Основные положения законодательства в области защиты персональных данных работников

· определения представителей для защиты своих персональных данных;

· доступа к медицинской документации, отражающей состояние здоровья работника, с помощью медицинского работника по их выбору;

· требования об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Таким образом, работник обладает более широким перечнем прав, нежели обычный субъект персональных данных. Но, несмотря на это, законодатель не предусмотрел обязанностей работника в области обработки персональных данных, в частности, предоставление работодателю какой-либо личной информации в ходе трудовых отношений. С другой стороны сокрытие работником сведении?, способных повлиять на принимаемые работодателем решения в отношении данного работника, впоследствии могут быть расценены как злоупотребление правом со стороны работника. Трудовое прав России : учебник для бакалавров / отв. ред. Ю. П. Орловскии?. -- М. : Издательство Юраи?т, 2014. -- С. 313 Так, при установлении факта злоупотребления правом суд может отказать в удовлетворении иска о восстановлении на работе, поскольку работодатель не должен отвечать за неблагоприятные последствия, наступившие вследствие недобросовестных действий Пункт 27 Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации".

В процессе обработки персональных данных работников к работодателю применяется ряд требований, которые он обязан выполнить. Это связано с тем, что именно работодатель осуществляет такую обработку и несет ответственность за безопасность полученных от работника данных.

Одним из требований является опубликование документа, определяющего политику работодателя в отношении обработки персональных данных. Такой документ больше направлен на внешнюю среду компании, однако в политике целесообразно рассмотреть порядок обработки персональных данных соискателей, желающих устроиться на работу к работодателю. Особенность политики компании в отношении обработки персональных данных заключается в необходимости обеспечения неограниченного доступа к документу. Например, можно опубликовать соответствующую политику на официальном сайте компании или организовать стенд в приемной.

Кроме того, работодателю необходимо издать локально-нормативный акт по вопросам обработки персональных данных работников, содержащим также их права, обязанности, порядок передачи персональных данных работников в пределах компании и другие моменты. Такой локально-нормативный акт может выступать в качестве самостоятельного документа или быть приложением правил внутреннего трудового распорядка. В любом случае издание такого локально-нормативного акта происходит в порядке статьи 372 ТК РФ и подлежит ознакомлению каждым работником. Тем самым работодателем будет выполнено требование пункта 10 статьи 86 ТК РФ в части совместной выработки с представителями работников мер по защите их персональных данных.

В пункте 3 статьи 86 ТК РФ указано, что все персональные данные работника следует получать у него самого. Однако бывают случаи, когда работодатель имеет право обрабатывать персональные данные работников в рамках контроля за исполнением ими рабочих обязанностей, делая запросы в другие организации. Так, суд признал правомерным запрос работодателя в районный суд с уточнением о наличии дел с участием работника, и находился ли он в здании суда в запрашиваемый срок, поскольку, запрашивая информацию о месте нахождения работника в рабочее время, работодателем осуществлены полномочия по контролю за трудовой дисциплиной. Кроме того, сведений о цели посещения истцом районного суда в запросе и в представленной информации не имеется, а значит по своему характеру и объему информация, которая была запрошена работодателем и представлена судом, не является персональными данными по смыслу, заложенному в статье 3 152 ФЗ. Апелляционное определение СК по гражданским делам Верховного суда Удмуртской Республики от 23 апреля 2012 г. по делу N 33-1198

Из права работника на полную информацию о его персональных данных и обработке этих данных вытекает обязанность работодателя предоставить работнику такую информацию в установленные законом сроки. Так, в соответствии со статьей 62 ТК РФ работодатель не позднее трех рабочих дней со дня подачи письменного заявления обязан выдать работнику копии документов, связанных с работой, заверенные надлежащим образом. В исключительных случаях, когда право работника на доступ к его персональным данным ограничено, работодатель обязан дать письменный мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней с даты получения запроса.

Работодатель должен обеспечить работнику свободный бесплатный доступ к его персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. Также в срок, не превышающий 7 рабочих дней со дня предоставления работником сведений, подтверждающих, что его персональные данные являются неполными, неточными или неактуальными, работодатель обязан внести в них необходимые изменения, а затем уведомить работника о внесенных изменениях и принять разумные меры для уведомления третьих лиц, которым были переданы такие персональные данные.

В ходе обработки работодатель обязан принять ряд мер, направленных на выполнение своих обязанностей в области защиты персональных данных работника, в том числе назначить ответственного работника за организацию обработки персональных данных и включить в его должностную инструкцию положения, регламентирующие права, обязанности и ответственность данных лиц, возникающую при работе с персональными данными работников Комментарий к Трудовому кодексу Российской Федерации. - 6-е изд., испр., доп., перераб. / Ответственный редактор профессор Ю. П. Орловский. - М.: Юридическая фирма «Контракт», «Инфра-М», 2014.; за счет собственных средств обеспечить защиту персональных данных работника от неправомерного их использования или утраты; осуществлять внутренний контроль соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, а также ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, требованиями к защите персональных данных, проводить обучение указанных работников.

