Особенности правового регулирования защиты персональных данных работников в РФ

Новеллой в российском законодательстве является требование о локализации баз данных, содержащих персональные данные граждан РФ, на территории РФ, установленное Федеральным законом от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (далее - 242-ФЗ). Так, в соответствии с новой редакции статьи 18 ФЗ № 152 при сборе персональных данных, оператор обязан обеспечить запись, систематизацию, накопление, хранение, обновление, изменение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Под действие новой нормы попадают иностранные компании, имеющие филиал или представительство на территории РФ. С 1 сентября 2015 года указанные компании-работодатели не имею права производить перечисленные действия за границей РФ, тем самым на них распространяется требование перенести все базы данных, содержащие персональные данные работников, являющихся гражданами РФ, на территорию России. Вместе с тем базы, созданные за рубежом до сентября 2015 года, могут не переноситься. Примечательно, что обновлять такие базы данных работодатели-иностранцы права не имеют.

Новый закон не коснулся возможности трансграничной передачи персональных данных в связи с тем, что передача информации из сформированной в РФ базы персональных данных на территорию иностранного государства представляет собой отдельный вид обработки персональных данных, который не указан в перечне пункта 5 статьи 18 ФЗ № 152. Предоставление доступа к базам данных на территории РФ также не запрещен 242-ФЗ. Однако при предоставлении соответствующего доступа оператору следует определить перечень прав, которые могут быть предоставлены оператору - иностранному лицу.

Не вызывает сомнений тот факт, что 242-ФЗ принят в целях дополнительной защиты персональных данных, однако эффективность принятых норм покажет дальнейшая правоприменительная и судебная практика.

1.4 Соотношение норм о защите персональных данных работников в российском законодательстве и международном праве

В аспекте анализа норм российского законодательства в области защиты персональных данных интересно рассмотреть регулирование этого вопроса на международном уровне, которое состоит из большого количества документов. Однако в целях настоящего исследования нам интересны только те, которые могут быть отнесены к процессам обработки персональных данных работников РФ. Среди таких международных актов можно выделить следующие:

1. Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее - Конвенция);

2. Модельный закон «О персональных данных» (далее - Модельный закон);

3. Рекомендации Совета министров СЕ NoR(89)2 1989 г. (далее - Рекомендации, Рекомендации СЕ);

4. Кодекс практики МОТ 1997 г. (далее - Кодекс практики, Кодекс практики МОТ).

19 декабря 2005 года Президент РФ подписал Федеральный закон от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" (далее - 160-ФЗ), тем самым возложив на Россию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов персональных данных в отношении автоматизированных файлов персональных данных и автоматизированной обработки персональных данных.

В связи с тем, что статья 3 Конвенции допускает ее принятие с определенными заявлениями, то любое государство, желающее присоединиться к Конвенции, может правомерно заявить, что оно не будет применять Конвенцию к определенным категориям автоматизированных баз персональных данных. Как это усматривается в 160-ФЗ, такой возможностью воспользовалась РФ. Можно отметить в отношении неприменения Конвенции к сведениям, составляющим государственную тайну, достаточно широкое поле для злоупотребления правом. Так, перечень сведении?, составляющих государственную тайну, установлен одноименным Федеральным законом, следовательно, при соблюдении установленной законом процедуры такой перечень может быть и пересмотрен, и расширен.

Рассматривая положения международного и российского законодательства в отношении защиты персональных данных, можно выделить как общие черты, так и некоторые расхождения. Например, сравнивая цели Конвенции и Закона о персональных данных, очевидно более фундаментальный подход рассматриваемого закона, так как целью 152-ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также неприкосновенность частной жизни, личной и семейной тайны, а Конвенции - обеспечении на территории каждой стороны для каждого физического лица, независимо от гражданства или места жительства, уважения его права на неприкосновенность частной жизни в отношении автоматизированной обработки персональных данных. Очевидно, что понятия «уважение» и «защита» не тождественны по своему смыслу, более того, Конвенция акцентирует свое внимание исключительно на автоматизированной обработке персональных данных, а 152-ФЗ на все отношения, связанные с обработкой персональных данных в информационных системах. Цель Модельного закона также значительно уже 152-ФЗ, так как заключается в защите прав человека в отношении его персональных данных и операций с ними.

С точки зрения понятийного аппарата определение персональных данных в рассматриваемых актах звучит одинаково - в этом плане российский законодатель выполнил свои обязательства.

Однако, не смотря на широкий перечень определений, ни 152-ФЗ ни ТК РФ не содержат такого понятия, как «мониторинг персональных данных», включенного в Кодекс практики МОТ. Отмеченное определение означает использование видеооборудования, звуковых устройств, компьютера, телефона и иных средств связи, различных методов идентификации и установления месторасположения, либо любой иной вид наблюдения. Так, в соответствии со статьей 86 ТК РФ работодатель при принятии решений в отношении работника не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения, а Кодекс практики дополняет похожую норму указанием на данные, полученные в следствии электронного мониторинга, что представляется в большей степени урегулированным. Включение определения мониторинга в ТК РФ и в 152-ФЗ помогло бы четче контролировать процесс защиты данных.

