Особенности правового регулирования защиты персональных данных работников в РФ - Дипломная работа

В настоящей работе на основании действующего законодательства в области защиты персональных данных как в национальном праве, так и на международном уровне, научных трудов ведущих российских школ трудового права, правоприменительной и судебной практики было проведено исследование особенностей регулирования защиты персональных данных работников. В частности, были изучены основные положения законодательства по исследуемой теме, рассмотрены особенности обработки персональных данных при приеме на работу, в процессе трудовой деятельности, после увольнения работников, проанализированы меры уголовной, административной, гражданско-правовой, материальной и дисциплинарной ответственности за нарушение установленных требований обработки персональных данных работников с учетом позиций судов РФ при рассмотрении соответствующих дел. В ходе исследования были выявлены практические и теоретические проблемы, некоторые пробелы и коллизии действующих норм права, предложены варианты их решения: 1. В Главе 1 предлагается по аналогии с Кодексом практики МОТ и Рекомендациями СЕ, а также для повышения уровня защищенности прав не только действующих работников, но и лиц, поступающих на работу, а также тех, с кем трудовой договор уже расторгнут, расширить круг лиц, попадающих под действие главы 14 ТК РФ путем ее переименования с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях». В качестве обоснования внесенного предложения указывается несоответствие установленных целей обработки персональных данных работников, в частности, содействия работникам в трудоустройстве, как непосредственно связанных с трудовыми отношениями, с действующим заголовком, сужающим круг лиц до работников.

В современном динамично развивающемся обществе технологии совершенствуются каждый день, сменяя одна другую. Новшества коснулись всех областей жизни человека, в том числе и трудовых отношений. В распоряжении работодателя появились такие инструменты, как видеонаблюдение рабочего процесса, контроль служебных звонков, деловой переписки работников, мониторинг посещения интернет-страниц. Некоторые компании стараются максимально автоматизировать кадровые процессы, так, появились электронные базы личных дел работников и специализированные программы для работы с кадрами.

Все эти изменения сопровождаются обработкой большого количества информации о работниках. Причем как на бумажных носителях, так и в форме электронного документа.

Несомненно, глобальные перемены находят свое отражение в новеллах законодательства. В частности, появились такие понятия, как информационное право, защита информации и персональные данные. Важность нововведений, прежде всего, обусловлена необходимостью защиты прав владельца информации, к которым относится неприкосновенность частной жизни, тайна личной переписки и телефонных переговоров, запрет на обработку сведений без согласия субъекта.

Кроме того, регулирование защиты личной информации или, иными словами, персональных данных в процессе трудовых отношений связано с тем, что работодатели должны иметь возможность получать и хранить необходимые сведения о своих работниках, а работники быть уверены в защищенности предоставляемой информации.

Таким образом, регулирование процессов обработки персональных данных работников, на наш взгляд, является не просто необходимым аспектом для обеспечения деятельности работодателя, но и гарантом защиты конституционных прав каждого лица, поступившего на работу. Причем выявление проблемных моментов в этой отрасли права способствует повышению уровня защищенности как личных интересов работника, так и функционирования компании, и, тем самым предотвращая возможных негативных последствий со стороны проверяющих органов. Следовательно, можно сделать вывод, что исследование защиты персональных данных работников является актуальным и с правовой точки зрения, и с управленческой позиции в том числе.

Цель настоящего исследования: Подробно рассмотреть особенности правового регулирования защиты персональных данных работников, принимая во внимание научные доводы и факты, действующее законодательство, судебную и правоприменительную практику, выявить возможные пробелы, коллизии, практические проблемы и внести предложения по их устранению.

Для достижения поставленных целей были сформулированы следующие задачи: · рассмотреть основные положения законодательства в области защиты персональных данных работников, как в национальном праве, так и на международном уровне;

· изучить особенности защиты персональных данных в процессе трудовых и иных, связанных с ними отношений;

· проанализировать виды ответственности и меры наказания за нарушения законодательства в области защиты персональных данных работников с учетом рассмотрения дел о защите персональных данных работников судами РФ.

