Тенденции защиты персональных данных работника в российском трудовом праве

Информация, непосредственно связанная с конкретным человеком (факты его биографии, номинативные (назывные) данные, национальность, место жительства, сведения о заболеваниях, о профессиональных знаниях и навыках, о семейной жизни, привычках, увлечениях, нравственные, политические, сексуальные и религиозные пристрастия и многое другое), составляет большую или даже большую часть циркулирующей в обществе информации. Человек оставляет соответствующие информацию в отделах кадров, в социальных службах, органах исполнительной власти, в сфере услуг, различных организациях. Очень часто сообщение подобной информации находится в рамках интересов самого индивида или является необходимым условием получения конкретного социального статуса либо определенных услуг. Распространение такой информации без согласия самого человека может способствовать формированию его положительного имиджа, а может нанести непоправимый урон, моральный или материальный вред. Именно поэтому обращение с информацией персонального характера (персональными данными) требует особой правовой регламентации. Сегодня с уверенностью можно утверждать, что информация персонального характера признана одним из приоритетных объектов организационно-правовой защиты, так как при определенных условиях и обстоятельствах она является производной от права на неприкосновенность частной жизни.

Согласно ст. 23 Конституции РФ каждый имеет право на не­прикосновенность частной жизни, личную, семейную тайну, за­щиту своей чести и доброго имени. Реализация данного права обеспечивается положением ст. 24 Конституции, устанавливаю­щим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускают­ся. Всеобщая декларация прав человека провозглашает, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательст­вам на неприкосновенность его жилища, тайну его корреспон­денции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких по­сягательств. Аналогичное правило содержится в Международ­ном пакте о гражданских и политических правах.[1,3]

Нормы, регламентирующие порядок защиты персональных данных работника, впервые появились в трудовом законодательстве только с принятием Трудового кодекса РФ. Они содержатся в гл. 14 ТК РФ, входящей в раздел «Трудовой до­говор».

Персональными данными работни­ка понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работ­ника.

Персональные данные работников могут быть двух видов: данные, представляющие собой факты, не подлежащие субъективной оценке (например, специальность работника, приобретенная им по окончании учебного заведения); данные оценочного характера, которые могут, в частности, содержаться в характеристике работника, заключении аттестационной комиссии и т. п.

Все сведения, составляющие информацию о работнике, по срокам их получения и нахождения у работодателя могут быть подразделены на три группы:

а) сведения, представляемые работником при приеме на работу;

б) сведения, создаваемые и получаемые работодателем в период трудовой деятельности работника;

в) сведения о работнике, хранящиеся у работодателя после прекращения с ним трудовых отношений.

Законодатель определил четыре формы обработ­ки персональных данных в сфере трудовых отношений — полу­чение, хранение, использование и передача.

Персональные данные работников, т. е. та информация, ко­торой обладает работодатель, как в условиях ее ручной обра­ботки, так и в случае использования автоматизированных ин­формационных систем может стать в определенной мере от­крытой и привести к ущемлению их интересов и прав, причинить моральный вред и материальный ущерб. В связи с этим в ТК РФ закрепляются принципы, лежащие в основе об­работки персональных данных работника, положения о поряд­ке их хранения и использования в организации, о передаче персональных данных, правах работника по их защите, об от­ветственности лиц за невыполнение требований норм, регули­рующих обработку и защиту персональных данных работника.[9]

В соответствии со ст. 7 Закона о персональных данных и п. 1 Перечня сведений конфиденциального характера, утвер­жденного Указом Президента РФ от 6 марта 1997 г. № 188', персональные данные работника как сведения о фактах, собы­тиях и обстоятельствах частной жизни гражданина, позволяю­щие идентифицировать его личность, относятся к числу сведе­ний конфиденциального характера. Такой правовой режим пер­сональных данных работника предполагает особый порядок работы с указанными данными и особый режим их охраны.

Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» предъ­являет достаточно жесткие требования к работе с персональны­ми данными. Персональные данные должны: быть получены и обработаны добросовестным и законным образом; накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями; быть адекватными, относящимися к делу и не быть избы­точными применительно к целям, для которых они накаплива­ются; быть точными и при необходимости обновляться; храниться в такой форме, которая позволяет идентифициро­вать субъектов данных не дольше, чем этого требует цель, для которой они накапливаются.