В отношении круга лиц положения Рекомендаций и Кодекса практики охватывают не только действующих работников, вступивших в трудовые отношения (статья 20 ТК РФ), но и соискателей и работников, с которым трудовой договор уже расторгнут. Такой подход ставит названные категории граждан РФ в менее выгодное положение по сравнению с международными стандартами.

Если сравнить определения автоматизированной обработки, данные в Конвенции и в Законе о персональных данных, то международная дефиниция представляется более подробной, так как содержит в себе уточнение содержания операции, осуществляемой полностью или частично с помощью автоматизированных средств, а именно хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.

Принципы обработки персональных данных в российском законодательстве полностью соответствуют международным нормам Конвенции и Модельного закона, хотя некоторые положения перенесены в отдельные статьи и федеральные законы - имеется в виду норма об обеспечении открытости отдельных лиц, например, государственных служащих, медицинский и педагогический персонал.

В соответствии со статьей 6 Конвенции специальные категории данных, касающиеся расовой принадлежности, политических взглядов или религиозных убеждений, здоровья или половой жизни не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий. Это положение действует также в отношении персональных данных, касающихся судимости. В Кодексе практики говорится о том, что работодатель не должен собирать данные о сексуальной жизни работника, его политических, религиозных и иных взглядах, о криминальном прошлом (пункты 6.5 - 6.6). С точки зрения российского законодательства обработка таких сведений также запрещена с учетом довольно широкого перечня исключений, кроме того, в соответствии со статьей 351.1 ТК РФ на основании сведений о судимости устанавливаются ограничения на занятие трудовой деятельностью в сфере образования, воспитания, развития несовершеннолетних, организации их отдыха и оздоровления, медицинского обеспечения, социальной защиты и социального обслуживания, в сфере детско-юношеского спорта, культуры и искусства с участием несовершеннолетних.

Рассматривая специальные категории персональных данных, стоит отметить, что ни Модельный закон, ни Конвенция не содержат понятия биометрических персональных данных, когда 152-ФЗ уделяет таким данным отдельную статью.

В отношении трансграничной передачи Закон о персональных данных и Модельный закон расширяют положения Конвенции в части ограничения трансграничных потоков в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. На наш взгляд это связано с тем, что положения Конвенции охватывают только трансграничные отношения сторон Конвенции, когда как нормы Закона о персональных данных и Модельного закона также содержат возможность передачи персональных данных в страны, не ратифицировавшие Конвенцию.

Права субъектов персональных данных, закрепленные положениями законодательства РФ корреспондируют с нормами Конвенции а также с правами, установленными для граждан государств-участников СНГ. Вместе с тем национальное законодательство содержит уточнения в части ограничения прав субъекта на свои персональные данные в соответствии с федеральными законами.

В отношении получения персональных данных от работника в международных актах установлены некоторые интересные положения, в частности, согласно пункту 6.8. Кодекса практики если работнику задаются вопросы, несовместимые с провозглашенными принципами, за неточные или неполные ответы такой работник не может быть подвержен дисциплинарному наказанию или уволен; или пункт 6.9. этого же документа устанавливает, что персональные данные, переданные по ошибке или в следствие неправильного понимания и выходящие за пределы запроса работодателя, не должны обрабатываться. В национальном законодательстве похожих норм пока не существует.

Также на международном уровне содержится запрет на использование полиграфов, оборудования для проверки правды и иных сходных процедур (пункт 6.10 Кодекса практики), более того, тесты, оценивающие личность и иные сходные с ними тестирования могут использоваться только с соблюдением условий Кодекса практики, причем работник вправе возражать против такой процедуры ( пункт 6.11 Кодекса практики и Рекомендации). В российском праве такие положения не установлены.

На основании приведенных сравнений можно сделать вывод, что 152-ФЗ в сфере охвата гораздо шире Конвенции или Модельного закона, что логично, так как он является внутренним документом государства и в его задачи входит урегулирование большого количества отношений. Однако, из вышесказанного видно, что существует много возможностей для уточнения национального законодательства, обеспечив тем самым более высокую степень защиты прав человека и работника в отношении их личной информации. Так, могли бы быть существенно конкретизированы нормы, касающиеся получения персональных данных работника, а также урегулированы личностные методы оценки персонала с учетом Кодекса практики и Рекомендаций.

Если рассматривать настоящую главу в целом, представляется возможным выделить несколько направлений для усовершенствования национального законодательства в области защиты персональных данных.

В частности, на наш взгляд, расширение круга лиц, попадающих под действие главы 14 ТК РФ путем ее переименования с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях» будет способствовать повышению уровня защищённости прав не только действующих работников, но и лиц, поступающих на работу, а также тех, с кем трудовой договор уже расторгнут.

