Защита персональных данных в трудовом праве

Более того, в определенных ситуациях, работодатель как обладатель информации, заранее обязан позаботиться о недопущении несанкционированного доступа к информации. Данное положение было выработано судебной практикой в связи с развитием информационных технологий и распространением использования в трудовой деятельности сети «Интернет»: в Постановление Конституционного Суда РФ (далее - КС РФ), по делу от 26.10.2017 № 25-П. Истец А.И. Сушков систематически направлял с корпоративного адреса электронной почты на свой адрес электронной почты конфиденциальную информацию, включая персональные данные работников, за что, после служебной проверки, был уволен на основании пп. "в" п.6 ч. 1 ст. 81 ТК РФ. В данном случае, возник вопрос, является ли почтовый сервер, на который поступали письма истца, третьим лицом. В данном случае, установление понятия «обладатель информации», закрепленного в ФЗ «Об информации, информационных технологиях и о защите информации», имело влияние на практику трудовых правоотношений. КС РФ пришёл к выводу, что закрепленное понятие позволяет «рассматривать как нарушение прав и законных интересов обладателя информации действия гражданина, осуществившего - вопреки установленному правовыми, актами передачу информации с адреса электронной почты, контролируемой обладателем информации, на личный адрес электронной почты». Суд особо подчеркнул, что такое положение действует, «если обладатель информации принял все необходимые меры, исключающие несанкционированный доступ к этой информации третьих лиц» Постановление Конституционного Суда РФ от 26.10.2017 № 25-П "По делу о проверке конституционности пункта 5 статьи 2 Федерального закона "Об информации, информационных технологиях и о защите информации" в связи с жалобой гражданина А.И. Сушкова". "Собрание законодательства РФ", 06.11.2017, № 45, ст. 6735..

В судебной практике встречаются случаи, когда работодатель не может доказать нарушения со стороны работников. Так, в определении Краснодарского краевого суда указано, что работник должен быть восстановлен на работе с выплатой соответствующих компенсаций, так как ответчиком-работодателем не были представлены надлежащие доказательства разглашения истцом персональных данных бывшего военнослужащего Кассационное определении Краснодарского краевого суда от 16.02.2012 по делу № 33-3862/12.. Процесс доказывания в случае разглашения персональных данных как других работников, так и клиентов фирм чаще всего, осложняется тем, что невозможно доподлинно установить, какой именно работник разгласил персональные данные.

В целом, на сегодняшний день существует обстоятельств, имеющих юридическое значение при увольнении работника по подп. "в" п. 6 ч. 1 ст. 81 ТК РФ:

· наличие обязательств работника перед работодателем за разглашение тайны;

· получение информации в связи с исполнением им трудовых обязанностей;

· наличие установленного режима тайны в отношении разглашенной информации;

· принятие работодателем мер к защите конфиденциальной информации См.: Ломакина Л.А. «Споры, связанные с увольнением за разглашение коммерческой и иной тайны». "КОНТРАКТ", 2014г. Вып. 19. С. 125 - 132..

При отсутствии хотя бы одного из названных условий прекращение трудового договора по подп. "в" п. 6 ч. 1 ст. 81 не может быть признано правомерным "Комментарий к Трудовому кодексу Российской Федерации" (краткий, постатейный). 3-е издание. отв. ред. Ю.П. Орловский) ("КОНТРАКТ", 2017) Данное положение подтверждается судебной практикой, так в Кассационном определении Верховного Суда Удмуртской Республики от 15.06.2011 по делу № 33-2048/11 суд признал увольнение истца незаконным и восстановил его на работе в прежней должности, несмотря на то, что факт разглашения истцом персональных данных другого работника доказан. Однако было установлено и то, что указанные сведения стали известны истцу не в связи с исполнением трудовых обязанностей.. При этом, как отмечает в своей работе В. Алистархов См.: Алистархов В. «Выбор вида наказания работнику за разглашение сведений с ограниченным доступом»// "Трудовое право". №9. 2014 г. С.37-48., для увольнения по рассматриваемому основанию работодателю не обязательно доказывать причиненный ему ущерб. Судебная практика по-разному оценивает отсутствие ущерба работодателю в случае увольнения, равно как и наличие указанных выше обстоятельств. Так же, в процессе принятия решения имеет значение тяжесть совершенного поступка и обстоятельства, в которых деяние было совершено. Так, Истица С. обратилась в суд с иском о восстановлении на работе в должности менеджера отдела продаж банка, откуда была уволена по подп. "в" п. 6 ч. 1 ст. 81 ТК РФ за разглашение охраняемой тайны. Работодатель счел, что она нарушила запрет на разглашение данных о четырех клиентах и условиях заключенных ими контрактов, представленных ею в прокуратуру для восстановления на работу (истицей были приложены копии договоров как доказательства нахождения её на рабочем месте). Суд указал, что фактические обстоятельства дела указывают на наличие у истицы единственной цели - восстановить свои права без нанесения вредных последствий. Кроме того, иных способов восстановления на работу кроме как предоставить доказательства для вынесения законного и обоснованного решения, у неё не было. В связи с этим, увольнение было признанно незаконным, так как не были учтены обстоятельства предоставления истицей информации третьим лицам Определение судебной коллегии по гражданским делам Омского областного суда от 16 декабря 2009 г. по делу № 33-6017/200 // Бюллетень судебной практики Омского областного суда № 3 (44) 2010 / Под ред. заместителя председателя Омского областного суда Е.С. Светенко..