Проверку реализации перечисленных мер и наличие документации, связанной с защитой персональных данных, осуществляет Роскомнадзор как орган, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства.

Статья 88 ТК РФ регулирует передачу персональных данных и устанавливает к ней следующие требования:

· при предоставлении персональных данных третьим лицам запрашивать согласие их владельца;

· не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

· предупреждать получателей персональных данных работника о необходимости использования полученных данных исключительно в заявленных при передаче целях, а также соблюдать режим секретности в процессе обработки. Более того, работодатель может запросить подтверждение соблюдения этого требования у получателей. Здесь важно отметить, что в соответствии с пунктом 5 статьи 6 152-ФЗ в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор, а лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. Отметим, что рассмотренное требование не распространяется на передачу персональных данных работника, предусмотренную ТК РФ или иным федеральным законом;

· передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, причем работодателю необходимо ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

В части передачи персональных данных третьим лицам существует спорный момент по поводу предоставления трудового договора с генеральным директором акционерам общества. В силу Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах» (далее - 208-ФЗ) общество обязано обеспечить всем акционерам, независимо от типа и количества принадлежащих им акций, доступ к документам, которые данное общество обязано хранить. Согласно Перечню типовых управленческих архивных документов, образующихся в процессе деятельности, организация обязана хранить трудовые договоры, следовательно, такие договоры должны предоставляться для ознакомления по требованию акционера акционерного общества. Так, ряд судов принимают решения о предоставлении трудовых договоров с руководителями организации акционерам без согласия работника Постановление Федерального арбитражного суда Дальневосточного округа от 12 января 2011 г. N Ф03-8624/2010 по делу N А73-8147/2009 Постановление Федерального арбитражного суда Московского округа от 31 августа 2012 г. N Ф05-14523/11 по делу N А40-61549/2011

Однако такая позиция не представляется верной, с учетом того, что в соответствии со статьей 67 ТК РФ и статьей 3 Закона о персональных данных трудовой договор является документом, содержащим персональные данные работника, а статьей 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне. К тому же КС РФ пришел к выводу, что положение абзаца первого пункта 1 статьи 91 208-ФЗ об обязанности акционерного общества обеспечить акционерам доступ к своим документам направлено, среди прочего, на обеспечение информационной открытости хозяйственной деятельности акционерного общества и возможности реализации акционерами своих прав, однако при этом необходимо учитывать, что в соответствии со статьей 17 (часть 3) Конституции РФ осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц Определение КС РФ от 18.06.2004 N 263-О. Таким образом, трудовые договоры с руководством общества содержат персональные данные и предоставляются акционерам только с согласия таких работников, что подтверждается более обширной судебной практикой. Постановление Федерального арбитражного суда Московского округа от 29 апреля 2010 г. N Ф05-3725/10 по делу N А40-159104/2009 Постановление Федерального арбитражного суда Московского округа от 27 марта 2012 г. N Ф05-4/12 по делу N А40-79903/2011

В соответствии со статьями 17, 19 Федерального закона от 12.01.1996 № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением законодательства о труде в организациях, в которых работают члены данного профсоюза, а также требовать устранения выявленных нарушений (статья 370 ТК РФ). При передаче персональных данных работников в профсоюзные организации работодателю необходимо учитывать, что на основании вышеизложенных норм профсоюзы имеют право бесплатно и беспрепятственно получать только ту информацию, которая необходима для защиты прав и интересов ее членов. Определения Свердловского областного суда от 13.09.2012 N 33-11534/2012,

В процессе трудовых отношений возникают ситуации, когда работодателю необходимо передать персональные данные работника в другую страну, например, если работодатель является представителем иностранной компании. Согласно пункту 1 статьи 12 152-ФЗ, персональные данные работников могут передаваться в те страны, которые также, как и Россия, присоединились к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также в страны, не являющиеся ее стороной, но обеспечивающие адекватную защиту прав субъектов персональных данных. Таким образом, перед передачей персональных данных работника работодателю необходимо убедиться, что на территории иностранного государства обеспечивается адекватная защита прав субъектов персональных данных. Кроме того, такая передача допускается только с письменного согласия владельца информации. По требованию владельца работодатель также обязан предоставить сведения об уже осуществленной или планируемой передаче персональных данных. Трудовое право России. 3-е издание / Под ред. А. М. Куренного. Указ.работа

Новеллой в российском законодательстве является требование о локализации баз данных, содержащих персональные данные граждан РФ, на территории РФ, установленное Федеральным законом от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (далее - 242-ФЗ ). Так, в соответствии с новой редакции статьи 18 ФЗ № 152 при сборе персональных данных, оператор обязан обеспечить запись, систематизацию, накопление, хранение, обновление, изменение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Под действие новой нормы попадают иностранные компании, имеющие филиал или представительство на территории РФ. С 1 сентября 2015 года указанные компании-работодатели не имею права производить перечисленные действия за границей РФ, тем самым на них распространяется требование перенести все базы данных, содержащие персональные данные работников, являющихся гражданами РФ, на территорию России. Вместе с тем базы, созданные за рубежом до сентября 2015 года, могут не переноситься. Примечательно, что обновлять такие базы данных работодатели-иностранцы права не имеют.