1. Основные положения законодательства в области защиты персональных данных работников

Идея защиты персональных данных эволюционировала из права человека на защиту от произвольного вмешательства в его личную и семейную жизнь, тайну его корреспонденции, честь и репутацию, провозглашенного Всеобщей декларацией прав человека Генеральной Ассамблеей Организации Объединенных Наций в 1948 году, а потом не раз отраженного в других международных актах, таких как Конвенция Совета Европы о защите прав человека и основных свобод 1950 г. и Международный пакт о гражданских и политических правах 1966 г.

Впервые определение самих персональных данных, а также право на их защиту, было сформулировано в национальном законодательстве Германии в 1970 году (Земля Гессен, закон «О защите персональных данных»), после чего появилось и в других странах - Швеции (1973 г.), Франции (1978 г.).

Вскоре после этого начинают разрабатываться документы, регулирующие защиту персональных данных на международном уровне. Так, 28 января 1981 г. Совет Европы принимает Конвенцию «О защите физических лиц при автоматизированной обработке персональных данных», после чего Европейский Союз выпускает целую серию Директив на тему трансграничной передачи персональных данных, а также защиты их конфиденциальности в секторе электронных средств связи. 23 сентября 1980 г. Организацией по экономическому сотрудничеству и развитию утверждаются Рекомендации, касающиеся основных положений о защите неприкосновенности частной жизни и международных обменов персональными данными. А 16 октября 1999 г. на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств - участников СНГ опубликовывается Модельный закон «О персональных данных».

По вопросу защиты персональных данных работников в настоящее время действуют следующие международные акты: Рекомендация Совета министров СЕ NOR(89)2 1989 г. и Кодекс практики МОТ 1997 г.

1.1 Основные понятия в области защиты персональных данных работников

В России защита персональных данных регламентируется большим количеством законодательных актов, главным среди которых является Конституция РФ, провозглашающая неприкосновенность частной жизни и запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Конституционный Суд РФ (далее - КС РФ) разъясняет, что в понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит не противоправный характер; а право на неприкосновенность частной жизни означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. И хотя понятие «персональные данные» не тождественно определению «частная жизнь», нельзя не согласиться с утверждением авторов-исследователей о сложности отрицания наличия тесной связи между ними и мнением А.М. Лушникова, что право на защиту персональных данных является производным от права человека на невмешательство в частную жизнь.

По поводу использования информации без разрешения ее владельца КС РФ также дает разъяснение: "лишь само лицо вправе определить, какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне, а потому сбор, хранение, использование и распространение такой информации, не доверенной никому, не допускается без согласия данного лица, как того требует Конституция РФ".

Таким образом, несмотря на то, что Конституция РФ не содержит понятия персональных данных, она устанавливает основные принципы их обработки.

Одним из первых законодательных актов РФ, выделивших персональные данные в особую категорию информации, охраняющуюся законом, стал Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведении конфиденциального характера», на основании которого персональные данные были определены как сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, однако исключали сведения, подлежащие распространению в средствах массовой информации в случаях, установленных федеральными законами.

В 2001 году, после ратификации Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» Совета Европы (далее - Конвенция СЕ), в РФ появляется Федеральный Закон от 27.07.2006 №152 «О персональный данных» (далее - ФЗ №152, 152-ФЗ, Закон о персональных данных, рассматриваемый Закон), разработанный также с учетом Модельного закона «О персональных данных» СНГ. Целью нового закона стало обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В трудовых отношениях защита персональных данных регулируется главой 14 Трудового кодекса РФ (далее - ТК РФ, Трудовой кодекс).