В Российской Федерации на конституционном уровне (ч. 2 ст. 8 Конституции РФ) установлены признание и защита различных форм собственности. Их защита реализуется через действие ряда норм, регулирующих имущественную ответственность. Данный вид ответственности возникает как из гражданско-правовых отношений, так и в рамках трудового отношения. Имущественную ответственность, возникающую в рамках трудового правоотношения, принято называть материальной ответственностью См.: Ситникова Е.Г., Сенаторова Н.В. Материальная ответственность работодателя и работника: ошибки, рекомендации, судебная практика. М.: Редакция "Российской газеты", 2015. Вып. 18. 176 с.. Первоначально данный вид ответственности развивался в рамках гражданско-правовых правоотношений, в дальнейшем, с появлением трудового права, по утверждению П.Р. Стависского, произошла "специализация" материальной ответственности в трудовом праве, и она приобрела специфическую трудоправовую природу Цит. по: Лушников А.М., Лушникова М.В. Курс трудового права: учебник: в 2 т. Т. 2. М., 2009. С. 724..

В соответствии со ст. 232 ТК РФ, материальная ответственность - это обязанность стороны трудового договора возместить виновно причиненный другой стороне ущерб. Под ущербом понимается утрата или повреждение имущества и затраты на его восстановление (ч.2 ст. 15 ГК РФ).

Материальная ответственность работника установлена в ст. 241, 242 ТК РФ. На сегодняшний день в действующем законодательстве предусмотрено два вида материальной ответственности: полная и ограниченная. Под полной материальной ответственностью подразумевается обязанность работника возместить работодателю прямой действенный ущерб в полном размере. Данная мера призвана защитить интересы организации с целью предотвращения хищений и потерь имущества по причине небрежности или неосторожностиСм.: Абаев Ф.А. Правовое регулирование отношений по защите персональных данных работника в трудовом праве: дисс ... к.ю.н.: М. 2005г. С.172.. Законодательством определен ограниченный перечень случаев, в которых работник возмещает ущерб в полном размере, согласно статье 243 ТК РФ. При выявлении обстоятельств нанесения ущерба установлено, что работодатель должен проверить, возможно ли привлечение работника к полной материальной ответственности. Если такие основания отсутствуют, то работник может возместить ущерб только в пределах своего среднего месячного заработка - т.е. быть привлеченным к ограниченной материальной ответственности.

В целом, материальная ответственность предусмотрена как для работника, так и для работодателя, однако «договорная ответственность работодателя перед работником не может быть ниже, а работника перед работодателем - выше, чем это предусмотрено ТК РФ или иными федеральными законами. Таким образом, ТК РФ выполняет защитные функции, прежде всего в отношении работника, от необоснованного возложения на него материальной ответственности» Научно-практический комментарий к Трудовому кодексу Российской Федерации (постатейный) / О.Н. Волкова, В.Л. Гейхман, И.К. Дмитриева и др.; отв. ред. В.Л. Гейхман. М.: Юрайт, 2012. С.582..

Материальная ответственность работника наступает в случае, когда работодателю причинен прямой действительный ущерб (ст. 238 ТК РФ). Согласно п. 7 ч. 1 ст. 243 ТК РФ в случае разглашения сведений, составляющих охраняемую законом тайну, материальная ответственность на работника возлагается в полном размере причиненного ущерба. Основным условием, позволяющим привлечь работника к полной материальной ответственности по анализируемому основанию, является факт разглашения работником охраняемой законом тайны. Перечень охраняемой законом тайны является открытым и в него, в том числе, включаются и персональные данные работника Ищейнов В.Я. Ответственность за разглашение документов, содержащих конфиденциальную информацию // Делопроизводство. 2012. № 4.С. 101 - 105..

Действующие федеральные законы, в том числе, ФЗ «О персональных данных» не предусматривают специальные случаи полной материальной ответственности за разглашение персональных данных работника. По мнению Г.П. Азарова это значит, что «привлечение к материальной ответственности возможно только на общих основаниях, установленных Трудовым кодексом РФ» Азаров Г.П. Материальная ответственность по трудовому праву / Г.П. Азаров // Подготовлен для системы КонсультантПлюс, 2011г. - URL: http://www.co№sulta№t.ru/co№s/cgi/o№li№e.cgi?req=doc&base=CMB&№=16739 (дата запроса 19.04.18).. К таким условиям кодекс относит:

· подтвержденный прямой действительный ущерб;

· вина работника;

· установленный факт совершения работником неправомерных действий или бездействий;

· причинно-следственная связь между действиями работника и причиненным ущербом.

При этом не требуется какого-либо официального подтверждения разглашения, как, например, судебного решения, постановления или иного документа. Но это не освобождает работодателя от обязанности доказать, что ущерб возник именно в связи с разглашением работником охраняемой законом тайны.

Ущерб при материальной ответственности за нарушение норм о защите персональных данных, причиненный работодателю, может выражаться в материально-денежных расходах, которые понесет работодатель Клокова А.В. Материальная ответственность работника: юридическое оформление и бухгалтерский учет: профессиональные рекомендации. М.: Издательство «Омега-Л», 2008. . При этом, работодатель, исходя из конкретной сложившейся ситуации, может отказаться от возмещения ущерба как полностью, так и частично. Возмещение ущерба производится независимо от привлечения работника к дисциплинарной, административной или уголовной ответственности (ч.6 ст.248 ТК РФ). В процесс установления размера материальной ответственности работника может вмешаться орган по рассмотрению трудовых споров, который имеет право снизить размер взыскания, за исключением случаев, когда вред причиняется преступлением, совершенным в корыстных целях (ст.250 ТК РФ). Согласно п.16 Постановления Пленума ВС РФ от 16.11.2006 № 52 Постановление Пленума Верховного Суда РФ от 16. 11.2006 № 52 (ред. от 28. 09.2010) «О применении судами законодательства, регулирующего материальную ответственность работников за ущерб, причиненный работодателю» // Бюллетень Верховного Суда РФ, № 1, 2007. суд в праве уменьшить сумму возмещения учитывая такие моменты, как степень и форма вины, материальное положение работника, его семейное положение - состав семьи, наличия иждивенцев, удержания по исполнительным документам - и другие обстоятельства.

