Особенности правового регулирования защиты персональных данных работников в РФ
Основания для привлечения к ответственности в связи с нарушением законодательства в области защиты персональной информации работников согласно уголовному кодексу России. Правовое регулирование вопросов, связанных с обработкой биометрических данных.
Рубрика | Государство и право |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 02.02.2017 |
Размер файла | 104,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Введение
В современном динамично развивающемся обществе технологии совершенствуются каждый день, сменяя одна другую. Новшества коснулись всех областей жизни человека, в том числе и трудовых отношений. В распоряжении работодателя появились такие инструменты, как видеонаблюдение рабочего процесса, контроль служебных звонков, деловой переписки работников, мониторинг посещения интернет-страниц. Некоторые компании стараются максимально автоматизировать кадровые процессы, так, появились электронные базы личных дел работников и специализированные программы для работы с кадрами.
Все эти изменения сопровождаются обработкой большого количества информации о работниках. Причем как на бумажных носителях, так и в форме электронного документа.
Несомненно, глобальные перемены находят свое отражение в новеллах законодательства. В частности, появились такие понятия, как информационное право, защита информации и персональные данные. Важность нововведений, прежде всего, обусловлена необходимостью защиты прав владельца информации, к которым относится неприкосновенность частной жизни, тайна личной переписки и телефонных переговоров, запрет на обработку сведений без согласия субъекта.
Кроме того, регулирование защиты личной информации или, иными словами, персональных данных в процессе трудовых отношений связано с тем, что работодатели должны иметь возможность получать и хранить необходимые сведения о своих работниках, а работники быть уверены в защищенности предоставляемой информации.
Таким образом, регулирование процессов обработки персональных данных работников, на наш взгляд, является не просто необходимым аспектом для обеспечения деятельности работодателя, но и гарантом защиты конституционных прав каждого лица, поступившего на работу. Причем выявление проблемных моментов в этой отрасли права способствует повышению уровня защищенности как личных интересов работника, так и функционирования компании, и, тем самым предотвращая возможных негативных последствий со стороны проверяющих органов. Следовательно, можно сделать вывод, что исследование защиты персональных данных работников является актуальным и с правовой точки зрения, и с управленческой позиции в том числе.
Цель настоящего исследования:
Подробно рассмотреть особенности правового регулирования защиты персональных данных работников, принимая во внимание научные доводы и факты, действующее законодательство, судебную и правоприменительную практику, выявить возможные пробелы, коллизии, практические проблемы и внести предложения по их устранению.
Для достижения поставленных целей были сформулированы следующие задачи:
· рассмотреть основные положения законодательства в области защиты персональных данных работников, как в национальном праве, так и на международном уровне;
· изучить особенности защиты персональных данных в процессе трудовых и иных, связанных с ними отношений;
· проанализировать виды ответственности и меры наказания за нарушения законодательства в области защиты персональных данных работников с учетом рассмотрения дел о защите персональных данных работников судами РФ.
1. Основные положения законодательства в области защиты персональных данных работников
Идея защиты персональных данных эволюционировала из права человека на защиту от произвольного вмешательства в его личную и семейную жизнь, тайну его корреспонденции, честь и репутацию, провозглашенного Всеобщей декларацией прав человека Генеральной Ассамблеей Организации Объединенных Наций в 1948 году, а потом не раз отраженного в других международных актах, таких как Конвенция Совета Европы о защите прав человека и основных свобод 1950 г. и Международный пакт о гражданских и политических правах 1966 г.
Впервые определение самих персональных данных, а также право на их защиту, было сформулировано в национальном законодательстве Германии в 1970 году (Земля Гессен, закон «О защите персональных данных»), после чего появилось и в других странах - Швеции (1973 г.), Франции (1978 г.).
Вскоре после этого начинают разрабатываться документы, регулирующие защиту персональных данных на международном уровне. Так, 28 января 1981 г. Совет Европы принимает Конвенцию «О защите физических лиц при автоматизированной обработке персональных данных», после чего Европейский Союз выпускает целую серию Директив на тему трансграничной передачи персональных данных, а также защиты их конфиденциальности в секторе электронных средств связи. 23 сентября 1980 г. Организацией по экономическому сотрудничеству и развитию утверждаются Рекомендации, касающиеся основных положений о защите неприкосновенности частной жизни и международных обменов персональными данными. А 16 октября 1999 г. на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств - участников СНГ опубликовывается Модельный закон «О персональных данных».
По вопросу защиты персональных данных работников в настоящее время действуют следующие международные акты: Рекомендация Совета министров СЕ NoR(89)2 1989 г. и Кодекс практики МОТ 1997 г.
1.1 Основные понятия в области защиты персональных данных работников
В России защита персональных данных регламентируется большим количеством законодательных актов, главным среди которых является Конституция РФ, провозглашающая неприкосновенность частной жизни и запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
Конституционный Суд РФ (далее - КС РФ) разъясняет, что в понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит не противоправный характер; а право на неприкосновенность частной жизни означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. И хотя понятие «персональные данные» не тождественно определению «частная жизнь», нельзя не согласиться с утверждением авторов-исследователей о сложности отрицания наличия тесной связи между ними и мнением А.М. Лушникова, что право на защиту персональных данных является производным от права человека на невмешательство в частную жизнь.
