Особенности правового регулирования защиты персональных данных работников в РФ

Для уничтожения информации с носителя существует большое количество как программной, так и программно-аппаратной реализации. Конкретный способ уничтожения персональных данных работника определяется в локально-нормативном акте работодателя.

Независимо от того, какой вид уничтожения персональных данных выберет работодатель, он обязан документально зафиксировать это действие. Порядок такой документальной фиксации определяется работодателем самостоятельно. На практике наиболее распространенным способом является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются работодателем. Уничтожение персональных данных работников осуществляется комиссией, созданной на основании приказа.

Обезличиванием персональных данных в соответствии с пунктом 9 статьи 3 152-ФЗ являются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. В рассматриваемом определении Закон о персональных данных не уточняет, каким должен быть объем этой дополнительной информации. Однако, очевидно, что такая дополнительная информация не должна относиться к данным открытого доступа.

Отличительной особенностью обезличивания от уничтожения персональных данных является то, что обезличивание персональных данных работников обеспечивает не только защиту от несанкционированного использования, но и возможность их обработки.

Существует несколько методов обезличивания персональных данных, работодатель праве выбрать любой из них или использовать сразу несколько, исходя из поставленных задач обработки полученной информации. При выборе метода обезличивания персональных данных работника работодатель может руководствоваться Приказом Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Подводя итоги рассмотренных ситуаций обработки персональных данных при приеме на работу, в процессе трудовой деятельности и после увольнения работника, представляется возможным отметить следующее:

· обрабатывая персональные данные соискателя, работодатель обязан получить от него согласие, за исключением случаев, когда обрабатываемая информация является общедоступной, предоставляется кадровым агентством или обработка предусмотрена законодательством РФ;

· передавая персональные данные работника третьим лицам, необходимо заручиться согласием работника. Кроме того, в договоре с принимающей стороной должны быть определены перечень действий с персональными данными, которые будут совершаться, установлена обязанность соблюдать конфиденциальность полученных данных и обеспечивать безопасность при их обработке, а также должны быть указаны требования к защите обрабатываемой информации;

· если на территории работодателя осуществляется видеосъёмка, работник должен быть об том уведомлен, в локально - нормативном акте организации отражены ее цели, ответственные работники и сроки хранения записанной информации. Кроме того, если в зону видимости камеры попадают лица, не состоящие в трудовых отношениях с работодателем, придется направить в Роскомнадзор уведомление об обработке персональных данных;

· в процессе защиты персональных данных работников работодатель обязан прописать основные положения обработки в локально-нормативном акте и назначить за нее ответственного, утвердить список лиц, имеющих доступ к обрабатываемым персональным данным, заключить с этими лицами обязательства о неразглашении конфиденциальной информации, полученной в ходе выполнения трудовых обязанностей и включить соответствующие обязанности в их должностные инструкции;

· обеспечивая хранение персональных данных работников, работодатель должен соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ, а обрабатываемая информация не должна быть избыточной;

· после достижения цели обработки в процессе трудовых отношений персональные данные должны быть уничтожены не позднее установленного срока, так, работодатель вправе хранить персональные данные соискателей не более 30 дней после закрытия соответствующей вакансии, а кадровые документы и документы по организации труда - на срок, установленный законодательством об архивном хранении РФ.

Наиболее проблемным моментом, на наш взгляд, в регулировании защиты персональных данных в процессе трудовых отношений является отсутствие единообразного толкования термина биометрические данные, в частности, отнесение к ним фото- и видеоизображений работников, а соответственно, и понимания, какие данные о человеке могут являться биометрией.

На данный момент в отношении идентификации фотоизображения как биометрических данных действует единственный документ, регулирующий удостоверение личности гражданина, осуществляющего выезд и въезд на территорию РФ. Очевидно, что применять его в трудовых отношениях не представляется возможным. Кроме того, разъяснения об отнесении фото- и видеоизображений к биометрическим данным дает проверяющий орган, в полномочия которого не входит толкование законодательства, и, соответственно, такие разъяснения носят рекомендательный характер.

На практике обозначенная проблема приводит к разночтениям законодательства, в том числе со стороны Регулятора, и, как следствие, к дополнительным штрафным санкциям в отношении работодателя, принявшего «не ту сторону» толкования. На основании чего считаем отсутствие четкой позиции отнесения фото- и видеоизображений пробелом в современном законодательстве, который следует урегулировать.

Другим проблемным моментом законодательства в области защиты персональных данных работника является отсутствие регулирования проверок на полиграфе несмотря на то, что в настоящее время РФ входит в число пяти ведущих государств мира по объемам прикладного применения полиграфа в правоохранительных целях, а коммерческое применение полиграфа осуществляется более чем в двадцати городах России.