Необходимо сказать, что статья 21 ТК РФ не содержит в числе обязанностей работника положений, регулирующих вопрос его отношения к персональным данным. На наш взгляд, стоит дополнить данную статью положением, касающимся обязанности работника «...хранить вверенные ему в связи с исполнением трудовых функций сведения конфиденциального характера, ставшие известными в связи с исполнением трудовой функции персональные данные третьих лиц, государственную, служебную, коммерческую и иную тайну работодателя, в отношении которых установлен соответствующий режим».

§2. Административная, уголовная и гражданско-правовая ответственность за нарушение норм, регулирующих защиту персональных данных

В рамках трудового права активно используются различные виды защиты законных прав, свобод и интересов граждан, участвующих в трудовых правоотношениях. Формированию принципов правовой защиты персональных данных, получивших законодательное закрепление в ТК РФ, происходившее в 1997 - 2001 гг. способствовала разработка теории и практики информационных правоотношений в области труда См.: Богатыренко З.С. Новейшие тенденции защиты персональных данных работника в российском трудовом праве // Трудовое право. 2006. № 10. С. 29.. На сегодняшний день, основной формой ответственности за нарушение законодательства о персональных данных является административная ответственность. В современной юридической литературе тема защиты персональных данных с помощью административно-правовых мер находит своё развитие в двух направлениях в связи с объективными потребностями работника Просветова О.Б. Защита персональных данных: диссертация кандидата юридических наук: 05.13.19. Воронеж, 2005. :

С одной стороны, необходимо правовое закрепление положений, регулирующих обеспечение доступа работника к своим персональным данным, которые необходимы для реализации принадлежащим им прав, свобод и обеспечения законных интересов, предусмотренных как трудовым, так и иными отраслями права;

С другой стороны, необходимо правовое закрепление положений, обеспечивающих ограничения в доступе к персональным данным работника, их распространение или разглашение, которые могут нанести ущерб его правам и свободам.

В первом случае, большое значение имеет мера административной ответственности, закрепленная в ст. 5.39 КоАП РФ. Она предусматривает ответственность за неправомерный отказ в представлении гражданину собранных в установленном порядке документов, материалов, которые непосредственно затрагивают его права и свободы. Так же в статье говориться о несвоевременном предоставлении таких документов и материалов, или непредставление иной информации в случаях, предусмотренных законом, равно как и предоставление гражданину неполной или заведомо недостоверной информации. В рассмотренных случаях в качестве санкции предусмотрен штраф в размере от одной до трех тысяч рублей.

Во второй ситуации мер защиты представлены в КоАП РФ в виде отдельных составов правонарушений, напрямую связанных с деятельностью по обработке персональных данных. С первого июля 2017 года в действующий КоАП РФ были внесены существенные изменения, имеющие значения для защиты персональных данных работника. Законодатель ужесточил ответственность работодателя как оператора, введя в статью 13.11 КоАП РФ 7 новых составов правонарушений вместо одного, являвшегося наиболее распространенным по признаку применения в случае нарушения оператором установленных обязанностей по обработке персональных данных См., например: Постановление ФАС Уральского округа от 13 января 2012 г. № Ф09-9061/11..

Также в 2017 году были увеличены размеры штрафов за свершение указанных правонарушений. С одной стороны, усиление мер реагирования на нарушения прав, связанных с персональными данными, наводит на мысль об их активном нарушении. С другой - сравнение сумм, предусмотренных в качестве штрафов за рассматриваемые нарушения в России и за рубежом наводят на мысль о недостаточной защите прав работников.

Так, в ст. 13.11 КоАП РФ для юридического же лица они предусмотрены в различных границах в зависимости от вида правонарушения: ч.1 35-50; ч.2 15-75; ч.3 15-30; ч.4 20-40; ч.5 25-45; ч.6 25-50 тыс. руб. Для должностного лица предусмотрены штрафы в границах для ч.1 5-10; ч.2 10-20; ч.3 3-6; ч.4 4-6: ч. 5 и 6 - 4-10 тыс. руб. Безусловно такие границы позволяют при назначении наказания учитывать все обстоятельства дела и могут являться достаточно большими для конкретного работодателя, например, небольшой юридической фирмы. Но, если сравнить санкции за аналогичные правонарушения в европейских странах, можно прийти к выводу о, возможно, недостаточно суровой ответственности работодателя в данной сфере Так, максимальный штраф за серьезное нарушение законодательства о персональных данных в Великобритании составляет 500 тыс. ф.ст. Во Франции размер штрафа за единичное нарушение может достигать 150 тыс. евро, за повторное - до 300 тыс. евро или 5% годового дохода. В Германии средний штраф составляет 50 тыс. евро, максимальный штраф - 300 тыс. евро - См. подробнее: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 2-е изд. М.: Статут, 2016. 640 с.. Например, Германии 2009 г. при привлечении к крупнейшего оператора железных дорог (компания Deutsche Bah№ AG) был назначен рекордно высокий штраф в размере 112350350 евро См.: там же.. Соответственно, штрафы за нарушение персональных данных в России можно признать достаточно низкими в сравнении со среднеевропейскими в аналогичной сфере.