Появление 14 главы послужило поводом возникновения вопросов у ученых-юристов, например, как пишет А.Я. Петров: “неясно: почему эта глава названа «Защита персональных данных работника»? Ведь из шести ее статей только три посвящены (и то в относительной мере) защите персональных данных работника“, и далее: “в принципиальном смысле содержание главы 14 ТК РФ в большей мере относится к обработке персональных данных работника. Следовательно, название главы, очевидно, должно предусматривать прежде всего не защиту персональных данных работника, а их обработку”. Попытка переименовать главу 14 была предпринята в начале 2013 года. Вот что отмечает А.М. Лушников, анализируя изменения ТК РФ, внесенные Федеральным законом РФ от 7 мая 2013 г. N 99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных"" (далее - ФЗ № 99): “Однако не прошло предполагаемое в проекте изменение наименования главы 14 «Защита персональных данных работника» на «Обработка персональных данных в рамках трудовых отношений». Это была не игра слов, а важное и назревшее сущностное изменение. Трудовые отношения, на наш взгляд, в данном случае должны трактоваться не столько по букве статьи 15 ТК РФ, но в духе части 2 статьи 1 ТК РФ. Следовательно, они должны укладываться в рамки не только собственно трудового отношения, но и иных, непосредственно связанных с ними отношений”.

Действительно, обработка персональных данных в трудовых отношениях начинается гораздо раньше заключения трудового договора или фактического допуска к работе - еще в период трудоустройства на собеседовании соискатели предлагают работодателям свою личную информацию в виде резюме или заполненных анкет; и не заканчивается сразу после расторжения трудового договора, так, в соответствии с Приказом Минкультуры России от 25.08.2010 N 558 (с изм. от 04.02.2015) "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" работодатели обязаны обеспечить хранение личных карточек работников в течение 75 лет. В связи с этим представляется необоснованным решение законодателя оставить название без изменений.

По нашему мнению переименование главы 14 с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях» расширит круг лиц, на которых распространяются соответствующие нормы. Например, повысится уровень защищенности прав не только действующих работников, но и лиц, поступающих на работу, так как в соответствии со статьей 1 ТК РФ к трудовым отношениям относится трудоустройство у данного работодателя.

Другой вопрос связан с включением 14 главы ТК РФ в раздел «Трудовой договор». Учитывая научно-обоснованную и признанную систему российского трудового права как отрасли, было бы логичнее закрепить рассматриваемую главу в разделе ХІІІ ТК РФ «Защита трудовых прав и свобод…», исходя из целей правового регулирования отношений, связанных с персональными данными работника.

Упомянутый ранее ФЗ № 99 внес в Трудовой кодекс существенные изменения. Так, утратила силу статья 85 ТК РФ, содержащая понятия персональных данных работника и их обработку, к тому же действующая редакция не содержит ни одного определения, касающегося вопроса обработки персональных данных. В связи с этим, а также учитывая, что в части регулирования трудовых отношений, связанных с персональными данными, нормы Закона «О персональных данных» считаются общими, а нормы главы 14 ТК РФ - специальными, рассмотрим основные понятия в Законе о персональных данных.

ФЗ №152 ввел определение персональных данных, как любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Новая дефиниция представляется довольно размытой, что также подчеркивает орган, уполномоченный в осуществлении надзора за соблюдением законодательства в области защиты персональных данных (далее - Роскомнадзор, Регулятор) в своем научно-практическом комментарии: «при буквальном толковании к понятию «персональные данные» можно отнести широкий круг информации. В частности, в нем нет указания на связь между прямой или косвенной определенностью или «определимостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких - нет».

В связи с этим на практике возникают вопросы. Например, означает ли такое широкое определение, что даже фамилия лица без его имени и отчества подлежит защите на основании Закона о персональных данных? Или все-таки Закон о персональных данных защищает только совокупность данных, позволяющих идентифицировать конкретное физическое лицо? Если обратиться к судебной практике, то помимо фамилии, имени и отчества к персональным данным также относятся: год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и т.д. Вместе с тем суд подчеркивает, что не каждый из этих элементов сам по себе подпадает под защиту ФЗ №152, а только если они в отдельности или в совокупности помогают идентифицировать конкретное лицо.

Что бы представить, что представляют собой персональные данные в трудовых отношениях, нужно обратиться к статье 65 ТК РФ, которая устанавливает перечень необходимых документов для заключения трудового договора. Помимо паспорта, трудовой книжки, страхового свидетельства обязательного пенсионного страхования, документов воинского учета и об образовании, законодателем предусмотрена возможность предъявления дополнительных документов на основании Трудового кодекса, иных нормативно-правовых актов. Например, иностранец, поступающий на работу, наряду с документами, предусмотренными статьей 65 ТК РФ, предъявляет работодателю разрешение на работу или патент, разрешение на временное проживание или вид на жительство (статья 327.3 ТК РФ).

