XI Международная студенческая научная конференция Студенческий научный форум - 2019
Теоретические основы специфики работы с персональными данными в образовательных учреждениях РФ
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Актуальность темы обусловлена тем, что документационное обеспечение деятельности отдела кадров - важная часть управленческой деятельности учреждения любой организации, так как кадровая документация является основанием для начисления пенсии, учета трудового стажа и размера заработной платы и др.
Как и любое другое направление деятельности, работа кадровой службы обязательно документируется. Кроме того, на каждом предприятии разрабатываются локальные нормативные акты, регламентирующие работу кадровой службы данной организации.
Глава 1. Теоретические основы специфики работы с персональными данными в образовательных учреждениях РФ
Основные понятия специфики работы с персональными данными в образовательных учреждениях РФ
Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных.
Данный закон был принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Одним из главных требований Конвенции и 152-ФЗ является взятие с субъекта персональных данных согласия на обработку персональных данных.
Федеральный закон 149 «Об информации, информационных технологиях и о защите информации» раскрывает понятие информации следующим образом:
Информация - сведения (любые сведения: сообщения, данные) независимо от их формы и представления.
Информация подразделяется на два вида: это защищаемая информация и незащищаемая. Нас интересует защищаемые, персональные данные, и три основные свойства, которые мы обязаны соблюдать при обработке ПДн в Школе: конфиденциальность, целостность и доступность.
Защищаемая информация —является предметом собственности и подлежит защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Конфиденциальность - это значит, что, получая доступ к ПДн, мы не имеем права раскрывать эти данные третьим лица и распространять эти ПДн без письменного согласия лица, если иное не предусмотрено федеральным законом. Если же есть такая норма, то мы уверено можем эти данные передать, или же сделать общедоступными. Например, передать данный о педагоге или же ребенке если их затребовали судебные органы. Или же другой пример у нас есть норма, которая обязует опубликовывать на сайте сведения о педагогах (есть определённый перечень, который включает образование, категорию, стаж и опыт работы и т.д.) но этот перечень не обязует нас опубликовывать фотографию педагога, и, соответственно, не имея письменного согласия от него, мы не имеем никакого права этого сделать. То есть мы гарантируем конфиденциальность.
Целостность –избежание несанкционированной модификации информации. Если говорить о сайте или электронном журнале, то мы должны обеспечить безопасность и исключить неправомерное изменение информации, которая там содержится.
Доступность – то есть к ПДн должен иметь доступ только тот круг лиц, к которому эти данные относятся. Например, к электронному журналу должен иметь доступ только педагогический состав, понятно, что завхоз не может просто взять и получить доступ к электронному журналу, если взять документацию, которая хранится в бумажном виде, например, в отделе кадров, значит мы должны обеспечить доступ к этой информации исключительно работникам этого отдела, а не всему коллективу. Тоже самое с бухгалтерией. Доступ, например, к заработной плате, должен иметь только бухгалтер, ну и т.д.
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информация ограниченного доступа. Доступ к такой информации может быть ограничен только Федеральным законом.
Таким образом, 152 ФЗ о Персональных данных относит ПДн к информации ограниченного доступа. В целом такой информации очень много, около 50 видов, и вот персональные данных входят в перечень информации ограниченного доступа.
В учреждениях обрабатываются такие категории персональных данных как: сотрудники образовательной организации, ученики, соискатели работы, студенты-практиканты, бывшие сотрудники ОО.
Но перед обработкой персональных данных у нас должно быть законное основание, согласия на обработку этих персональных данных.
Первая категория, сотрудники образовательной организации. Это педагогический состав, административный и хозяйственный. Для обработки персональных данных этой категории у нас должна быть форма согласия для сотрудников образовательной организации.
Следующая категория, ученики, безусловно, школа обрабатывает ПДн учеников, электронной журнал, дневник и т.д. А значит, что для законной обработки этих данных мы должны иметь письменное согласие от их законных представителей (родителей или опекунов). Вот и возникает вторая форма согласия – форма согласия на обработку персональных данных обучающихся ОО.
Если в школе освобождается какая-либо долность, то открывается вакансия. Кандидатом на место заполняется анкета на вакансию. Естественно, мы получаем какие-то его персональные данные и начинаем их обработку, но, чтобы обезопасить себя, мы должны иметь согласие на обработку персональных данных.
Следующая категория — это студенты практиканты. Когда к нам в организацию на практику приходят студенты, мы же где-то регистрируем этот факт, берем какие-то их данные, оформляем документы, а значит начинаем обработку ПДн. И следующая форма согласия, которую мы должны иметь это форма согласия на обработку ПДн для этой категории лиц.
