Защита персональных данных работника

- "Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных". В данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

2) перечень информации о работнике в связи с его трудовыми отношениями;

3) порядок обработки персональных данных работника;

4) порядок хранения и использования персональных данных работника;

5) порядок передачи персональных данных работника в пределах организации;

6) правила о мерах защиты персональных данных работника.

7) приказ о допуске к ПД;

8) приказ об определении лиц имеющих допуск к ПД.

Руководитель организации вправе принимать локальные нормативные акты самостоятельно, путем издания приказа. Однако Трудовой кодекс предусматривает его обязанность принимать отдельные локальные нормативные правовые акты при участии выборного представительного органа работников. Такое участие может быть различным: в отдельных случаях профсоюзу предоставляется право только высказать свое мнение относительно локального акта. Тут профсоюз обладает так называемым факультативным правом: он свое мнение высказывает, а работодатель поступает так, как считает необходимым. В других случаях локальный нормативный правовой акт должен быть принят по согласованию с профсоюзным органом, следовательно, у профсоюза появляется реальное "разрешительное" право, способное воспрепятствовать принятию работодателем нужного решения. Отдельные акты работодатель принимает совместно с представительным органом работников.

Данным локальным нормативным актом работодатель определяет порядок хранения, обработки и использования персональных данных и его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу N А40-20745/06-148-194)[22].

Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области.

Поскольку исходя из содержания ст. 87 ТК РФ Положение о персональных данных является обязательным документом, в случае проверки организации проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно ст. 5.27 КоАП РФ[23].

ГЛАВА 2. ПОНЯТИЕ, ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.  Понятие персональные данные и его содержание

Рассмотрим, каким образом законодатель трактует само понятие персональные данные в правовых нормах и что он включает в его содержание.

В Конституции РФ используется термин "частная жизнь" (ст. 23)[24], а в ТК РФ - "персональные данные работника". По обоснованному мнению ряда ученых, "частная жизнь" является более широким понятием и включает в себя "персональные данные". Их взаимное пересечение несомненно, но есть и некоторые отличия. Так, информация о частной жизни не требует фиксации на материальном носителе, тогда как для персональных данных работника это обязательно. Данные о частной жизни невозможно обезличить (они станут бессмысленными, как бессмысленна личная тайна вне привязки к конкретной личности), тогда как персональные данные можно обезличить в силу прямого указания закона, о чем будет сказано ниже. Закон позволяет создать общедоступные источники персональных данных (справочники, адресные книги и др.), тогда как информация о частной жизни, став общедоступной, теряет свойства неприкосновенной и выходит за рамки неприкосновенности частной жизни. К тому же субъектами охраны персональных данных являются не только лица - ее носители, но и их наследники, а также операторы (держатели персональных данных, в том числе работодатели). Субъектом частной жизни, как и сведений о ней, является само физическое лицо, а право на ее неприкосновенность является конституционным правом данного лица. Это позволяет нам сделать вывод о том, что в трудовом праве специфической защите подлежат именно персональные данные. Защита личной жизни имеет универсальный общеправовой характер[25].

В зарубежном законодательстве сложились два основных подхода к определению персональных данных. Во-первых, в некоторых государствах персональные данные отождествляются с любой информацией, имеющей отношение к данному лицу (Нидерланды, Швеция, Новая Зеландия и др.). Во-вторых, для некоторых государств характерна детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.). При этом оптимальным вариантом регулирования считается наличие тщательно выверенного и закрепленного правом баланса двух основных информационных прав и свобод: право доступа к информации, затрагивающей интересы лица, и право ограничения доступа третьих лиц к информации о себе.

Согласно ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. По сути, это означает, что круг сведений и вид информации, которые составляют персональные данные работника, следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством. Между тем Федеральный закон об информации, относит персональные данные к информации ограниченного доступа и устанавливает, что порядок доступа к персональным данным граждан (физических лиц) должен быть установлен федеральным законом. В качестве такового выступает Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Он определил, что персональные данные - это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация[26]. Здесь же дано понятие оператора (в качестве которого может выступать работодатель) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Под ней подразумеваются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание (ст. 7), блокирование, уничтожение персональных данных (ст. 3). В соответствии со ст. 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и Постановлением Правительства РФ от 17 ноября 2007 г. N 781 было утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных[27]. Согласно п. 14 данного Положения, лица, доступ которых к персональным данным в информационной системе необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. На наш взгляд, содержание п. п. 2 и 8 ст. 86 и ст. 87 ТК РФ в совокупности с Федеральным законом "О персональных данных" свидетельствует о необходимости для работодателя принять локальный нормативный акт (лучше с учетом мнения выборного органа первичной профсоюзной организации) о защите персональных данных работника. В отношении государственных гражданских служащих действует Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела, утвержденное Указом Президента РФ от 30 мая 2005 г. N 609.[28]

Персональные данные - это информация (зафиксированная на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним.

Попытаемся сформулировать классификацию всех возможных персональных данных, которые могут включать в себя следующие:

1) имя (фамилию, имя, отчество) и документы, подтверждающие личность;

2) пол, возраст и анатомические характеристики (рост, вес и др.) и биометрические данные;

3) сведения об образовании, квалификации, прохождении стажировки, наличии разряда и др.;

4) сведения о состоянии здоровья и сексуальной ориентации;

5) национальную, этническую и расовую принадлежность;

6) место жительства;

7) сведения о привычках и увлечениях, в том числе вредных (алкоголь, наркотики и др.);

8) особенности взаимоотношений и общения с другими людьми (семейное положение, наличие детей, родственные связи и др.);

9) данные о фактах предшествующей жизни и трудовой деятельности (месте предыдущей работы, размере заработка, судимости, службе в армии, пребывании на выборных должностях, на государственной службе и др.);

10) религиозные и политические убеждения (принадлежность к конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе и др.);

11) финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

12) сведения о деловых и иных личных качествах, которые носят оценочный характер.

Исходя из вышеизложенного можно сделать вывод, что в законодательном порядке целесообразнее установить перечень сведений, которые не могут быть получены от работника, чем определять те из них, которые подлежат передаче работодателю. В ТК РФ предпринята попытка назвать некоторые из сведений, которые работодатель не вправе истребовать от работника: о его политических, религиозных и иных убеждениях, частной жизни; а также сведения, которые могут быть истребованы только в случаях, предусмотренных федеральным законом: о членстве в общественных объединениях или профсоюзной деятельности (п. п. 4, 5 ст. 86 ТК). Как видим, перечень сведений весьма невелик, более того, в ТК РФ не даны квалифицирующие признаки персональных данных, которые могут быть объектом защиты; оценочный признак "необходимые работодателю в связи с трудовыми отношениями и касающиеся конкретного работника" носит слишком общий характер и вызывает неоднозначные толкования. Отметим, что в законодательстве большинства европейских стран в составе персональных данных выделяется специальная категория "уязвимые данные", или "деликатные сведения". Есть они и в Федеральном законе "О персональных данных" (ст. 10 "Специальные категории персональных данных")[29]. Они во многом аналогичны сведениям, определенным в п. п. 4, 5 ст. 86 ТК РФ, но более детализированы (расовая и национальная принадлежность, религиозные, философские, политические убеждения, интимная жизнь, состояние здоровья и др.)[30]. Их обработка не допускается иначе как с письменного согласия субъекта персональных данных и только в ряде исключительных случаев (ч. 2 ст. 10).

На наш взгляд, персональные данные работника должны позволить идентифицировать его не только и не столько как человека, а прежде всего как работника. Это означает, что персональные данные работника - это в первую очередь информация, которая имеет отношение к профессиональной квалификации работника, его деловым, профессиональным качествам и к требованиям, которые могут быть к ним предъявлены в связи с характером работы.

Таким образом, в ТК РФ, по нашему мнению, с учетом международного и зарубежного опыта необходимо дать более полное определение персональных данных работника и установить развернутый перечень сведений, которые не могут быть истребованы от работника. К персональным данным относятся сведения, использование которых без согласия субъекта персональных данных может нанести вред его чести, достоинству, деловой репутации, доброму имени, иным нематериальным благам и имущественным интересам. Персональные данные следует рассматривать как особый институт охраны права на неприкосновенность частной жизни.

2.2. Основные принципы защиты персональных данных.

Вышеизложенные подходы к характеристике персональных данных работника и гл. 14 ТК РФ и Федеральный закон "О персональных данных" позволяют обосновать следующие принципы защиты персональных данных работника[31].

1. Конфиденциальность получаемых персональных данных, ограничение доступа к ним иных лиц. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами (например, НК РФ, Федеральный закон от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования" и др.).

2. Достоверность и полнота персональной информации, а равно запрет включения в персональные данные недостоверных фактов и информации, полученной не от работника или от иных лиц без его письменного согласия, если это не предусмотрено федеральным законом. Работник вправе требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения. Работник вправе предъявлять требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях (ст. 89 ТК РФ).