Объем сведений, полученных работодателем от работника при приеме на работу, увеличивается в течение его трудовой деятельности. Например, в соответствии с постановлением Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты" в личную карточку работника вносятся следующие сведения: степень знания языка, стаж работы, информация о приеме, переводах на другую работу и отпусках. Кроме того, для выплаты заработной платы в кредитную организацию, если такая практика существует у работодателя, работником предоставляется необходимая информация для перевода.

ФЗ №152 выделяет несколько видов персональных данных, среди которых в рамках трудовых отношений наиболее интересны специальные категории персональных данных и биометрические персональные данные.

В соответствии со статьей 10 Закона о персональных данных обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается. Однако, в части второй рассматриваемой статьи приводится перечень исключений, среди которых обработка, осуществляемая в соответствии с трудовым законодательством РФ.

Согласно пункту 4 статьи 86 Трудового кодекса, работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами. Например, на основании статьи 179 ТК РФ во время сокращения численности или штата работников при равной производительности труда и квалификации предпочтение в оставлении на работе отдается семейным - при наличии двух или более иждивенцев - в этом случае предоставление информации о семейном положении в интересах самого работника. Также в качестве примера можно привести предоставление работником информации о своем здоровье при приеме на работу в организации, где обязательным условием найма является прохождение медицинского осмотра (статьи 69, 213 ТК РФ). Причем, обрабатывая информацию о состоянии здоровья будущего работника, работодателю необходимо учитывать, что он не может превышать тех сведений, которые относятся к вопросу о возможности выполнения трудовой функции. Кроме того, сведения о состоянии здоровья составляют врачебную тайну, разглашение которой не допускается. Обработка специальных категорий персональных данных в рассмотренных случаях будет считаться законной, и это далеко не весь перечень возможных ситуаций.

Статья 11 ФЗ №152 определяет биометрические персональные данные как сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Биометрические данные характеризуются особенной чувствительностью, так как они неразрывно связаны с носителем, поэтому законодатель устанавливает особое требование для их защиты. Если по общему правилу согласие на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, то для обработки биометрических данных используется императивная норма об обязательном письменном согласии субъекта.

На практике часто возникает вопрос о том, какую именно информацию можно отнести к биометрической. В связи с этим Роскомнадзор в августе 2013 года опубликовал на своем официальном сайте разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки, в которых поясняет, что к “биометрическим данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта”. Исследуя вопрос фотографии и видеосъемки в трудовых отношениях, Регулятор отмечает, что фотографическое изображение, используемое для обеспечения прохода на охраняемую территорию и установления личности гражданина, относится к биометрическим персональным данным. А вот фотографии, содержащееся в личном деле работника, и также его подпись или почерк, не могут рассматриваться как биометрические персональные данные, поскольку их использование направлено на подтверждение рассматриваемых сведений принадлежности к конкретному работнику, чья личность уже определена и чьи персональные данные уже имеются в распоряжении работодателя.

Однако, в выпущенном в 2015 году научно-правовом комментарии к ФЗ №152 Роскомнадзор меняет свою позицию на противоположную в части отнесения фото- и видеоизображений к биометрической информации изза того, что при визуальной оценке фотография или видеоизображение человека, который является близнецом или чье внешнее сходство с определяемым человеком очевидно, а также в случае осуществления пластических операций, не позволит произвести достоверную идентификацию субъекта.

Таким образом, можно сделать вывод, что обработкой по-настоящему биометрических персональных данных занимаются только те работодатели, которые в виду секретности своей деятельности организуют сложную проходную систему на территорию организации, включающую, например, сканирование сетчатки глаза или считывающую отпечаток пальца для определения личности конкретного работника. Кроме того, Федеральный закон от 25 июля 1998 г. N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" устанавливает довольно широкий перечень, работников, подлежащих обязательной дактилоскопической регистрации: военнослужащие, граждане РФ, проходящие службу в органах внутренних дел, органах государственной налоговой службы, органах по делам гражданской обороны, органах и подразделениях службы судебных приставов, таможенных органах, Государственной противопожарной службе и другие.