По поводу использования информации без разрешения ее владельца КС РФ также дает разъяснение: "лишь само лицо вправе определить, какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне, а потому сбор, хранение, использование и распространение такой информации, не доверенной никому, не допускается без согласия данного лица, как того требует Конституция РФ".
Таким образом, несмотря на то, что Конституция РФ не содержит понятия персональных данных, она устанавливает основные принципы их обработки.
Одним из первых законодательных актов РФ, выделивших персональные данные в особую категорию информации, охраняющуюся законом, стал Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведении? конфиденциального характера», на основании которого персональные данные были определены как сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, однако исключали сведения, подлежащие распространению в средствах массовой информации в случаях, установленных федеральными законами.
В 2001 году, после ратификации Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» Совета Европы (далее - Конвенция СЕ), в РФ появляется Федеральный Закон от 27.07.2006 №152 «О персональный данных» (далее - ФЗ №152, 152-ФЗ, Закон о персональных данных, рассматриваемый Закон), разработанный также с учетом Модельного закона «О персональных данных» СНГ. Целью нового закона стало обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В трудовых отношениях защита персональных данных регулируется главой 14 Трудового кодекса РФ (далее - ТК РФ, Трудовой кодекс).
Появление 14 главы послужило поводом возникновения вопросов у ученых-юристов, например, как пишет А.Я. Петров: “неясно: почему эта глава названа «Защита персональных данных работника»? Ведь из шести ее статей только три посвящены (и то в относительной мере) защите персональных данных работника“, и далее: “в принципиальном смысле содержание главы 14 ТК РФ в большей мере относится к обработке персональных данных работника. Следовательно, название главы, очевидно, должно предусматривать прежде всего не защиту персональных данных работника, а их обработку”. Попытка переименовать главу 14 была предпринята в начале 2013 года. Вот что отмечает А.М. Лушников, анализируя изменения ТК РФ, внесенные Федеральным законом РФ от 7 мая 2013 г. N 99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных"" (далее - ФЗ № 99): “Однако не прошло предполагаемое в проекте изменение наименования главы 14 «Защита персональных данных работника» на «Обработка персональных данных в рамках трудовых отношений». Это была не игра слов, а важное и назревшее сущностное изменение. Трудовые отношения, на наш взгляд, в данном случае должны трактоваться не столько по букве статьи 15 ТК РФ, но в духе части 2 статьи 1 ТК РФ. Следовательно, они должны укладываться в рамки не только собственно трудового отношения, но и иных, непосредственно связанных с ними отношений”.
Действительно, обработка персональных данных в трудовых отношениях начинается гораздо раньше заключения трудового договора или фактического допуска к работе - еще в период трудоустройства на собеседовании соискатели предлагают работодателям свою личную информацию в виде резюме или заполненных анкет; и не заканчивается сразу после расторжения трудового договора, так, в соответствии с Приказом Минкультуры России от 25.08.2010 N 558 (с изм. от 04.02.2015) "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" работодатели обязаны обеспечить хранение личных карточек работников в течение 75 лет. В связи с этим представляется необоснованным решение законодателя оставить название без изменений.
По нашему мнению переименование главы 14 с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях» расширит круг лиц, на которых распространяются соответствующие нормы. Например, повысится уровень защищенности прав не только действующих работников, но и лиц, поступающих на работу, так как в соответствии со статьей 1 ТК РФ к трудовым отношениям относится трудоустройство у данного работодателя.
Другой вопрос связан с включением 14 главы ТК РФ в раздел «Трудовой договор». Учитывая научно-обоснованную и признанную систему российского трудового права как отрасли, было бы логичнее закрепить рассматриваемую главу в разделе ХIII ТК РФ «Защита трудовых прав и свобод…», исходя из целей правового регулирования отношений, связанных с персональными данными работника.
Упомянутый ранее ФЗ № 99 внес в Трудовой кодекс существенные изменения. Так, утратила силу статья 85 ТК РФ, содержащая понятия персональных данных работника и их обработку, к тому же действующая редакция не содержит ни одного определения, касающегося вопроса обработки персональных данных. В связи с этим, а также учитывая, что в части регулирования трудовых отношений, связанных с персональными данными, нормы Закона «О персональных данных» считаются общими, а нормы главы 14 ТК РФ -- специальными, рассмотрим основные понятия в Законе о персональных данных.
ФЗ №152 ввел определение персональных данных, как любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Новая дефиниция представляется довольно размытой, что также подчеркивает орган, уполномоченный в осуществлении надзора за соблюдением законодательства в области защиты персональных данных (далее - Роскомнадзор, Регулятор) в своем научно-практическом комментарии: «при буквальном толковании к понятию «персональные данные» можно отнести широкий круг информации. В частности, в нем нет указания на связь между прямой или косвенной определенностью или «определимостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких - нет».