Как было отмечено выше, судебная практика по данному вопросу выявляет незаконные наложения дисциплинарных взысканий, увольнения, и принуждения к расторжению трудового договора в последствие использования тестирования на детекторе лжи. Причем международные стандарты труда, как и национальное законодательство большинства европейских стран, содержат нормы о запрете проверок или их строгое ограничения в государственной и коммерческой сферах.

По нашему мнению, отсутствие регулирования исследований на полиграфе на территории РФ затрудняет и сдерживает применение опросов в правоохранительных целях, а также создает условия для злоупотребления. Так, например, создание единой системы подготовки и аттестации полиграфологов, будут способствовать отмене дискредитации метода и защите прав субъектов при использовании результатов опросов.

3. Ответственность за нарушение законодательства в области защиты персональных данных работников

В соответствии со статьей 24 Закона о персональных данных лица, виновные в нарушении установленных требований, несут ответственность, предусмотренную законодательством РФ.

В Трудовом кодексе (статья 90) уточняется, что лица, нарушившие положения законодательства РФ в области персональных данных, привлекаются к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

3.1 Виды ответственности и меры наказания за нарушения законодательства в области защиты персональных данных работников

Задачами Уголовного кодекса РФ (далее - УК РФ, Уголовный кодекс) среди прочего является охрана прав и свобод человека и гражданина, от преступных посягательств, обеспечение мира и безопасности человечества, а также предупреждение преступлений, то есть виновно совершенных общественно опасных деяний, запрещенных под угрозой уголовной ответственности.

В соответствии с нормами Российского законодательства к уголовной ответственности могут быть привлечены исключительно физические лица, а значит только работники, неправомерные действия которых послужили разглашению личной информации работников и (или) иным правонарушениям.

Уголовный кодекс предусматривает следующие основания для привлечения к ответственности в связи с нарушением законодательства в области защиты персональных данных работников:

1) в пункте 2 статьи 137 УК РФ в случае незаконного собирания или распространения сведений о частной жизни лица без его согласия либо публичное распространение этих сведений, совершенные лицом с использованием своего служебного положения, приводится следующий перечень наказаний:

· штраф в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет;

· лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет;

· принудительные работы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового;

· арест на срок до 6 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Таким образом, устанавливается наказание за нарушение конституционного права работника на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (часть 1 статьи 23 Конституции РФ). К ответственности по рассматриваемой статье могут, например, привлекаться лица, которые производят скрытую видеосъемку или аудиозапись.

2) В связи с разглашением персональных данных работников к виновным может применяться статья 272 УК РФ. В частности, неправомерный доступ с использованием служебного положения к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации наказывается следующими способами:

· штраф в размере до 500 000 рублей или в размере заработной платы или иного дохода осужденного за период до 3х лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3-х лет;

· ограничение свободы на срок до 4-х лет;

· принудительные работы на срок до 5-ти лет;

· лишение свободы на срок до 5-ти лет.

Под охраняемой законом компьютерной информацией можно понимать информацию ограниченного доступа, имеющую не только специальный правовой статус, но и предназначенную для ограниченного круга лиц (пользователей), имеющих право на ознакомление с ней, иными словами, информационную систему персональных данных.

3) Обратной стороной разглашения персональных данных является непредставление информации, касающейся работника. В статье 140 УК РФ устанавливается ответственность за неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, а также предоставление гражданину неполной или заведомо ложной информации, в связи с чем причиняется вред правам и законным интересам граждан, в виде:

· штрафа в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;

· лишения права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

Частным проявлением такого отказа является уклонение от предоставления информации (когда виновный прямо не отказывается ее предоставить, но под различными, часто надуманными, предлогами затягивает до бесконечности предоставление информации). Как следствие, привлечение к ответственности по статье 140 УК РФ практически не встречается в судебной практике из-за трудности доказывания умышленности неправомерных действий.

В соответствии со статьей 2.1 Кодекса РФ об административных правонарушениях РФ (далее - КоАП РФ) административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое установлена административная ответственность. Из этого определения следует, что административную ответственность за нарушение норм законодательства о персональных данных несут как работодатель, так и ответственный за обработку и защиту персональных данных работник.

Работодатель признается виновным в совершении административного правонарушения, если устанавливается возможность для соблюдения правил, за которые предусмотрена административная ответственность, но им не были приняты меры по их соблюдению. Назначение административного наказания на работодателя не освобождает от ответственности за данное правонарушение виновного работника, равно как и привлечение к административной или уголовной ответственности должностного лица не освобождает от административной ответственности оператора.