Основные принципы обработки персональных данных в Россий­ской Федерации соответствуют требованиям указанной Кон­венции и содержатся в ст. 5 ФЗ «о персональных данных». К ним относятся: законность целей и способов обработки персональных данных; соответствие целей обработки данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; соответствие объема и характера обрабатываемых персональных данных и способов их обработки целям обработки персональных данных; достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки данных, избыточных по отношению к целям, заявленным при сборе персональных данных; недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Кроме того, установлено, что обработка персональных дан­ных может осуществляться оператором только с согласия субъ­ектов персональных данных, за исключением случаев, преду­смотренных ч. 2 ст. 6 указанного ФЗ «О персональных данных». [7]

В ст. 86 ТК РФ содержатся следующие требования к россий­ским работодателям и их представителям, направленные на обеспечение прав и свобод человека и гражданина при обра­ботке персональных данных работника.

1. Обработка персональных данных работника может осуще­ствляться исключительно в целях: обеспечения соблюдения законов и иных нормативных пра­вовых актов; содействия работникам в трудоустройстве, обучении и про­движении по службе; обеспечения личной безопасности работников; под оператором понимается государственный орган, муници­пальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также опре­деляющее цели и содержание обработки персональных данных. Следо­вательно, любой работодатель является оператором персональных дан­ных своих работников контроля количества и качества выполняемой работы; обеспечения сохранности имущества.

2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руковод­ствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.

Так, согласно ст. 65 ТК РФ при приеме на работу работодатель получает о работнике следующую информацию: о трудовом стаже, подтверждаемом трудовой книжкой; о регистрации работника в системе обязательного пенсион­ного страхования, подтверждаемую соответствующим страхо­вым свидетельством; о состоянии работника на воинском учете, подтверждаемую документами воинскою учета; об образовании, квалификации работника, наличии у него специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); о возрасте работника, дате и месте его рождения, месте регистрации, подтверждаемую паспортом или иным документом, удостоверяющим личность; о наличии или отсутствии у работника семейных обязанно­стей, что подтверждается паспортом.

Перечень стандартизированных персональных данных работ­ника, получаемых от него работодателем, можно также опреде­лить на основании постановления Госкомстата РФ от 5 января 2004 г. № 1, которым, в частности, утверждена форма личной карточки работника. К сведениям, содержащимся в карточке, кроме перечисленных выше относятся данные о знании ино­странного языка, иных ближайших родственниках (кроме супру­га и детей), фактическом адресе места жительства, номере до­машнего телефона. Но поскольку получение указанной инфор­мации не предусмотрено федеральным законом, отказ работника от ее предоставления не может повлечь для него неблагоприят­ных последствий.[8]

В силу своих обязанностей налогового агента работника (ст. 24 Налогового кодекса РФ) работодатель также должен иметь информацию об идентификационном номере налогопла­тельщика — физического лица (если такой номер имеется), а также информацию, на основании которой производятся нало­говые вычеты (инициативу в ее предоставлении, как правило, проявляет сам работник).

В отдельных случаях, установленных федеральными закона­ми, работодатель может получать информацию о состоянии здоровья работника путем проведения медицинского освиде­тельствования при заключении трудового договора, периодиче­ских и внеочередных медицинских осмотров (ст. 213 ТК РФ), и информацию о дактилоскопической регистрации работников.

3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предпо­лагаемых источниках и способах получения персональных дан­ных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное со­гласие на их получение.

Извещение работника о предполагаемом получении его пер­сональных данных у иного лица обычно осуществляется в фор­ме соответствующего уведомления, предъявляемого работнику под расписку. При отказе работника составляется акт.

4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Информация о религиозных убеждениях работника может иметь крайне существенное значение при заключении работни­ком трудового договора с религиозной организацией, если его трудовая функция предполагает участие в совершении религи­озных обрядов.

Данные о частной жизни предоставляются непосредственно работником в целях реализации его трудовых прав и интересов. К информации о частной жизни относятся прежде всего дан­ные о семейных обязанностях работника, наличии или отсутст­вии детей, их возрасте.