В связи с этим на практике возникают вопросы. Например, означает ли такое широкое определение, что даже фамилия лица без его имени и отчества подлежит защите на основании Закона о персональных данных? Или все-таки Закон о персональных данных защищает только совокупность данных, позволяющих идентифицировать конкретное физическое лицо? Если обратиться к судебной практике, то помимо фамилии, имени и отчества к персональным данным также относятся: год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и т.д. Вместе с тем суд подчеркивает, что не каждый из этих элементов сам по себе подпадает под защиту ФЗ №152, а только если они в отдельности или в совокупности помогают идентифицировать конкретное лицо.
Что бы представить, что представляют собой персональные данные в трудовых отношениях, нужно обратиться к статье 65 ТК РФ, которая устанавливает перечень необходимых документов для заключения трудового договора. Помимо паспорта, трудовой книжки, страхового свидетельства обязательного пенсионного страхования, документов воинского учета и об образовании, законодателем предусмотрена возможность предъявления дополнительных документов на основании Трудового кодекса, иных нормативно-правовых актов. Например, иностранец, поступающий на работу, наряду с документами, предусмотренными статьей 65 ТК РФ, предъявляет работодателю разрешение на работу или патент, разрешение на временное проживание или вид на жительство (статья 327.3 ТК РФ).
Объем сведений, полученных работодателем от работника при приеме на работу, увеличивается в течение его трудовой деятельности. Например, в соответствии с постановлением Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты" в личную карточку работника вносятся следующие сведения: степень знания языка, стаж работы, информация о приеме, переводах на другую работу и отпусках. Кроме того, для выплаты заработной платы в кредитную организацию, если такая практика существует у работодателя, работником предоставляется необходимая информация для перевода.
ФЗ №152 выделяет несколько видов персональных данных, среди которых в рамках трудовых отношений наиболее интересны специальные категории персональных данных и биометрические персональные данные.
В соответствии со статьей 10 Закона о персональных данных обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается. Однако, в части второй рассматриваемой статьи приводится перечень исключений, среди которых обработка, осуществляемая в соответствии с трудовым законодательством РФ.
Согласно пункту 4 статьи 86 Трудового кодекса, работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами. Например, на основании статьи 179 ТК РФ во время сокращения численности или штата работников при равной производительности труда и квалификации предпочтение в оставлении на работе отдается семейным - при наличии двух или более иждивенцев - в этом случае предоставление информации о семейном положении в интересах самого работника. Также в качестве примера можно привести предоставление работником информации о своем здоровье при приеме на работу в организации, где обязательным условием найма является прохождение медицинского осмотра (статьи 69, 213 ТК РФ). Причем, обрабатывая информацию о состоянии здоровья будущего работника, работодателю необходимо учитывать, что он не может превышать тех сведений, которые относятся к вопросу о возможности выполнения трудовой функции. Кроме того, сведения о состоянии здоровья составляют врачебную тайну, разглашение которой не допускается. Обработка специальных категорий персональных данных в рассмотренных случаях будет считаться законной, и это далеко не весь перечень возможных ситуаций.
Статья 11 ФЗ №152 определяет биометрические персональные данные как сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Биометрические данные характеризуются особенной чувствительностью, так как они неразрывно связаны с носителем, поэтому законодатель устанавливает особое требование для их защиты. Если по общему правилу согласие на обработку персональных данных может быть дано в любой позволяющей подтвердить факт его получения форме, то для обработки биометрических данных используется императивная норма об обязательном письменном согласии субъекта.
На практике часто возникает вопрос о том, какую именно информацию можно отнести к биометрической. В связи с этим Роскомнадзор в августе 2013 года опубликовал на своем официальном сайте разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки, в которых поясняет, что к “биометрическим данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта”. Исследуя вопрос фотографии и видеосъёмки в трудовых отношениях, Регулятор отмечает, что фотографическое изображение, используемое для обеспечения прохода на охраняемую территорию и установления личности гражданина, относится к биометрическим персональным данным. А вот фотографии, содержащееся в личном деле работника, и также его подпись или почерк, не могут рассматриваться как биометрические персональные данные, поскольку их использование направлено на подтверждение рассматриваемых сведений принадлежности к конкретному работнику, чья личность уже определена и чьи персональные данные уже имеются в распоряжении работодателя.
Однако, в выпущенном в 2015 году научно-правовом комментарии к ФЗ №152 Роскомнадзор меняет свою позицию на противоположную в части отнесения фото- и видеоизображений к биометрической информации из-за того, что при визуальной оценке фотография или видеоизображение человека, который является близнецом или чье внешнее сходство с определяемым человеком очевидно, а также в случае осуществления пластических операций, не позволит произвести достоверную идентификацию субъекта.
Таким образом, можно сделать вывод, что обработкой по-настоящему биометрических персональных данных занимаются только те работодатели, которые в виду секретности своей деятельности организуют сложную проходную систему на территорию организации, включающую, например, сканирование сетчатки глаза или считывающую отпечаток пальца для определения личности конкретного работника. Кроме того, Федеральный закон от 25 июля 1998 г. N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" устанавливает довольно широкий перечень, работников, подлежащих обязательной дактилоскопической регистрации: военнослужащие, граждане РФ, проходящие службу в органах внутренних дел, органах государственной налоговой службы, органах по делам гражданской обороны, органах и подразделениях службы судебных приставов, таможенных органах, Государственной противопожарной службе и другие.
