Защита персональных данных работника

Отметим, что обоснованное некогда Л. Брендайсом "право быть оставленным в покое" подверглось достаточно существенной коррекции, особенно в начале XXI в. Категорический запрет вмешательства в личную жизнь со стороны государства постепенно смягчается, а число законных поводов для этого увеличивается. Для США катализатором данного процесса послужили события в Нью-Йорке 11 сентября 2001 г. и начавшаяся затем кампания по борьбе с терроризмом. В 2002 г. принимается Закон Сарбанеса-Оксли, который во главу угла ставит скорее не защиту персональных данных, а максимальную открытость баз данных с целью предотвращения угроз общественной безопасности. В США более активно, чем в европейских странах, допускается проверка на наличие криминального прошлого для значительного числа работников (для руководителей, в сфере кредитования, ипотеки, в государственных учреждениях, финансовых структурах и др.). Во многих штатах допускается мониторинг поведения работников не только на работе, но и во внерабочее время. Он должен проводиться с согласия работника, но это требование соблюдается далеко не всегда. Также далеко не во всех даже европейских странах передача персональных данных работника третьим лицам требует согласия на это ее носителя, а в ряде стран работника даже не обязательно ставить в известность о такой передаче. Противоречивость развития правовой защиты персональных данных отмечалась отечественными исследователями[11]. Очевидно и то, что само понятие "защита персональных данных" до известной степени условно, ибо защищаются скорее не персональные данные как таковые, а их носитель, человек, от противоправного или нежелательного для него использования таких данных. Персональные данные не должны изыматься из оборота, но должен определяться порядок их обработки, обеспечивающий защиту прав их носителей. В соответствии с этим во всех странах Запада защита персональных данных составляет обширный институт трудового законодательства, ориентированного на международные стандарты.

Ситуация в СССР относительно защиты персональных данных работника развивалась принципиально иначе, чем на Западе. Вмешательство в частную жизнь граждан со стороны администрации предприятий, партийных комитетов, спецслужб было чрезвычайным, в связи с чем вопрос о защите персональных данных даже не ставился. Ленинский завет о том, что "Мы ничего "частного" не признаем, для нас все в области хозяйства есть публично-правовое", стал руководством к действию. Форма листка по учету кадров и анкеты содержали большой перечень вопросов, не связанных с деловыми качествами работников, и касались обстоятельств их личной жизни: о социальном происхождении, партийности и наличии партийных взысканий, о семейном положении и членах семьи, о пребывании за границей и наличии там родственников, о проживании на оккупированной территории и др.

В советском трудовом законодательстве правовой регламентации подверглись отдельные аспекты защиты персональных данных работника. В КЗоТе 1922 г. (ст. 42) запрещалось помещение в документах, которые наниматель выдавал нанимающемуся, каких-либо условных знаков. Также запрещалось сообщение нанимателями друг другу сведений, направленных на установление условий, на которых могли быть приняты рабочие. Указанные ограничения были ориентированы на частные предприятия. В КЗоТе 1971 г. подобная статья отсутствовала. Единственными работодателями выступали государственные предприятия, организации, учреждения, и запрет передачи данных о работнике утратил свое значение, а все поступающие на работу обязаны были заполнять единые унифицированные формы личных листков по учету кадров. Косвенно персональные данные работника защищались только в случае незаконного увольнения. В случае признания формулировки причины увольнения неправильной или не соответствующей действующему законодательству орган, рассматривающий трудовой спор, был обязан изменить ее и указать в решении причину увольнения в точном соответствии с формулировкой действующего законодательства и со ссылкой на соответствующую статью (пункт) закона. Если неправильная формулировка причины увольнения в трудовой книжке препятствовала поступлению работника на новую работу, орган, рассматривающий трудовой спор, должен был одновременно принять решение об оплате среднего заработка за время вынужденного прогула (ст. 214 в ред. от 19 ноября 1982 г. и ст. 213 в ред. от 20 марта 1997 г.)[12].

В Российской Федерации процесс включения в правовую систему института персональных данных начался существенно позже, чем в ряде развитых стран, где формирование профильного законодательства происходило в 70-е годы XX в., и основывался в значительной степени на европейском опыте. Первыми нормами российского права в этом отношении стали положения Декларации прав и свобод человека и гражданина от 22 ноября 1991 г.[13], гарантировавшей каждому право на неприкосновенность частной жизни, на тайну переписки, телефонных переговоров, телеграфных и иных сообщений. Кроме того, ст. 9 указанного документа предусматривала запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, за исключением случаев, указанных в законе.

Затем Конституция Российской Федерации 1993 г. закрепила за каждым человеком право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23); установила запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 24); гарантировала право каждого на свободу указания своей национальной принадлежности (ст. 26).