Ну и последняя категория, бывшие сотрудники ОО. Если мы хотим пригласить бывшего сотрудника, ветерана труда, на праздничный концерт, мы что делаем? Мы идем находим ее данные адрес, телефон (а значит эти данные где-то у нас записаны в бумажном, а может и в электронном виде, мы же не храним всю информацию хранить в голове) а если она у нас где-то хранится значит мы обрабатываем эти ПДн, а это значит мы должны предусмотреть ещё одну форму согласия на обработку персональных данных для бывших сотрудников ОО.
1.2. Законодательная база специфики работы с персональными данными в образовательных учреждениях РФ
Если отвечать на вопрос, что такое персональные донные, то Федеральный закон «О персональных данных» раскрывает это понятие следующим образом: Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
По мнению рабочей группы Роскомнадзора, можно считать персональными данными, совокупность данных необходимой и достаточной для идентификации лица.
Защита персональных данных работника является неотъемлемой составляющей права на уважение частной жизни человека, которое может быть ограничено только в предусмотренных пределах и при определенных условиях.
Защита персональных данных представляет собой комплекс мер технического, организационного, организационно-технического и правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу – субъекту персональных данных (работнику).
Положения о защите персональных данных работников регламентируются:
1. Конституцией Российской Федерации;
2. Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
3. Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ);
4. Трудовым кодексом РФ (далее – ТК РФ).
Кроме того, в целях обеспечения защиты персональных данных работников в соответствии с этими федеральными законами приняты подзаконные нормативные правовые акты (постановления Правительства РФ, ведомственные нормативные правовые акты).
В соответствии со ст. 3 Закона № 152-ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных): фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, социальное, имущественное положение; образование, профессия, доходы и другая информация.
Согласно ст. 2 Закона № 152-ФЗ его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в т. ч. защита прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональные данные относятся к категории конфиденциальной информации, которые указаны в Перечне сведений конфиденциального характера, утвержденном указом Президента РФ от 06.03.1997 № 188. Следовательно, работодатель, получающий доступ к персональным данным, должен обеспечить их конфиденциальность.
Закон № 152-ФЗ определяет требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в т. ч. в сфере трудовых правоотношений.
Требования закона распространяются на все организации (независимо от формы собственности), в т. ч. на ОУ, которые выступают операторами, обрабатывающими в своих информационных системах персональные данные физических лиц (работников, обучающихся и др.).
Вопрос правовой регламентации обеспечения защиты персональных данных работников в настоящее время особенно актуален, поскольку информационные системы персональных данных работников ОУ, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями Закона № 152-ФЗ не позднее 1 января 2011 г. – они должны представлять собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием или без использования средств автоматизации.
В соответствии с ч. 1 ст. 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Постановлением Правительства РФ от 17.11.2007 № 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в т. ч. с использованием средств автоматизации. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах.
В соответствии с ч. 3 ст. 4 Закона № 152-ФЗ постановлением Правительства РФ от 15.09.2008 № 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Данное Положение предусматривает, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований этого Положения.
Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 05.02.2010 № 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных, которое подробно регламентирует вопросы, связанные с порядком применения методов и способов защиты информации в информационных системах персональных данных оператором или уполномоченным им лицом.
В соответствии с ч. 1 ст. 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 указанной статьи.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязькомнадзор) выступает таким уполномоченным органом, который приказом от 17.07.2008 № 08 утвердил образец Уведомления об обработке (о намерении осуществлять обработку) персональных данных и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.
Частью 2 ст. 22 Закона № 152-ФЗ установлено, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. Следовательно, образовательные учреждения не должны уведомлять этот уполномоченный орган об обработке ими персональных данных работников, состоящих в трудовых отношениях с учреждениями.
1.3. Нормативно-методическое обеспечение специфики работы с персональными данными в образовательных учреждениях РФ
Первый в мире специальный закон о защите персональных данных был
принят в 1970 г. в Германии. До этого ни в одной стране ничего подобного не случалось. Он устанавливал реальные способы правового регулирования
оборота персональных данных4.
На международном уровне для регулирования сферы персональных
данных активно применяется система различных нормативных правовых актов.
Среди основных можно назвать Всеобщую декларацию прав человека1, принятую ООН 10 декабря 1948 г., Международный пакт о гражданских и политических правах2 (16 декабря 1996 г.), в которых закреплено право на уважение частной и семейной жизни, признаны незаконными какие бы то ни было посягательства на честь и достоинства человека.
Еще одним международным документом, регулирующим сферу персональных данных, можно назвать «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных4». Ее отдельные положения определяют порядок получения, обработки и хранения персональных данных. Существенная особенность данной конвенции – запрет на обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Россия ратифицировала данную конвенцию в декабре 2005 года и в связи с этим обязана была принять адекватное национальное законодательство.
