Основные положения законодательства в области защиты персональных данных работников

Размещено на http://www.allbest.ru/

Введение

В современном динамично развивающемся обществе технологии совершенствуются каждый день, сменяя одна другую. Новшества коснулись всех областей жизни человека, в том числе и трудовых отношений. В распоряжении работодателя появились такие инструменты, как видеонаблюдение рабочего процесса, контроль служебных звонков, деловой переписки работников, мониторинг посещения интернет-страниц. Некоторые компании стараются максимально автоматизировать кадровые процессы, так, появились электронные базы личных дел работников и специализированные программы для работы с кадрами.

Все эти изменения сопровождаются обработкой большого количества информации о работниках. Причем как на бумажных носителях, так и в форме электронного документа.

Несомненно, глобальные перемены находят свое отражение в новеллах законодательства. В частности, появились такие понятия, как информационное право, защита информации и персональные данные. Важность нововведений, прежде всего, обусловлена необходимостью защиты прав владельца информации, к которым относится неприкосновенность частной жизни, тайна личной переписки и телефонных переговоров, запрет на обработку сведений без согласия субъекта.

Кроме того, регулирование защиты личной информации или, иными словами, персональных данных в процессе трудовых отношений связано с тем, что работодатели должны иметь возможность получать и хранить необходимые сведения о своих работниках, а работники быть уверены в защищенности предоставляемой информации.

Таким образом, регулирование процессов обработки персональных данных работников, на наш взгляд, является не просто необходимым аспектом для обеспечения деятельности работодателя, но и гарантом защиты конституционных прав каждого лица, поступившего на работу. Причем выявление проблемных моментов в этой отрасли права способствует повышению уровня защищенности как личных интересов работника, так и функционирования компании, и, тем самым предотвращая возможных негативных последствий со стороны проверяющих органов. Следовательно, можно сделать вывод, что исследование защиты персональных данных работников является актуальным и с правовой точки зрения, и с управленческой позиции в том числе.

Цель настоящего исследования:

Подробно рассмотреть особенности правового регулирования защиты персональных данных работников, принимая во внимание научные доводы и факты, действующее законодательство, судебную и правоприменительную практику, выявить возможные пробелы, коллизии, практические проблемы и внести предложения по их устранению.

Для достижения поставленных целей были сформулированы следующие задачи:

· рассмотреть основные положения законодательства в области защиты персональных данных работников, как в национальном праве, так и на международном уровне;

· изучить особенности защиты персональных данных в процессе трудовых и иных, связанных с ними отношений;

· проанализировать виды ответственности и меры наказания за нарушения законодательства в области защиты персональных данных работников с учетом рассмотрения дел о защите персональных данных работников судами РФ.

Теоретическую основу настоящего исследования составляют правовые позиции ведущих российских школ трудового права.

В частности, представители кафедры трудового права и права социального обеспечения Московской государственной юридической академии (МГЮА) - Н.Л. Лютов, К.Н. Гусов; кафедры трудового права МГУ им. М. В. Ломоносова - А.М. Куренной; кафедры трудового права и охраны труда Санкт-Петербургского государственного университета - С.П. Маврин, Е.Б. Хохлов; кафедры трудового права и права социального обеспечения Научно исследовательского университета «Высшая школа экономики» (НИУ ВШЭ) - И.Я. Киселев, Ю.П. Орловский, М.О. Буянова, И.Я. Белицкая, Д.В. Черняева, Е.С. Герасимова; кафедры трудового и финансового права Ярославского государственного университета им. П.Г. Демидова - А.М. Лушников и М. В. Лушникова; кафедры трудового права Уральского государственного юридического университета (УрГЮУ) - С.Ю. Головина.

Кроме того, в ходе работы нами было уделено внимание историческому аспекту рассматриваемой темы на основании научных трудов И.Я.Киселева и А.М. Лушникова, и проведен международно-правовой анализ существующих норм с учетом изученных материалов таких специалистов по международному праву, как Н.Л Лютов и Е.С. Герасимова.

Методологической основой послужили формально-юридический, и сравнительно-правовой методы, а также методы правового моделирования и толкования правовых норм.

Научная новизна магистерской диссертации состоит в том, что в процессе ее написания выявлены и проанализированы с практической стороны существующие нормы, регулирующие защиту персональных данных работников, а также выдвинуты и обоснованы предложения по внесению изменений в действующее законодательство РФ с целью совершенствования правотворческого и правоприменительного процесса.