Впервые термин "персональные данные" появился в российском законодательстве в ст. 11 Федерального закона от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" (утратил юридическую силу с 26 января 2007 г.)[14] и был определен как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

Затем 6 марта 1997 г. Президентом Российской Федерации был подписан Указ N 188 "Об утверждении Перечня сведений конфиденциального характера"[15], которым сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), были признаны не подлежащими свободному распространению.

Следуя тенденциям развития права, государственных и политических реалий, в 1999 г. Межпарламентской Ассамблеей государств - участников СНГ был принят Модельный закон "О персональных данных", который лишь отчасти является прототипом действующего Закона.

В 2001 г. Российской Федерацией был подписан один из основополагающих актов международного уровня, регламентирующих правоотношения с таким объектом, как персональные данные, - Конвенция Совета Европы от 28 января 1981 г. "О защите физических лиц при автоматизированной обработке персональных данных" (далее - Конвенция). Однако Российской Федерацией она была ратифицирована лишь 19 декабря 2005 г.[16], что мотивировалось необходимостью внесения изменений во внутреннее законодательство страны.

В конце сентября 2003 г., т.е. спустя четыре года после принятия Модельного закона и два года после подписания Конвенции, Правительством РФ в Государственную Думу был внесен проект ФЗ "О персональных данных". Так начался процесс по воплощению в жизнь соответствующих норм международного права и регламентации оборота персональных данных как объекта правовой охраны в РФ. Безусловно, отдельные шаги в этом направлении делались и раньше, однако комплексное и полноценное регулирование данного вопроса стало возможным только посредством принятия специального федерального закона, что должно было привести наряду с иными результатами к "постепенному формированию правовой культуры защиты персональных данных"[17].

В состав российского законодательства в области оборота персональных данных помимо ФЗ "О персональных данных" входят также другие федеральные законы, определяющие случаи и особенности обработки персональных данных. Кроме того, на основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных.

Формирование правовой платформы института персональных данных в России в настоящее время, как представляется, осуществляется по трем основным направлениям.

Во-первых, активно идет процесс создания специализированных правовых актов различной юридической силы, к числу которых следует отнести: ФЗ "О персональных данных", Федеральный закон от 3 декабря 2008 г. N 242-ФЗ "О государственной геномной регистрации в Российской Федерации"[18], Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"[19] и другие.

Во-вторых, в настоящее время значительно возросли темпы нормотворчества государственных органов исполнительной власти в данной сфере; так, практически каждым федеральным министерством и ведомством были изданы акты, регулирующие обработку персональных данных служащих указанных органов или их оборот в целом. К числу таких актов следует отнести: Приказ ФСТЭК России N 55, ФСБ России N 86, Мининформсвязи РФ N 20 от 13 февраля 2008 г. "Об утверждении Порядка проведения классификации информационных систем персональных данных"[20]; Приказ ФФОМС от 19 августа 2008 г. N 180 "Об утверждении Положения о защите персональных данных работников Федерального фонда обязательного медицинского страхования" и пр.

В-третьих, институт персональных данных значительно укрепляется нормами непрофильного законодательства, к которому относятся: Федеральный закон от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния", Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ и другие.

Традиционный для российского права приоритет норм международного уровня подтверждается ч. 4 ст. 4 ФЗ "О персональных данных", устанавливающей правило, согласно которому в случае установления международным договором Российской Федерации иных правил, чем те, которые предусмотрены указанным Законом, применяются правила международного договора.

ФЗ "О персональных данных" регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Немало споров в российской юридической науке и практике вызывают нормативные акты регулирующие сферу защиты  персональных данных, которые также весьма непросты в понимании, хорошо было бы,  если бы в процессе нормотворчества законодатель учитывал простоту и удобство во всеобщем восприятии правовой нормы, но отсутствие в необходимых случаях разъяснений (законодательных дефиниций), наличие содержательных недоработок, а также чрезмерная терминологическая загруженность законодательного текста приводит к его несовершенству и спорам.

1.2. Локальные акты организации в области защиты персональных данных работников

По статистике в сфере нарушений законодательства о труде лидируют нарушения, которые квалифицируются как отсутствие в организации положения по защите персональных данных (обязанность работодателя по установлению порядка хранения и использования персональных данных указана в ст. 87 ТК РФ) либо неознакомление с ним всех работников под роспись (п. 8 ст. 86 ТК РФ)[21]. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Данные нормы обязывают работодателя принять ряд локальных актов, которые будут регулировать порядок хранения и использования персональных данных. Такими актами являются:

1) Положение о защите персональных данных работников (Приложение 1). Оно не имеет унифицированной формы и относится к тем локальным актам, которые обязательно должны быть в организации. При составлении в данное положение могут быть включены следующие разделы:

- "Общие положения". В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;

- "Основные понятия. Состав персональных данных работников". Здесь следует указать, какие документы в организации содержат персональные данные;

- "Обработка персональных данных". В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

- "Передача персональных данных". Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

- "Доступ к персональным данным". В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);