Статьей 13.14 КоАП РФ устанавливается ответственность за разглашение информации с ограниченным доступом (за исключением случаев, когда такое преступление влечет уголовную ответственность). Соответственно, если работник, получивший доступ к такой информации в связи с исполнением своих служебных обязанностей, разгласит персональные данные других работников, ему грозит административный штраф от 4000 до 5000 рублей. Кроме того, в этом случае работодатель также может быть привлечен к административной ответственности по статье 13.11 КоАП РФ в связи с тем, что на работодателя пунктом 7 статьи 86 ТК РФ возложена обязанность защиты персональных данных работников от неправомерного их использования или утраты, а статьей 88 ТК РФ - требование не сообщать персональные данные третьей стороне без согласия работника. Лишь доказав, что виновный за разглашение персональных данных работник ознакомлен с порядком обработки персональных данных в компании, и ему разъяснены недопустимость разглашения персональных данных третьим лицам, работодатель сможет избежать административного наказания в связи с отсутствием вины.

Отметим, что согласно упомянутой статье 13.11. КоАП РФ за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена ответственность в виде предупреждения или наложения административного штрафа:

· на должностных лиц - от 500 до 1000 рублей;

· на юридических лиц - от 5000 до 10 000 рублей.

Представляется, что столь незначительное наказание не имеет должного эффекта для предотвращения нарушений в области защиты персональных данных. Так, решением суда должностному лицу, нарушившему требования законодательства при передаче третьему лицу сведений об адресе работников, а также не принявшему меры по уничтожению документов, содержащих персональные данные, после истечения сроков хранения, назначено административное наказание в виде предупреждения. А в случае, отсутствия у работодателя мер защиты персональных данных, суд налагает административный штраф в размере 500 рублей.

К тому же, в соответствии с частью 1 статьи 4.5 КоАП РФ постановление по делу об административном правонарушении не может быть вынесено по истечении трех месяцев со дня совершения административного правонарушения, в связи с чем виновных не всегда получается привлечь к ответственности.

Так, в 2015 году в Государственную Думу РФ был направлен законопроект, существенно ужесточающий меры наказания за нарушение норм в области защиты персональных данных. Например, невыполнение оператором обязанности по опубликованию политики в отношении обработки персональных данных и сведениям о реализуемых требованиях к защите персональных данных в соответствии с предложенным законопроектом влечет предупреждение или наложение административного штрафа на должностных лиц - от 3000 до 6000 рублей, на юридических лиц - от 15000 до 30000 рублей; обработка персональных данных без согласия субъекта наказанием в виде штрафа на должностных лиц - от 5000 до 15000 рублей; на юридических лиц - от 30000 до 50000 рублей; а за незаконную обработку специальной категории персональных данных - штрафом на должностных лиц - от 10000 до 25000 рублей; на юридических лиц - от 150000 до 300000 рублей.

По нашему мнению, подобные меры будут способствовать соблюдению законодательства о защите персональных данных, однако, приведение внутренних процессов в соответствии с законодательством связано с большими затратами, поэтому вступление в силу рассматриваемого законопроекта может привести к дополнительной нагрузке на работодателей и как следствие - уменьшению рабочих мест.

Статьей 13.12. КоАП РФ предусматривается административная ответственность за нарушение правил защиты информации.

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, влечет наложение административного штрафа:

· на должностных лиц - от 2500 до 3000 рублей;

· на юридических лиц - от 20000 до 25000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.

За нарушение требований защиты информации, установленных федеральными законами или иными нормативными правовыми актами РФ, налагается административного штраф:

· на должностных лиц - от 1000 до 2000 рублей;

· на юридических лиц - от 10 000 до 15 000 рублей.

Если работодатель игнорирует требование статьи 18.1 152-ФЗ в части назначения ответственного за организацию обработки персональных данных и издания локальных актов по вопросам обработки персональных данных, ему грозит наложение административного штрафа в размере от 30000 до 50000 рублей.

Так же, как и в Уголовном кодексе, в КоАП РФ предусмотрена ответственность за отказ должностных лиц в предоставлении информации (статья 5.39 КоАП РФ) в виде штрафа от 1000 до 3000 рублей. Нетрудно заметить, что размер административного штрафа значительно отличается от уголовного за аналогичное правонарушение. Такая конкуренция, как справедливо отмечают некоторые авторы, нуждается в корректировке, поскольку создает условия для произвольного выбора нормы, подлежащей применению в конкретном случае, что противоречит принципам уголовного и административного законодательства, а также принципам административного и уголовного судопроизводства.

Статья 12 Гражданского кодекса РФ (далее - ГК РФ) перечисляет способы защиты нарушенных прав. Применительно к области обработки персональных данных можно отнести возмещение убытков и компенсацию морального вреда. Так, в статье 15 ГК РФ устанавливается, что лицо, чье право нарушено, может требовать возмещения причинённых убытков, то есть расходов, которые понесло пострадавшее лицо, и неполученных этим лицом доходов, а согласно части 2 статьи 1099 ГК РФ моральный вред подлежит компенсации в случаях, предусмотренных законом.

