Особенности и проблемы защиты персональных данных работника

Наиболее точное понятие в будущем будет способствовать совершенствованию применения правовых норм, поэтому разработка понятийного аппарата несомненно имеет важное значение при разрешении того или иного правового вопроса. Если остановиться на понятии «институт персональных данных», то в современной юридической литературе можно увидеть множество трактовок этого понятия. Для осуществления защиты интересов работника на практике необходимо единообразие. То есть понятие, которое будет иметь все признаки такого явления, как персональные данные.

На данном этапе в юридической литературе имеется множество определений понятия «персональные данные работника». В.И. Миронов в своем учебнике «Трудовое право России» пишет, что «персональными данными признается информация, необходимость получения которой признана работодателем. Из этого определения следует вывод, что работодатель имеет право получать любую информацию о работнике. Однако в статье 23 Конституции РФ регламентированы права человека, которые провозглашают неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»17. Таким образом, можно сделать вывод, что работодатель имеет право получить любую информацию, не запрещенную законом.

В Отечественном законодательстве в настоящее время понятие персональных данных содержится в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ и определяется как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)»18. Ранее понятие персональных данных работника было закреплено в Трудовом кодексе Российской Федерации в статье 85 и было определено как «Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника»19. В мае 2013 года статья 85 утратила силу в связи с ратификацией Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных"20.

В настоящее время для понимания определения персональных данных стоит обращаться к ФЗ «О персональных данных». Понятие, данное в законе, более соответствует требованием норм международного права. В новом определении понятие «персональные данные» обобщили с понятием «персональные данные работника». То есть положение, что любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) теперь напрямую относится и к сфере трудовых отношений, регулирующих взаимодействие работника и работодателя.

Для понимания сущности понятия «персональные данные работника», нужно разобраться, из чего состоит понятие, какие признаки имеет и на какие принципы опирается. По мнению С.Ю. Головиной, «в составе персональных данных выделяются две составляющие: публичная и частная. Публичная составляющая подлежит передаче работодателю по его просьбе, частная составляющая может быть разглашена лишь с волеизъявления работника». 21 То есть персональные данные представляют собой с одной стороны информацию, которая обязательна для разглашения при трудоустройстве или при других трудовых отношениях, а с другой стороны информацию, которая может носить частный характер, и ее разглашение будет иметь добровольный характер.

Из этого следует сделать вывод, что нормы, регулирующие понятие персональных данных, носят императивный и диспозитивный метод. Принципы персональных данных реализуются непосредственно через отраслевые принципы трудового права и непосредственно через связанные с трудовыми отношениями.

Новеллой, закрепляющей данные положения, стала специальная глава 14 под названием «Защита персональных данных работников» Трудового кодекса Российской Федерации. В ней сказано, что «регламентации подлежат информационные отношения лиц, вступивших в трудовые отношения»22. Однако за время действия Трудового кодекса выяснилось, что целый ряд вопросов остается нерешенным. Например, это касается защиты персональных данных работников, прекративших трудовые отношения с работодателем. Г.В. Хныкин указывает на то, что «институт трудового договора в связи с включением в Трудовой кодекс Российской Федерации главы 14 пополнился новой группой норм, посвященных персональным данным работника.»23

В Трудовом кодексе Российской Федерации закреплены отраслевые принципы - основные принципы правового регулирования трудовых и иных непосредственно связанных с ними отношений (ст. 2). Также есть примеры самостоятельного закрепления общеправовых принципов (ст. 355) и принципов института трудового права (ст. 24). Это позволило сделать вывод о возможности закрепления в Трудовом кодексе Российской Федерации и принципов охраны персональных данных работника. По мнению А.Н. Анисимова, «необходимость закрепления принципов обработки персональных данных работника обусловлена развитием автоматизированных информационных систем, возможностями ущемления прав и законных интересов работников, причинением им материального ущерба или морального вреда».24 В качестве принципов обработки персональных данных автор называет положение ст. 36 Трудового кодекса Российской Федерации «Общие требования при обработке персональных данных работника и гарантии их защиты». Таким образом, отождествляются понятия

«общие требования» и «принципы». Из этого следует вывод, что принципы находят свое отражения в нормах права. В юридической литературе встречается много подходов к определению принципов защиты персональных данных работника.