На сегодняшний день ст. 13.11 КоАП РФ содержит в себе семь составов. Первый из них касается избыточной обработки персональных данных работника, когда такая обработка несовместима с целями получения информации. Второй состав закрепляет ответственность за обработку персональных данных без получения письменного согласия лица, предоставляющего информацию. Третий - связан с невыполнением оператором обязанностей по опубликованию или обеспечению иным образом доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. Четвертый состав административного правонарушения связан с невыполнением обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. В пятом случае речь идет о ситуации, когда оператор, в нарушение сроков, не выполняет требования об уточнении персональных данных, их блокировании или уничтожении в предусмотренных законодательством случаях. Шестой состав связан с обработкой персональных данных оператором без использования средств автоматизации, а именно с необеспечением сохранности персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло последствия, указанные в законе. Седьмой состав говорит о случаях привлечения к административной ответственности оператора, являющегося государственным или муниципальным органом, который не обезличил, или не выполнил требования по обезличиванию персональных данных. Таким образом, законодатель восполнил пробел, отмечаемый многими исследователями при рассмотрении вопроса об административной ответственности за нарушения, касающиеся действий с персональными данными работника См. например: Малюк В.Н. Защита персональных данных работника. // Юрист. №8. М. 2016г. С.17-18ю. В первую очередь, была установлена различная ответственность для различных стадий обработки информации. Ещё Ю.М. Саранчук в своей работе отмечал, что «нарушения порядка обработки персональных данных на различных стадиях (сбора, хранения, использования, уничтожения, передачи и т.д.) будут иметь различные последствия» Саранчук Ю.М. Квалификация административных правонарушений, предусмотренных статьей 13.11 КоАП РФ // Административное право и процесс. 2014. № 10. С. 58 - 60.. Указанные выше изменения существенно повлияли на практику работы организаций, использующих труд наемных рабочих, с персональными данными Ильинская Н.Г. Практические рекомендации по работе с персональными данными работников. Вестник: бухгалтерия и учет. Пермь. №2. 2018г. С.25-26..

К административной ответственности привлекается работодатель как юридическое лицо. Помимо организации, ответственность за нарушение несет ее руководитель как должностное лицо. Данный вывод можно сделав на основании ст. 2.4 КоАП РФ, где указано, что под должностным лицом понимается лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Также действующим законодательством об административных правонарушениях, предусмотрена ответственность должностных лиц организации за нарушение норм трудового права. Следует отметить, что в соответствии с ч. 3 ст. 2.1 КоАП РФ в случае совершения юридическим лицом административного правонарушения и выявления конкретных должностных лиц, по вине которых оно было совершено (ст. 2.4 КоАП РФ), допускается привлечение к административной ответственности по одной и той же норме, как юридического лица, так и указанных должностных лиц См.: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 2-е изд. М.: Статут, 2016. 640 с. СПС «Консультант-плюс»: URL: https://demo.co№sulta№t.ru/cgi/o№li№e.cgi?req=doc&ts=183386887705195370983427046&cacheid=B6AA65DC7A06348427EB8F4A7C80B96F&mode=splus&base=CMB&№=18241&r№d=67B666529C114B28083E33305F4E006C#09321679148879125 (дата запроса 20.04.18).. Такое положение находит своё подтверждение и в результатах судебной деятельности п. 15 Постановления Пленума Верховного Суда РФ от 24 марта 2005 г. № 5 "О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях"..

В рамках защиты персональных данных интерес представляет ст. 5.27 КоАП РФ, которая предусматривает ответственность за нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права (в том числе и положений главы 14 ТК РФ). Они могут быть совершенны как умышленно, так и по неосторожности, и влекут наложение административного штрафа на должностных лиц организации в размере от одной до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяносто суток; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до 90 суток.

С 1 июля 2017 года изменился перечень субъектов, имеющих право возбуждать дела по основаниям, связанным со статьей 13.11 КоАП РФ. Ранее таким лицом был только прокурор, с появившимися нововведениями участие прокурора необязательно, а дела по статье 13.11 КоАП вправе возбуждать должностные лица Роскомнадзора. Таким образом, упростилась процедура привлечения лиц к ответственности по данным статьям.

Изменения, происходящие в данной сфере, подчеркивают важность регулирования ответственности за правонарушения, касающиеся персональных данных и особого внимания законодателя к этим вопросам.