Например, по смыслу статьи 10 152-ФЗ информация о членстве в профсоюзах не относится к специальной категории персональных данных, а значит обрабатывается на общих основаниях, тогда как Трудовой кодекс запрещает обработку такой информации для защиты работника от дискриминации. Применительно к соискателям запрет обработки информации о членстве в профсоюзах по нашему мнению, будет способствовать уменьшению количества отказов при приеме на работу по причинам, не связанными с профессиональными или деловыми качествами. Так, в настоящее время 2,4% пользователей портала JOB.RU отмечают дискриминацию по признаку членства в профсоюзе, что свидетельствует о том, что такая дискриминация существует.

К тому же, исходя из целей обработки персональных данных, заложенных в статье 86 ТК РФ, а именно содействие работникам в трудоустройстве, логично предположить, что речь в главе идет именно о трудовых и непосредственно связанных с ними отношениях согласно статье 2 ТК РФ, нежели об отношениях по букве статьи 15 ТК РФ, как следует из настоящего заголовка.

Другим несовершенством законодательства в области обработки персональных данных, отмеченное в настоящей главе, является противоречие норм Постановления N 687 и 152-ФЗ в части определения неавтоматизированной обработки персональных данных. Как отмечалось ранее, Постановление N 687 относит такие действия с персональными данными, содержащимися в информационной системе персональных данных, как использование, уточнение, распространение, уничтожение при непосредственном участии человека к неавтоматизированной обработке. Однако, в статье 3 152-ФЗ указано, что любая обработка персональных данных с помощью средств вычислительной техники является автоматизированной. Таким образом, получается, что уточнение персональных данных работника путем внесения в информационную систему сведений о полученном образовании, можно считать как автоматизированной, так и неавтоматизированной.

Не смотря на то, что с точки зрения юридической силы федеральный закон преобладает над постановлением Правительства РФ, на наш взгляд вопрос рассмотренного противоречия норм является существенным для трудовых отношений. В связи с тем, что указанные документы предъявляют различные требования к процессу обработки персональных данных, в том числе работников, устранение такого несоответствия является назревшим изменением действующего законодательства.

2. Регулирование защиты персональных данных в процессе трудовых и иных, связанных с ними, отношений

Обработка персональных данных в трудовых отношениях представляет собой постоянный процесс, который начинается с момента решения соискателя предложить свою кандидатуру определенному работодателю и предоставления ему необходимых сведений для приема на работу, осуществляется в течение всего периода работы в компании: на этапе испытательного срока, в ходе оценки выполняемой работы, начислении заработной платы, прохождении обучения, переводах, командировках, отпусках, увольнении и продолжается после расторжения трудового договора до тех пор, пока работодатель не прекратит свою деятельность или сроки хранения документов не истекут. В результате такой длительной процедуры возникают многочисленные вопросы право применения, цель настоящей главы рассмотреть основные из них.

2.1 Особенности регулирования персональных данных при приеме на работу

В настоящем исследовании уже неоднократно упоминалось, что нормы Трудового кодекса в области защиты персональных данных распространяются исключительно на действующих работников, с которыми заключен трудовой договор. Однако, любой работодатель в процессе своей деятельности многократно сталкивается с необходимостью приема на работу новых сотрудников, поэтому представляется не лишним рассмотреть вопросы защиты персональных данных такой категории, как соискатели.

Так как соискатель является самостоятельным лицом, трудовой договор с которым еще не заключен его персональные данные обрабатываются по правилу статьи 6 152-ФЗ, то есть с согласия субъекта персональных данных.

С другой стороны, исходя из смысла пункта 2 статьи 6 152-ФЗ, обработка считается законной в случаях, предусмотренных международным договором или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Так, статьей 16 ТК РФ устанавливается перечень дополнительных оснований возникновения трудовых отношений, предшествующие трудовому договору, одним из которых является конкурс на замещение соответствующей должности. В статье 18 ТК РФ конкретизируется такое основание - трудовые отношения будут считаться возникшими, если трудовым законодательством, иными нормативными правовыми актами, или уставом организации определены перечень должностей, подлежащих замещению по конкурсу, и порядок конкурсного избрания на эти должности. Например, в соответствии со статьей 332 ТК РФ заключению трудового договора предшествует избрание по конкурсу на замещение должности педагогического работника, относящегося к профессорско-преподавательскому составу, в организации, осуществляющей образовательную деятельность по реализации образовательных программ высшего образования и дополнительных профессиональных программ, а также переводу на такую должность. Следовательно, не требуется согласие соискателя на обработку его персональных данных, предъявляемых с целью замещения по конкурсу вакантной должности в связи с тем, что такая обработка предусмотрена законодательством РФ.

Кроме того, согласие на обработку персональных данных от соискателя не требуется, если претендент на открытую вакансию самостоятельно разместил своего резюме в сети Интернет, тем самым сделав его доступным неограниченному кругу лиц. В таком случае по правилу пункта 10 части первой статьи 6 Закона о персональных данных обработка персональных данных, сделанных общедоступными субъектом персональных данных, считается правомерной.