По мнению И.Н. Басаргина, можно выделить три принципа защиты персональных данных:

1. Конфиденциальность получаемых персональных данных;

2. Максимальное ограничение доступа должностных и иных лиц организации работодателя, а также третьих лиц к указанным сведениям;

3. Достоверность профессиональной информации.25

Аналогичные принципы защиты персональных данных выделяет С.Ю. Головина. Наряду с этими принципами в науке выделяют еще три:

В Трудовом кодексе Российской Федерации закреплены отраслевые принципы - основные принципы правового регулирования трудовых отношений. Также есть примеры самостоятельного закрепления общеправовых принципов и принципов института трудового права. Из этого следует вывод, что необходимо закрепить в Трудовом кодексе Российской Федерации принцип защиты персональных данных работника. Следует дополнить перечень принципов ст. 2 ТК, принципом обеспечения права работника на защиту его персональных данных. Статья 2 ТК РФ устанавливает гарантии и права работника и устанавливает государственные гарантии в защиту этих прав. Этого недостаточно, так как в статье

2 ТК РФ необходимо конкретизировать принцип, который обеспечил бы работникам право на защиту персональных данных. Такой принцип будет одним из базовых и будет показывать направление развития ТК РФ. Следующим важным критерием определения понятия персональных данных работника должны стать его признаки. Признаки -- это характерные черты, особенности понятия, которые помогут на практике отличать различные понятия.

На практике возникает вопрос отграничения персональных данных работника от какой-либо другой информации. Следует определить основные признаки понятия персональные данные работника:

1. Возникает в связи с трудовыми отношениями

2. Касается конкретного работника

3. Может быть получено у самого работника или у третьих лиц с его согласия

4. Запрет на получение информации, касающейся политических, религиозных и иных убеждений

5. Запрет на получение информации, касающейся частной жизни работника

6. Наличие субъекта в персональных данных

7. Возможность информации стать общедоступной.

Из всех этих признаков и состоит понятие «персональных данных работника». То есть персональные данные - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Она может быть получена только у самого работника или, с его письменного согласия, у третьих лиц. Установлен запрет на получение и обработку персональных данных о политических, религиозных, иных убеждениях работника и о его частной жизни. Данные о членстве его в общественных объединениях или о его профсоюзной деятельности могут собираться, обрабатываться и использоваться только в случаях, установленных законом. Также наличие субъекта персональных данных, связанного с такими данными, является основным отличием персональных данных от другой информации ограниченного доступа. Будучи обезличенной, любая информация о физическом лице не представляет особой ценности и не попадает под режим ограничения доступа. Другая информация конфиденциального характера, например, технология производства или служебная тайна, может представлять большую ценность и без привязки к конкретному физическому лицу.

Еще одной особенностью персональных данных и отличием от другой информации конфиденциального характера является возможность их перехода в разряд общедоступных. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ дает следующее определение общедоступных персональных данных: «Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности»26. Это основные признаки, которыми обладают персональные данные работника. Необходимо, чтобы определение наиболее полно отражало сущность понятия.

Определение, которое на сегодняшний день содержится в законодательстве, не полно отражает сущность персональных данных работника. В Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ понятие характеризуется как «любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных)» 27 . В этом определении не обозначены основные признаки понятия «персональных данных работника», и к тому же оно не имеет никакого отношения к трудовому законодательству. Необходимо разработать новое определение персональных данных работника и отразить его в статье 85 ТК РФ. Так как выше даны признаки этого понятия, то, формулируя его, мы постараемся наиболее полно отразить их.

Предлагаемое определение: «персональные данные работника - это информация, возникающая в связи с трудовыми отношениями, субъектами которой являются работник и работодатель, которая содержит в себе только данные необходимые для осуществления трудовой функции».

Отграничение персональных данных работника от другой информации, повлияет на появление спорных ситуаций на практике. Часто случаются ситуации, в которых каждая сторона трудовых отношений не осознает значение тех или иных понятий. Закрепление в Трудовом кодексе Российской Федерации определения понятия «персональных данных работника» разрешит проблему многозначности понятия и конкретизирует перечень предоставляемых данных работником. Это упростит поиск своих прав у работника и регламентирует обязанности работодателя, что усложнит злоупотребление полномочием на сбор персональных данных.