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная, но и уголовная ответственность. В числе потенциально применимых составов, предусмотренных Уголовным кодексом Российской Федерации (далее - УК РФ Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 13.07.2015, с изм. от 03.04.2017) (с изм. и доп., вступ. в силу с 25.07.2015) "Собрание законодательства РФ", 17.06.1996, № 25, ст. 2954. Принят Государственной Думой 24.05.1996г.) можно указать:

· Статья 137 УК РФ: регулирует случай наступления уголовной ответственность за разглашение персональных данных, касающихся сведений о частной жизни лица, составляющих его личную или семейную тайну, в ситуации, когда присутствует признак противозаконного сбора и/или распространения информации, когда нет согласия ее носителя на такой сбор или разглашение. В статье так же отмечено, что её положения относятся к распространению выше указанных сведений при выступлении на публике, публично демонстрирующемся произведении или в СМИ. При этом можно сделать вывод, что публичность не является обязательным признаком. Для действия статьи достаточно передать информацию хотя бы одному лицу. Достаточность распространения данных для применения статьи даже одному лицу поддерживается судебной практикой. Так, например, в апелляционным определением судебной коллегии по уголовным делам Тамбовского областного суда от 20 августа 2015 года по делу № 33-2375/2015 Апелляционное определение судебной коллегии по уголовным делам Тамбовского областного суда от 20.08.2015 по делу № 33-2375/2015 г. отмечается, что врач-нарколог сообщил сведения о диагнозе своего пациента только одному третьему лицу и это полностью соответствует положению статьи УК РФ, в силу чего обвинительный приговор был оставлен без изменения по ч. 2 ст. 137 УК РФ. Данная статья не оговаривает способы сбора или распространения информации Исаев А.С., Хлюпина Е.А. Правовые основы организации защиты персональных данных. Учебное пособие. 2014. 106-108 с.. Соответственно, они могут иметь любой характер: тайный, явный, может быть даже с применением каких-либо устройств, физического насилия, посредством шантажа, угрозы и т.д.

Квалифицированные составы данной статьи содержаться в ч.2-3 ст. 137 УК РФ. Первый из этих случаев характеризуется использованием служебного положения лица, разгласившего информацию о личности потерпевшего. Для квалификации по данному основанию, наибольшую роль играет содержание актов, регулирующих профессиональную деятельность виновного. Например, в силу ФЗ «Об основах охраны здоровья граждан в РФ»Федеральный закон от 21.11.2011 № 323-ФЗ (ред. от 03.04.2017) "Об основах охраны здоровья граждан в Российской Федерации"// "Парламентская газета", № 50, 24.11-01.12.2011г. вся совокупность данных об обращении за медицинской помощью, диагнозе, лечении и т. д. подпадают под понятие врачебной тайны, хранить которую обязаны не только врачи, но и весь медицинский персонал.

· Ст. 138 УК РФ: "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений" применяется в случаях, когда действия работника затрагивают гарантированные законодательством права граждан, например, при работе операторов связи См.: Комментарий к Уголовному кодексу Российской Федерации (постатейный) / Под ред. Г.А. Есакова. М., 2012. Комментарий к ст. 137..

· Говоря о ст. 140, стоит отметить, что неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан так же является уголовным преступлением. Хотя речь в данной статье идет о гражданине как таковом, на практике это положение зачастую относится именно к работнику предприятия. В целом отмечается, что данная статья косвенно относится к защите персональных данных работника, однако положение, касающееся предоставления ложной информации, отдельные авторы относят к имеющим значение для данной сферы регулирования Нестеров С.Е. Соблюдаем законодательство о персональных данных. "Оплата труда: бухгалтерский учет и налогообложение", 2017, № 6..

· Ст. 183 УК РФ: данная статья устанавливает ответственность за незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Хотя в данном случае законодатель напрямую не указал персональные данные, они, учитывая весьма широкое определение понятия коммерческой тайны, могут быть отнесены к таковой при соблюдении условий, указанных в ФЗ "О коммерческой тайне" Тем не менее нормы, установленные в законодательстве о персональных данных, по общему правилу будут иметь приоритет над нормами Закона о коммерческой тайне при определении их правового статуса (условия использования, порядка распоряжения и т.п.).. Судебная практика достаточно давно и последовательно поддерживает эту позицию: так, ещё в 2011 году лицо, пытавшееся получить персональные сведения об абонентах ОАО «Волга Телеком» путем подкупа одного из работников было осуждено по ч. 3 ст. 30, ч. 1 ст. 183 УК РФ Приговор первомайского районного суда г. Кирова по уголовному делу от 30 августа 2011 г. № 1-269/2011 (43902)..

Часть 1 данной статьи содержит способы собирания сведений, среди которых: похищение документов, подкуп, угроза и иные незаконные способы. Представляется, что необходимо исключить из диспозиции указание на «иной незаконный способ» или сделать перечень таковых способов исчерпывающим, включив в него наиболее общественно опасные См. подробнее: Гончаров Д. О банковской и коммерческой тайне // Законность. - 2000. - № 1. - С. 5.

.

· Не исключается возможность квалификации некоторых действий, связанных с незаконной обработкой персональных данных, по совокупности с иными статьями УК РФ, в частности ст. 273 "Создание, использование и распространение вредоносных программ для ЭВМ". Уголовная ответственность за неправомерный доступ к компьютерной информации, в случае обработки персональных данных работников в компьютерных базах данных и информационно-вычислительных сетях, установлен в статье 272 УК РФ.

Подводя итог рассмотрению вопросов уголовно-правовой защиты конфиденциальных сведений персонального характера, следует отметить, что они не в полной мере отражают современные потребности по уровню и глубине в регулировании складывающихся общественных отношений и требуют значительного совершенствования. Отдельные статьи, регулирующие выборочные ситуации, касающиеся защиты персональных данных не могут в полной мере удовлетворить существующую потребность в соответствующем уровне охраны прав и свобод человека и гражданина в данной сфере.

Гражданско-правовая ответственность за нарушение положений законодательства о персональных данных возникает в рамках правоотношений между оператором (работодателем) и субъектом персональных данных (работником) Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону "О персональных данных". М.: Статут, 2017. С. 283-284.. Гражданско-правовая ответственность за нарушение персональных данных работника может выражаться как:

· возмещение убытков,

· взыскание неустойки,

· возмещение морального вреда.