В случае, когда соискателя представляет кадровое агентство, с которым данное лицо заключил соответствующий договор, согласие на обработку работодателем также не запрашивается. Так как за защиту персональных данных соискателя отвечает соответствующее кадровое агентство, которое обязано предупредить работодателя о необходимости соблюдения конфиденциальности предоставляемой информации.

Зачастую в процессе поиска работы соискатель отправляет свое резюме понравившемуся работодателю по электронной почте. Роскомнадзор дает следующий комментарий по этому поводу: «В случае получения резюме соискателя по каналам электронной почты работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.” Представляется, что в данном разъяснении речь идет о любой обратной связи на письмо соискателя. С точки зрения делового этикета такой ответ подразумевается сам по себе. Однако, юридических предпосылок в данном контексте не прослеживается. Необходимость ответа на письмо соискателя появляется только в случае, указанном статьей 64 ТК РФ, а именно обязанность работодателя сообщить причину отказа по письменному требованию лица, которому отказано в заключении трудового договора.

В случае сбора и обработки персональных данных соискателя на основании письменной анкеты, заполняемой непосредственно кандидатом, такая анкета должна соответствовать требованиям п. 7 Постановления № 687, в частности, содержать сведения о цели обработки персональных данных, сроки обработки и перечень действии? с ними, также предусматривать поле для отметки о согласии на обработку персональных данных соискателем. Такая анкета может размещаться в электронной форме на сайте работодателя - в этом случае согласие на обработку персональных данных подтверждается соискателем путем проставлением отметки в соответствующем поле. Также стоит принимать во внимание указанное положение в случае, если пропускная система на территорию работодателя организована таким образом, что каждый посетитель компании отмечается в журнале прохода посетителей и работников. В частности, пункт 8 Постановления № 687 содержит следующие условия:

а) необходимость ведения такого журнала должна быть предусмотрена локально-нормативным актом оператора;

б) не допускается копирование информации, содержащейся в таких журналах;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал не более одного раза в каждом случае пропуска на территорию оператора.

Согласно пункту 4 статьи 21 152-ФЗ при достижения цели обработки, оператор обязан ее прекратить и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено федеральными законами. В связи с тем, что отношения соискателей и работодателя на федеральном уровне не регулируются, а договор между ними еще не заключен, работодатель при трудоустройстве одного из кандидатов должен уничтожить персональные данные остальных претендентов на вакантную должность в указанный срок.

В ряде случаев при отборе кандидатов запрашивается информация о соискателе на его предыдущих местах работы в виде характеристики или рекомендации. Так, работодатель вправе запросить, а бывший работодатель -- предоставить такую информацию на основании письменного согласия поступающего на работу лица. При этом требования законодательства не будут нарушены.

Однако, требование предоставления согласия соискателя не распространяется на случаи заключения трудового договора с бывшим государственным или муниципальным служащим. Согласно статьей 64.1 ТК РФ работодатель при заключении трудового договора с такими гражданами в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении трудового договора работодателю по последнему месту его службы в соответствующем порядке - эта норма призвана способствовать обеспечению контроля за соблюдением бывшими государственными и муниципальными служащими ограничений и запретов, установленных законодательством в целях противодействия коррупции на территории РФ.

Кроме того, не требуется согласие для уточнения или получения дополнительной информации по прежним местам работы о соискателях, подавших документы на замещение вакантных должностей государственной гражданской службы, поскольку перечень предоставляемых документов, определен федеральным законом.

Одним из важных вопросов при предоставлении информации является ее достоверность, поэтому ряд работодателей устраивают дополнительные проверки кандидатов при приеме на работу и в процессе трудовой деятельности, включая проверку на детекторе лжи (полиграфе). Законодательство РФ не содержит прямых запретов на такие действия в отличие от международных норм права. Хотя проверка на полиграфе носит добровольный характер и осуществляется на основании письменного согласия, представляется халатной невнимание законодателя к вопросам регулирования подобной процедуры хотя бы потому, что с проведением проверки зачастую связаны случаи незаконного наложения дисциплинарных взысканий, увольнений, и принуждения к расторжению трудового договора. Между тем, в зарубежном законодательстве тестирование работников на полиграфе либо запрещается (в провинциях Нью-Брансвик и Онтарио в Канаде, в штате Новый Южный Уэльс в Австралии), либо применение полиграфа в трудовых отношениях строго регламентируются. Например, в США существует Закон о защите работников от применения детектора лжи 1988 г. Этот закон запрещает частным предпринимателям использовать детектор лжи при отборе кандидатов и сотрудников.

В 2010 году в Государственную думу РФ был направлен проект Федерального закона "О применении полиграфа", который предлагал введение институтов обязательных и добровольных опросов, установление условий их проведения и регламентирование последствий отказа от такой процедуры. Однако, в 2012 году указанный проект оказался снятым с рассмотрения.