1.3 Анализ законодательства, регулирующего персональные данные работника

С развитием общества и с увеличением роли международного права к требованиям, относящимся к защите конфиденциальной информации предъявляются все большие требования. Так как существует вероятность того, что персональные данные работника будут содержать в себе информацию личного характера. В Российской Федерации на сегодняшний день сохранность конфиденциальных сведений обеспечивается следующими нормативными- правовыми актами:

Во-первых, в статьях Конституции Российской Федерации признается не только само право на неприкосновенность личной жизни, личную и семейную тайну (ч.1ст.23), но и обеспечивающие это право дополнительные гарантии. В соответствии со статьей 2 Конституции Российской Федерации «человек, его права и свободы являются высший ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства» 28 . Из этого следует вывод, что государство не только гарантирует право неприкосновенность частной жизни, но и берет на себя обязательство охранять это право.

Еще одним нормативно правовым актом, регулирующим данную сферу, является Федеральный закон «Об информации, информатизации и защите информации» от 27.07.2006 N 149-ФЗ. Часть 1 статьи 11 Федерального закона «Об информации, информатизации и защите информации» определяет, что «персональные данные являются конфиденциальной информацией»29 , а часть 3 этой же статьи предупреждает о наступлении ответственности юридических и физических лиц за нарушение режима защиты, обработки и порядка использования этой информации. Персональные данные отнесены к категории конфиденциальных сведений (в соответствии с ФЗ «Об информации») и соответствующим перечнем, который дает им следующее определение: «сведения о фактах, событиях, обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».

Сфера отношений, касающаяся персональных данных работника, регулируется главой 14 Трудового кодекса Российской Федерации, где установлен порядокработысперсональнымиданнымиизакрепленаответственность работодателя за нарушение соответствующих норм.

Нормы четырнадцатой главы ТК РФ применяются уже более пятнадцати лет, за это время значительно расширились научные знания в этой сфере. «Ученые и практические работники стали уделять больше внимания, прежде всего понятию, составу, видам использования и защиты персональных данных. Однако все еще остаются малоисследованными вопросы принципов правового регулирования в данной области, состава информации и регулирования защиты персональных данных на уровне конкретной организации. Изучение перспектив правового регулирования этих вопросов также представляет несомненный научный и практический интерес»30.

В главу 14 «Защита персональных данных работника» ТК РФ входят статьи, содержащие значительное количество отсылочных норм. Глава 14 ТК РФ содержит ссылки на Конституцию Российской Федерации, другие статьи кодекса Трудового кодекса Российской Федерации, иные федеральные законы и предусматривает принятие локальных нормативных актов организации. Если учесть, что данная глава состоит из шести статей, то такое количество содержащихся в ней отсылочных норм еще больше подтверждает комплексный характер данного института и сложность нормативной основы регулирования соответствующих отношений.

Положения главы 14 ТК РФ обладают комплексными характеристиками при регулировании отношений по защите персональных данных работника. Нормы иных правовых документов могут применяться в отдельных случаях регулирования данных отношений. Они применяются к некоторым категориям субъектов, для детализации положений ТК РФ, для регулирования общих вопросов информационного оборота.

Общие требования в отношении формирования и использования информационных ресурсов закреплены федеральными законами «Об информации, информационных технологиях и о защите информации» 31 , «О связи» 32 , «О почтовой связи»33, «Об электронной подписи»34, «Об участии в между­народном информационном обмене»35, «Об архивном деле в Российской Федерации»36. В связи с развитием их положений принято множество подзаконных нормативно- правовых актов. В качестве примера можно привести следующие акты:

- Указ Президента РФ от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"37;

- Приказ Федеральной службы по надзору в сфере здравоохранения и социального развития от 12 мая 2009 г. N 3500-Пр/09 "О защите персональных данных государственных гражданских служащих центрального аппарата и заместителей руководителей территориальных органов Федеральной службы по надзору в сфере здравоохранения и социального развития"38;

- Приказ Минтранса РФ от 17 февраля 2009 г. N 27 "Об утверждении Положения об организации работы с персональными данными государственного гражданского служащего Министерства транспорта Российской Федерации и ведении его личного дела"39;