Статья 152.2. ГК РФ устанавливает запрет на сбор, хранение, распространение и использование любой информации о частной жизни гражданина без его согласия. Такими действиями пострадавшему может быть причинен моральный вред, за возмещением которого он вправе обратиться в суд. В соответствии с частью второй статьи 24 152-ФЗ, возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

При определении размеров денежной компенсации за причинённый моральный вред учитываются степень физических и нравственных страданий гражданина, которому причинен вред, а также степень вины нарушителя. Норма о необходимости компенсировать моральный вред работника существует также в Трудовом кодексе (статья 237 ТК РФ). Она указывает на необходимость согласования сторонами спора размера денежной формы такой компенсации.

Пленум ВС РФ уточняет, что при рассмотрении споров, возникших в связи с распространением информации о частной жизни без согласия ее владельца, последний вправе требовать возмещения морального вреда . В случае, когда сведения были распространены работником в ходе своей профессиональной деятельности, ответчиком в таких делах выступает юридическое лицо-работодатель, а сам работник может выступать в таком деле как третье лицо или привлекаться к участию в нем по инициативе суда либо ходатайству участников. Иными словами, если к работодателю будут предъявлены требования от работника, чьи персональные данные разглашены, о возмещении морального вреда и (или) убытков такой работодатель, если суд установит его вину, будет обязан их удовлетворить. Этот вывод находит свое отражение в судебной практике. В частности, при рассмотрении дела о разглашении персональных данных работника путем публикации дополнительного соглашения к трудовому договору в сети Интернет истец утверждал о наступлении негативных последствий - условия трудового договора стали предметом обсуждения неограниченного числа пользователей. Суд обязал взыскать с ответчика компенсацию морального вреда в размере 25 000 рублей.

Материальная ответственность за нарушение норм защиты персональных данных возникает на основании статьи 238 ТК РФ. Так, работник, разгласивший персональные данные своих коллег, обязан возместить затраты работодателя на возмещение ущерба, понесенного работником третьим лицам. Таким образом, работодатель вправе потребовать с виновного работника компенсации затрат на возмещение морального вреда пострадавшим, в том числе обратиться в суд в течение одного года со дня обнаружения причиненного ущерба. (часть 2 статья 392 ТК РФ).

Пленум ВС РФ устанавливает правило, в соответствии с которым работник несет материальную ответственность лишь в пределах сумм, выплаченных работодателем третьим лицам в счет возмещения ущерба, при условии наличия причинно-следственной связи между виновными действиями (бездействием) работника и причинением ущерба третьим лицам.

Из вышесказанного можно сделать вывод, что наложение материальной ответственности на работника возможно только в случае выполнения следующих условий:

· разглашение произошло из-за виновного противоправного поведения работника (статья 233 ТК РФ);

· существует причинно-следственная связь между виновными действиями (бездействием) работника и причинением ущерба третьим лицам;

· неразглашение охраняемой законом тайны предусмотрено трудовым договором или приложением к нему, а такая тайна может стать известна работнику при выполнении им трудовых обязанностей;

· полная материальная ответственность за ущерб, причиненный разглашением сведений, составляющих охраняемую законом тайну, прямо предусмотрена федеральным законом.

Так, в статье 243 ТК РФ разглашение сведений, составляющих охраняемую законом тайну, является основанием для привлечения работника к полной материальной ответственности. Но, как справедливо отмечает профессор Ю.П. Орловский, привлечь по этому основанию практически невозможно из-за отсутствия федеральных законов, которые предусматривали бы полную материальную ответственность за разглашение работником коммерческой и иной охраняемой законом тайны. Таким образом, работник в случае умышленного или неосторожного разглашения персональных данных при отсутствии в этих действиях состава преступления, несет только дисциплинарную ответственность в соответствии с законодательством РФ.

В соответствии с частью первой статьи 192 ТК РФ под дисциплинарным проступком понимается неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, то есть, нарушение требований законодательства, обязательств по трудовому договору, правил внутреннего трудового распорядка, должностных инструкций, положений, приказов работодателя, технических правил и тому подобное. Следовательно, работник, нарушивший установленные работодателем правила обработки персональных данных может быть подвергнут дисциплинарному взысканию в виде замечания, выговора или увольнения.