В настоящее время существует ряд проблем в области применения полиграфических исследований. Например, отсутствие регулирования проверок на полиграфе затрудняет и сдерживает применение опросов в правоохранительных целях и, одновременно, создает условия для злоупотреблений этим методом как в государственной, так и в негосударственной сферах. Также, особую озабоченность вызывает применение полиграфа в сфере частного предпринимательства в виду отсутствия единой системы подготовки и аттестации полиграфологов, что создает условия для дискредитации метода и нарушения прав субъектов при использовании результатов опросов. На наш взгляд необходимо вернуться к вопросу регулирования полиграфических исследований и установить нормы, защищающие работников, приняв во внимание положения Кодекса практики и Рекомендаций в отношении подобных проверок.

2.2 Особенности регулирования персональных данных работника на период трудовой деятельности

Итак, в случае положительного ответа от работодателя соискателем предоставляется, в соответствии со статьей 65 ТК РФ, перечень документов для приема на работу. Получать согласие на их обработку от соискателя не требуется в связи с тем, что статья 6 152-ФЗ напрямую указывает о правомерности обработки персональных данных необходимых для исполнения договора.

Однако, у работодателей получило широкое применение практика получения от работника письменного согласия на обработку его персональных данных одновременно с заключением трудового договора, которое оформляется в виде акта, заранее подготовленного работодателем, и подписывается работником. Данные в таком акте обычно делятся на те, которые прямо предусмотрены федеральными законами, и те, которые могут понадобиться работодателю в связи с трудовыми отношениями (то есть не конкретизированные). Согласно мнению таких ученых, как Лушников А.М. и Лушникова М.В. указание на первые бессмысленно, а на вторые - ничтожно. Ученые подкрепляют свою позицию тем, что в случаях, предусмотренных федеральными законами, согласие или отказ работника никак не влияет на права и обязанности работодателей в области защиты персональных данных. Получение согласия работника на дальнейшую обработку неопределенного круга персональных данных на весь период действия трудового договора неправомерно в силу положений статьи 9 152-ФЗ.

На наш взгляд трудно не согласиться с такой обоснованной точкой зрения. Действительно, по смыслу статьи 9 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, а также, помимо основных реквизитов, включающих данные о работнике и работодателе, дату и подпись предоставившего персональные данные лица, содержать цель обработки и перечень персональных данных, на обработку которых дается согласие субъекта. Таким образом, в акте о согласии могут указываться только конкретные персональные данные конкретного работника, иные условия будут считаться ничтожными.

В ряде случаев, связанных с трудовой деятельностью и функционированием компании, конкретное согласие работника все же необходимо. Например, когда персональные данные работников передаются и обрабатываются третьими лицами.

Так, некоторые работодатели для обеспечения кадрового документооборота заключают договор со сторонними организациями об оказании услуг по ведению соответствующего делопроизводства. Организация, осуществляющая обработку персональных данных по поручению работодателя, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ. В договоре между работодателем и сторонней организацией должны быть определены перечень действий с персональными данными работников, которые будут совершаться, установлена обязанность организации, принимающей персональные данные работников, соблюдать конфиденциальность полученных данных и обеспечивать безопасность при их обработке, а также должны быть указаны требования к защите обрабатываемой информации. На необходимость перечисленных условий ссылается также Роскомнадзор, разъясняя практику привлечения работодателем сторонних организаций для ведения кадрового и бухгалтерского учета.

Рассмотренные требования к договору, заключаемому между работодателем и компанией, осуществляющей у него кадровый учет, распространяются на все договоры, заключаемые работодателем при передаче персональных данных работника третьим лицам, к которым относятся договоры с кредитными организациями, осуществляющими зарплатные проекты у работодателя, или с учреждениями, обеспечивающие дополнительное медицинское страхование работников.

Однако, при заключении договора с кредитными организациями действуют несколько исключений. Не требуется согласие работников в случаях:

· если договор на выпуск банковской карты заключался напрямую с работником;

· наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

· соответствующая форма и система оплаты труда прописана в коллективном договоре.

Между тем на практике часто встречается несоблюдение работодателями установленных требований, что приводит к необходимости устранить предписания инспекторов Роскомнадзора. Из материалов дела, рассмотренного судом, следует, что работодатель и банк заключили договор об оказании услуг по организации расчетов, в соответствии с которым работодатель предоставляет в банк реестр с указанием паспортных данных работников. А на основании договора на осуществление бухгалтерского и юридического сопровождения общество передает в стороннюю организацию личные карточки учета и трудовые книжки работников. При этом в нарушение части 1 статьи 6 152-ФЗ передача осуществляется без письменного согласия работников. Кроме того, суд установил, что в договоре с банком, отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке. При таких обстоятельствах суд сделал вывод, что выданные обществу предписания соответствуют закону.