В последнее время развиваются средства для эффективного и быстрого создания, хранения, использования, преобразования и обмена информацией. Информация рассматривается как самостоятельный предмет правоотношений и получает свою стоимостную оценку (как, например, персональные данные или коммерческая тайна). Это потребовало принятия различных мер, в т. ч. и нормативных, по обеспечению безопасности информации.
Исходя из положений действующего российского законодательства, персональные данные представляют собой информацию личного характера, и поэтому изучение правовых основ организации защиты и обработкиперсональных данных является одним из приоритетных направлений.
Список правовых актов, регулирующий область защиты персональных данных работников, достаточно обширен.
Правовой фундамент обработки персональных данных граждан заложен в ст.ст. 23 и 24 Конституции РФ, согласно которым каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени; сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Вопросы обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных нашли детальное регулирование в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Он является основным законом в области обеспечения безопасности персональных данных, им должны руководствоваться операторы персональных данных при осуществлении своей деятельности, в нем регламентирован ряд принципов и условий, необходимых для обеспечения должного уровня безопасности персональных данных. Также в нем указаны права субъектов персональных данных и ответственность за нарушение порядка обработки персональных данных.
В ТК РФ защите персональных данных посвящена 14 глава, в которой рассматривается следующие вопросы:
− общие требования при обработке персональных данных работника и гарантии их защиты (ст. 86);
− хранение и использование персональных данных работников (ст. 87);
− передача персональных данных работника (ст. 88);
− права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя (ст. 89);
− ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника (ст. 90).
Системно-сравнительный анализ этой главы, позволяет выявить ее некоторую обособленность в системе трудового права, что дает основание рассматривать ее как самостоятельный институт трудового права. И хотя, он тесно связан с трудовым договором, в то же время, он выходит за его рамки и приобретает общеотраслевое значение.
За нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ответственность определена ст. 13.11 Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (далее – КоАП РФ)1.
В Постановлении Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»2 определены особенности обработки персональных данных, осуществляемой без использования средств автоматизации. При этом, любые действия с ними и в отношении каждого из лиц производятся при непосредственном участии человека, субъекта персональных данных. Предусмотрено, что в этом случае данные должны отделяться от другой информации (путем их фиксации на отдельных материальных носителях или в специальных разделах). При использовании типовых форм документов, в которые может быть включена информация о лице, необходимо соблюдать определенные условия. Так, если нужно письменное согласие гражданина на работу с его данными, типовая форма должна иметь поле, в котором он может поставить отметку о своем согласии на обработку его сведений без применения автоматизации.
Еще одним важным подзаконным актом является Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защитеперсональных данных при их обработке в информационных системах персональных данных1». Оно разъясняет, как именно любой оператор, владеющий персональными данными (к таким операторам относятся и работодатели), должен защищать их. Ни закон о персональных данных, ни ТК РФ этого не устанавливали, а лишь обязывали обеспечить защиту. В постановлении требуется, чтобы работодатели приняли для защиты персональных данных своих работников определенные организационно-технические меры. Выбор меры зависит от уровня вреда, который может быть нанесен работникам из-за незаконного распространения их персональных данных, а также от того, какой уровень защиты требуется.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Andreeva S., Velikanova S., Kozhushkova N., Samarokova I., Arakcheeva Z., Chernykh O.Therisk-basedthinkinginmanagingdocumentsasassets // InternationalJournalofEconomicPerspectives. 2017. Т. 11. № 2. С. 33.
Анохина С.А., Кожушкова Н.В.Кодификация норм оформления перечней в деловом тексте // Вестник Новосибирского государственного университета. Серия: История, филология. 2014. Т. 13. № 9. С. 110-117.
Анохина С.А., Кожушкова Н.В.Производственная практика по документоведению: методические рекомендации для студентов очного и заочного отделений, обучающихся по специальности 032001.65 (350800) «Документоведение и документационное обеспечение управления» / Магнитогорск: МаГУ, 2010. – 35 с.
Великанова С.С., Аракчеева З.В., Кожушкова Н.В.Документационное обеспечение процесса обучения персонала // Современные проблемы науки и образования. 2017. № 2. С. 207.
Великанова С.С., Самарокова И.В., Кожушкова Н.В., Аракчеева З.В.Кадровое делопроизводство: учебное пособие / Москва, 2017.
Кожушкова Н.В. Структура документа.Системы документации.Унифицированная система организационно-распорядительной документации: общие требования к составлению и оформлению. Электронное издание /. Магнитогорск, 2016.
Кожушкова Н.В., Коробков Ю.Д. Комплексный анализ организационно-распорядительного документа: формирование профессиональных компетенций документоведа// Документ.Архив. Современность: материалы IV Международной научно-практической конференции, посвященной 20-летию подготовки документоведов в Уральском федеральном университете. Министерство образования и науки Российской Федерации, Уральский федеральный университет им. первого Президента России Б.Н. Ельцина. 2012. С. 382-386.