На наш взгляд отсутствие единообразного толкования термина биометрические данные, а соответственно, и понимания, какие данные о человеке могут считаться биометрическими, является актуальной проблемой, которую предстоит решить на законодательном уровне.

Помимо персональных данных, ФЗ №152 дает ряд определений в качестве инструментария для последующего регулирования. Применительно к трудовым отношениям можно сформулировать некоторые их них следующим образом: - оператором в трудовых отношениях выступает работодатель (юридическое или физическое лицо), который самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными;

- обработка персональных данных работников - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными работников, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Отдельно стоит сказать о видах обработки персональных данных - как уже было сказано, их два: автоматизированная обработка персональных данных и обработка персональных данных без использования средств автоматизации.

Определение автоматизированной обработки содержится в Законе о персональных данных, как обработки персональных данных с помощью средств вычислительной техники (статья 3 пункт 4 152-ФЗ).

Обработка без использования средств автоматизации регламентирована постановлением Правительства РФ от 15.09.2008 N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации” (далее - Постановление N 687). На основании указанного Постановления обработкой персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

По нашему мнению такое определение нельзя считать удачным в связи с тем, что большинство информационных систем персональных данных можно рассматривать как осуществляемые без использования средств автоматизации. Так, во многих компаниях электронные дела работников правятся в соответствующих окнах “вручную”, а для их удаления необходимо выделить их в списке и нажать специальную клавишу. Кроме того, настоящее определение неавтоматизированной обработки персональных данных вступает в противоречие с установленным в 152-ФЗ определением автоматизированной обработки. Исходя из принципа верховенства норм, можно сделать вывод, что в скором времени законодатель должен исправить такое несоответствие.

Таким образом, в ходе трудовых отношений работодатель ведет обработку персональных данных работников как с помощью средств вычислительной техники, например, ведя учет приказов по личному составу в электронной базе 1С; так и без нее, организуя хранение личных дел работников на бумажных носителях. В обоих случаях обработка попадает под действие ФЗ №152 и ведется по установленным им принципам.

1.2 Принципы и условия обработки персональных данных работников на территории РФ

Основные принципы обработки персональных данных перечислены в статье 5 ФЗ №152. Помимо общеправовых принципов законности и справедливости, на федеральном уровне закреплена необходимость целевого подхода к обработке персональных данных и недопустимость обработки, несовместимой с целями сбора персональных данных. Законодатель также отмечает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, а обрабатываемые персональные данные не могут быть избыточными.

Статья 86 ТК РФ содержит закрытый перечень целей обработки персональных данных работника: · обеспечение соблюдения законов и иных нормативных правовых актов;

· содействия работников в трудоустройстве;

· получение образования и продвижения по службе;

· обеспечение личной безопасности работников;

· контроль количества и качества выполняемой работы;

· обеспечение сохранности имущества.

Соответственно, обработка персональных данных, выходящая за рамки обозначенных целей, не допустима. Использование такого механизма в трудовых отношениях обеспечивает защиту персональных данных работника от произвольного сбора и обработки.

Пункт 3 статьи 5 Закона о персональных данных устанавливает запрет на объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Анализируя этот принцип, можно прийти к выводу, что работодатель обязан сортировать персональные данные работников и организовать хранение их таким образом, чтобы при обработке определенной категории доступ осуществлялся к персональным данным, соответствующим цели.

Следующим из закрепленных ФЗ №152 является принцип точности, достаточности и актуальности персональных данных по отношению к целям их обработки. Достаточными сведения можно считать, если их объем и содержание позволяют достигнуть целей обработки. Актуальность персональных данных означает, что в момент обработки персональных данных последние являются своевременными, достоверными и значимыми для достижения поставленной цели обработки персональных данных. Причем в пункте 6 статьи 5 ФЗ №152 прямо установлена обязанность оператора принимать необходимые меры по удалению или уточнению неполных или неточных данных.