Теоретической значимостью работы является предложение усовершенствования таких правовых несоответствий, как содержание главы 14 Трудового кодекса РФ и ее названия.

Практическая значимость: исследование интересно тем, что его материалы могут быть использованы при дальнейшем изучении проблем правового регулирования защиты персональных данных, а также в процессе обучения при подготовке студентов по специальности «юриспруденция».

Структура работы обусловлена целью и задачами исследования и состоит из введения, трёх глав, объединяющих девять параграфов, заключения, библиографического списка нормативных правовых актов, судебной практики и использованной литературы по рассматриваемой теме.

В результате проведённого исследования на защиту выносятся новые предложения:

1) Для повышения уровня защищённости прав не только действующих работников, но и лиц, поступающих на работу, а также тех, с кем трудовой договор уже расторгнут, расширить круг лиц, попадающих под действие главы 14 ТК РФ путем ее переименования с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях».

2) Устранить противоречия норм постановления Правительства Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и Закона о персональных данных Федеральный Закон от 27.07.2006 №152 «О персональный данных». в части определения неавтоматизированной обработки персональных данных, как назревшее изменение действующего законодательства, обусловленное тем, что указанные документы предъявляют различные требования к процессу обработки персональных данных, в том числе работников.

3) В связи с отсутствием единообразного толкования термина «биометрические данные», в частности, отнесение к ним фото- и видеоизображения работников. А также учитывая тот факт, что разъяснения по этому поводу дает проверяющий орган, в полномочия которого не входит толкование законодательства, считаем отсутствие четкой позиции пробелом в современном законодательстве, который следует устранить.

4) Урегулировать проверки на полиграфе на федеральном уровне в связи с выявлением ряда случаев незаконного наложения дисциплинарных взысканий, увольнения, и принуждения к расторжению трудового договора в последствие тестирования на детекторе лжи.

5) Увеличить размер административных штрафов, предусмотренных статьей 13.11. КоАП РФ, в целях предупреждения нарушений установленного законом порядка сбора, хранения, использования или распространения персональных данных.

6) Для решения практической проблемы в отношении привлечения работника к полной материальной ответственности за разглашение персональных данных работников в связи с отсутствием соответствующих норм в федеральных законах - внести соответствующие нормы в законодательство РФ.

ГЛАВА 1. ОСНОВНЫЕ ПОЛОЖЕНИЯ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

Идея защиты персональных данных эволюционировала из права человека на защиту от произвольного вмешательства в его личную и семейную жизнь, тайну его корреспонденции, честь и репутацию, провозглашенного Всеобщей декларацией прав человека Генеральной Ассамблеей Организации Объединенных Наций в 1948 году, а потом не раз отраженного в других международных актах, таких как Конвенция Совета Европы о защите прав человека и основных свобод 1950 г. и Международный пакт о гражданских и политических правах 1966 г.

Впервые определение самих персональных данных, а также право на их защиту, было сформулировано в национальном законодательстве Германии в 1970 году (Земля Гессен, закон «О защите персональных данных»), после чего появилось и в других странах - Швеции (1973 г.), Франции (1978 г.) Лушников М.В. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 ТК РФ // Управление персоналом. 2009. N17. С. 21-25

Вскоре после этого начинают разрабатываться документы, регулирующие защиту персональных данных на международном уровне. Так, 28 января 1981 г. Совет Европы принимает Конвенцию «О защите физических лиц при автоматизированной обработке персональных данных», после чего Европейский Союз выпускает целую серию Директив Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных; Директива Европейского Парламента и Совета Европейского Союза 2002/22/ЕС от 7 марта 2002 г.об универсальных услугах и правах пользователей в отношении сетей электронных коммуникаций и услуг; Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи) на тему трансграничной передачи персональных данных, а также защиты их конфиденциальности в секторе электронных средств связи. 23 сентября 1980 г. Организацией по экономическому сотрудничеству и развитию утверждаются Рекомендации, касающиеся основных положений о защите неприкосновенности частной жизни и международных обменов персональными данными. А 16 октября 1999 г. на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств - участников СНГ опубликовывается Модельный закон «О персональных данных».

По вопросу защиты персональных данных работников в настоящее время действуют следующие международные акты: Рекомендация Совета министров СЕ NoR(89)2 1989 г. и Кодекс практики МОТ 1997 г.

законодательство данные персональный трудовой

1.1 Основные понятия в области защиты персональных данных работников

В России защита персональных данных регламентируется большим количеством законодательных актов, главным среди которых является Конституция РФ, провозглашающая неприкосновенность частной жизни и запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия статьи 23, 24 Конституции РФ..