На наш взгляд отсутствие единообразного толкования термина биометрические данные, а соответственно, и понимания, какие данные о человеке могут считаться биометрическими, является актуальной проблемой, которую предстоит решить на законодательном уровне.
Помимо персональных данных, ФЗ №152 дает ряд определений в качестве инструментария для последующего регулирования. Применительно к трудовым отношениям можно сформулировать некоторые их них следующим образом:
- оператором в трудовых отношениях выступает работодатель (юридическое или физическое лицо), который самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными;
- обработка персональных данных работников - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными работников, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Отдельно стоит сказать о видах обработки персональных данных - как уже было сказано, их два: автоматизированная обработка персональных данных и обработка персональных данных без использования средств автоматизации.
Определение автоматизированной обработки содержится в Законе о персональных данных, как обработки персональных данных с помощью средств вычислительной техники (статья 3 пункт 4 152-ФЗ).
Обработка без использования средств автоматизации регламентирована постановлением Правительства РФ от 15.09.2008 N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации” (далее - Постановление N 687). На основании указанного Постановления обработкой персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
По нашему мнению такое определение нельзя считать удачным в связи с тем, что большинство информационных систем персональных данных можно рассматривать как осуществляемые без использования средств автоматизации. Так, во многих компаниях электронные дела работников правятся в соответствующих окнах “вручную”, а для их удаления необходимо выделить их в списке и нажать специальную клавишу. Кроме того, настоящее определение неавтоматизированной обработки персональных данных вступает в противоречие с установленным в 152-ФЗ определением автоматизированной обработки. Исходя из принципа верховенства норм, можно сделать вывод, что в скором времени законодатель должен исправить такое несоответствие.
Таким образом, в ходе трудовых отношений работодатель ведет обработку персональных данных работников как с помощью средств вычислительной техники, например, ведя учет приказов по личному составу в электронной базе 1С; так и без нее, организуя хранение личных дел работников на бумажных носителях. В обоих случаях обработка попадает под действие ФЗ №152 и ведется по установленным им принципам.
1.2 Принципы и условия обработки персональных данных работников на территории РФ
Основные принципы обработки персональных данных перечислены в статье 5 ФЗ №152. Помимо общеправовых принципов законности и справедливости, на федеральном уровне закреплена необходимость целевого подхода к обработке персональных данных и недопустимость обработки, несовместимой с целями сбора персональных данных. Законодатель также отмечает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, а обрабатываемые персональные данные не могут быть избыточными.
Статья 86 ТК РФ содержит закрытый перечень целей обработки персональных данных работника:
· обеспечение соблюдения законов и иных нормативных правовых актов;
· содействия работников в трудоустройстве;
· получение образования и продвижения по службе;
· обеспечение личной безопасности работников;
· контроль количества и качества выполняемой работы;
· обеспечение сохранности имущества.
Соответственно, обработка персональных данных, выходящая за рамки обозначенных целей, не допустима. Использование такого механизма в трудовых отношениях обеспечивает защиту персональных данных работника от произвольного сбора и обработки.
Пункт 3 статьи 5 Закона о персональных данных устанавливает запрет на объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Анализируя этот принцип, можно прийти к выводу, что работодатель обязан сортировать персональные данные работников и организовать хранение их таким образом, чтобы при обработке определенной категории доступ осуществлялся к персональным данным, соответствующим цели.
Следующим из закрепленных ФЗ №152 является принцип точности, достаточности и актуальности персональных данных по отношению к целям их обработки. Достаточными сведения можно считать, если их объем и содержание позволяют достигнуть целей обработки. Актуальность персональных данных означает, что в момент обработки персональных данных последние являются своевременными, достоверными и значимыми для достижения поставленной цели обработки персональных данных. Причем в пункте 6 статьи 5 ФЗ №152 прямо установлена обязанность оператора принимать необходимые меры по удалению или уточнению неполных или неточных данных.
Очевидно, что персональные данные работника в процессе трудовых отношений могут меняться, к примеру, работник может поменять фамилию или получить дополнительное образование. Согласно постановлению Минтруда РФ от 10.10.2003 N 69 "Об утверждении Инструкции по заполнению трудовых книжек" изменения записей в трудовых книжках о фамилии, имени, отчестве производятся на основании паспорта, свидетельств о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их номер и дату. Таким образом, работодателю необходимо своевременно узнавать об изменениях в полученных документах работника.
Однако, действующее законодательство не предоставляет работодателю право требовать у работника сведений об изменениях его персональных данных. Некоторые ученые предлагают в этой связи закрепить в статье 22 ТК РФ право работодателя на получение от работника информации, связанной с осуществлением работником его трудовой функции. По нашему мнению наделение работодателя таким правом является нарушением конституционного принципа неприкосновенности частной жизни. К тому же, работодатель вправе, воспользовавшись нормой статьи 8 ТК РФ, установить обязанность работника предоставлять сведения об изменениях персональных данных в целях их уточнения и актуализации. Причем такое требование может действовать только в отношении информации, которая уже имеется в распоряжении работодателя.