Очевидно, что персональные данные работника в процессе трудовых отношений могут меняться, к примеру, работник может поменять фамилию или получить дополнительное образование. Согласно постановлению Минтруда РФ от 10.10.2003 N 69 "Об утверждении Инструкции по заполнению трудовых книжек" изменения записей в трудовых книжках о фамилии, имени, отчестве производятся на основании паспорта, свидетельств о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их номер и дату. Таким образом, работодателю необходимо своевременно узнавать об изменениях в полученных документах работника.

Однако, действующее законодательство не предоставляет работодателю право требовать у работника сведений об изменениях его персональных данных. Некоторые ученые предлагают в этой связи закрепить в статье 22 ТК РФ право работодателя на получение от работника информации, связанной с осуществлением работником его трудовой функции. По нашему мнению наделение работодателя таким правом является нарушением конституционного принципа неприкосновенности частной жизни. К тому же, работодатель вправе, воспользовавшись нормой статьи 8 ТК РФ, установить обязанность работника предоставлять сведения об изменениях персональных данных в целях их уточнения и актуализации. Причем такое требование может действовать только в отношении информации, которая уже имеется в распоряжении работодателя.

В связи с тем, что обработка персональных данных осуществляется для достижения определенной цели, логично, что вопрос дальнейшего хранения обработанной информации носит срочный характер. Так, возникает принцип срочного хранения персональных данных. Как сказано в пункте 7 статьи 5 ФЗ № 152 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. В трудовых отношениях сроки хранения персональных данных работников устанавливает работодатель с соблюдением требований ТК РФ и иных федеральных законов.

Обрабатывая персональные данные, важно выполнять условия, закрепленные в Законе о персональных данных, статья 6 которого содержит перечень случаев, когда такая обработка будет считается законной. В частности, пункт 1 указанной статьи устанавливает возможность обработки персональных данных с согласия субъекта персональных данных, а пункт 5 допускает обработку персональных данных в случае, когда она необходима для исполнения договора, стороной которого является субъект персональных данных. В связи с тем, что трудовые отношения осуществляются на основании договора между работником и работодателем, можно сделать вывод, что согласие работника для обработки персональных данных в ходе трудовых отношений не требуется.

Роскомндзор в своем Разъяснении по поводу обработки персональных данных работников отмечает, что обработка персональных данных работника не требует получения согласия, при условии, что объем обрабатываемых работодателем персональных данных соответствует целям обработки, предусмотренным трудовым законодательством, и не превышает установленные перечни. Далее по тексту приводятся примеры ситуаций, когда работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника: · в случаях, предусмотренных коллективным договором, правилами внутреннего трудового распорядка, соглашением, локально-нормативными актами работодателя, принятыми в порядке, установленном статьей 372 Трудового кодекса. По правилу статьи 68 ТК РФ работник должен быть ознакомлен с локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, и коллективным договором до подписания трудового договора;

· обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством РФ. Так, медицинские организации обязаны информировать граждан в доступной форме, в том числе с использованием сети "Интернет", о работающих в ней медицинских работниках, а также об их уровне образования и об их квалификации;

· обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой работника, либо в установленных законодательством случаях, например, оформление допуска к государственной тайне или оформление социальных выплат;

· обработка специальных категорий персональных данных работника в рамках трудового законодательства, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции;

· обработка персональных данных работника при осуществлении пропускного режима на территорию работодателя, если организация пропускного режима осуществляется работодателем самостоятельно либо соответствует порядку, предусмотренному коллективным договором, локально-нормативным актом работодателя.

Кроме того, не требует согласие работника обработка персональных данных, необходимая для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве, что подтверждается судебной практикой. Так, анализируя нормы действующего законодательства, суд пришел к выводу о правомерности действий работодателя по предоставлению сведений об истце без его согласия адвокату, представлявшему интересы потерпевшей стороны в рамках уголовного дела на основании адвокатского запроса, поскольку названные сведения были переданы суду в связи с осуществлением правосудия.