Конституционный Суд РФ (далее - КС РФ) разъясняет, что в понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит не противоправный характер; а право на неприкосновенность частной жизни означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. Определение КС РФ от 09.06.2005 N 248-О И хотя понятие «персональные данные» не тождественно определению «частная жизнь», нельзя не согласиться с утверждением авторов-исследователей о сложности отрицания наличия тесной связи между ними Войниканис Е.А., Машукова Е.О., Степанов-Егиянц В.Г. Неприкосновенность частной жизни, персональные данные и ответственность за незаконные сбор и распространение сведений о частной жизни и персональных данных: проблемы совершенствования законодательства // Законодательство. 2014. N 12. С. 74-80 и мнением А.М. Лушникова, что право на защиту персональных данных является производным от права человека на невмешательство в частную жизнь Лушников А. М. Неприкосновенность частной жизни и персональные данные в сфере трудовых отношений: стратегия правотворчества в контексте мирового опыта // Юридическая техника. 2015. № 9. С. 410-417 .

По поводу использования информации без разрешения ее владельца КС РФ также дает разъяснение: "лишь само лицо вправе определить, какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне, а потому сбор, хранение, использование и распространение такой информации, не доверенной никому, не допускается без согласия данного лица, как того требует Конституция РФ". Определение Конституционного Суда РФ от 09.06.2005 N 248-О

Таким образом, несмотря на то, что Конституция РФ не содержит понятия персональных данных, она устанавливает основные принципы их обработки.

Одним из первых законодательных актов РФ, выделивших персональные данные в особую категорию информации, охраняющуюся законом, стал Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведении? конфиденциального характера», на основании которого персональные данные были определены как сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, однако исключали сведения, подлежащие распространению в средствах массовой информации в случаях, установленных федеральными законами.

В 2001 году, после ратификации Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» Совета Европы (далее - Конвенция СЕ), в РФ появляется Федеральный Закон от 27.07.2006 №152 «О персональный данных» (далее - ФЗ №152, 152-ФЗ, Закон о персональных данных, рассматриваемый Закон), разработанный также с учетом Модельного закона «О персональных данных» СНГ. Целью нового закона стало обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В трудовых отношениях защита персональных данных регулируется главой 14 Трудового кодекса РФ (далее - ТК РФ, Трудовой кодекс).

Появление 14 главы послужило поводом возникновения вопросов у ученых-юристов, например, как пишет А.Я. Петров: “неясно: почему эта глава названа «Защита персональных данных работника»? Ведь из шести ее статей только три посвящены (и то в относительной мере) защите персональных данных работника“, и далее: “в принципиальном смысле содержание главы 14 ТК РФ в большей мере относится к обработке персональных данных работника. Следовательно, название главы, очевидно, должно предусматривать прежде всего не защиту персональных данных работника, а их обработку.” Петров А. Я. О персональных данных работника: современное состояние правового регулирования // Трудовое право. 2008. N4. Попытка переименовать главу 14 была предпринята в начале 2013 года. Вот что отмечает А.М. Лушников, анализируя изменения ТК РФ, внесенные Федеральным законом РФ от 7 мая 2013 г. N 99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных"" (далее - ФЗ № 99): “Однако не прошло предполагаемое в проекте изменение наименования главы 14 «Защита персональных данных работника» на «Обработка персональных данных в рамках трудовых отношений». Это была не игра слов, а важное и назревшее сущностное изменение. Трудовые отношения, на наш взгляд, в данном случае должны трактоваться не столько по букве статьи 15 ТК РФ, но в духе части 2 статьи 1 ТК РФ. Следовательно, они должны укладываться в рамки не только собственно трудового отношения, но и иных, непосредственно связанных с ними отношений.” Лушников А. М. Указ. работа. С. 410-417

Действительно, обработка персональных данных в трудовых отношениях начинается гораздо раньше заключения трудового договора или фактического допуска к работе - еще в период трудоустройства на собеседовании соискатели предлагают работодателям свою личную информацию в виде резюме или заполненных анкет; и не заканчивается сразу после расторжения трудового договора, так, в соответствии с Приказом Минкультуры России от 25.08.2010 N 558 (с изм. от 04.02.2015) "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" работодатели обязаны обеспечить хранение личных карточек работников в течение 75 лет. В связи с этим представляется необоснованным решение законодателя оставить название без изменений.