Избежать ответственности за нарушения законодательства о защите персональных данных не удается и тем компаниям, которые действуют в интересах работников. Так, в ходе проведенной проверки инспекторы установили, что ООО «В Контакте» заключило договор добровольного медицинского страхования своих сотрудников. Однако, договор не содержал положений о порядке действий с персональными данными работников, которые будут совершаться страховой компанией, цели обработки, обязанность соблюдать безопасность. Более того, работодатель не получил от каждого сотрудника письменное согласие на передачу его данных в страховую компанию. По всем фактам вышеуказанных нарушений ООО «ВКонтакте» выдано соответствующее предписание.

Другим важным обстоятельством, требующим письменного согласия работника является осуществление видеонаблюдения на территории компании. В некоторых случаях видеозапись является обязанностью работодателя, например, в помещениях учреждений здравоохранения и образования с целью обеспечения антитеррористической и пожарной безопасности.

Как показывает судебная практика, многие работники не согласны с работать под таким наблюдением. Так, работник обратился в суд с требованием признать незаконным изменение условий труда, выразившееся во введении системы видеонаблюдения, в связи с тем, что установление этой системы является существенным изменением условий трудового договора. Суд отказал работнику в удовлетворении требований, ссылаясь на то, что в соответствии с положениями статьи 57 ТК РФ наличие или отсутствие видеонаблюдения рабочего места не отнесено к существенным условиям трудового договора. Кроме того, судебная коллегия подтвердила правомерность установления видеонаблюдения на рабочем месте истицы, поскольку оно было установлено для обеспечения сохранности товарно-материальных ценностей, контроля исполнения трудовых обязанностей сотрудников, а работник был поставлен в известность, что его рабочее место оборудовано камерами видеонаблюдения.

Таким образом, можно сделать вывод, что суды, рассматривая дела о правомерности видеозаписи рабочего процесса, встают на сторону работодателя, если тот оформил процесс видеосъёмки на своей территории должным образом.

Согласно статье 21 ТК РФ работник имеет право на полную достоверную информацию об условиях труда на рабочем месте. Следовательно, если на территории работодателя установлены камеры - работник должен быть об этом осведомлен. Отсутствие осведомленности будет являться нарушением, так как негласное получение информации возможно лишь по прямому указанию закона. Часть 5 статьи 6 Федерального Закона от 12.08.1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности" содержит прямой запрет на использование специальных и иных технических средств, предназначенных для негласного получения информации не уполномоченными на то лицами. Более того, работник, подозревающий, что за ним ведется скрытое наблюдение, вправе обратиться с заявлением в правоохранительные органы с целью проведения соответствующей? проверки.

Такое правило было принято во внимание при рассмотрении дела Пролетарским районным судом г. Твери, когда работник обжаловал примененное к нему дисциплинарное взыскание за опоздания, которые были зафиксированы видеокамерами, установленными на входе в офис, мотивировав свое мнение незаконным характером видеосъемки. Суд признал недействительным приказ о наложении дисциплинарного взыскания и взыскал в пользу работника компенсацию морального вреда, так как видеозапись была сделана с нарушением закона: локальные нормативные акты работодателя не содержали положении? о видеонаблюдении, работники не были уведомлены.

К мерам, необходимым для обеспечения выполнения обязанностей работодателя, предусмотренных законодательством в области защиты персональных данных работников, в соответствии с пунктом 2 части первой статьи 18.1 152-ФЗ относится издание локальных актов по вопросам обработки персональных данных и ознакомление с ним под роспись всех работников. Включение в такой акт положений об организованной видеосъёмке является обязательным с учетом рассмотренной судебной практики. Кроме того, согласно установленным принципам обработки персональных данных, при включении в локально-нормативный акт положений о системе видеонаблюдения, важно указать цели, для которых она проводится. Напомним, что Трудовой кодекс содержит закрытый перечень возможных целей обработки персональных данных работников, например, к процессу видеосъёмки можно отнести обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества. Также в локально-нормативном акте целесообразно указать порядок, сроки хранения сделанных видеозаписей и ответственных лиц, имеющих доступ к системе видеонаблюдения.

Интересное предложение для внесения в акт по вопросам обработки персональных данных делает Е. Смирнова: «установить запрет работникам организации и посетителям загораживать, закрывать камеры или каким-либо иным способом препятствовать производству видеонаблюдения». Представляется правильным таким образом предотвратить нарушение работниками деятельности системы наблюдения, обеспечив бесперебойное ее функционирование.

Если работодатель только планирует установить на территории организации систему видеонаблюдения, на наш взгляд необходимо уведомить об этом работников, а в трудовых договорах с новыми работниками включить право работодателя проводить видеосъёмку на рабочих местах с указанием целей такой съемки.

Если в видимость камеры, размещенной на территории работодателя попадают посторонние лица, например, видеозапись ведется в торговом зале, тогда положения о системе видеонаблюдения необходимо включить в политику компании в отношении обработки персональных данных. Более того, из Разъяснений Роскомнадзора следует, что посетители организаций должны заранее предупреждаться администрацией о возможной фото-, видеосъемке соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий их согласие на проведение указанных мероприятий не требуется. Также в этом случае придется уведомить Роскомнадзор об осуществлении обработки в соответствии со статьей 22 152-ФЗ. Отметим, что информация, полученная с камер системы видеонаблюдения в отсутствие предварительного уведомления Роскомнадзора, не будет иметь юридической силы в случае судебного разбирательства.