- Приказ Федерального дорожного агентства от 2 февраля 2009 г. N 5 "О защите персональных данных государственных гражданских служащих Федерального дорожного агентства"40;

- Приказ Федеральной службы по тарифам от 7 ноября 2008 г. N 441-к "Об утверждении Положения о работе с персональными данными государственного гражданского служащего ФСТ России и ведении его личного дела"41;

- Приказ Федерального агентства по обустройству государственной границы РФ от 13 октября 2008 г. N 101 "О защите персональных данных государственных гражданских служащих Федерального агентства по обустройству государственной границы Российской Федерации"42;

- Приказ Федерального фонда ОМС от 19 августа 2008 г. N 180 "Об утверждении Положения о защите персональных данных работников Федерального фонда обязательного медицинского страхования"43.

В соответствии со ст. 65 ТК РФ в отдельных случаях с учетом специфики работы федеральными законами, указами Президента РФ и постановлениями Правительства РФ может предусматриваться необходимость предъявления дополнительных документов и сведений при приеме на работу. В этой связи необходимо учитывать нормы федеральных законов «О системе государственной службы РФ»44, «О государственной гражданской службе РФ»45, «О муниципальной службе в Российской Федерации»46 и других актов.

В совокупности все упомянутые законы Российской Федерации создают правовую основу регулирования отношений, связанных со сбором, использованием и обработкой персональных данных работника, с учетом специфики субъектов, которых они касаются. Следует иметь в виду, что нормы ТК РФ достаточно подробно регулируют данный вид общественных отношений.

Рассматривая систему источников, регулирующих трудовые отношения, возникает вопрос о коллизии. Положения Трудового кодекса Российской Федерации не решают этой проблемы. Можно согласиться с большинством авторов, которые считают, что противоречия между Трудовым кодексом Российской Федерации и иными федеральными законами стоит решать в пользу Трудового кодекса Российской Федерации, опираясь на статью 9. В правоприменительной практике на сегодняшний день, в большинстве случаев, преимущество отдается специальным законам. Остается только согласится с авторами, которые считают, что этот вопрос еще не получил однозначного законодательного решения.

Рассматривая главу 14 Трудового кодекса Российской Федерации, ставится очевидно, что ситуация противоречия коллизионных норм облегчается отсылочными нормами. Некоторые из ссылок предусматривают изъятие из общих правил регулирования, как, например, статья 88 «Передача персональных данных работника», другие предусматривают наличие в иных федеральных законах порядка защиты и обмена персональными данными, третьи - строгий регламент объема и содержания обрабатываемых сведений, например, статья 86 Обрабатывание персональных данных работника».

В статье 86 Трудового кодекса РФ понятие «персональные данные» используется наряду с конституционной категорией «данные о частной жизни». В юридической литературе нет устоявшегося мнения по поводу соотношения этих категорий. И.Л. Бачило писал о том, что «персональные данные…эта та часть частной жизни, которая определенным образом представлена и присевает в публичном и гражданском секторах правовых отношений индивида с другими субъектами права».47

Право на неприкосновенность частной жизни является правовым институтом, состоящим из отдельных правомочий индивида.

Персональные данные востребованы в большинстве сфер общества. Законодательство использует термин «персональные данные» не только для регулирования трудовых отношений. Понятие «персональные данные» шире, чем понятие «персональные данные работника».

Решением Салехардского городского суда было удовлетворено требование истца о признании незаконным и отмене приказа об увольнении, восстановлении на работе в прежней должности, взыскании оплаты за время вынужденного прогула.

Работодатель пришел к выводу, что истец в личных целях использовал конфиденциальные сведения и лично разгласил сведения, относящиеся к сведениям, составляющим персональные данные сотрудников Департамента, и служебную информацию, ставшие ей известными в связи с исполнением ею должностных обязанностей. Как было установлено в судебном заседании, на сайте Департамента свободном доступе имеются имена, фамилии, отчества лиц, замещающих в нем должности государственной гражданской службы, а также указание их должностей, номера телефонов. Более того, приказ ответчика о наложении на истца дисциплинарного взыскания в виде увольнения не содержит конкретные указания на нарушение истцом положений федеральных законов, служебного контракта, должностного регламента и иных нормативно-правовых актов,регулирующихдеятельностьДепартаментапо обработке персональных данных, допущенных ею при исполнении служебных обязанностей. 48

Часть 4 статьи 86 Трудового кодекса Российской Федерации содержит в себе перечень требований, которые работодатель не вправе требовать от работника, а именно: данные о политических и религиозных и иных убеждениях и частной жизни. Данная норма является противоречивой, она не дает конкретного ответа, о том, относится ли к частной жизни работника его этническое происхождение, сексуальная ориентация, политические убеждения и тому подобные сведения. В законодательстве зарубежных стран вышеперечисленные сведения обозначаются термином «уязвимая» информация, то есть подтверждается их принадлежность к личной жизни работника.