По нашему мнению переименование главы 14 с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях» расширит круг лиц, на которых распространяются соответствующие нормы. Например, повысится уровень защищенности прав не только действующих работников, но и лиц, поступающих на работу, так как в соответствии со статьей 1 ТК РФ к трудовым отношениям относится трудоустройство у данного работодателя.

Другой вопрос связан с включением 14 главы ТК РФ в раздел «Трудовой договор». Учитывая научно-обоснованную и признанную систему российского трудового права как отрасли, было бы логичнее закрепить рассматриваемую главу в разделе ХIII ТК РФ «Защита трудовых прав и свобод…», исходя из целей правового регулирования отношений, связанных с персональными данными работника. Петров А. Я. Указ. работа.

Упомянутый ранее ФЗ № 99 внес в Трудовой кодекс существенные изменения. Так, утратила силу статья 85 ТК РФ, содержащая понятия персональных данных работника и их обработку, к тому же действующая редакция не содержит ни одного определения, касающегося вопроса обработки персональных данных. В связи с этим, а также учитывая, что в части регулирования трудовых отношений, связанных с персональными данными, нормы Закона «О персональных данных» считаются общими, а нормы главы 14 ТК РФ -- специальными, рассмотрим основные понятия в Законе о персональных данных.

ФЗ №152 ввел определение персональных данных, как любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). статья 3 пункт 1) ФЗ №152 Новая дефиниция представляется довольно размытой, что также подчеркивает орган, уполномоченный в осуществлении надзора за соблюдением законодательства в области защиты персональных данных (далее - Роскомнадзор, Регулятор) Постановление Правительства РФ от 16.03.2009 N 228 (ред. от 25.12.2015) "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" в своем научно-практическом комментарии: «при буквальном толковании к понятию «персональные данные» можно отнести широкий круг информации. В частности, в нем нет указания на связь между прямой или косвенной определенностью или «определимостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких - нет». Федеральный закон "О персональных данных": Научно-практический комментарий. / под ред. А.А. Приезжевой - выпуск 11 - Российская газета. 2015.

В связи с этим на практике возникают вопросы. Например, означает ли такое широкое определение, что даже фамилия лица без его имени и отчества подлежит защите на основании Закона о персональных данных? Или все-таки Закон о персональных данных защищает только совокупность данных, позволяющих идентифицировать конкретное физическое лицо? Буркова А.Ю. Определение понятия "персональные данные" [Электронный ресурс] // Отрасли права: аналитический портал. 2015. URL: http://отрасли-права.рф/article/10240 (Дата обращения: 22.04.2016)Если обратиться к судебной практике, то помимо фамилии, имени и отчества к персональным данным также относятся: год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы Определение Санкт-Петербургского городского суда от 26 марта 2013 г. N 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 N 33-5461/14, Апелляционное определение СК по гражданским делам Саратовского областного суда от 29 января 2013 г. по делу N 33-500., и т.д. Вместе с тем суд подчеркивает, что не каждый из этих элементов сам по себе подпадает под защиту ФЗ №152, а только если они в отдельности или в совокупности помогают идентифицировать конкретное лицо Определение Санкт-Петербургского городского суда от 26 марта 2013 г. N 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 N 33-5461/14.

Что бы представить, что представляют собой персональные данные в трудовых отношениях, нужно обратиться к статье 65 ТК РФ, которая устанавливает перечень необходимых документов для заключения трудового договора. Помимо паспорта, трудовой книжки, страхового свидетельства обязательного пенсионного страхования, документов воинского учета и об образовании, законодателем предусмотрена возможность предъявления дополнительных документов на основании Трудового кодекса, иных нормативно-правовых актов. Например, иностранец, поступающий на работу, наряду с документами, предусмотренными статьей 65 ТК РФ, предъявляет работодателю разрешение на работу или патент, разрешение на временное проживание или вид на жительство (статья 327.3 ТК РФ).

Объем сведений, полученных работодателем от работника при приеме на работу, увеличивается в течение его трудовой деятельности. Например, в соответствии с постановлением Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты" в личную карточку работника вносятся следующие сведения: степень знания языка, стаж работы, информация о приеме, переводах на другую работу и отпусках. Кроме того, для выплаты заработной платы в кредитную организацию, если такая практика существует у работодателя, работником предоставляется необходимая информация для перевода.

ФЗ №152 выделяет несколько видов персональных данных, среди которых в рамках трудовых отношений наиболее интересны специальные категории персональных данных и биометрические персональные данные.

В соответствии со статьей 10 Закона о персональных данных обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается. Однако, в части второй рассматриваемой статьи приводится перечень исключений, среди которых обработка, осуществляемая в соответствии с трудовым законодательством РФ.