Кроме того, Трудовой кодекс предусматривает специальное основание для наказания работника, разгласившего персональные данные, в виде увольнения по подпункту «в» пункта 6 статьи 81 ТК РФ как однократного грубого нарушения трудовых обязанностей. Однако, в случае оспаривания работником увольнения по рассматриваемому основанию, работодатель будет обязан представить доказательства, свидетельствующие о том, что работник обязывался не разглашать персональные данные другого работника, которые стали ему известны в связи с исполнением им трудовых обязанностей. Так, сотрудницы ФГУП "Почта России" подали иск в суд, не согласившись с увольнением по подпункту «в» пункта 6 статьи 81 ТК РФ за разглашение персональных данных других сотрудников, поскольку они не были допущены к работе с персональными данными сотрудников, в их должностные обязанности не входила работа с персональными данными других сотрудников, и факт разглашения персональных данных отсутствует. Однако, ответчик предоставил суду приказ, определяющий перечень информации, составляющей коммерческую тайну, которым установлен режим коммерческой тайны по отношению к персональным данным работников предприятия. С указанным приказом истцы были ознакомлены. А также регламент доступа в сеть Интернет и работы с электронной почтой пользователей, входящих в состав корпоративной сети ФГУП "Почта России", который нарушили истицы, передав с помощью электронной почты информацию, входящую в перечень сведении? конфиденциального характера. Дав правовую оценку фактическим обстоятельствам дела в совокупности с представленными сторонами доказательствами, суд пришел к выводу об отказе истицам в удовлетворении заявленных требовании?, так как у ответчика имелись условия для применения к ним дисциплинарного взыскания в виде увольнения.

За совершение дисциплинарного проступка работодатель вправе применить одно из дисциплинарных взысканий, при этом должна учитываться тяжесть совершенного проступка и обстоятельства, при которых он совершен. Если в ходе рассмотрении дела о восстановлении на работе суд придет к выводу, что дисциплинарное взыскание произведено без учета вышеуказанных обстоятельств, иск может быть удовлетворен. Однако, в указанном случае суд не вправе заменить увольнение другой мерой взыскания, поскольку в соответствии со статьей 192 ТК РФ наложение на работника дисциплинарного взыскания является компетенцией работодателя.

Правомерна также позиция, что если персональные данные не получили огласки, работника нельзя привлечь к дисциплинарной ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работника. Так, по факту утраты личного дела истца ГОУ проведена служебная проверка, по результатам которой заключением комиссии не установлено вины работников юридического отдела ГОУ, в том числе начальника юридического отдела, поэтому она не привлекалась работодателем к дисциплинарной ответственности. Фактов распространения каких-либо персональных данных в результате утери личного дела, повлекших причинение какого-либо ущерба, убытков истцу, доказательств причинения морального вреда в связи с ограничением доступа к правосудию, истцом не представлено, при изложенных обстоятельствах суд не нашел оснований для удовлетворения заявленных требований.

Вину работника можно установить в результате внутренней проверки или служебного расследования, которые могут проводиться специально созданной комиссией. В процессе проверки комиссия выясняет обстоятельства, при которых было совершено нарушение, устанавливает вину работника и причиненный ущерб. По итогам комиссией составляется акт, который подписывается всеми ее членами, а также ознакомляется под роспись работник, подозреваемый в разглашении персональных данных.

Порядок применения дисциплинарного взыскания устанавливается статьей 193 ТК РФ, согласно которой, работодатель должен запросить у работника, разгласившего персональные данные, предоставить в двухдневный срок письменное объяснение случившегося, после чего применять дисциплинарное взыскание. Причем, отказ работника в предоставлении объяснения не является препятствием для применения дисциплинарного взыскания (часть вторая статьи 193 ТК РФ), что отражается на практике, а именно, из материалов дела следует, что заведующий сектором общей и кадровой работы Л. разместил в компьютерной сети сообщение, содержащее персональные данные ряда сотрудников учреждения. Работнику было предложено предоставить объяснительную по данному факту, но он отказался, в следствие чего был составлен акт и приказом работодателя Л. привлечен к дисциплинарной ответственности в виде выговора. Суд оставил жалобу Л. об отмене дисциплинарного взыскания без удовлетворения.

Как отмечено в статье 193 ТК РФ, дисциплинарное взыскание должно быть применено не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника или пребывания его в отпуске, и шести месяцев со дня его совершения. Если работник сочтет наложение на него дисциплинарного взыскания незаконным, то он на основании статьи 392 ТК РФ имеет право обратиться с иском в суд в течение трех месяцев со дня, когда он узнал о нарушении своего права или в течение одного месяца со увольнения.

3.2 Особенности рассмотрения дел о защите персональных данных работников судами РФ

В соответствии со статьей 24 Гражданско-процессуального кодекса РФ (далее - ГПК РФ) гражданские дела, подведомственные судам, за исключением дел, подсудных мировым судьями, военным судам и иным специализированным судам, верховному суду республики, краевому, областному суду, суду города федерального значения, суду автономной области и суду автономного округа, а также ВС РФ, рассматриваются районным судом в качестве суда первой инстанции. Таким образом, согласно правилу статьи 28 ГПК РФ дела о защите персональных данных работников рассматриваются в районных судах по месту жительства или месту нахождения ответчика.

