В Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту чести и доброго имени. Лицо само вправе определять, какие именно сведения имеют отношение к его частной жизни и на сколько важна для него та или иная часть этой информации, в частности раскрытие каких данных повлечет для него душевную боль и моральный ущерб. В сфере трудовой деятельности работодателю необходимы не все данные о частной жизни работника, а только такие, которые касаются трудовых отношений с ним. К персональным данным, включая данные о частной жизни работника, относится информация, необходимая работодателю для оформления трудовых отношений, их изменения и прекращения, которую принято называть анкетными данными.
В настоящее время количество мест, где хранятся персональные данные граждан, ежегодно увеличивается, и такие сведения все чаще становятся объектом преступных посягательств. На практике во многих случаях происходит утечка информации через электронные носители. Это свидетельствует о недостаточной защищенности носителя персональных данных от злоупотреблений со стороны лиц, осуществляющих обработку подобной информации. В данной ситуации возникает вопрос, как защитить персональные данные граждан, в том числе работников. Существует множество нерешенных вопросов, что зачастую препятствует выполнению работодателем необходимых требований действующего законодательства о персональных данных.
Так, главным законодательным источником о защите персональных данных работника является глава 14 Трудового Кодекса РФ «Защита персональных данных работника». При анализе данной главы выявляется несоответствие ее названия с содержанием, которое скорее включает в себя положения об обработке персональных данных, чем об их защите. В самой главе законодателем не дается определения защиты персональных данных работника, отсутствуют положения, включающие в себя конкретные действия, которые должен совершать работодатель для защиты персональных данных.
Так же проблемой является и неточное определение субъекта, имеющего право на защиту персональных данных. ТК РФ защищает персональные данные работника; соискатель же, а также бывший работник в качестве субъектов защиты не названы, что фактически ущемляет их права на защиту персональных данных. Так, работодатель может опубликовать резюме соискателя, его рекомендательные письма, обнародовать другую известную информацию о нем или бывшем работнике и не будет нести за это в соответствии с трудовым законодательством ответственности.
Согласно статье 19 Закона о персональных данных операторы, осуществляющие обработку персональных данных, обязаны принять организационные и технические меры, необходимые для защиты персональных данных от случайного доступа к ним, а также от изменения, копирования и неправомерного распространения. Однако конкретизация названных мер в ней отсутствует, так как в ч. 1 ст. 18 Закона о персональных данных указано, что оператор сам определяет перечень и состав необходимых мер. Определены только средства с помощью которых может быть достигнута безопасность персональных данных. (ч 2. ст. 19 Закона о персональных данных). В частности, обеспечению безопасности способствует установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных). Контроль и надзор за обработкой персональных данных возлагается на федеральный орган исполнительной власти. Но формулировка закона о персональных данных, с позиции практики является слишком обобщенной. Пока нет соответствующих подзаконных актов, в которых были бы даны разъяснения о том, какие именно технические меры требуются для защиты персональных данных. Совершенствованию российского законодательства мог бы послужить опыт других стран. Так, например в Германии, если персональные данные обрабатываются автоматически, то внутриведомственная или внутрипроизводственная организация обязана соответствовать особым требованиям, предъявляемым к защите персональных данных, в том числе обеспечивать выполнение некоторых мер.
В частности оператор должен:
- не допускать неуполномоченных лиц к оборудованию, на котором обрабатываются и используются персональные данные (контроль проникновения)
- не допускать использование систем обработки данных неуполномоченными лицами
- гарантировать, что уполномоченные лица при доступе к системам обработки персональных данных могут пользоваться исключительно данными, к которым разрешен доступ, и что персональные данные не могут быть несанкционированно прочитаны, копированы, изменены или удалены при обработке, использовании или после сохранения (контроль проникновения)
- Гарантировать, что ПД не могут быть несанкционированно прочитаны, копированы, изменены или удалены при электронной передаче или транспортировке или после сохранения на носители, и что может быть проверено и установлено, каким учреждениям предусмотрена передача персональных данных (контроль дальнейшей передачи)
- гарантировать, что может быть дополнительно проверено и установлено, были ли кем введены, изменены или удалены персональные данные в системах обработки данных (контроль ввода)
- Гарантировать, что ПД, которые обрабатываются по заказу, обрабатывабтся в соответствии с указаниями заказчика (контроль исполнения заказа)
- Гарантировать, что ПД защищены от случайного уничтожения и потери
- Гарантировать, что ПД, собранные для различных целей, могут обрабатываться отдельно.
Одной из основных мер защиты персональных данных является применение технологии шифрования.