Согласно пункту 4 статьи 86 Трудового кодекса, работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами. Например, на основании статьи 179 ТК РФ во время сокращения численности или штата работников при равной производительности труда и квалификации предпочтение в оставлении на работе отдается семейным - при наличии двух или более иждивенцев - в этом случае предоставление информации о семейном положении в интересах самого работника. Также в качестве примера можно привести предоставление работником информации о своем здоровье при приеме на работу в организации, где обязательным условием найма является прохождение медицинского осмотра (статьи 69, 213 ТК РФ). Причем, обрабатывая информацию о состоянии здоровья будущего работника, работодателю необходимо учитывать, что он не может превышать тех сведений, которые относятся к вопросу о возможности выполнения трудовой функции. Кроме того, сведения о состоянии здоровья составляют врачебную тайну Статья 13 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", разглашение которой не допускается. Обработка специальных категорий персональных данных в рассмотренных случаях будет считаться законной, и это далеко не весь перечень возможных ситуаций.

Статья 11 ФЗ №152 определяет биометрические персональные данные как сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Биометрические данные характеризуются особенной чувствительностью, так как они неразрывно связаны с носителем, поэтому законодатель устанавливает особое требование для их защиты.Кривоногов М.С. Правовой режим биометрических персональных данных // Проблемы современной науки и образования. 2015. № 10 (40) Если по общему правилу согласие на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, то для обработки биометрических данных используется императивная норма об обязательном письменном согласии субъекта.

На практике часто возникает вопрос о том, какую именно информацию можно отнести к биометрической. В связи с этим Роскомнадзор в августе 2013 года опубликовал на своем официальном сайте разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки, в которых поясняет, что к “биометрическим данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта” Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки / Официальный сайт Роскомнадзора. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016). Исследуя вопрос фотографии и видеосъёмки в трудовых отношениях, Регулятор отмечает, что фотографическое изображение, используемое для обеспечения прохода на охраняемую территорию и установления личности гражданина, относится к биометрическим персональным данным. А вот фотографии, содержащееся в личном деле работника, и также его подпись или почерк, не могут рассматриваться как биометрические персональные данные, поскольку их использование направлено на подтверждение рассматриваемых сведений принадлежности к конкретному работнику, чья личность уже определена и чьи персональные данные уже имеются в распоряжении работодателя.

Однако, в выпущенном в 2015 году научно-правовом комментарии Федеральный закон "О персональных данных": Научно-практический комментарий. Указ. работа. к ФЗ №152 Роскомнадзор меняет свою позицию на противоположную в части отнесения фото- и видеоизображений к биометрической информации из-за того, что при визуальной оценке фотография или видеоизображение человека, который является близнецом или чье внешнее сходство с определяемым человеком очевидно, а также в случае осуществления пластических операций, не позволит произвести достоверную идентификацию субъекта.

Таким образом, можно сделать вывод, что обработкой по-настоящему биометрических персональных данных занимаются только те работодатели, которые в виду секретности своей деятельности организуют сложную проходную систему на территорию организации, включающую, например, сканирование сетчатки глаза или считывающую отпечаток пальца для определения личности конкретного работника. Кроме того, Федеральный закон от 25 июля 1998 г. N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" устанавливает довольно широкий перечень, работников, подлежащих обязательной дактилоскопической регистрации: военнослужащие, граждане РФ, проходящие службу в органах внутренних дел, органах государственной налоговой службы, органах по делам гражданской обороны, органах и подразделениях службы судебных приставов, таможенных органах, Государственной противопожарной службе и другие.

На наш взгляд отсутствие единообразного толкования термина биометрические данные, а соответственно, и понимания, какие данные о человеке могут считаться биометрическими, является актуальной проблемой, которую предстоит решить на законодательном уровне.

Помимо персональных данных, ФЗ №152 дает ряд определений в качестве инструментария для последующего регулирования. Применительно к трудовым отношениям можно сформулировать некоторые их них следующим образом:

оператором в трудовых отношениях выступает работодатель (юридическое или физическое лицо), который самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными;

обработка персональных данных работников - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными работников, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Отдельно стоит сказать о видах обработки персональных данных - как уже было сказано, их два: автоматизированная обработка персональных данных и обработка персональных данных без использования средств автоматизации.

Определение автоматизированной обработки содержится в Законе о персональных данных, как обработки персональных данных с помощью средств вычислительной техники (статья 3 пункт 4 152-ФЗ).