Возмещение убытков, как отмечают исследование, представляет собой самую проблематичную форму ответственности в плане успешной реализации - отечественные суды достаточно строго подходят к вопросу доказывания размеров убытков и наличию причинно-следственной связи между действиями работников и наступившими последствиями См.: подробнее: Саранчук Ю.М. Указ. соч. С.59.. Более того, сама суть персональных данных работника, тесно связанных с личностью, исключают убытки экономического характера (как реальный ущерб, так и упущенную выгоду (ст. 15 ГК РФ)).

Возможность получения неустойки за факт нарушения оператором условий обработки персональных данных напрямую связана с указанием на неё в договоре. Учитывая, что физическое лицо обычно выступает в договоре слабой стороной, а также тот факт, что подавляющее большинство договоров заключается по модели присоединения (особенно в сфере электронной коммерции), наличие в тексте соглашения такой неустойки так же маловероятно.

В связи с этим самой реально применяемой формой гражданско-правовой ответственности в случае нарушения правил обращения с персональными данными работника является возмещение морального вреда последнему. В соответствии со ст. 151 ГК РФ моральный вред может быть взыскан за посягательства на личные неимущественные права или нематериальные блага. Ч.2 ст.24 Закона о персональных данных является именно таким случаем. В нем закреплено, что "моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим ФЗ, а также требований к защите персональных данных, установленных в соответствии с настоящим ФЗ, подлежит возмещению в соответствии с законодательством Российской Федерации.

Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков". Понятие морального вреда так же дает возможность его возмещения в случае нарушения прав работников касательно защиты их персональных данных Пункт 2 Постановления Пленума Верховного Суда РФ от 20 декабря 1994 г. № 10 "Некоторые вопросы применения законодательства о компенсации морального вреда"..

Помимо того, что не каждая форма гражданско-правовой ответственности может быть использована в ситуациях, касающихся персональных данных работника, на практике возникает ещё одна проблема - размер моральной компенсации. Так, за неправомерное размещение на официальном веб-сайте районного суда персональных данных потерпевшей, включающих в себя большой блок информации, в том числе, личного характера, суд, признав наличие факта нарушения законодательства, взыскал в её пользу возмещение морального вреда в размере 200 рублей Решение Ленинского районного суда г. Чебоксары Чувашской Республики от 6 июля 2010 г. по делу № 2-2225/2010..

В целом, можно сказать, что гражданско-правовая ответственность является одной из наименее эффективных и перспективных для восстановления нарушенных прав субъекта персональных данных вообще и работника в частности.

§3. Актуальные вопросы ответственности работодателя за нарушение норм, регулирующих защиту персональных данных работника

Информация, так или иначе, входит в предмет любых правоотношений Бачило И.Л., Лопатин В.М., Федотов М.А. Информационное право. СПб., 2001. С. 93.. Поэтому информационные отношения можно рассматривать как объект регулирования различных отраслей права: административного, государственного, финансового, а также обособленного, трудового информационного права по аналогии с выделением гражданского информационного права См.: Толстой В.С. Гражданское информационное право. М.: Изд-во Академии повышения квалификации и профессиональной переподготовки работников образования, 2009 г. С.89..

Каждая из разновидностей информационного права будет носить на себе следы той отрасли права, к которой они относятся. Так, в информационном трудовом праве одна из сторон в большом числе случаев обладает правом требования предоставления определенной информации, что делает обязательным для сторон вступление в такие отношения С.Ю. Головиной, Н.Л. Лютова. Указ. Соч. С.171-184.. Работодатель, как более сильная сторона отношений, имеет ряд особенностей при решении вопросов, касающихся действий, связанных с персональными данными работника. Так же, ему приходится сталкиваться с целым рядом проблемных вопросов при осуществлении работы с персональными данными работника.

Зачастую работодатель не располагает достаточными ресурсами для содержания собственной кадровой службы или не имеет такой потребности. В этом случае, зачастую, привлекается аутсорсинговая компания, что вызывает ряд практических вопросов, касающихся защиты персональных данных работника. В первую очередь - не нарушает ли работодатель подобным привлечением законодательство о защите персональных данных работника.

Статья 3 ФЗ "О персональных данных" вводит понятие оператора, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Соответственно, стоит сделать вывод, что в данной ситуации операторами являются и организация-работодатель, и аутсорсинговая компания Савельева С. Персональные данные под охраной // ЭЖ-Юрист. 2016. № 49. С. 15.. В связи с тем, что аутсорсинговая компания не является для работника работодателем и не связана с ним никаким договором, ей необходимо получить согласие субъектов на обработку персональных данных. Соответственно, сама по себе передача не будет противоречить законодательству, но для правильной её реализации работодателю необходимо получить согласие работника на передачу информации третьему лицу - аутсорсинговой компании. В противном случае, он может быть привлечен к ответственности.

Материальная ответственность работодателя и его представителей может наступить в случае причинения работнику материального ущерба нарушением порядка обработки и защиты его персональных данных, возмещается, в соответствии со статьей 24 Закона о персональных данных, в соответствии с законодательством РФ. При этом статья 237 ТК РФ закрепляет положение о том, что причиненный работнику моральный вред работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора либо по решению суда в случае спора. В обеих статьях вопрос возмещения морального вреда решается независимо от возмещения имущественного вреда.

