустили ситуацию, когда информация о работнике  стала известна другим, ненамеренно? Или даже существует пока только угроза "утечки" такой информации? Тогда  используются меры административной и дисциплинарной ответственности, которые применяются к должностным лицам предприятия.

 

 

 

Административная ответственность

 

Административные  штрафы. Нарушение правил работы с  персональными данными может  повлечь административную ответственность  работодателя или его представителей. Кодекс РФ об административных правонарушениях  содержит на этот счет две статьи.

Статья 13.11 предусматривает ответственность  в виде предупреждения или наложения  штрафа на работодателя в размере  от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования  или распространения информации о гражданах (персональных данных). Этот порядок установлен главой 14 Трудового  кодекса РФ и локальными нормативными актами предприятия.

Объективная сторона данного правонарушения состоит в действии или бездействии, нарушающем установленный законом  порядок сбора, хранения, использования  или распространения информации о гражданах (персональных данных). Вина в совершении данного правонарушения может быть как умышленной, так  и неосторожной.¹