Обработка без использования средств автоматизации регламентирована постановлением Правительства РФ от 15.09.2008 N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации” (далее - Постановление N 687). На основании указанного Постановления обработкой персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

По нашему мнению такое определение нельзя считать удачным в связи с тем, что большинство информационных систем персональных данных можно рассматривать как осуществляемые без использования средств автоматизации. Так, во многих компаниях электронные дела работников правятся в соответствующих окнах “вручную”, а для их удаления необходимо выделить их в списке и нажать специальную клавишу. Кроме того, настоящее определение неавтоматизированной обработки персональных данных вступает в противоречие с установленным в 152-ФЗ определением автоматизированной обработки. Исходя из принципа верховенства норм, можно сделать вывод, что в скором времени законодатель должен исправить такое несоответствие.

Таким образом, в ходе трудовых отношений работодатель ведет обработку персональных данных работников как с помощью средств вычислительной техники, например, ведя учет приказов по личному составу в электронной базе 1С; так и без нее, организуя хранение личных дел работников на бумажных носителях. В обоих случаях обработка попадает под действие ФЗ №152 и ведется по установленным им принципам.

1.2 Принципы и условия обработки персональных данных работников на территории РФ

Основные принципы обработки персональных данных перечислены в статье 5 ФЗ №152. Помимо общеправовых принципов законности и справедливости, на федеральном уровне закреплена необходимость целевого подхода к обработке персональных данных и недопустимость обработки, несовместимой с целями сбора персональных данных. Законодатель также отмечает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, а обрабатываемые персональные данные не могут быть избыточными.

Статья 86 ТК РФ содержит закрытый перечень целей обработки персональных данных работника:

· обеспечение соблюдения законов и иных нормативных правовых актов;

· содействия работников в трудоустройстве;

· получение образования и продвижения по службе;

· обеспечение личной безопасности работников;

· контроль количества и качества выполняемой работы;

· обеспечение сохранности имущества.

Соответственно, обработка персональных данных, выходящая за рамки обозначенных целей, не допустима. Использование такого механизма в трудовых отношениях обеспечивает защиту персональных данных работника от произвольного сбора и обработки.

Пункт 3 статьи 5 Закона о персональных данных устанавливает запрет на объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Анализируя этот принцип, можно прийти к выводу, что работодатель обязан сортировать персональные данные работников и организовать хранение их таким образом, чтобы при обработке определенной категории доступ осуществлялся к персональным данным, соответствующим цели.Трудовое право России. 3-е издание / Под ред. А. М. Куренного. - М.: Проспект, 2015.

Следующим из закрепленных ФЗ №152 является принцип точности, достаточности и актуальности персональных данных по отношению к целям их обработки. Достаточными сведения можно считать, если их объем и содержание позволяют достигнуть целей обработки. Актуальность персональных данных означает, что в момент обработки персональных данных последние являются своевременными, достоверными и значимыми для достижения поставленной цели обработки персональных данных. Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных». -- Система ГАРАНТ, 2013. Причем в пункте 6 статьи 5 ФЗ №152 прямо установлена обязанность оператора принимать необходимые меры по удалению или уточнению неполных или неточных данных.

Очевидно, что персональные данные работника в процессе трудовых отношений могут меняться, к примеру, работник может поменять фамилию или получить дополнительное образование. Согласно постановлению Минтруда РФ от 10.10.2003 N 69 "Об утверждении Инструкции по заполнению трудовых книжек" изменения записей в трудовых книжках о фамилии, имени, отчестве производятся на основании паспорта, свидетельств о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их номер и дату. Таким образом, работодателю необходимо своевременно узнавать об изменениях в полученных документах работника.

Однако, действующее законодательство не предоставляет работодателю право требовать у работника сведений об изменениях его персональных данных. Некоторые ученые предлагают в этой связи закрепить в статье 22 ТК РФ право работодателя на получение от работника информации, связанной с осуществлением работником его трудовой функции Станскова У. М. Шафикова Г. Х. Соотношение конституционного права работника на частную жизнь и права работодателя на получение информации о работнике // Вестник Южно-Уральского государственного университета. 2006. № 13. . По нашему мнению наделение работодателя таким правом является нарушением конституционного принципа неприкосновенности частной жизни. К тому же, работодатель вправе, воспользовавшись нормой статьи 8 ТК РФ, установить обязанность работника предоставлять сведения об изменениях персональных данных в целях их уточнения и актуализации. Причем такое требование может действовать только в отношении информации, которая уже имеется в распоряжении работодателя.

