Необходимость защиты персональных данных работников базируется на одном из фундаментальных прав человека, не относящихся исключительно к предмету трудового права: защите от вмешательства в личную жизнь. В статье 12 Всеобщей декларации прав человека 1948 г. указывается:
Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств.
Это право воспроизводится и в ст. 8 Европейской конвенции о защите прав человека и основных свобод, ратифицированной Россией. Кроме того, в Европейской конвенции говорится о том, что не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случая, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц.
Таким образом, в отличие от общих положений Всеобщей декларации 1948 г. в Европейской конвенции указывается, что право человека на невмешательство в личную жизнь не абсолютно, а может быть ограничено с учетом определенных соображений. Следует также иметь в виду, что право на невмешательство в частную жизнь тесно соприкасается с правом на свободу слова: свобода слова ограничивается положениями, защищающими частную жизнь других лиц. То есть можно утверждать, что свобода слова заканчивается там, где начинается право на невмешательство в частную жизнь.5
В течение достаточно долгого времени кроме общих норм, подобных процитированным выше, ни в международных актах, ни в национальном законодательстве разных государств никаких специальных правил о порядке получения, хранения, обработки и передачи персональных данных не было. Ситуация стала меняться после начала распространения компьютеров, благодаря чему у компаний и государственных органов стало скапливаться большое количество персональных данных, которые относительно легко могли быть разглашены и тем самым нанести как моральный, так иногда и материальный вред лицам, которых касаются эти данные. Поэтому начиная с 1970-х гг. в промышленно развитых странах стало появляться соответствующее законодательство.6
В Российской Федерации основным законом, регулирующим правоотношения в области персональных данных, стал Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Сфера действия Федерального закона ограничивается исключительно обработкой персональных данных, подразумевая под этим, в силу буквального толкования термина, их сбор, хранение, их возможный анализ, и тем самым исключает возможность защиты индивидуальной информации при ее распространении, хотя по статистике чаще нарушение прав и законных интересов граждан и организаций является следствием незаконного распространения персональных данных.
Однако следует отметить, что в термин «обработка персональных данных» законодателем было заложено куда более расширенное содержание, чем это представляется на первый взгляд. По смыслу пп. 3 п. 1 ст. 3 настоящего Закона под «обработкой персональных данных» понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ст. 3 настоящего Закона).
Объективные сложности правового регулирования в сфере защиты персональных данных обусловлены необходимостью сбалансировать в законе противоречивые интересы, как минимум, трех групп субъектов:
граждан, чьи персональные данные собираются и обрабатываются (субъекты персональных данных);
государственных органов, обязанных обрабатывать персональные данные в связи с исполнением своих полномочий;
негосударственных организаций, заинтересованных в обработке персональных данных в соответствии с целями своей деятельности, в том числе в интересах бизнеса.7
В такого рода ситуациях действующее законодательство, а равно органы государственной власти, ответственные за его исполнение, не могут в полной мере гарантировать охрану всех персональных данных, а также установить ограничения на сбор и распространение некоторых из них (в большей части это касается персональных данных, которые их обладатель распространяет самостоятельно). Однако с их стороны требуется реальный контроль за соблюдением установленных запретов с целью обеспечения надежной охраны для законодательно установленного минимума.
Федеральный закон «О персональных данных» предусматривает случаи, на которые не распространяется его действие. К таким случаям относятся, в частности:
1) обработка персональных данных физическими лицами в личных целях при условии соблюдения прав субъектов персональных данных. Например, физическое лицо может вести домашнюю адресную книгу, где указываются фамилия, имя, отчество, дата рождения, адрес, телефоны и т. д.;
2) организация хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации, а также других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации, содержащих персональные данные. Положения о ведении таких документов регулируются соответствии Федеральным законом от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации».
3) обработка подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя. Законодательство Российской Федерации о государственной регистрации состоит из ГК РФ, Федерального закона от 8 августа 2001 г. № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (с изм. и доп. от 2 июля 2005 г.) и издаваемых в соответствии с ними иных нормативных правовых актов Российской Федерации.
Порядок внесения юридических и физических лиц в Единый государственный реестр регулируется Правилами ведения Единого государственного реестра юридических лиц и предоставления содержащихся в нем сведений (утв. постановлением Правительства РФ от 19 июня 2002 г. № 438).
4) обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. Сведения, составляющие государственную тайну, включают в себя совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством, в частности Законом РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне».
Цель Федерального закона «О персональных данных» заключается в обеспечении защиты прав и свобод гражданина при обработке его персональных данных в соответствии с основными правами и свободами, провозглашенными Декларацией прав и свобод человека и гражданина, принятой Верховным Советом РСФСР 22 ноября 1991 г., и Конституцией Российской Федерации (ст. 17).
Так, в ст. 9 Декларации провозглашается право каждого на неприкосновенность его частной жизни, тайну переписки, телефонных переговоров, телеграфных и иных сообщений. В соответствии со ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. А на основании ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
В соответствии со ст. 9 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина, если иное не предусмотрено федеральными законами. Однако гражданин имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информацию, непосредственно затрагивающую его права и свободы (ст. 8 указанного Закона).
Необходимо также отметить, что и трудовое законодательство направлено на защиту персональных данных субъектов, состоящих в трудовых отношениях. При поступлении на работу человек сообщает о себе много различной информации. И для того, чтобы эта информация не использовалась против него, Трудовой кодекс РФ обязывает предприятие разработать специальное положение по защите персональных данных - «Положение о работе с персональными данными работников».8
Кроме того, в ст. 86 ТК РФ предусмотрены требования, которые необходимо соблюдать при обработке персональных данных работника и гарантии их защиты. Обработка персональных данных работника должна осуществляться исключительно в целях содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, а так же в целях выполнения требований законов.9Все персональные данные работника следует получать только у него самого. Если персональные данные работника возможно получить лишь у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель же должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
2.
Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника
Обработка персональных данных работника в организации
В соответствии с ч. 2 ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения столичной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).
Согласно п. 3 ст. 3 Федерального закона «О персональных данных» обработка персональных данных — это действия (операции) с персонатьными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Следует иметь в виду, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения до уничтожения без каких-либо изъятий и исключений.
К принципам обработки персональных данных указанный Закон относит следующие:
законность целей и способов обработки и добросовестность;
соответствие целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
соответствие объема и характера обрабатываемых данных, способов обработки целям их обработки;
достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, не имеющих отношения к целям, заявленным при сборе данных;
недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Обработка персональных данных работника начинается с их получения. По общему правилу все персональные данные следует получать у самого работника. В исключительных случаях, когда персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ). Однако персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни работодатель не имеет права получать и обрабатывать (п. 4 ст. 86 ТК РФ). Также работодатель не может запрашивать информацию о состоянии здоровья работника, если это не относится к решению вопроса о возможности выполнения работником трудовой функции (ст. 88 ТК РФ).
Отдельные требования ТК РФ предъявляет к организации и технологии обработки персональных данных работодателем. Обязанность ознакомления работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, предполагает необходимость разработки и принятия соответствующего локального нормативного правового акта. Такой акт в зависимости от специфики деятельности и усмотрения работодателя может именоваться положением или инструкцией и, как правило, включает следующие разделы:
основные понятия и положения;
обработка персональных данных работника;
формирование персональных данных работника;
учет, хранение и передача персональных данных работника;
права и обязанности работника в области обработки и защиты его персональных данных.
Такой локальный нормативный правовой акт определяет режим конфиденциальности (ограниченного доступа) персональных данных работника у определенного работодателя. Сотрудники работодателя, получающие персональные данные работника, обязаны соблюдать этот режим, о чем необходимо указать не только в их должностных инструкциях, но и в заключаемых с ними трудовых договорах. Положение (инструкция) о защите персональных данных является основным документом, отражающим специфику обработки и передачи персональных данных работника в пределах конкретной организации, у определенного индивидуального предпринимателя. В случае наличия в рамках этой деятельности автоматизированной составляющей работодатель не имеет права принимать в отношении работника решения, основанные на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). Работодатель может не ограничиваться принятием положения о защите персональных данных работников в своей организации. Однако наличие этого локального акта является обязательным, а его отсутствие рассматривается государственной инспекцией труда как серьезное нарушение трудового законодательства.
За это и другие нарушения норм, регулирующих получение, обработку и защиту персональных данных работника, работодатель может привлекать виновных лиц к материальной, дисциплинарной ответственности, а соответствующие государственные органы — к гражданско-правовой, административной и уголовной.