– персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
– оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
– обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
– распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
– использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
– информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Федеральным законом "О персональных данных" регулируются отношения, связанные с их обработкой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Права граждан в области информации защищены Федеральными законами: ст. 81 ТК РФ, 237 УК РФ, 495, 498, 726, 732, 774, 804, 840, 853, 1031, 1032 и другими ГК РФ, регламентирующими вопросы предоставления различной информации покупателю о товаре. Кроме вопросов предоставления информации, ГК РФ регулирует отношения, связанные с конфиденциальностью информации, отношения по поводу возмещения вреда, причиненного вследствие недостоверной или недостаточной информации о товаре (работе, услуге) в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях и возмещением убытков, вызванных разглашением служебной или коммерческой тайны.
Федеральным законом от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации", как выше уже говорилось, к основным обязанностям гражданского служащего отнесено требование не разглашать сведения, составляющие государственную или иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство (ст. 15).
Квалификационный справочник должностей руководителей, специалистов и других служащих (КСДС), разработанный Институтом труда и утвержденный постановлением Минтруда РФ от 21 августа 1998 г. № 37 (действующий с дополнениями и изменениями в ред. от 14.03.2011), предусматривает, во-первых, что этот нормативный акт предназначен для решения вопросов, связанных с регулированием трудовых отношений, обеспечением эффективной системы управления персоналом организаций независимо от форм собственности и организационно-правовых форм деятельности. Во-вторых, предусмотрена регламентация трудовых функций специалистов, непосредственно связанных с использованием персональных данных работников или выполнением работ на их основе. К таким должностям относятся: заместитель директора по управлению персоналом, начальник отдела кадров, менеджер по персоналу, главный специалист по защите информации и др. Данные положения имеют значение для рассматриваемого вопроса, поскольку права и обязанности по сохранению конфиденциальной информации могут входить в содержание трудовой функции.
Обработка персональных данных должна осуществляться на основе принципов:
– законности целей и способов обработки персональных данных и добросовестности;
– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– недопустимости объединения созданных для несовместимых между собой баз данных информации.
2.3. Ответственность сторон трудового договора за невыполнение обязанностей по сохранению (неразглашению) конфиденциальной информации
В современном обществе информация является одним из наиболее значимых элементов бизнеса, да и любой продуктивной деятельности. Информация зачастую является не только источником сведений о фирме или проекте, но и товаром, который продают и покупают. Потеря даже части такой информации ведет к большим неприятностям, вплоть до потери бизнеса или банкротства фирмы, а если речь идет о государственной тайне, то еще более серьезным – драматическим или трагическим последствиям. Поэтому информационной безопасности уделяется столь значительное внимание законодателя.
Известно, что обеспечить исполнение правовой нормы можно посредством использования позитивных и негативных способов. К позитивным относится поощрение, стимулирование, к негативным – юридическая ответственность.
Мы остановимся на таком способе обеспечения выполнения обязанностей по сохранению (неразглашению) конфиденциальной информации, как ответственность сторон трудового договора, исходя из следующего соображения. Если какие-то виды конфиденциальной информации как одно из условий трудового договора могут устанавливаться не только централизованно, но и на уровне организации, то ответственность за невыполнение этого условия установлена законом, причем федеральным, что является действенным средством сохранения конфиденциальной информации.
Однако прежде надо определить, что является основанием ответственности в рассматриваемых правоотношениях.
Согласно устоявшемуся в общей теории права учению о юридической ответственности ее основанием является (действительное или предполагаемое) правонарушение. Ответственность всегда конкретна: это ответственность определенного лица за доказуемое нарушение точно обозначенной нормы права при обстоятельствах, заранее предусмотренных законом или другими нормативными актами.