Что касается иска к организации, вытекающий из деятельности ее филиала или представительства, то он может быть предъявлен также в суд по месту нахождения ее филиала или представительства.

Особенностью дел о защите персональных данных на основании пункта 6.1. статьи 29 ГПК РФ является то, что иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться также в суд по месту жительства истца.

Состав лиц, участвующих в деле, определен статьей 34 ГПК РФ - это стороны, третьи лица, прокурор, лица, обращающиеся в суд за защитой прав, свобод и законных интересов других лиц или вступающие в процесс в целях дачи заключения, заявители и другие заинтересованные лица по делам особого производства.

В качестве сторон в делах о защите персональных данных чаще всего выступают работодатели и работники, однако, встречаются дела, где в качестве одной из сторон является проверяющий орган, например, Государственная инспекция труда (далее - ГИТ), как в рассмотренной Московским городским судом жалобе генерального директора на постановление государственного инспектора труда, или Роскомнадзор в уже рассмотренном деле о ЗАО Банк «Русский Стандарт». Как правило дела с участием ГИТ или Роскомнадзора появляются в связи с несогласием работодателей с результатами проверок и попадают под категорию нарушений общих требований при обработке персональных данных работника.

В статье 45 ГПК РФ перечислены случаи, когда прокурор может принять участие в деле. К ним относится право обращения с заявлением в защиту прав, свобод и законных интересов неопределенного круга лиц. Так, например, судом рассмотрено дело, в котором прокурор города Ухты обратился с заявлением о признании не соответствующим федеральному законодательству и недействующим постановления руководителя администрации МОГО "Ухта" в части обязания руководителей предприятий, учреждений, организаций обеспечить явку работников в лечебно - профилактические учреждения для прохождения флюорографического обследования и представлять в лечебно - профилактические учреждения списки работающих граждан. В обоснование требований указано, что постановление в оспариваемой части принято с превышением полномочий руководителя администрации МОГО "Ухта". В частности, законом не предусмотрена возможность обработки персональных данных без согласия субъектов персональных данных для проведения профилактических медицинских осмотров в целях выявления и профилактики туберкулеза у населения. Из рассмотренного дела можно сделать вывод, что в делах о защите персональных данных прокурор выступать в качестве стороны, защищая неопределенный круг лиц путем признания несоответствия законодательству актов местного самоуправления.

Помимо обязанности доказывания каждой стороной тех обстоятельств, на которые она ссылается как на основания своих требований и возражений, установленной статьей 56 ГПК РФ, в делах о защите персональных данных работника существуют также обязанность доказывания факта причинения морального вреда работником.

Такой позиции придерживается СК по гражданским делам Свердловского областного суда, устанавливая, что поскольку в материалах дела отсутствуют доказательства причинения морального вреда неправомерными действиями работодателя, который, по словам истца, использовал ее персональные данные, нарушая трудовые права, основания для удовлетворения требований истца не имеется.

Другая позиция обязательства доказывания выдвинута в ходе разрешения дела о нарушении общих требований при обработке персональных данных работника. В частности, суд указал, что на основании пункта 8 статьи 86 ТК РФ работодатель и его представители при обработке персональных данных работника обязаны соблюдать определенные требования, в том числе ознакомить работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Как устанавливает суд, иного способа ознакомления работников с указанными документами, кроме как под роспись (то есть путем проставления подписи), закон не предусматривает. Следовательно, для подтверждения исполнения требований пункта 8 статьи 86 ТК РФ работодатель должен представить доказательства личного ознакомления (под роспись) каждого работника с действующим у него локально-нормативным актом, регулирующим защиту персональных данных работников.

Еще одно обстоятельство, подлежащее доказыванию рассматриваемой категории дел, установил Пленум ВС РФ. А именно, в случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой статьи 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения.

Доказательствами по делу в соответствии со статьей 55 ГПК РФ являются полученные в предусмотренном законом порядке сведения о фактах, на основе которых суд устанавливает наличие или отсутствие обстоятельств, обосновывающих требования и возражения сторон, а также иных обстоятельств, имеющих значение для правильного рассмотрения и разрешения дела. Эти сведения могут быть получены из объяснений сторон и третьих лиц, показаний свидетелей, письменных и вещественных доказательств, аудио- и видеозаписей, заключений экспертов.