Содержание требований к обработке персональных данных составляют права и обязанности работодателя и работника. Поэтому общие нормы трудового законодательства о порядке получения, хранения, передачи и иного использования персональных данных работника необходимо рассматривать со стороны взаимных прав и обязанностей.

Существуют категории работников, к которым предъявляются повышенные требования к объему предоставляемых персональных данных. Эти особенности возникают в связи со специфической сущностью трудовых отношений. В определенных законом случаях расширение содержания предоставляемой информации допускается. Например, согласно Федеральному закону «О государственной дактилоскопической регистрации в РФ» 49 устанавливается обязательность дактилоскопической регистрации для работников военизированных и иных видов государственной службы, а также для персонала организаций, таких как органы внутренних дел, федеральная служба безопасности и так далее. Перечень должностей, на которых распространяется обязательная дактилоскопическая регистрация, определен Правительством РФ.

На государственных и муниципальных служащих распространяется законодательство о труде с особенностями, которые предусмотрены для прохождения службы. При применении положений Трудового кодекса о защите персональных данных необходимо учитывать специфику публичной службы.

Статья 88 Трудового кодекса Российской Федерации обязывает работника принять локальный нормативный акт, устанавливающий порядок обработки персональных данных, порядок передачи персональных данных работников в пределах одной организации, а также права и обязанности работодателя в этой области.

Из этого можно сделать вывод, что любая организация согласно требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязана принимать меры по защите персональных данных работника. Перечень мер остается открытым, и законодатель оставляет эти меры на усмотрения работодателя.

К мерам по защите персональных данных можно отнести следующие действия:

1. Ограничение числа работников, которым открыт доступ к персональным данным;

2. Назначениеответственноголица,обеспечивающегоисполнение организацией законодательства в рассматриваемой сфере;

3. Утверждения перечня документов, содержащих персональные данные;

4. Изданиевнутреннихдокументовпозащитеперсональныхданныхи осуществление контроля над их соблюдением;

5. Ознакомление работников с действующими нормативно-правовыми актами в области персональных данных;

6. Рациональноеразмещениерабочихместдляисключения несанкционированного использования защищаемой информации;

7. Утверждение списка лиц, имеющих право доступа в помещения, в которых хранится информация;

8. Утверждение порядка уничтожения информации;

9. Выявление и устранение нарушенных требований по защите персональных данных;

10. Проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных;

Решением Пристенского районного суда прокурор, действуя в защиту интересов неопределенного круга лиц, обратилась в суд с исковым заявлением к МКУ служба «Заказчика по ЖКУ» Пристенского района Курской области о возложении обязанности разработать и принять локальный правовой акт, устанавливающийпорядокхраненияи использования персональных данных работников иознакомленияс ним работников общества под роспись, в обоснование указав, что в ходе проведенной проверки было установлено нарушение требования указанного законодательства в части защиты персональных данных работников общества.

Исходя из толкования ст. 90 ТК РФ в совокупности со ст. 237 ТК РФ следует, что в результате незаконного распространения информации о персональных данных работника последнему может быть причинен моральный вред, подлежащий возмещению работодателем. Суд решил удовлетворить Исковые требования прокурора в полном объеме.50

Среди мер по внешней защите персональных данных следует выделить:

1. Введение пропускного режима, порядка приема и учета посетителей;

2. Внедрение технических средств охраны, программных средств на электронных носителях.

Так же можно применить и иные технические и организационные меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

1.Утверждение требований к помещению, где хранятся персональные данные;

3.Ведение журнала учета работы с персональными данными.

Глава 2. Порядок работы с персональными данными работника

2.1 Порядок обработки, хранения, защиты персональных данных работника в организации