Более того, в организации должен быть разработан и принят локальный нормативный акт, устанавливающий порядок обработки персональных данных работников. Организацией могут быть приняты такие документы, например, как положение о защите персональных данных работников и обязательство о неразглашении персональных данных работников См. подробнее: Маслова А. Как хранить персональные данные? // Трудовое право. 2017. № 1. С. 57 - 69.. Несоблюдение данного условия влечет за собой для работодателя привлечение к административной ответственности. Так, в решении по делу 5-70/2018 от 28.02.18 года Мировой судья судебного участка № 3 Ленинского района г. Барнаула признал ТСЖ «Октябрь» виновным в совершении административного правонарушения, предусмотренного ч. 3 ст. 13.11 КоАП РФ так как в ТСЖ «не издан приказ о назначении ответственного за работу с персональными данными работников <…> отсутствуют документы, определяющие политику оператора в отношении обработки персональных данных, локальных актов по вопросам их обработки, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ» Постановление по дело об административном правонарушении № 5-70/2018 от 28 февраля 2018 года г.Барнаул. .

Наиболее актуальным в специализированной литературе является вопрос, касающийся случаев предоставления работодателем копии трудового договора работника. Безусловно, в таком договоре содержится целый перечень персональных данных работника, которые должны защищаться от незаконного распространения и использования. Но, с другой стороны, возникают ситуации, когда не предоставление копии трудового договора является, по меньшей мере, спорным с точки зрения законодательства.

Так, особым положением в ситуации требования предоставления копии договора обладает руководитель акционерного общества. С одной стороны, он должен представлять интересы общества и акционеров, с другой - является работником общества, с третьей - является работодателем по отношению к работникам-акционерам.

Сама структура акционерного общества порождает множество внутренних противоречий: КС РФ неоднократно указывал, что в процессе предпринимательской деятельности акционерного общества могут сталкиваться интересы кредиторов и акционеров, акционеров и менеджмента, акционеров - владельцев крупных пакетов акций и миноритарных акционеров, что обуславливает такую основную задачу законодательства об акционерах, как соблюдение баланса законных интересов сторон См. например: Определение Конституционного Суда РФ от 18 января 2011 г. № 8-О-П “По жалобе открытого акционерного общества «Нефтяная компания «Роснефть» на нарушение конституционных прав и свобод положением абзаца первого пункта 1 статьи 91 Федерального закона «Об акционерных обществах»// "Собрание законодательства РФ", 21.02.2011, № 8, ст. 1202.; Определение Конституционного Суда РФ от 02.11.2011 № 1486-О-О "По жалобе гражданина Саттарова Шавката на нарушение его конституционных прав положениями пункта 1 статьи 81 и пункта 1 статьи 84 Федерального закона "Об акционерных обществах" СПС «Консультант Плюс» - URL: https://demo.co№sulta№t.ru/cgi/o№li№e.cgi?req=doc&base=ROS&№=123111&dst=100012#03285400383031607 (дата запроса 20.04.18).; Постановление Конституционного Суда РФ от 21.02.2014 № 3-П "По делу о проверке конституционности пункта 1 статьи 19 Федерального закона "Об обществах с ограниченной ответственностью" в связи с жалобой общества с ограниченной ответственностью "Фирма Рейтинг"// "Собрание законодательства РФ", 03.03.2014, № 9, ст. 951..

С одной стороны, ФЗ «Об акционерных обществах» Федерального закона "Об акционерных обществах" от 26 декабря 1995 г. № 208-ФЗ в ст.91 закрепляет право акционеров на доступ к определенному перечню документов, затрагивающих их интересы с установлением административной ответственности в случае его нарушения. С другой стороны - в данном перечне договор с руководителем АО прямо не поименован.

Согласно ст. 88 ТК РФ работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия данного работника, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в других ситуациях, предусмотренных ТК РФ или иными ФЗ. В противном случае, он может быть привлечен к рассмотренным в предыдущих параграфах данной главы видам ответственности.

В судебной практике данное противоречие не находит однозначного решения. Так, в ряде постановлений ФАС арбитры указали, что обязанность представления копии трудового контракта с генеральным директором не предусмотрена правовыми актами РФ при установлении ответственности за предоставление персональных данных работника третьим лицам См. например: Постановления ФАС Московского округа от 14 января 2010 г. № КА-А40/14463-09, от 29 апреля 2010 г. № КА-А40/4062-10, от 27 марта 2012 г. № Ф05-4/12 по делу № А40-79903/2011. . При этом, информационное письмо Президиума ВАС №144 2011 года Информационное письмо Президиума ВАС РФ от 18.01.2011 № 144. "О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ". "Вестник ВАС РФ", № 3, март, 2011г. , напоминает судам, что согласно п. 2 ст. 6 ФЗ "О персональных данных" не требуется согласия физических лиц, вступивших в правоотношения с обществом, на предоставление участнику хозяйственного общества документов, содержащих персональные данные таких физических лиц, если эта информация необходима участнику для целей защиты своих прав и законных интересов. Если рассуждать в таком ключе, то, действительно можно прийти к выводу, что акционеры, при ознакомлении с трудовым договором руководителя АО могут убедиться, например, в том, что размер его заработной платы искусственно не завышен. Данная позиция поддерживается, например, в Постановлении Президиума ВАС № 16803/11 2012 года, где указано, что «непредставление обществом по запросу акционеров трудового договора с директором общества, в котором могут содержаться в том числе положения о несоразмерной заработной плате данного лица, существенно нарушает интересы акционеров» Постановление Президиума ВАС РФ от 22.05.2012 № 16803/11 по делу № А40-43149/11-121-290. "Вестник ВАС РФ", 2012, № 10. .