В делах о защите персональных данных работников в качестве доказательств по делу фигурируют различные их виды. Так, истец обратился в суд с исковым заявлением к ООО "К..." о признании незаконными действий ответчика по распространению сведений, содержащих персональные данные истца, взыскании с ответчика в пользу истца компенсации причиненного морального вреда. В качестве доказательств своего заявления истец предоставил копию фотографии паспорта истца, размещенной на стене возле проходной ООО "К..." и показания свидетелей, которые суд принял и удовлетворил жалобу.

На основе анализа ответственности и мер наказания за нарушения законодательства в области защиты персональных данных работников с учетом рассмотрения дел о защите персональных данных работников судами РФ можно прийти к следующим выводам:

· в отношении уголовной ответственности за нарушения законодательства в области защиты персональных данных работников действуют наказания за незаконное собирание или распространение сведений о частной жизни лица без его согласия, неправомерный доступ с использованием служебного положения к охраняемой законом компьютерной информации, и неправомерный отказ должностного лица в предоставлении или неполное предоставление информации, непосредственно затрагивающей права и свободы гражданина. В качестве наказания могут быть применены штраф, в том числе с лишением права занимать определенные должности или заниматься определенной деятельностью, принудительные работы, ограничение или лишение свободы;

· административной ответственности предшествуют правонарушения в виде разглашения информации с ограниченным доступом, нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных, а также правил защиты информации, и наказывается административным штрафом;

· в соответствии с ГК РФ лицо, чье право нарушено в следствии сбора, хранения, распространения и использования любой информации о его частной жизни без соответствующего согласия, может требовать возмещения убытком и компенсации морального вреда;

· материальная ответственность работника возникает в следствие разглашения им персональных данных своих коллег в виде обязанности возместить затраты работодателя на возмещение ущерба, понесенного работником третьим лицам. Причем для возникновения указанной обязанности должно быть выполнено ряд условий;

· в качестве дисциплинарного наказания, помимо указанных статьей 192 ТК РФ, предусмотрено увольнение по подпункту «в» пункта 6 статьи 81 ТК РФ за разглашение персональных данных другого работника как однократного грубого нарушения трудовых обязанностей. Однако, в случае оспаривания работником увольнения по рассматриваемому основанию, работодатель будет обязан представить доказательства, что виновный работник обязывался не разглашать персональные данные другого работника.

Из проблемных моментов регулирования защиты персональных данных работников, проанализированных в настоящей главе, можно выделить следующие:

1) статьей 140 УК РФ установлен запрет неправомерного отказа должностного лица в предоставлении документов, непосредственно затрагивающих права и свободы гражданина. Однако, на практике из-за трудности доказывания умышленности неправомерных действий почти не встречаются случаи наказания по предусмотренному основанию. Например, возможно затягивание предоставления информации под различными существующими или не существующими предлогами.

2) Согласно статье 13.11. КоАП РФ за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных предусмотрена ответственность в виде предупреждения или наложения административного штрафа на должностных лиц - до 1000 рублей, на юридических лиц - до 10000 рублей.

Очевидно, что незначительность суммы штрафа не является действенным инструментом для предупреждения административных правонарушений, поэтому, на наш взгляд, для выполнения задач КоАП РФ необходимо ужесточить меры наказания за нарушение установленных требований обработки персональных данных.

3) В статье 243 ТК РФ установлена возможность привлечения работника к полной материальной ответственности за разглашение сведений, составляющих охраняемую законом тайну, в случаях, предусмотренных федеральными законами. Однако, на данный момент представляется практически невозможным привлечь к полной материальной ответственности за разглашение персональных данных работников в связи с отсутствием соответствующих норм в федеральных законах.

Заключение

правовой работник персональный законодательство

В настоящей работе на основании действующего законодательства в области защиты персональных данных как в национальном праве, так и на международном уровне, научных трудов ведущих российских школ трудового права, правоприменительной и судебной практики было проведено исследование особенностей регулирования защиты персональных данных работников.

В частности, были изучены основные положения законодательства по исследуемой теме, рассмотрены особенности обработки персональных данных при приеме на работу, в процессе трудовой деятельности, после увольнения работников, проанализированы меры уголовной, административной, гражданско-правовой, материальной и дисциплинарной ответственности за нарушение установленных требований обработки персональных данных работников с учетом позиций судов РФ при рассмотрении соответствующих дел.

В ходе исследования были выявлены практические и теоретические проблемы, некоторые пробелы и коллизии действующих норм права, предложены варианты их решения:

1. В Главе 1 предлагается по аналогии с Кодексом практики МОТ и Рекомендациями СЕ, а также для повышения уровня защищённости прав не только действующих работников, но и лиц, поступающих на работу, а также тех, с кем трудовой договор уже расторгнут, расширить круг лиц, попадающих под действие главы 14 ТК РФ путем ее переименования с «Защита персональных данных работника» на «Обработка и защита персональных данных в трудовых и иных, связанных с ними отношениях».