В рамках трудовых отношений встречаются случаи сбора и обработки работодателем изображений работника, например, для изготовления пропуска на территорию работодателя или для публикации на информационном стенде.

Гражданский кодекс РФ в статье 152.1. содержит норму о недопустимости обнародования и дальнейшего использование изображения гражданина (в том числе его фотографии или видеозаписи), в которых он изображен без согласия этого гражданина - таким образом, размещая фотографию работника на информационном стенде компании или делая рассылку о кадровом перемещении, необходимо заранее заручиться согласием на это.

Касательно изготовления личного пропуска работнику - то, как мы уже рассматривали в прошлой главе, к биометрическим данным фотография на пропуске не может быть отнесена в связи с тем, что понятие биометрических данных предполагает не только наличие определенных сведений, содержащих информацию о физиологических и биологических особенностях человека, но также использование биометрических методов идентификации личности. В связи с этим сбор и обработка изображения работника в процессе пропускного режима не подразумевает его согласия, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со статьей 372 ТК РФ.

В процессе трудовых отношений работодатель обеспечивает хранение большого количества персональных данных работников как на электронных, так и на материальных носителях. Трудовой кодекс не содержит никаких требований к хранению такой информации, кроме отсылочных норм к федеральным законам. Таким образом, работодатель самостоятельно определяет порядок хранения персональных данных работников, опираясь на установленные законодательством правила. Так, прописав основные положения обработки в локально-нормативном акте и назначив за нее ответственного, работодателю необходимо утвердить список лиц, имеющих доступ к обрабатываемым персональным данным, заключить с этими лицами обязательства о неразглашении конфиденциальной информации, полученной в ходе выполнения трудовых обязанностей и включить соответствующие обязанности в их должностные инструкции.

Кроме того, работодатель обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерных действий в отношении них, в частности:

1) определять угрозы безопасности персональных данных при их обработке;

2) применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке;

3) устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также совершать иные действия, перечисленные в части второй статьи 19 152-ФЗ.

Правительством РФ, учитывая возможный вред субъекту персональных данных, объем и содержание обрабатываемой информации, вид деятельности оператора и актуальность угроз безопасности, установлены уровни защищенности персональных данных при обработке в информационных системах и требования к их защите. Также установлены требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем. Состав и содержание необходимых организационных и технических мер для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.

Организовывая системы хранения персональных данных работников на материальных носителях в информационных системах, работодатель должен руководствоваться перечисленными документами. Учитывая сложность и многообразие требований в области технической и организационной защиты персональных данных, законодатель в части третьей статьи 6 152-ФЗ предусмотрел возможность осуществления обработки персональных данных по поручению оператора другим лицом на основании договора. Такой договор должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

В отношении требований к защите персональных данных работников в ходе неавтоматизированной обработки действуют положения Постановления N 687.

Так, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Работодатель самостоятельно устанавливает перечень мер, необходимых для обеспечения таких условии?, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер. Как показывает судебная практика, если такие действия не будут произведены, работодателю придется устранять предписания инспектора. Так, суд оставил апелляционную жалобу ФГУП "Почта России" об оспаривании предписания Роскомнадзора без удовлетворения из-за того, что было установлено нарушение со стороны ФГУП "Почта России" пункта 13 Постановления N 687 в части отсутствия у оператора места хранения материальных носителей персональных данных, перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Важно, что бы хранящиеся у работодателя данные не были избыточными. Если работодатель необоснованно собирает и обрабатывает излишние данные о сотрудниках, в ходе проверки Роскомнадзор вправе вынести предписание об устранении нарушений законодательства. Такое предписание стало предметом судебного разбирательства в Пятнадцатом арбитражном апелляционном суде. В ходе проверки было установлено, что филиал банка без письменного согласия субъектов персональных данных обрабатывает специальную категорию персональных данных - национальность, указанную в копиях свидетельства о заключении брака, свидетельства о рождении ребенка. Также ответчик превышает установленный пунктом 2 статьи 86 Трудового кодекса РФ объём обрабатываемых персональных данных работников, осуществляя обработку: копии страниц паспорта, копии страниц военного билета. В частности, в установленном законодательством порядке воинского учета четко прописан объем и содержание обрабатываемых персональных данных, и не предусмотрено получение и хранение в организации копий документов. Кроме того, хранение копий противоречит принципам точности и актуальности персональных данных, отраженном в части 6 статьи 5 152-ФЗ. Рассматривая дело, суд поддержал позицию Роскомнадзора в незаконности хранения копий документов, на основании которых были внесены записи в кадровые документы, включая трудовой договор и личную карточку.