Таким образом, исходя из анализа существующей судебной практики, можно сделать вывод о том, что в случае обращения акционеров за предоставлением копии трудового договора руководителя АО, для уменьшения рисков привлечения к ответственности за нарушение прав работника на защиту его персональных данных, необходимо предоставляться соответствующую копию, однако без открытия персональных данных работника. Копию трудового договора можно предоставить и с персональными данными, если на то имеется согласие работника Семенова Е.А. Практическое руководство для юрисконсульта. М.: Юстицинформ, 2018. С.153.. К тому же, с учетом рассмотренных выше судебных позиций может быть решен вопрос защиты сведений о зарплате топ-менеджеров, которые зачастую не предоставляются со ссылкой на ФЗ «О персональных данных». В связи с этим, важным является указание Президиума ВАС РФ на то, что вступившие в законную силу судебные акты арбитражных судов по делам со схожими фактическими обстоятельствами, принятые на основании норм права в истолковании, расходящемся с содержащимся в Постановлении от 22.05.2012 № 16803/11 по делу № А40-43149/11-121-290 могут быть пересмотрены на основании п. 5 ч. 3 ст. 311 АПК РФ, если для этого нет других препятствий.

Тем самым есть основание рассчитывать, что практика рассмотрения аналогичных дел станет единообразной, обеспечивающей баланс интересов субъектов персональных данных и общества Терещенко Л.К., Тиунов О.И. Правовой режим персональных данных // Журнал российского права. 2014. № 12. С. 42 - 49.. Так же логичным представляется внесение в перечень документов, доступных для ознакомления, содержащийся в ст. 91 ФЗ «Об акционерных обществах» Федерального закона "Об акционерных обществах" трудового договора с руководителей акционерного общества.

Другим актуальным вопросом, появившимся в связи с развитием и активной эксплуатацией сети «Интернет», является необходимость уточнения отправителя информации (прим. резюме), в которую включаются персональные данные потенциального работника. Общим правилом обработки персональных данных в России, является наличие согласия субъекта персональных данных на их обработку, которое может быть дано им или его представителем в любой позволяющей подтвердить факт его получения форме См.: Маслова А. Указ. соч. С. 58.. В связи с этим, с целью установления добровольности предоставления такой информации, необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. Роскомнадзор, в свою очередь, пояснил, что к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными работниками работодателя, обратную связь посредством электронной почты или через другие средства связи. При этом важно отметить, что, если из резюме, составленного в произвольной форме, невозможно однозначно определить физическое лицо его направившее, такое резюме подлежит уничтожению в день поступления Официальный сайт Роскомнадзора. Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.: URL: - http://rk№.gov.ru/№ews/rsoc/№ews17877.html (дата запроса 20.04.18). .

Ответственность работодателя предусмотрена, если по его вине персональные данные работника попали в руки третьим лицам. При этом в процессе ежедневного функционирования организации нередки случаи, когда отдельным работникам нужно получить информацию о персональных данных других работников, которые они намереваются использовать при выполнении трудовых обязанностей.

Представляется верным следующее решение этой проблемы: для соблюдений положений, закрепленных в законодательстве РФ, работодатель должен правильно оформить доступ к данным соответствующих работников. Согласно ст. 88 ТК РФ работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных функций См.: Беспалова С. Как оформить доступ к персональным данным работников? // ЭЖ-Юрист. 2017. № 41. С. 15..

На практике это должно выражаться в издании соответствующего приказа об утверждении списка лиц, имеющих доступ к персональным данным работников, с указанием критериев необходимых персональных данных. Так же, с работниками, получившими право допуска к персональным данным других работников, например, работниками бухгалтерии, должно быть оформлено обязательство о неразглашении таких данных.

Столкновение интересов работника и работодателя происходит в плоскости разграничения допустимого и недопустимого вмешательства последнего в личную жизнь подчиненных. Особенно остро данная проблема проявляется в связи с развитием различных технических средств, приспособленных для наблюдения за работником на его рабочем месте. В целях улучшения качества работы, работодатель может использовать широкий спектр инструментов контроля:

· Средства видеонаблюдения и видеорегистраторы;

· Запись телефонных разговоров;

· Программы мониторинга посещение интернет-ресурсов;

· Установление программ кейлоггеров - регистрирующих деятельность работника на компьютере (клики мыши, набор текста, открытие окон просмотра);

· Тестирование на полиграфе как при приеме на работу, так и при дальнейшей трудовой деятельности.

С одной стороны, все эти средства могут быть направлены на повышение эффективности трудового процесса, так как многие работодатели придерживаются мнения, что на работе не должно быть места «личной жизни», но с другой - необходимо объективно понимать, что работник не является машиной. В отечественном законодательстве, несмотря на то, что ФЗ «О персональных данных» содержит положения, касающиеся целей сбора персональных данных, их объемов и содержания, а также категорий информации, которую работодатель не имеет права запрашивать, не существует норм, прямо устанавливающие объемы и способы контроля работодателя за поведением работника на рабочем месте.

Однако анализ действующего законодательства позволяет сказать, что основное положение, на которое должен, на наш взгляд, ориентироваться работодатель, содержится в п. 4 ст. 86 ТК РФ, согласно которой получение и обработка информации о частной жизни работника возможна только с его письменного согласия. Дальнейшие решения о контроле за работником относятся к сфере регулирования внутреннего трудового распорядка, о котором работник должен быть ознакомлен под роспись (ст.68 ТК РФ).