В связи с тем, что обработка персональных данных осуществляется для достижения определенной цели, логично, что вопрос дальнейшего хранения обработанной информации носит срочный характер. Так, возникает принцип срочного хранения персональных данных. Как сказано в пункте 7 статьи 5 ФЗ № 152 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. В трудовых отношениях сроки хранения персональных данных работников устанавливает работодатель с соблюдением требований ТК РФ и иных федеральных законов.

Обрабатывая персональные данные, важно выполнять условия, закрепленные в Законе о персональных данных, статья 6 которого содержит перечень случаев, когда такая обработка будет считается законной. В частности, пункт 1 указанной статьи устанавливает возможность обработки персональных данных с согласия субъекта персональных данных, а пункт 5 допускает обработку персональных данных в случае, когда она необходима для исполнения договора, стороной которого является субъект персональных данных. В связи с тем, что трудовые отношения осуществляются на основании договора между работником и работодателем, можно сделать вывод, что согласие работника для обработки персональных данных в ходе трудовых отношений не требуется.

Роскомндзор в своем Разъяснении по поводу обработки персональных данных работников отмечает, что обработка персональных данных работника не требует получения согласия, при условии, что объем обрабатываемых работодателем персональных данных соответствует целям обработки, предусмотренным трудовым законодательством, и не превышает установленные перечни. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве / Официальный сайт Роскомнадзора. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016) Далее по тексту приводятся примеры ситуаций, когда работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника:

· в случаях, предусмотренных коллективным договором, правилами внутреннего трудового распорядка, соглашением, локально-нормативными актами работодателя, принятыми в порядке, установленном статьей 372 Трудового кодекса. По правилу статьи 68 ТК РФ работник должен быть ознакомлен с локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, и коллективным договором до подписания трудового договора;

· обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством РФ. Так, медицинские организации обязаны информировать граждан в доступной форме, в том числе с использованием сети "Интернет", о работающих в ней медицинских работниках, а также об их уровне образования и об их квалификации Пункт 7 части 1 статья 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

· обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой работника Унифицированная форма № Т-2, утвержденная постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в установленных законодательством случаях, например, оформление допуска к государственной тайне или оформление социальных выплат;

· обработка специальных категорий персональных данных работника в рамках трудового законодательства, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции;

· обработка персональных данных работника при осуществлении пропускного режима на территорию работодателя, если организация пропускного режима осуществляется работодателем самостоятельно либо соответствует порядку, предусмотренному коллективным договором, локально-нормативным актом работодателя.

Кроме того, не требует согласие работника обработка персональных данных, необходимая для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве, что подтверждается судебной практикой. Так, анализируя нормы действующего законодательства, суд пришел к выводу о правомерности действий работодателя по предоставлению сведений об истце без его согласия адвокату, представлявшему интересы потерпевшей стороны в рамках уголовного дела на основании адвокатского запроса, поскольку названные сведения были переданы суду в связи с осуществлением правосудия. Определение СК по гражданским делам Самарского областного суда от 12 апреля 2011 г. по делу N 33-3378

Трудовой кодекс содержит указание о необходимости получения письменного согласия работника в случае, если его персональные данные возможно получить только у третьей стороны. Причем работник должен быть уведомлен об этом заранее (пункт 3 статьи 86 ТК РФ). В таком уведомлении необходимо указать:

- цели получения персональных данных работника у третьего лица;

- предполагаемые источники информации (лица, у которых будут запрашиваться данные);

- способы получения данных, их характер;

- возможные последствия отказа работодателю в получении персональных данных работника у третьего лица.

Информацию, не имеющую отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.

В части первой статьи 88 установлен запрет на передачу персональных данных работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, и в других случаях, предусмотренных ТК РФ или иными федеральными законами. Под «другими случаями» в указанной статье понимается передача персональных данных в ФФОМС и ФСС России статья 15 Федерального закона от 24.07.2009 N 212-ФЗ (ред. от 29.12.2015) "О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования" - это связано с тем, что работодатель, согласно статье 22 Трудового кодекса, обязан осуществлять обязательное социальное страхование работников. Кроме того, работодатель вправе без согласия работника передавать его персональные данные в Пенсионный фонд РФ статья 9 Федерального закон от 01.04.1996 N 27-ФЗ (ред. от 29.12.2015) "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования"; налоговые органы статья 24 Налогового кодекса РФ; в военные комиссариаты статья 4 Федерального закона от 28.03.1998 N 53-ФЗ (ред. от 15.02.2016) "О воинской обязанности и военной службе"; при получении мотивированных запросов от прокуратуры, правоохранительных органов, профсоюзов о его членах Письмо Роскомнадзора от 27.06.2011 N ШР-13444 "О результатах рассмотрения обращения", государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, а также в случаях, связанных с выполнением работником должностных обязанностей, в том числе, при его командировании Постановление Правительства РФ от 09.10.2015 N 1085 "Об утверждении Правил предоставления гостиничных услуг в Российской Федерации". При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) -- его родственников. В данной ситуации согласия работника на передачу его персональных данных также не требуется (статья 228 ТК РФ).