В качестве обоснования внесенного предложения указывается несоответствие установленных целей обработки персональных данных работников, в частности, содействия работникам в трудоустройстве, как непосредственно связанных с трудовыми отношениями, с действующим заголовком, сужающим круг лиц до работников.

2. На наш взгляд, проблемой законодательства в области обработки персональных данных является противоречие норм Постановления N 687 и 152-ФЗ в части определения неавтоматизированной обработки персональных данных. Так, Постановление N 687 относит использование, уточнение, распространение, уничтожение персональных данных, содержащихся в информационной системе, при непосредственном участии человека к неавтоматизированной обработке. Тогда как статья 3 152-ФЗ устанавливает, что любая обработка персональных данных с помощью средств вычислительной техники является автоматизированной.

По нашему мнению, устранение такого несоответствия является назревшим изменением действующего законодательства в связи с тем, что указанные документы предъявляют различные требования к процессу обработки персональных данных, в том числе работников.

3. Другим проблемным моментом в регулировании защиты персональных данных в процессе трудовых отношений является отсутствие единообразного толкования термина биометрические данные, в частности, отнесение к ним фото- и видеоизображений работников.

Учитывая тот факт, что на данный момент нет ни одного действующего документа, позволяющего идентифицировать фотоизображения работников как биометрические данные, а разъяснения об отнесении фото- и видеоизображений к биометрическим данным дает проверяющий орган, в полномочия которого не входит толкование законодательства, считаем отсутствие четкой позиции по этому поводу пробелом в современном законодательстве, который следует урегулировать.

4. В настоящей работе была исследована судебная практика по вопросам проверки на полиграфе лиц, поступающих на работу, и действующих работников, которая показала ряд случаев незаконного наложения дисциплинарных взысканий, увольнения, и принуждения к расторжению трудового договора в последствие использования тестирования на детекторе лжи. На основании этого было предложено урегулировать проверки на полиграфе на федеральном уровне.

В настоящее время отсутствие такого закона затрудняет и сдерживает применение опросов в правоохранительных целях, а также создает условия для злоупотребления данным методом.

5. На основании анализа судебной практики в настоящей работе было предложено увеличить размер административных штрафов, предусмотренных статьей 13.11. КоАП РФ, в целях предупреждения нарушений установленного законом порядка сбора, хранения, использования или распространения персональных данных.

6. Отмечена практическая проблема в отношении привлечения работника к полной материальной ответственности за разглашение персональных данных работников в связи с отсутствием соответствующих норм в федеральных законах.

Таким образом, разобрав основные вопросы правового регулирования защиты персональных данных работников, приняв во внимание научные доводы и факты, действующее законодательство, судебную и правоприменительную практику, выявив пробелы, коллизии, практические проблемы, и составив рекомендации по их устранению, считаем цель настоящего исследования достигнутой.

В связи с принятием 152-ФЗ и последующими изменениями ТК РФ регулирование отношений, связанных с обработкой персональных данных работников, значительно приблизилось к уровню международных стандартов в этой области, однако, остались проблемные места, в частности, обозначенные в настоящей работе, которые законодателю еще предстоит исправить.

Литература

1. Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных». -- Система ГАРАНТ, 2013.

2. Бачило И. Л., Сергиенко Л. А., Кристальный Б. В., Арешев А. Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. - Минск: Беллiтфонд, 2006. - 474с.

3. Бачило И.Л., Лапина М.А. Актуальные проблемы информационного права (для магистратуры и аспирантуры). М.: Юстиция, 2016 г. - 608c.

4. Бондаренко Э.Н., Иванов Д.В. Конфеденциальная информация в трудовых отношениях. - СПб.: Юридический центр Пресс. 2012. - 152с.

5. Буянова М.О. Трудовые споры - М.: РГ-Пресс, 2013.

6. Войниканис Е.А., Машукова Е.О., Степанов-Егиянц В.Г. Неприкосновенность частной жизни, персональные данные и ответственность за незаконные сбор и распространение сведений о частной жизни и персональных данных: проблемы совершенствования законодательства // Законодательство. 2014. N 12. С. 74-80.

7. Волчинская Е.К. Защита персональных данных: опыт правового регулирования. М.: Галерея, 2001.- 236с.

8. Герасимова Е.С. О соотношении норм о защите персональных данных работника и права профсоюзов на получение информации для осуществления контроля за соблюдением законодательства о труде // Трудовое право в России и за рубежом. 2010. N 2. С. 8 - 11.

9. Городов О.А. Информационное право: Учебник. М.: Проспект, 2007. - 242с.

Размещено на Allbest.ru