Новый закон не коснулся возможности трансграничной передачи персональных данных в связи с тем, что передача информации из сформированной в РФ базы персональных данных на территорию иностранного государства представляет собой отдельный вид обработки персональных данных, который не указан в перечне пункта 5 статьи 18 ФЗ № 152. Предоставление доступа к базам данных на территории РФ также не запрещен 242-ФЗ. Однако при предоставлении соответствующего доступа оператору следует определить перечень прав, которые могут быть предоставлены оператору - иностранному лицу.Обязанности операторов персональных данных/ Интернет-ресурс, посвященный реализации закона 242-ФЗ ULR: http://pd-info.ru/companies/ (дата обращений: 27.04.2016)

Не вызывает сомнений тот факт, что 242-ФЗ принят в целях дополнительной защиты персональных данных, однако эффективность принятых норм покажет дальнейшая правоприменительная и судебная практика.

1.4 Соотношение норм о защите персональных данных работников в российском законодательстве и международном праве

В аспекте анализа норм российского законодательства в области защиты персональных данных интересно рассмотреть регулирование этого вопроса на международном уровне, которое состоит из большого количества документов. Однако в целях настоящего исследования нам интересны только те, которые могут быть отнесены к процессам обработки персональных данных работников РФ. Среди таких международных актов можно выделить следующие:

1. Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее - Конвенция);

2. Модельный закон «О персональных данных» (далее-Модельный закон);

3. Рекомендации Совета министров СЕ NoR(89)2 1989 г. (далее - Рекомендации, Рекомендации СЕ);

4. Кодекс практики МОТ 1997 г. (далее - Кодекс практики, Кодекс практики МОТ).

19 декабря 2005 года Президент РФ подписал Федеральный закон от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" (далее - 160-ФЗ), тем самым возложив на Россию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов персональных данных в отношении автоматизированных файлов персональных данных и автоматизированной обработки персональных данных.

В связи с тем, что статья 3 Конвенции допускает ее принятие с определенными заявлениями, то любое государство, желающее присоединиться к Конвенции, может правомерно заявить, что оно не будет применять Конвенцию к определенным категориям автоматизированных баз персональных данных. Как это усматривается в 160-ФЗ, такой возможностью воспользовалась РФ. Можно отметить в отношении неприменения Конвенции к сведениям, составляющим государственную тайну, достаточно широкое поле для злоупотребления правом.

Так, перечень сведении, составляющих государственную тайну, установлен одноименным Федеральным законом Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) "О государственной тайне", следовательно, при соблюдении установленной законом процедуры такой перечень может быть и пересмотрен, и расширен. Горохов Д.И. Конвенция Совета Европы о защите физических лиц при автоматической обработке персональных данных // Национальная безопасность. 2013. № 1 (24). С. 165--170

Рассматривая положения международного и российского законодательства в отношении защиты персональных данных, можно выделить как общие черты, так и некоторые расхождения. Например, сравнивая цели Конвенции и Закона о персональных данных, очевидно более фундаментальный подход рассматриваемого закона, так как целью 152-ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также неприкосновенность частной жизни, личной и семейной тайны, а Конвенции - обеспечении на территории каждой стороны для каждого физического лица, независимо от гражданства или места жительства, уважения его права на неприкосновенность частной жизни в отношении автоматизированной обработки персональных данных. Очевидно, что понятия «уважение» и «защита» не тождественны по своему смыслу, более того, Конвенция акцентирует свое внимание исключительно на автоматизированной обработке персональных данных, а 152-ФЗ на все отношения, связанные с обработкой персональных данных в информационных системах. Цель Модельного закона также значительно уже 152-ФЗ, так как заключается в защите прав человека в отношении его персональных данных и операций с ними.

С точки зрения понятийного аппарата определение персональных данных в рассматриваемых актах звучит одинаково - в этом плане российский законодатель выполнил свои обязательства.

Однако, не смотря на широкий перечень определений, ни 152-ФЗ ни ТК РФ не содержат такого понятия, как «мониторинг персональных данных», включенного в Кодекс практики МОТ. Отмеченное определение означает использование видеооборудования, звуковых устройств, компьютера, телефона и иных средств связи, различных методов идентификации и установления месторасположения, либо любой иной вид наблюдения. Так, в соответствии со статьей 86 ТК РФ работодатель при принятии решений в отношении работника не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения, а Кодекс практики дополняет похожую норму указанием на данные, полученные в следствии электронного мониторинга, что представляется в большей степени урегулированным. Включение определения мониторинга в ТК РФ и в 152-ФЗ помогло бы четче контролировать процесс защиты данных. Лютов Н.Л., Герасимова Е.С. Международные трудовые стандарты и российское трудовое законодательство. - 2-е изд., доп. и пераб. - М.: Центр социально-трудовых прав, 2015. - С. 143

В отношении круга лиц положения Рекомендаций и Кодекса практики охватывают не только действующих работников, вступивших в трудовые отношения (статья 20 ТК РФ), но и соискателей и работников, с которым трудовой договор уже расторгнут. Такой подход ставит названные категории граждан РФ в менее выгодное положение по сравнению с международными стандартами.