В связи с тем, что обработка персональных данных осуществляется для достижения определенной цели, логично, что вопрос дальнейшего хранения обработанной информации носит срочный характер. Так, возникает принцип срочного хранения персональных данных. Как сказано в пункте 7 статьи 5 ФЗ № 152 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. В трудовых отношениях сроки хранения персональных данных работников устанавливает работодатель с соблюдением требований ТК РФ и иных федеральных законов.
Обрабатывая персональные данные, важно выполнять условия, закрепленные в Законе о персональных данных, статья 6 которого содержит перечень случаев, когда такая обработка будет считается законной. В частности, пункт 1 указанной статьи устанавливает возможность обработки персональных данных с согласия субъекта персональных данных, а пункт 5 допускает обработку персональных данных в случае, когда она необходима для исполнения договора, стороной которого является субъект персональных данных. В связи с тем, что трудовые отношения осуществляются на основании договора между работником и работодателем, можно сделать вывод, что согласие работника для обработки персональных данных в ходе трудовых отношений не требуется.
Роскомндзор в своем Разъяснении по поводу обработки персональных данных работников отмечает, что обработка персональных данных работника не требует получения согласия, при условии, что объем обрабатываемых работодателем персональных данных соответствует целям обработки, предусмотренным трудовым законодательством, и не превышает установленные перечни. Далее по тексту приводятся примеры ситуаций, когда работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника:
· в случаях, предусмотренных коллективным договором, правилами внутреннего трудового распорядка, соглашением, локально-нормативными актами работодателя, принятыми в порядке, установленном статьей 372 Трудового кодекса. По правилу статьи 68 ТК РФ работник должен быть ознакомлен с локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, и коллективным договором до подписания трудового договора;
· обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством РФ. Так, медицинские организации обязаны информировать граждан в доступной форме, в том числе с использованием сети "Интернет", о работающих в ней медицинских работниках, а также об их уровне образования и об их квалификации;
· обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой работника, либо в установленных законодательством случаях, например, оформление допуска к государственной тайне или оформление социальных выплат;
· обработка специальных категорий персональных данных работника в рамках трудового законодательства, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции;
· обработка персональных данных работника при осуществлении пропускного режима на территорию работодателя, если организация пропускного режима осуществляется работодателем самостоятельно либо соответствует порядку, предусмотренному коллективным договором, локально-нормативным актом работодателя.
Кроме того, не требует согласие работника обработка персональных данных, необходимая для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве, что подтверждается судебной практикой. Так, анализируя нормы действующего законодательства, суд пришел к выводу о правомерности действий работодателя по предоставлению сведений об истце без его согласия адвокату, представлявшему интересы потерпевшей стороны в рамках уголовного дела на основании адвокатского запроса, поскольку названные сведения были переданы суду в связи с осуществлением правосудия.
Трудовой кодекс содержит указание о необходимости получения письменного согласия работника в случае, если его персональные данные возможно получить только у третьей стороны. Причем работник должен быть уведомлен об этом заранее (пункт 3 статьи 86 ТК РФ). В таком уведомлении необходимо указать:
- цели получения персональных данных работника у третьего лица;
- предполагаемые источники информации (лица, у которых будут запрашиваться данные);
- способы получения данных, их характер;
- возможные последствия отказа работодателю в получении персональных данных работника у третьего лица.
Информацию, не имеющую отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.
В части первой статьи 88 установлен запрет на передачу персональных данных работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, и в других случаях, предусмотренных ТК РФ или иными федеральными законами. Под «другими случаями» в указанной статье понимается передача персональных данных в ФФОМС и ФСС России - это связано с тем, что работодатель, согласно статье 22 Трудового кодекса, обязан осуществлять обязательное социальное страхование работников. Кроме того, работодатель вправе без согласия работника передавать его персональные данные в Пенсионный фонд РФ; налоговые органы; в военные комиссариаты; при получении мотивированных запросов от прокуратуры, правоохранительных органов, профсоюзов о его членах, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, а также в случаях, связанных с выполнением работником должностных обязанностей, в том числе, при его командировании. При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) -- его родственников. В данной ситуации согласия работника на передачу его персональных данных также не требуется (статья 228 ТК РФ).
Таким образом, в распоряжении работодателя находится большой массив персональных данных работника, которые он вправе обрабатывать без согласия работника для обеспечения своей деятельности.
Однако, в ходе трудовых отношений встречаются случаи, не предусмотренные законодательством и поэтому требующие согласия работника, например, трансграничная передача персональных данных. Такое согласие может быть оформлено письменно как в виде отдельного документа, так и закреплено в качестве одного из условий непосредственно в трудовой договор. Кроме того, необходимо соблюдать требования, предъявляемые к его содержанию статьей 9 Закона о персональных данных, в частности согласие должно быть конкретным, информированным и сознательным, а также предоставляться по воле и в интересах их субъекта. К обязательным реквизитам письменного согласия на обработку персональных данных относятся:
1) фамилия, имя, отчество, адрес, сведения о документе, удостоверяющем личность работника;
2) фамилия, имя, отчество, адрес сведения о документах, удостоверяющих личность представителя работника, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя работника);
3) наименование работодателя;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие;
6) наименование третьего лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
7) перечень действий с передаваемыми персональными данными, общее описание используемых способов их обработки;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
1.3 Права субъектов персональных данных и обязанности оператора, предусмотренные законодательством РФ в трудовых отношениях
Перечень прав работника в целях защиты хранящихся у работодателя персональных данных, установленный статьей 89 ТК РФ, коррелируются с правами субъекта персональных данных главы 3 ФЗ №152.