Трудовой кодекс содержит указание о необходимости получения письменного согласия работника в случае, если его персональные данные возможно получить только у третьей стороны. Причем работник должен быть уведомлен об этом заранее (пункт 3 статьи 86 ТК РФ). В таком уведомлении необходимо указать: - цели получения персональных данных работника у третьего лица;

- предполагаемые источники информации (лица, у которых будут запрашиваться данные);

- способы получения данных, их характер;

- возможные последствия отказа работодателю в получении персональных данных работника у третьего лица.

Информацию, не имеющую отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.

В части первой статьи 88 установлен запрет на передачу персональных данных работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, и в других случаях, предусмотренных ТК РФ или иными федеральными законами. Под «другими случаями» в указанной статье понимается передача персональных данных в ФФОМС и ФСС России - это связано с тем, что работодатель, согласно статье 22 Трудового кодекса, обязан осуществлять обязательное социальное страхование работников. Кроме того, работодатель вправе без согласия работника передавать его персональные данные в Пенсионный фонд РФ; налоговые органы; в военные комиссариаты; при получении мотивированных запросов от прокуратуры, правоохранительных органов, профсоюзов о его членах, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, а также в случаях, связанных с выполнением работником должностных обязанностей, в том числе, при его командировании. При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) - его родственников. В данной ситуации согласия работника на передачу его персональных данных также не требуется (статья 228 ТК РФ).

Таким образом, в распоряжении работодателя находится большой массив персональных данных работника, которые он вправе обрабатывать без согласия работника для обеспечения своей деятельности.

Однако, в ходе трудовых отношений встречаются случаи, не предусмотренные законодательством и поэтому требующие согласия работника, например, трансграничная передача персональных данных. Такое согласие может быть оформлено письменно как в виде отдельного документа, так и закреплено в качестве одного из условий непосредственно в трудовой договор. Кроме того, необходимо соблюдать требования, предъявляемые к его содержанию статьей 9 Закона о персональных данных, в частности согласие должно быть конкретным, информированным и сознательным, а также предоставляться по воле и в интересах их субъекта. К обязательным реквизитам письменного согласия на обработку персональных данных относятся: 1) фамилия, имя, отчество, адрес, сведения о документе, удостоверяющем личность работника;

2) фамилия, имя, отчество, адрес сведения о документах, удостоверяющих личность представителя работника, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя работника);

3) наименование работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие;

6) наименование третьего лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

7) перечень действий с передаваемыми персональными данными, общее описание используемых способов их обработки;

8) срок, в течение которого действует согласие субъекта персональных

правовой работник персональный законодательство

В настоящей работе на основании действующего законодательства в области защиты персональных данных как в национальном праве, так и на международном уровне, научных трудов ведущих российских школ трудового права, правоприменительной и судебной практики было проведено исследование особенностей регулирования защиты персональных данных работников.

В частности, были изучены основные положения законодательства по исследуемой теме, рассмотрены особенности обработки персональных данных при приеме на работу, в процессе трудовой деятельности, после увольнения работников, проанализированы меры уголовной, административной, гражданско-правовой, материальной и дисциплинарной ответственности за нарушение установленных требований обработки персональных данных работников с учетом позиций судов РФ при рассмотрении соответствующих дел.

В ходе исследования были выявлены практические и теоретические проблемы, некоторые пробелы и коллизии действующих норм права, предложены варианты их решения: 1. В Главе 1 предлагается по аналогии с Кодексом практики МОТ и Рекомендациями СЕ, а также для повышения уровня защищенности прав не только действующих работников, но и лиц, поступающих на работу, а также тех, с кем трудовой договор уже расторгнут, расширить круг лиц, попадающих под действие главы 14 ТК РФ путем ее переименования с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях».

В качестве обоснования внесенного предложения указывается несоответствие установленных целей обработки персональных данных работников, в частности, содействия работникам в трудоустройстве, как непосредственно связанных с трудовыми отношениями, с действующим заголовком, сужающим круг лиц до работников.