Если сравнить определения автоматизированной обработки, данные в Конвенции и в Законе о персональных данных, то международная дефиниция представляется более подробной, так как содержит в себе уточнение содержания операции, осуществляемой полностью или частично с помощью автоматизированных средств, а именно хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.

Принципы обработки персональных данных в российском законодательстве полностью соответствуют международным нормам Конвенции и Модельного закона, хотя некоторые положения перенесены в отдельные статьи и федеральные законы - имеется в виду норма об обеспечении открытости отдельных лиц, например, государственных служащих, медицинский и педагогический персонал.

В соответствии со статьей 6 Конвенции специальные категории данных, касающиеся расовой принадлежности, политических взглядов или религиозных убеждений, здоровья или половой жизни не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий. Это положение действует также в отношении персональных данных, касающихся судимости. В Кодексе практики говорится о том, что работодатель не должен собирать данные о сексуальной жизни работника, его политических, религиозных и иных взглядах, о криминальном прошлом (пункты 6.5 - 6.6). С точки зрения российского законодательства обработка таких сведений также запрещена с учетом довольно широкого перечня исключений, кроме того, в соответствии со статьей 351.1 ТК РФ на основании сведений о судимости устанавливаются ограничения на занятие трудовой деятельностью в сфере образования, воспитания, развития несовершеннолетних, организации их отдыха и оздоровления, медицинского обеспечения, социальной защиты и социального обслуживания, в сфере детско-юношеского спорта, культуры и искусства с участием несовершеннолетних.

Рассматривая специальные категории персональных данных, стоит отметить, что ни Модельный закон, ни Конвенция не содержат понятия биометрических персональных данных, когда 152-ФЗ уделяет таким данным отдельную статью.

В отношении трансграничной передачи Закон о персональных данных и Модельный закон расширяют положения Конвенции в части ограничения трансграничных потоков в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. На наш взгляд это связано с тем, что положения Конвенции охватывают только трансграничные отношения сторон Конвенции, когда как нормы Закона о персональных данных и Модельного закона также содержат возможность передачи персональных данных в страны, не ратифицировавшие Конвенцию.

Права субъектов персональных данных, закрепленные положениями законодательства РФ корреспондируют с нормами Конвенции а также с правами, установленными для граждан государств-участников СНГ. Вместе с тем национальное законодательство содержит уточнения в части ограничения прав субъекта на свои персональные данные в соответствии с федеральными законами.

В отношении получения персональных данных от работника в международных актах установлены некоторые интересные положения, в частности, согласно пункту 6.8. Кодекса практики если работнику задаются вопросы, несовместимые с провозглашенными принципами, за неточные или неполные ответы такой работник не может быть подвержен дисциплинарному наказанию или уволен; или пункт 6.9. этого же документа устанавливает, что персональные данные, переданные по ошибке или в следствие неправильного понимания и выходящие за пределы запроса работодателя, не должны обрабатываться. В национальном законодательстве похожих норм пока не существует.

Также на международном уровне содержится запрет на использование полиграфов, оборудования для проверки правды и иных сходных процедур (пункт 6.10 Кодекса практики), более того, тесты, оценивающие личность и иные сходные с ними тестирования могут использоваться только с соблюдением условий Кодекса практики, причем работник вправе возражать против такой процедуры ( пункт 6.11 Кодекса практики и Рекомендации). В российском праве такие положения не установлены.

На основании приведенных сравнений можно сделать вывод, что 152-ФЗ в сфере охвата гораздо шире Конвенции или Модельного закона, что логично, так как он является внутренним документом государства и в его задачи входит урегулирование большого количества отношений. Однако, из вышесказанного видно, что существует много возможностей для уточнения национального законодательства, обеспечив тем самым более высокую степень защиты прав человека и работника в отношении их личной информации. Так, могли бы быть существенно конкретизированы нормы, касающиеся получения персональных данных работника, а также урегулированы личностные методы оценки персонала с учетом Кодекса практики и Рекомендаций.

Если рассматривать настоящую главу в целом, представляется возможным выделить несколько направлений для усовершенствования национального законодательства в области защиты персональных данных.

В частности, на наш взгляд, расширение круга лиц, попадающих под действие главы 14 ТК РФ путем ее переименования с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях» будет способствовать повышению уровня защищённости прав не только действующих работников, но и лиц, поступающих на работу, а также тех, с кем трудовой договор уже расторгнут.

Например, по смыслу статьи 10 152-ФЗ информация о членстве в профсоюзах не относится к специальной категории персональных данных, а значит обрабатывается на общих основаниях, тогда как Трудовой кодекс запрещает обработку такой информации для защиты работника от дискриминации. Применительно к соискателям запрет обработки информации о членстве в профсоюзах по нашему мнению, будет способствовать уменьшению количества отказов при приеме на работу по причинам, не связанными с профессиональными или деловыми качествами. Так, в настоящее время 2,4% пользователей портала JOB.RU отмечают дискриминацию по признаку членства в профсоюзе Михайлова А. Трудоустройство без дискриминации: миф или реальность? // Информационно-правовой портал ГАРАНТ.РУ. URL: http://www.garant.ru/article/555098/#ixzz472w3MRI9 (дата обращения: 27.04.2016), что свидетельствует о том, что такая дискриминация существует.

К тому же, исходя из целей обработки персональных данных, заложенных в статье 86 ТК РФ, а именно содействие работникам в трудоустройстве, логично предположить, что речь в главе идет именно о трудовых и непосредственно связанных с ними отношениях согласно статье 2 ТК РФ, нежели об отношениях по букве статьи 15 ТК РФ, как следует из настоящего заголовка.

Другим несовершенством законодательства в области обработки персональных данных, отмеченное в настоящей главе, является противоречие норм Постановления N 687 и 152-ФЗ в части определения неавтоматизированной обработки персональных данных. Как отмечалось ранее, Постановление N 687 относит такие действия с персональными данными, содержащимися в информационной системе персональных данных, как использование, уточнение, распространение, уничтожение при непосредственном участии человека к неавтоматизированной обработке. Однако, в статье 3 152-ФЗ указано, что любая обработка персональных данных с помощью средств вычислительной техники является автоматизированной. Таким образом, получается, что уточнение персональных данных работника путем внесения в информационную систему сведений о полученном образовании, можно считать как автоматизированной, так и неавтоматизированной.

Не смотря на то, что с точки зрения юридической силы федеральный закон преобладает над постановлением Правительства РФ, на наш взгляд вопрос рассмотренного противоречия норм является существенным для трудовых отношений. В связи с тем, что указанные документы предъявляют различные требования к процессу обработки персональных данных, в том числе работников, устранение такого несоответствия является назревшим изменением действующего законодательства.

ГЛАВА 2. РЕГУЛИРОВАНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ПРОЦЕССЕ ТРУДОВЫХ И ИНЫХ, СВЯЗАННЫХ С НИМИ, ОТНОШЕНИЙ

Обработка персональных данных в трудовых отношениях представляет собой постоянный процесс, который начинается с момента решения соискателя предложить свою кандидатуру определенному работодателю и предоставления ему необходимых сведений для приема на работу, осуществляется в течение всего периода работы в компании: на этапе испытательного срока, в ходе оценки выполняемой работы, начислении заработной платы, прохождении обучения, переводах, командировках, отпусках, увольнении и продолжается после расторжения трудового договора до тех пор, пока работодатель не прекратит свою деятельность или сроки хранения документов не истекут. В результате такой длительной процедуры возникают многочисленные вопросы право применения, цель настоящей главы рассмотреть основные из них.

2.1 Особенности регулирования персональных данных при приеме на работу

В настоящем исследовании уже неоднократно упоминалось, что нормы Трудового кодекса в области защиты персональных данных распространяются исключительно на действующих работников, с которыми заключен трудовой договор. Однако, любой работодатель в процессе своей деятельности многократно сталкивается с необходимостью приема на работу новых сотрудников, поэтому представляется не лишним рассмотреть вопросы защиты персональных данных такой категории, как соискатели.

Так как соискатель является самостоятельным лицом, трудовой договор с которым еще не заключен его персональные данные обрабатываются по правилу статьи 6 152-ФЗ, то есть с согласия субъекта персональных данных.

С другой стороны, исходя из смысла пункта 2 статьи 6 152-ФЗ, обработка считается законной в случаях, предусмотренных международным договором или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Так, статьей 16 ТК РФ устанавливается перечень дополнительных оснований возникновения трудовых отношений, предшествующие трудовому договору, одним из которых является конкурс на замещение соответствующей должности. В статье 18 ТК РФ конкретизируется такое основание - трудовые отношения будут считаться возникшими, если трудовым законодательством, иными нормативными правовыми актами, или уставом организации определены перечень должностей, подлежащих замещению по конкурсу, и порядок конкурсного избрания на эти должности. Например, в соответствии со статьей 332 ТК РФ заключению трудового договора предшествует избрание по конкурсу на замещение должности педагогического работника, относящегося к профессорско-преподавательскому составу, в организации, осуществляющей образовательную деятельность по реализации образовательных программ высшего образования и дополнительных профессиональных программ, а также переводу на такую должность. Следовательно, не требуется согласие соискателя на обработку его персональных данных, предъявляемых с целью замещения по конкурсу вакантной должности в связи с тем, что такая обработка предусмотрена законодательством РФ.

Кроме того, согласие на обработку персональных данных от соискателя не требуется, если претендент на открытую вакансию самостоятельно разместил своего резюме в сети Интернет, тем самым сделав его доступным неограниченному кругу лиц. В таком случае по правилу пункта 10 части первой статьи 6 Закона о персональных данных обработка персональных данных, сделанных общедоступными субъектом персональных данных, считается правомерной.

В случае, когда соискателя представляет кадровое агентство, с которым данное лицо заключил соответствующий договор, согласие на обработку работодателем также не запрашивается. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Указ.работа. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016) Так как за защиту персональных данных соискателя отвечает соответствующее кадровое агентство, которое обязано предупредить работодателя о необходимости соблюдения конфиденциальности предоставляемой информации.

Зачастую в процессе поиска работы соискатель отправляет свое резюме понравившемуся работодателю по электронной почте. Роскомнадзор дает следующий комментарий по этому поводу: «В случае получения резюме соискателя по каналам электронной почты работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.” Представляется, что в данном разъяснении речь идет о любой обратной связи на письмо соискателя. С точки зрения делового этикета такой ответ подразумевается сам по себе. Однако, юридических предпосылок в данном контексте не прослеживается. Необходимость ответа на письмо соискателя появляется только в случае, указанном статьей 64 ТК РФ, а именно обязанность работодателя сообщить причину отказа по письменному требованию лица, которому отказано в заключении трудового договора.

В случае сбора и обработки персональных данных соискателя на основании письменной анкеты, заполняемой непосредственно кандидатом, такая анкета должна соответствовать требованиям п. 7 Постановления № 687, в частности, содержать сведения о цели обработки персональных данных, сроки обработки и перечень действии? с ними, также предусматривать поле для отметки о согласии на обработку персональных данных соискателем. Такая анкета может размещаться в электронной форме на сайте работодателя - в этом случае согласие на обработку персональных данных подтверждается соискателем путем проставлением отметки в соответствующем поле. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Указ.работа. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016) Также стоит принимать во внимание указанное положение в случае, если пропускная система на территорию работодателя организована таким образом, что каждый посетитель компании отмечается в журнале прохода посетителей и работников. В частности, пункт 8 Постановления № 687 содержит следующие условия:

а) необходимость ведения такого журнала должна быть предусмотрена локально-нормативным актом оператора;

б) не допускается копирование информации, содержащейся в таких журналах;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал не более одного раза в каждом случае пропуска на территорию оператора.

Согласно пункту 4 статьи 21 152-ФЗ при достижения цели обработки, оператор обязан ее прекратить и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено федеральными законами. В связи с тем, что отношения соискателей и работодателя на федеральном уровне не регулируются, а договор между ними еще не заключен, работодатель при трудоустройстве одного из кандидатов должен уничтожить персональные данные остальных претендентов на вакантную должность в указанный срок.

В ряде случаев при отборе кандидатов запрашивается информация о соискателе на его предыдущих местах работы в виде характеристики или рекомендации. Так, работодатель вправе запросить, а бывший работодатель -- предоставить такую информацию на основании письменного согласия поступающего на работу лица. При этом требования законодательства не будут нарушены. Трудовое прав России : учебник для бакалавров / отв. ред. Ю. П. Орловскии?. -- М. : Издательство Юраи?т, 2014. -- С. 316

Однако, требование предоставления согласия соискателя не распространяется на случаи заключения трудового договора с бывшим государственным или муниципальным служащим. Согласно статьей 64.1 ТК РФ работодатель при заключении трудового договора с такими гражданами в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении трудового договора работодателю по последнему месту его службы в соответствующем порядке - эта норма призвана способствовать обеспечению контроля за соблюдением бывшими государственными и муниципальными служащими ограничений и запретов, установленных законодательством в целях противодействия коррупции на территории РФ.

Кроме того, не требуется согласие для уточнения или получения дополнительной информации по прежним местам работы о соискателях, подавших документы на замещение вакантных должностей государственной гражданской службы, поскольку перечень предоставляемых документов, определен федеральным законом. пункт 12 статья 22 Федерального закона от 27.07.2004 N 79-ФЗ (ред. от 30.12.2015) "О государственной гражданской службе Российской Федерации"

Одним из важных вопросов при предоставлении информации является ее достоверность, поэтому ряд работодателей устраивают дополнительные проверки кандидатов при приеме на работу и в процессе трудовой деятельности, включая проверку на детекторе лжи (полиграфе). Законодательство РФ не содержит прямых запретов на такие действия в отличие от международных норм права. Хотя проверка на полиграфе носит добровольный характер и осуществляется на основании письменного согласия, представляется халатной невнимание законодателя к вопросам регулирования подобной процедуры хотя бы потому, что с проведением проверки зачастую связаны случаи незаконного наложения дисциплинарных взысканий, увольнений, и принуждения к расторжению трудового договора. Апелляционное определение Омского областного суда от 7 августа 2013 г. по делу N 33-4836/13^, Апелляционное определение Тюменского областного суда от 14.04.2014 по делу N 33-1741/2014^, Апелляционное определение Московского городского суда от 16.03.2015 по делу N 33-7951/2015 Между тем, в зарубежном законодательстве тестирование работников на полиграфе либо запрещается (в провинциях Нью-Брансвик и Онтарио в Канаде, в штате Новый Южный Уэльс в Австралии), либо применение полиграфа в трудовых отношениях строго регламентируются. Например, в США существует Закон о защите работников от применения детектора лжи 1988 г. Этот закон запрещает частным предпринимателям использовать детектор лжи при отборе кандидатов и сотрудников. Станскова У. М., Шафикова Г. Х. Соотношение конституционного права работника на частную жизнь и права работодателя на получение информации о работнике. // Вестник Южно-Уральского государственного университета. 2006. № 13.

В 2010 году в Государственную думу РФ был направлен проект Федерального закона "О применении полиграфа", который предлагал введение институтов обязательных и добровольных опросов, установление условий их проведения и регламентирование последствий отказа от такой процедуры. Однако, в 2012 году указанный проект оказался снятым с рассмотрения.

В настоящее время существует ряд проблем в области применения полиграфических исследований. Например, отсутствие регулирования проверок на полиграфе затрудняет и сдерживает применение опросов в правоохранительных целях и, одновременно, создает условия для злоупотреблений этим методом как в государственной, так и в негосударственной сферах. Также, особую озабоченность вызывает применение полиграфа в сфере частного предпринимательства в виду отсутствия единой системы подготовки и аттестации полиграфологов, что создает условия для дискредитации метода и нарушения прав субъектов при использовании результатов опросов. На наш взгляд необходимо вернуться к вопросу регулирования полиграфических исследований и установить нормы, защищающие работников, приняв во внимание положения Кодекса практики и Рекомендаций в отношении подобных проверок.

2.2 Особенности регулирования персональных данных работника на период трудовой деятельности

Итак, в случае положительного ответа от работодателя соискателем предоставляется, в соответствии со статьей 65 ТК РФ, перечень документов для приема на работу. Получать согласие на их обработку от соискателя не требуется в связи с тем, что статья 6 152-ФЗ напрямую указывает о правомерности обработки персональных данных необходимых для исполнения договора.

Однако, у работодателей получило широкое применение практика получения от работника письменного согласия на обработку его персональных данных одновременно с заключением трудового договора, которое оформляется в виде акта, заранее подготовленного работодателем, и подписывается работником. Данные в таком акте обычно делятся на те, которые прямо предусмотрены федеральными законами, и те, которые могут понадобиться работодателю в связи с трудовыми отношениями (то есть не конкретизированные). Согласно мнению таких ученых, как Лушников А.М. и Лушникова М.В. указание на первые бессмысленно, а на вторые - ничтожно. Ученые подкрепляют свою позицию тем, что в случаях, предусмотренных федеральными законами, согласие или отказ работника никак не влияет на права и обязанности работодателей в области защиты персональных данных. Получение согласия работника на дальнейшую обработку неопределенного круга персональных данных на весь период действия трудового договора неправомерно в силу положений статьи 9 152-ФЗ. Лушников А.М. Лушникова М.В. Информация и персональные данные в сфере трудовых отношений // Кадровик. Трудовое право для кадровика. 2013. N 6

На наш взгляд трудно не согласиться с такой обоснованной точкой зрения. Действительно, по смыслу статьи 9 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, а также, помимо основных реквизитов, включающих данные о работнике и работодателе, дату и подпись предоставившего персональные данные лица, содержать цель обработки и перечень персональных данных, на обработку которых дается согласие субъекта. Таким образом, в акте о согласии могут указываться только конкретные персональные данные конкретного работника, иные условия будут считаться ничтожными.

В ряде случаев, связанных с трудовой деятельностью и функционированием компании, конкретное согласие работника все же необходимо. Например, когда персональные данные работников передаются и обрабатываются третьими лицами.

Так, некоторые работодатели для обеспечения кадрового документооборота заключают договор со сторонними организациями об оказании услуг по ведению соответствующего делопроизводства. Организация, осуществляющая обработку персональных данных по поручению работодателя, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ. В договоре между работодателем и сторонней организацией должны быть определены перечень действий с персональными данными работников, которые будут совершаться, установлена обязанность организации, принимающей персональные данные работников, соблюдать конфиденциальность полученных данных и обеспечивать безопасность при их обработке, а также должны быть указаны требования к защите обрабатываемой информации. На необходимость перечисленных условий ссылается также Роскомнадзор, разъясняя практику привлечения работодателем сторонних организаций для ведения кадрового и бухгалтерского учета. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Указ.работа. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016)

Рассмотренные требования к договору, заключаемому между работодателем и компанией, осуществляющей у него кадровый учет, распространяются на все договоры, заключаемые работодателем при передаче персональных данных работника третьим лицам, к которым относятся договоры с кредитными организациями, осуществляющими зарплатные проекты у работодателя, или с учреждениями, обеспечивающие дополнительное медицинское страхование работников.

Однако, при заключении договора с кредитными организациями действуют несколько исключений. Не требуется согласие работников в случаях:

· если договор на выпуск банковской карты заключался напрямую с работником;

· наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

· соответствующая форма и система оплаты труда прописана в коллективном договоре. Там же. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016)

Между тем на практике часто встречается несоблюдение работодателями установленных требований, что приводит к необходимости устранить предписания инспекторов Роскомнадзора. Из материалов дела, рассмотренного судом, следует, что работодатель и банк заключили договор об оказании услуг по организации расчетов, в соответствии с которым работодатель предоставляет в банк реестр с указанием паспортных данных работников. А на основании договора на осуществление бухгалтерского и юридического сопровождения общество передает в стороннюю организацию личные карточки учета и трудовые книжки работников. При этом в нарушение части 1 статьи 6 152-ФЗ передача осуществляется без письменного согласия работников. Кроме того, суд установил, что в договоре с банком, отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке. При таких обстоятельствах суд сделал вывод, что выданные обществу предписания соответствуют закону. Постановление ФАС Северо-Кавказского округа от 27.04.2011 по делу N А32-12882/2010

Избежать ответственности за нарушения законодательства о защите персональных данных не удается и тем компаниям, которые действуют в интересах работников. Так, в ходе проведенной проверки инспекторы установили, что ООО «В Контакте» заключило договор добровольного медицинского страхования своих сотрудников. Однако, договор не содержал положений о порядке действий с персональными данными работников, которые будут совершаться страховой компанией, цели обработки, обязанность соблюдать безопасность. Более того, работодатель не получил от каждого сотрудника письменное согласие на передачу его данных в страховую компанию. По всем фактам вышеуказанных нарушений ООО «ВКонтакте» выдано соответствующее предписание. «ВКонтакте» нарушило закон о персональных данных // Петербургская интернет-газета URL: http://www.fontanka.ru/2012/06/13/152/ (дата обращения: 29.04.2016)

Другим важным обстоятельством, требующим письменного согласия работника является осуществление видеонаблюдения на территории компании. В некоторых случаях видеозапись является обязанностью работодателя, например, в помещениях учреждений здравоохранения и образования с целью обеспечения антитеррористической и пожарной безопасности. Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" пункт 6.48 СП 118.13330.2012. "Свод правил. Общественные здания и сооружения. Актуализированная редакция СниП 31-09-2009"

Как показывает судебная практика, многие работники не согласны с работать под таким наблюдением. Так, работник обратился в суд с требованием признать незаконным изменение условий труда, выразившееся во введении системы видеонаблюдения, в связи с тем, что установление этой системы является существенным изменением условий трудового договора. Суд отказал работнику в удовлетворении требований, ссылаясь на то, что в соответствии с положениями статьи 57 ТК РФ наличие или отсутствие видеонаблюдения рабочего места не отнесено к существенным условиям трудового договора. Кроме того, судебная коллегия подтвердила правомерность установления видеонаблюдения на рабочем месте истицы, поскольку оно было установлено для обеспечения сохранности товарно-материальных ценностей, контроля исполнения трудовых обязанностей сотрудников, а работник был поставлен в известность, что его рабочее место оборудовано камерами видеонаблюдения. Апелляционное определение Алтайского краевого суда N 33-8403/2013 от 15 октября 2013 г. по делу.

Таким образом, можно сделать вывод, что суды, рассматривая дела о правомерности видеозаписи рабочего процесса, встают на сторону работодателя, если тот оформил процесс видеосъёмки на своей территории должным образом.

Согласно статье 21 ТК РФ работник имеет право на полную достоверную информацию об условиях труда на рабочем месте. Следовательно, если на территории работодателя установлены камеры - работник должен быть об этом осведомлен. Отсутствие осведомленности будет являться нарушением, так как негласное получение информации возможно лишь по прямому указанию закона. Часть 5 статьи 6 Федерального Закона от 12.08.1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности" содержит прямой запрет на использование специальных и иных технических средств, предназначенных для негласного получения информации не уполномоченными на то лицами. Более того, работник, подозревающий, что за ним ведется скрытое наблюдение, вправе обратиться с заявлением в правоохранительные органы с целью проведения соответствующей? проверки. Стюфеева И.В. Труд под присмотром // СПС КонсультантПлюс. 2015.

Такое правило было принято во внимание при рассмотрении дела Пролетарским районным судом г. Твери, когда работник обжаловал примененное к нему дисциплинарное взыскание за опоздания, которые были зафиксированы видеокамерами, установленными на входе в офис, мотивировав свое мнение незаконным характером видеосъемки. Суд признал недействительным приказ о наложении дисциплинарного взыскания и взыскал в пользу работника компенсацию морального вреда, так как видеозапись была сделана с нарушением закона: локальные нормативные акты работодателя не содержали положении? о видеонаблюдении, работники не были уведомлены. Решение Пролетарского районного суда г. Твери по делу N 2-501/2013 от 03.04.2013 г

К мерам, необходимым для обеспечения выполнения обязанностей работодателя, предусмотренных законодательством в области защиты персональных данных работников, в соответствии с пунктом 2 части первой статьи 18.1 152-ФЗ относится издание локальных актов по вопросам обработки персональных данных и ознакомление с ним под роспись всех работников. Включение в такой акт положений об организованной видеосъёмке является обязательным с учетом рассмотренной судебной практики. Кроме того, согласно установленным принципам обработки персональных данных, при включении в локально-нормативный акт положений о системе видеонаблюдения, важно указать цели, для которых она проводится. Напомним, что Трудовой кодекс содержит закрытый перечень возможных целей обработки персональных данных работников, например, к процессу видеосъёмки можно отнести обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества. Также в локально-нормативном акте целесообразно указать порядок, сроки хранения сделанных видеозаписей и ответственных лиц, имеющих доступ к системе видеонаблюдения.