Так, работник имеет право на полную информацию о своих персональных данных и их обработке, а также обладает свободным и бесплатным доступом к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. Однако, при истребовании работником документов, содержащих его персональные данные, необходимо учитывать норму статьи 62 ТК РФ об обязанности предоставления только копий документов, связанных с работой (копии приказа о приеме на работу и об увольнении, приказов о переводах на другую работу; выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного работодателя и другое). Например, в соответствии с судебной практикой к указанным документам не относятся докладные записки на основании которых принято решение об увольнении работника, поскольку они относятся к документам производственного характера и не касаются трудовой деятельности работника.
Помимо копий документов, связанных с работой, работник, как субъект персональных данных, имеет право на получение информации, касающейся обработки его персональных данных, именно:
· сведения о лицах, которым могут быть раскрыты персональные данные на основании договора с работодателем или на основании федерального закона;
· сроки хранения персональных данных;
· информацию об осуществленной или о предполагаемой трансграничной передаче данных;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка поручена такому лицу, и прочее.
В правиле части первой статьи 89 Трудового кодекса существуют исключения - право работника на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, полученных в результате оперативно-розыскной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации доходов, полученных преступным путем. Так, федеральным законом предусмотрено опубликование сведений о доходах государственных служащих и иных предусмотренных законом лиц в информационно-телекоммуникационной сети Интернет на официальных сайтах соответствующих служб;
3) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Это исключение уточняется судебной практикой: «запрос на копию записей должен ограничиваться информацией, относящейся к сведениям запрашиваемого лица, и не содержать персональных данных других работников. Впрочем, запрашиваемое лицо не лишается возможности истребовать от работодателя выписки из документов, касающейся лично его».
Кроме того, работник вправе требовать от работодателя исключения или исправления неверных или неполных персональных данных, а при отказе работодателя, заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения. Так, если работник по итогам оценки персонала не согласен с ее результатами, он может изложить свой комментарий и приложить его к оценочному листу.
В качестве специальных норм в отношении прав работников на защиту их персональных данных, закрепленных в ТК РФ, можно выделить возможность:
· определения представителей для защиты своих персональных данных;
· доступа к медицинской документации, отражающей состояние здоровья работника, с помощью медицинского работника по их выбору;
· требования об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Таким образом, работник обладает более широким перечнем прав, нежели обычный субъект персональных данных. Но, несмотря на это, законодатель не предусмотрел обязанностей работника в области обработки персональных данных, в частности, предоставление работодателю какой-либо личной информации в ходе трудовых отношений. С другой стороны сокрытие работником сведении?, способных повлиять на принимаемые работодателем решения в отношении данного работника, впоследствии могут быть расценены как злоупотребление правом со стороны работника. Так, при установлении факта злоупотребления правом суд может отказать в удовлетворении иска о восстановлении на работе, поскольку работодатель не должен отвечать за неблагоприятные последствия, наступившие вследствие недобросовестных действий.
В процессе обработки персональных данных работников к работодателю применяется ряд требований, которые он обязан выполнить. Это связано с тем, что именно работодатель осуществляет такую обработку и несет ответственность за безопасность полученных от работника данных.
Одним из требований является опубликование документа, определяющего политику работодателя в отношении обработки персональных данных. Такой документ больше направлен на внешнюю среду компании, однако в политике целесообразно рассмотреть порядок обработки персональных данных соискателей, желающих устроиться на работу к работодателю. Особенность политики компании в отношении обработки персональных данных заключается в необходимости обеспечения неограниченного доступа к документу. Например, можно опубликовать соответствующую политику на официальном сайте компании или организовать стенд в приемной.
Кроме того, работодателю необходимо издать локально-нормативный акт по вопросам обработки персональных данных работников, содержащим также их права, обязанности, порядок передачи персональных данных работников в пределах компании и другие моменты. Такой локально-нормативный акт может выступать в качестве самостоятельного документа или быть приложением правил внутреннего трудового распорядка. В любом случае издание такого локально-нормативного акта происходит в порядке статьи 372 ТК РФ и подлежит ознакомлению каждым работником. Тем самым работодателем будет выполнено требование пункта 10 статьи 86 ТК РФ в части совместной выработки с представителями работников мер по защите их персональных данных.
В пункте 3 статьи 86 ТК РФ указано, что все персональные данные работника следует получать у него самого. Однако бывают случаи, когда работодатель имеет право обрабатывать персональные данные работников в рамках контроля за исполнением ими рабочих обязанностей, делая запросы в другие организации. Так, суд признал правомерным запрос работодателя в районный суд с уточнением о наличии дел с участием работника, и находился ли он в здании суда в запрашиваемый срок, поскольку, запрашивая информацию о месте нахождения работника в рабочее время, работодателем осуществлены полномочия по контролю за трудовой дисциплиной. Кроме того, сведений о цели посещения истцом районного суда в запросе и в представленной информации не имеется, а значит по своему характеру и объему информация, которая была запрошена работодателем и представлена судом, не является персональными данными по смыслу, заложенному в статье 3 152 ФЗ.