Таким образом, в распоряжении работодателя находится большой массив персональных данных работника, которые он вправе обрабатывать без согласия работника для обеспечения своей деятельности.

Однако, в ходе трудовых отношений встречаются случаи, не предусмотренные законодательством и поэтому требующие согласия работника, например, трансграничная передача персональных данных. Такое согласие может быть оформлено письменно как в виде отдельного документа, так и закреплено в качестве одного из условий непосредственно в трудовой договор Трудовое право России. 3-е издание / Под ред. А. М. Куренного. - М.: Проспект, 2015.. Кроме того, необходимо соблюдать требования, предъявляемые к его содержанию статьей 9 Закона о персональных данных, в частности согласие должно быть конкретным, информированным и сознательным, а также предоставляться по воле и в интересах их субъекта. К обязательным реквизитам письменного согласия на обработку персональных данных относятся:

1) фамилия, имя, отчество, адрес, сведения о документе, удостоверяющем личность работника;

2) фамилия, имя, отчество, адрес сведения о документах, удостоверяющих личность представителя работника, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя работника);

3) наименование работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие;

6) наименование третьего лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

7) перечень действий с передаваемыми персональными данными, общее описание используемых способов их обработки;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

1.3 Права субъектов персональных данных и обязанности оператора, предусмотренные законодательством РФ в трудовых отношениях

Перечень прав работника в целях защиты хранящихся у работодателя персональных данных, установленный статьей 89 ТК РФ, коррелируются с правами субъекта персональных данных главы 3 ФЗ №152.

Так, работник имеет право на полную информацию о своих персональных данных и их обработке, а также обладает свободным и бесплатным доступом к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. Однако, при истребовании работником документов, содержащих его персональные данные, необходимо учитывать норму статьи 62 ТК РФ об обязанности предоставления только копий документов, связанных с работой (копии приказа о приеме на работу и об увольнении, приказов о переводах на другую работу; выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного работодателя и другое). Например, в соответствии с судебной практикой к указанным документам не относятся докладные записки на основании которых принято решение об увольнении работника, поскольку они относятся к документам производственного характера и не касаются трудовой деятельности работника Апелляционное определение Челябинского областного суда от 25.09.2014 по делу N 11-10216/2014 .

Помимо копий документов, связанных с работой, работник, как субъект персональных данных, имеет право на получение информации, касающейся обработки его персональных данных, именно:

· сведения о лицах, которым могут быть раскрыты персональные данные на основании договора с работодателем или на основании федерального закона;

· сроки хранения персональных данных;

· информацию об осуществленной или о предполагаемой трансграничной передаче данных;

· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка поручена такому лицу, и прочее.

В правиле части первой статьи 89 Трудового кодекса существуют исключения - право работника на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, полученных в результате оперативно-розыскной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации доходов, полученных преступным путем. Так, федеральным законом предусмотрено опубликование сведений о доходах государственных служащих и иных предусмотренных законом лиц в информационно-телекоммуникационной сети Интернет на официальных сайтах соответствующих служб статьи 2, 4, 8, 15 Федерального закона от 03.12.2012 N 230-ФЗ "О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам";

3) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Это исключение уточняется судебной практикой: «запрос на копию записей должен ограничиваться информацией, относящейся к сведениям запрашиваемого лица, и не содержать персональных данных других работников. Впрочем, запрашиваемое лицо не лишается возможности истребовать от работодателя выписки из документов, касающейся лично его». Кассационное определение Пермского краевого суда от 16 марта 2011 г. по делу № 33-2419

Кроме того, работник вправе требовать от работодателя исключения или исправления неверных или неполных персональных данных, а при отказе работодателя, заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения. Так, если работник по итогам оценки персонала не согласен с ее результатами, он может изложить свой комментарий и приложить его к оценочному листу.

В качестве специальных норм в отношении прав работников на защиту их персональных данных, закрепленных в ТК РФ, можно выделить возможность: