Защита персональных данных работника

Следует подчеркнуть, что законодателем сформулированы возможности объективной защиты прав, независимо от того, имеет ли место их фактическое нарушение или нет. Отсутствие правовой заинтересованности у субъекта персональных данных не является препятствием к обращению за защитой и принятием заявления последнего к рассмотрению.

Законодатель декларирует приоритет судебной защиты прав и законных интересов субъектов персональных данных. Право на судебную защиту может быть реализовано в порядке, установленном ГПК, т.е. заинтересованное лицо должно соблюсти соответствующую процедуру: относительно подведомственности и подсудности (ст. ст. 22 - 33 ГПК), формы и содержания искового заявления и прилагаемых документов (ст. ст. 131, 132 ГПК)[43] и т.п. При этом необходимо иметь в виду, что право на обращение в суд может быть реализовано не только путем обращения в суд первой инстанции, но и на других стадиях гражданского процесса (в кассационной и надзорной инстанциях).

Реализуя конституционное положение о законодательном ограничении прав гражданина, допускается возможность отказа субъекту персональных данных в их предоставлении в случаях:

- обработки персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, в целях обороны страны, безопасности государства и охраны правопорядка;

- обработки персональных данных органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

- предоставление персональных данных нарушает конституционные права и свободы других лиц.

Ограничение права субъекта персональных данных на доступ к ним допустимо при условии соблюдения установленной законодательной процедуры.

Эти ограничения косвенно касаются работника, они возникают вне трудовой деятельности. Поскольку они касаются в целом носителя персональных данных, и законодатель выделяет эти ограничения, то целесообразно их отметить в работе.

Рассмотрев ряд прав, которыми наделил законодатель субъекта персональных данных, а именно работника, выделив их в отдельные главы, целесообразно остановится на его обязанностях.

Как говорилось ранее, у работника возникает обязанность представить информацию, которая должна быть полной и достоверной, но как быть в частности предоставления достоверной информации при приеме на работу.

Перечень документов, которые работодатель имеет право требовать от работника при поступлении на работу, четко указан в ст. 65 ТК РФ, и в нем не указаны документы, подтверждающие отсутствие судимости у отдельных категорий работников, имеющих ограничения к осуществлению отдельных видов трудовой деятельности. Правда, в ч. 2 этой статьи есть оговорка, что в отдельных случаях с учетом специфики работы Трудовым кодексом, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов, но в нормативных правовых актах, связанных с трудоустройством судимых лиц, на них не возложена обязанность представлять об этом сведения.

Так, нормы гл. 6 УИК РФ не налагают на работника обязанность информировать работодателя о своем уголовном прошлом при приеме на работу. В свою очередь, п. 4 ч. 1 ст. 86 ТК РФ определяет, что работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных, иных убеждениях и частной жизни. В соответствии со ст. 24 Конституции РФ в случаях, непосредственно связанных с трудовыми отношениями, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Зато статья 331 ТК РФ возлагается на работодателя обязанность недопущения к педагогической деятельности лиц, имеющих неснятую или непогашенную судимость за умышленные тяжкие и особо тяжкие преступления. Однако работодатель не может выполнить эти требования ввиду отсутствия у него правовой возможности самостоятельно запросить такие сведения у соответствующих государственных органов, ведущих реестр судимых лиц. Дело в том, что гл. 6 Уголовно-исполнительного кодекса РФ от 8 января 1997 г. N 1-ФЗ (в ред. от 19 июля 2009 г., далее - УИК РФ)[44] вообще не предусматривает такую процедуру при приеме на работу гражданина.

Все это требует, по нашему мнению, внесения изменений в законодательство. Бесконечное создание все новых и новых правовых норм, которые не согласовываются зачастую друг с другом, приводит к серьезным нарушениям и проблемам в жизни, с которыми не справляются работодатели, которые потом несут за это юридическую ответственность.

Оператор (держатель персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В трудоправовых отношениях оператором выступает работодатель и лица, которые обрабатывают персональные данные. Как уже говорилось ранее, список этих лиц утверждается локальным актом организации.

При приеме на работу работника у работодателя возникает право на получение персональных данных.

В соответствии с п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него лично. Если такие данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

Данная норма исключает сбор сведений о работнике без его ведома. В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Указанный Закон также возлагает на работодателя обязанность представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных - обязанность доказать, что эти данные являлись общедоступными (п. 1 ст. 9 Закона о персональных данных).

Согласно п. 3 ст. 86 ТК РФ если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.

В уведомлении необходимо указать цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться данные), способы получения данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица.

Целями получения персональных данных работника у третьего лица в соответствии с п. 1 ст. 86 ТК РФ являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества. Следовательно, запрашивать иную информацию, не имеющую отношения к вышеназванным целям, от третьих лиц работодатель не вправе даже с согласия работника.

В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных[45].

Согласно ТК РФ (ст. 86) порядок обработки персональных данных регламентируются локальными нормативными актами, с которыми работники и их представители должны быть ознакомлены под расписку[46].

Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев:

обработка без согласия работника

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

3) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

4) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

7) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Общие требования при обработке персональных данных работника и гарантии их защиты предусмотрены в статье 86 ТК РФ (в ред. ФЗ от 30 июня 2006 г.)[47].

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;