Из права работника на полную информацию о его персональных данных и обработке этих данных вытекает обязанность работодателя предоставить работнику такую информацию в установленные законом сроки. Так, в соответствии со статьей 62 ТК РФ работодатель не позднее трех рабочих дней со дня подачи письменного заявления обязан выдать работнику копии документов, связанных с работой, заверенные надлежащим образом. В исключительных случаях, когда право работника на доступ к его персональным данным ограничено, работодатель обязан дать письменный мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней с даты получения запроса.
Работодатель должен обеспечить работнику свободный бесплатный доступ к его персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника. Также в срок, не превышающий 7 рабочих дней со дня предоставления работником сведений, подтверждающих, что его персональные данные являются неполными, неточными или неактуальными, работодатель обязан внести в них необходимые изменения, а затем уведомить работника о внесенных изменениях и принять разумные меры для уведомления третьих лиц, которым были переданы такие персональные данные.
В ходе обработки работодатель обязан принять ряд мер, направленных на выполнение своих обязанностей в области защиты персональных данных работника, в том числе назначить ответственного работника за организацию обработки персональных данных и включить в его должностную инструкцию положения, регламентирующие права, обязанности и ответственность данных лиц, возникающую при работе с персональными данными работников; за счет собственных средств обеспечить защиту персональных данных работника от неправомерного их использования или утраты; осуществлять внутренний контроль соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, а также ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, требованиями к защите персональных данных, проводить обучение указанных работников.
Проверку реализации перечисленных мер и наличие документации, связанной с защитой персональных данных, осуществляет Роскомнадзор как орган, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства.
Статья 88 ТК РФ регулирует передачу персональных данных и устанавливает к ней следующие требования:
· при предоставлении персональных данных третьим лицам запрашивать согласие их владельца;
· не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
· предупреждать получателей персональных данных работника о необходимости использования полученных данных исключительно в заявленных при передаче целях, а также соблюдать режим секретности в процессе обработки. Более того, работодатель может запросить подтверждение соблюдения этого требования у получателей. Здесь важно отметить, что в соответствии с пунктом 5 статьи 6 152-ФЗ в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор, а лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. Отметим, что рассмотренное требование не распространяется на передачу персональных данных работника, предусмотренную ТК РФ или иным федеральным законом;
· передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, причем работодателю необходимо ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
В части передачи персональных данных третьим лицам существует спорный момент по поводу предоставления трудового договора с генеральным директором акционерам общества. В силу Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах» (далее - 208-ФЗ) общество обязано обеспечить всем акционерам, независимо от типа и количества принадлежащих им акций, доступ к документам, которые данное общество обязано хранить. Согласно Перечню типовых управленческих архивных документов, образующихся в процессе деятельности, организация обязана хранить трудовые договоры, следовательно, такие договоры должны предоставляться для ознакомления по требованию акционера акционерного общества. Так, ряд судов принимают решения о предоставлении трудовых договоров с руководителями организации акционерам без согласия работника.
Однако такая позиция не представляется верной, с учетом того, что в соответствии со статьей 67 ТК РФ и статьей 3 Закона о персональных данных трудовой договор является документом, содержащим персональные данные работника, а статьей 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне. К тому же КС РФ пришел к выводу, что положение абзаца первого пункта 1 статьи 91 208-ФЗ об обязанности акционерного общества обеспечить акционерам доступ к своим документам направлено, среди прочего, на обеспечение информационной открытости хозяйственной деятельности акционерного общества и возможности реализации акционерами своих прав, однако при этом необходимо учитывать, что в соответствии со статьей 17 (часть 3) Конституции РФ осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц. Таким образом, трудовые договоры с руководством общества содержат персональные данные и предоставляются акционерам только с согласия таких работников, что подтверждается более обширной судебной практикой.
В соответствии со статьями 17, 19 Федерального закона от 12.01.1996 № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением законодательства о труде в организациях, в которых работают члены данного профсоюза, а также требовать устранения выявленных нарушений (статья 370 ТК РФ). При передаче персональных данных работников в профсоюзные организации работодателю необходимо учитывать, что на основании вышеизложенных норм профсоюзы имеют право бесплатно и беспрепятственно получать только ту информацию, которая необходима для защиты прав и интересов ее членов.
В процессе трудовых отношений возникают ситуации, когда работодателю необходимо передать персональные данные работника в другую страну, например, если работодатель является представителем иностранной компании. Согласно пункту 1 статьи 12 152-ФЗ, персональные данные работников могут передаваться в те страны, которые также, как и Россия, присоединились к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также в страны, не являющиеся ее стороной, но обеспечивающие адекватную защиту прав субъектов персональных данных. Таким образом, перед передачей персональных данных работника работодателю необходимо убедиться, что на территории иностранного государства обеспечивается адекватная защита прав субъектов персональных данных. Кроме того, такая передача допускается только с письменного согласия владельца информации. По требованию владельца работодатель также обязан предоставить сведения об уже осуществленной или планируемой передаче персональных данных.