2. На наш взгляд, проблемой законодательства в области обработки персональных данных является противоречие норм Постановления N 687 и 152-ФЗ в части определения неавтоматизированной обработки персональных данных. Так, Постановление N 687 относит использование, уточнение, распространение, уничтожение персональных данных, содержащихся в информационной системе, при непосредственном участии человека к неавтоматизированной обработке. Тогда как статья 3 152-ФЗ устанавливает, что любая обработка персональных данных с помощью средств вычислительной техники является автоматизированной.

По нашему мнению, устранение такого несоответствия является назревшим изменением действующего законодательства в связи с тем, что указанные документы предъявляют различные требования к процессу обработки персональных данных, в том числе работников.

3. Другим проблемным моментом в регулировании защиты персональных данных в процессе трудовых отношений является отсутствие единообразного толкования термина биометрические данные, в частности, отнесение к ним фото- и видеоизображений работников.

Учитывая тот факт, что на данный момент нет ни одного действующего документа, позволяющего идентифицировать фотоизображения работников как биометрические данные, а разъяснения об отнесении фото- и видеоизображений к биометрическим данным дает проверяющий орган, в полномочия которого не входит толкование законодательства, считаем отсутствие четкой позиции по этому поводу пробелом в современном законодательстве, который следует урегулировать.

4. В настоящей работе была исследована судебная практика по вопросам проверки на полиграфе лиц, поступающих на работу, и действующих работников, которая показала ряд случаев незаконного наложения дисциплинарных взысканий, увольнения, и принуждения к расторжению трудового договора в последствие использования тестирования на детекторе лжи. На основании этого было предложено урегулировать проверки на полиграфе на федеральном уровне.

В настоящее время отсутствие такого закона затрудняет и сдерживает применение опросов в правоохранительных целях, а также создает условия для злоупотребления данным методом.

5. На основании анализа судебной практики в настоящей работе было предложено увеличить размер административных штрафов, предусмотренных статьей 13.11. КОАП РФ, в целях предупреждения нарушений установленного законом порядка сбора, хранения, использования или распространения персональных данных.

6. Отмечена практическая проблема в отношении привлечения работника к полной материальной ответственности за разглашение персональных данных работников в связи с отсутствием соответствующих норм в федеральных законах.

Таким образом, разобрав основные вопросы правового регулирования защиты персональных данных работников, приняв во внимание научные доводы и факты, действующее законодательство, судебную и правоприменительную практику, выявив пробелы, коллизии, практические проблемы, и составив рекомендации по их устранению, считаем цель настоящего исследования достигнутой.

В связи с принятием 152-ФЗ и последующими изменениями ТК РФ регулирование отношений, связанных с обработкой персональных данных работников, значительно приблизилось к уровню международных стандартов в этой области, однако, остались проблемные места, в частности, обозначенные в настоящей работе, которые законодателю еще предстоит исправить.

1. Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных». - Система ГАРАНТ, 2013.

2. Бачило И. Л., Сергиенко Л. А., Кристальный Б. В., Арешев А. Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. - Минск: Беллітфонд, 2006. - 474с.

3. Бачило И.Л., Лапина М.А. Актуальные проблемы информационного права (для магистратуры и аспирантуры). М.: Юстиция, 2016 г. - 608c.

4. Бондаренко Э.Н., Иванов Д.В. Конфеденциальная информация в трудовых отношениях. - СПБ.: Юридический центр Пресс. 2012. - 152с.

5. Буянова М.О. Трудовые споры - М.: РГ-Пресс, 2013.

6. Войниканис Е.А., Машукова Е.О., Степанов-Егиянц В.Г. Неприкосновенность частной жизни, персональные данные и ответственность за незаконные сбор и распространение сведений о частной жизни и персональных данных: проблемы совершенствования законодательства // Законодательство. 2014. N 12. С. 74-80.

7. Волчинская Е.К. Защита персональных данных: опыт правового регулирования. М.: Галерея, 2001.- 236с.

8. Герасимова Е.С. О соотношении норм о защите персональных данных работника и права профсоюзов на получение информации для осуществления контроля за соблюдением законодательства о труде // Трудовое право в России и за рубежом. 2010. N 2. С. 8 - 11.

9. Городов О.А. Информационное право: Учебник. М.: Проспект, 2007. - 242с.

Размещено на .ru