В связи с тем, что на работодателе лежит обязанность по обеспечению конфиденциальности полученных персональных данных работников, представляется целесообразным вести журнал учета персональных данных, их выдачи и передачи третьим лицам. В таком журнале можно регистрировать поступающие запросы, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана с указанием цели предоставления. Кроме того, работодатель может предусмотреть в локально-нормативном акте требования к помещениям, в которых находятся носители информации, содержащие персональные данные работников. Например, принимая во внимание пункт 21 Методических рекомендации? по ведению воинского учета в организациях документы воинского учета, содержащие персональные данные работников, рекомендуется хранить в железных шкафах в специально оборудованных помещениях.

2.3 Особенности регулирования персональных данных работников после увольнения

Согласно пункту 7 статьи 5 152 ФЗ хранение персональных данных должно осуществляться не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом. В отношении сроков хранения документов, содержащих персональные данные работников, в настоящее время действует Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации" (далее - 125-ФЗ), в частности статья 22.1., устанавливающая сроки временного хранения документов по личному составу в организациях, а также Приказ Минкультуры России от 25.08.2010 N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" (далее - Перечень типовых управленческих архивных документов).

В соответствии со статьей 22.1 125-ФЗ все архивные документы по личному составу делятся на две группы: созданные до и после 2003 года. Так, документы по личному составу, созданные до 2003 года, хранятся не менее 75 лет со дня создания, а документы по личному составу, созданные начиная с 2003 года, хранятся не менее 50 лет со дня создания, причем в обоих случаях после истечения указанного срока хранения для документов государственных органов, органов местного самоуправления и организаций, выступающих источниками комплектования государственных и муниципальных архивов, проводится обязательная экспертиза ценности документов.

Перечень типовых управленческих архивных документов содержит несколько разделов, включающих перечни документов с персональными данными работников: документы по организации труда, нормированию, тарификации, оплате труда, и документы о работе с кадрами: приеме, перемещении, увольнении работников, повышении их квалификации, проведении аттестации, а также награждении. Большинство документов согласно рассматриваемому Перечню хранятся 75 лет или постоянно (до момента ликвидации организации). К ним, например, относятся трудовые договоры, личные карточки, документы о субъекте персональных данных (заявления работника о согласии на обработку персональных данных, сведения, уведомления). По нашему мнению столь долгосрочное хранение обусловлено возможной необходимостью истребования в дальнейшем сведений, например, для подтверждения страхового стажа при оформлении досрочной пенсии по старости.

Привлекает внимание тот факт, что в ряде нормативных правовых актов, в том числе в упомянутом Перечне, сроки хранения некоторых документов по личному составу, в которых содержатся персональные данные работников, отличаются от установленных в статье 22.1 125-ФЗ. Представляется, что в скором времени данные акты будут приведены в соответствие с 125-ФЗ.

В обязанности работодателя при ликвидации входит передача образовавшихся в процессе его деятельности документов по личному составу, сроки временного хранения которых не истекли, на хранение в соответствующий государственный или муниципальный архив на основании договора. Соответственно, перед передачей в такой архив работодатель должен организовать упорядочение архивных документов.

Кроме этого, согласно подпункту 8 пункта 1 статьи 24 Налогового кодекса РФ установлена обязанность в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога. Статья 29 Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете" определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее 5 лет. Таким образом, помимо документов по организации труда, его оплате и документов о работе с кадрами работодатель хранит и другие документы, содержащие персональные данные работников.

Работодатель обязан обеспечивать финансовые, материально-технические и иные условия, необходимые для комплектования, хранения, учета и использования архивных документов. Для выполнения такой обязанности нужно руководствоваться "Основными Правилами работы архивов организаций", одобренными решением Коллегии Росархива от 06.02.2002, которые среди прочего устанавливающие требования к зданиям и помещениям архива, а также режимы хранения документов.

Руководствуясь положением пункта 2 части первой статьи 6 152-ФЗ, а также учитывая Разъяснения Роскомнадзора, согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях получать не требуется. Как следует из пункта 2 части второй статьи 1 152-ФЗ, действие Закона о персональных данных не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов, и, соответственно, обработка указанных сведений не требует соблюдения условий, установленных законодательством о защите персональных данных.

По истечению сроков хранения документов, содержащих личные сведения работников, а также в случаях достижения целей обработки, утраты необходимости в достижении этих целей, отзыва субъектом персональных данных согласия на обработку его персональных данных, если выявлены неполных или неточных данные, обрабатываемая информация подлежит уничтожению либо обезличиванию.

Согласно пункту 8 статьи 3 152-ФЗ уничтожение персональных данных - это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) уничтожение материальных носителей персональных данных.

Следовательно можно выделить два вида уничтожения персональных данных:

· физическое уничтожение материального носителя;

· уничтожение информации с материального носителя.

Способ уничтожения материального носителя зависит от его материала. Например, бумажный носитель уничтожается через шредирование (измельчение и гидрообработка) и через термическую обработку (сжигание), а электронный носитель путем механического разрушения дисков, химического травления в агрессивных средах и обжига или переплавки.