...Подобные документы
Понятие правового регулирования персональных данных работников согласно Трудовому кодексу России. Исследование трудовых отношений в сфере защиты персональных данных работника. Особенности работы с конфиденциальными сведениями, соблюдение ответственности.
дипломная работа [111,8 K], добавлен 07.12.2010Становление законодательства о защите персональных данных работников. Основные виды персональных данных работников. Порядок деятельности работодателя по обработке персональных данных работников. Особенности ответственности за нарушение законодательства.
курсовая работа [90,2 K], добавлен 19.03.2015Понятие и особенности персональных данных. Обеспечение безопасности персональных данных при их обработке. Особенности ответственности за нарушение законодательства о защите персональных данных. Правовое регулирование и субъект защиты персональных данных.
курсовая работа [40,0 K], добавлен 05.04.2016Анализ основных нормативно-правовых актов о защите личности в связи с автоматической обработкой персональных данных. Характеристика рисков неисполнения требований законодательства. Обзор классификации типовых информационных систем персональных данных.
презентация [371,3 K], добавлен 21.03.2013Обработка, хранение и использование персональных данных работника. Права работников в области защиты персональных данных. Дисциплинарная и административная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
курсовая работа [34,5 K], добавлен 19.03.2015Рассмотрение проблемы государственной защиты персональных данных. Выделение особых категорий персональных данных, принципов и условий их обработки. Особенности контроля и надзора за исполнением данной процедуры согласно Федеральному закону России.
реферат [27,1 K], добавлен 02.12.2010Законодательство Российской Федерации в области защиты конфиденциальной информации и ответственность за его нарушение. Персональные данные работников и их защита в кадровых службах. Организация работы с конфиденциальными документами, режим их хранения.
курсовая работа [46,0 K], добавлен 02.12.2010Проблема безопасности информационных систем персональных данных. Практические аспекты по созданию средств защиты персональных данных в ООО "УК "Жилищная коммунальная инициатива". Ответственность за нарушение требований по защите персональных данных.
курсовая работа [364,9 K], добавлен 25.05.2014Понятие и методики правовой защиты информации, ее актуальность и оценка эффективности на современном этапе, политика государства в данной области. Органы защиты государственной тайны. Правовые основы ответственности за нарушение данного законодательства.
контрольная работа [22,6 K], добавлен 24.04.2010Основные источники правового регулирования конфиденциальной информации. Угрозы и меры по предупреждению ее утечки. Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края.
курсовая работа [95,3 K], добавлен 09.10.2014Система нормативно-правового регулирования заработной платы в законодательстве России. Минимальный размер оплаты труда как основа защиты прав работников в трудовом праве. Анализ проблем правоприменительной практики, связанных с защитой заработной платы.
дипломная работа [116,8 K], добавлен 22.11.2015Понятие персональных данных и их отграничение от другой информации. Работа кадровой службы с персональными данными. Дисциплинарная, административная и уголовная ответственность за нарушение правил работы с информацией. Контроль защиты персональных данных.
курсовая работа [48,1 K], добавлен 21.09.2014Понятие и основные признаки заработной платы, методы её правового регулирования. Минимальный размер оплаты труда как основа защиты прав работников в трудовом праве РФ. Практические проблемы защиты прав работников на оплату труда и пути их решения.
дипломная работа [75,8 K], добавлен 24.04.2015Характер отношений, связанных с обращением персональных данных, и особенности их современного нормативно-правового регулирования в Европе. Субъекты информационных правоотношений института персональных данных, основные этапы лицензирования работы с ними.
презентация [132,9 K], добавлен 20.10.2013Понятие, порядок хранения, обработки и передачи персональных данных, обеспечение защиты прав и свобод работников и ответственность должностных лиц. Особенности регулирования труда лиц, работающих в районах Крайнего Севера и приравненных к ним местностей.
контрольная работа [29,1 K], добавлен 19.05.2010Понятие, сущность и правовая природа персональных данных. Права и обязанности обладателя информации. Базовые нормативные документы по защите конфиденциальной информации. Федеральные нормативные акты по обеспечению защиты информации и персональных данных.
дипломная работа [3,4 M], добавлен 27.08.2016Сущность и задачи правового регулирования труда в Республике Беларусь. Особенности регулирования труда молодежи, инвалидов, руководителей организаций, женщин и работников, имеющих семейные обязанности. Специфика регулирования труда работников-надомников.
курсовая работа [43,0 K], добавлен 19.02.2011Особенности правового статуса несовершеннолетних работников. Особенности трудоустройства, профессиональной подготовки, приема на работу, перевода и увольнения. Несоответствия между нормами трудового законодательства и законодательства об образовании.
дипломная работа [135,0 K], добавлен 17.05.2011Анализ норм права, устанавливающих особенности правового регулирования труда работников, пострадавших от катастрофы на ЧАЭС. Рабочее время работников, работающих на территории радиоактивного загрязнения. Продолжительность отпусков и увольнение работников.
курсовая работа [38,2 K], добавлен 03.12.2014Понятие единства и дифференциации правового регулирования труда. Особенности регулирования труда работника, обусловленных особенностями его личности и общего правового положения. Специфика регулирования труда работников с учетом условий их работы.
дипломная работа [58,3 K], добавлен 18.08.2017