5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Так, Трудовой кодекс обязывает работодателя перед уволь­нением работника, являющегося членом профсоюза, в опреде­ленных случаях испросить мотивированное мнение органа пер­вичной профсоюзной организации. Соответственно, Кодекс фактически обязывает работодателя собирать и обраба­тывать информацию о членстве работника в конкретном проф­союзе и о его профсоюзной деятельности, а профессиональный союз — предоставлять такую информацию по запросу работо­дателя. [9]

6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Указанное правило введено в связи с тем, что базы данных, хранящиеся в электронном виде, в большей мере, чем инфор­мация, содержащаяся на бумажном носителе, доступны для не­правомерного внедрения и изменения или для корректировки, осуществляемой в результате сбоя в компьютерной программе.

7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ или иными федеральными законами.

Защита персональных данных, как и защита любой инфор­мации, согласно ст. 16 Федерального закона «Об информации, информационных технологиях и защите информации», пред­ставляет собой принятие правовых, организационных и техни­ческих мер, направленных на: обеспечение защиты информации от неправомерного досту­па, уничтожения, модифицирования, блокирования, копирова­ния, предоставления, распространения, а также иных неправо­мерных действий; соблюдение конфиденциальности информации ограничен­ного доступа; реализацию права на доступ к информации.[6]

Защите подлежат любые персональные данные работника, неправомерное обращение с которыми может причинить ущерб как ему (собственнику информации), работодателю (владельцу информации), пользователю информацией, так и иному лицу.

8. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

В соответствии со ст. 87 ТК РФ порядок хранения и исполь­зования персональных данных работников устанавливается рабо­тодателем с соблюдением требований Трудового кодекса и иных федеральных законов. Персональные данные работника хранятся в документированной форме, характер которой также определяется работодателем. Стандартизированный перечень документации по учету труда и его оплаты установлен поста­новлением Госкомстата РФ от 5 января 2004 г. № 1. Докумен­ты, содержащие информацию о конкретном работнике, фор­мируют его личное дело. Сроки хранения персональных данных работников определяются на основании Перечня типовых управленческих документов, образующихся в деятельности ор­ганизаций, с указанием сроков хранения, утвержденного руко­водителем Федеральной архивной службы России 6 октября 2000 г.

Как полагают специалисты, работодатель должен разрабо­тать специальный локальный нормативный правовой акт, кото­рый должен включать: перечень сведений, относящихся к персональным данным работника по различным категориям должностей; порядок получения персональных данных у третьих лиц, включая последствия для работника в случае его отказа дать со­гласие на их получение; порядок обработки, хранения и использования персональ­ных данных с установлением индивидуальных обязанностей представителей работодателя и ответственности за их наруше­ние; права и обязанности работников на защиту своих персо­нальных данных; порядок ознакомления с актом всех работающих, а также вновь принятых на работу работников.

9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Отказ от указанных прав может нарушить неприкосновен­ность частной жизни работников, их личную и семейную тай­ну, причинить моральный и материальный ущерб.

10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

В частности, представители работников могут участвовать в разработке локального нормативного акта, регламентирующего порядок хранения и использования персональных данных ра­ботников.

Передала персональных данных — это действия по их распространению среди определенного круга лиц. [11]

При передаче персональных данных работника работодатель должен соблюдать следующие требования, установленные ст. 88 ТК РФ: не сообщать персональные данные работника третьей сторо­не без письменного согласия работника, за исключением слу­чаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, преду­смотренных ТК РФ или иными федеральными законами; не сообщать персональные данные работника в коммерче­ских целях без его письменного согласия; предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что эго правило соблюдено. Лица, полу­чающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работ­ников в порядке, установленном ТК РФ и иными федеральны­ми законами; осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального пред­принимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись; разрешать доступ к персональным данным работников толь­ко специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения кон­кретных функций; не запрашивать информацию о состоянии здоровья работ­ника, за исключением тех сведений, которые относятся к во­просу о возможности выполнения работником трудовой функ­ции; передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными феде­ральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходи­мы для выполнения указанными представителями их функ­ций.

Получателями персональных данных работника на законном основании в настоящее время являются: Фонд социального страхования РФ; Пенсионный фонд РФ; налоговые органы; федеральная инспекция труда и иные органы, осуществляющие функции государственного надзора и контроля за соблюдением трудового законодательства; органы исполнительной власти, профессиональные союзы, участвующие в расследовании не­счастных случаев на производстве

Вопрос оценки ситуации, в случае которой необходима пе­редача персональных данных как угрожающей жизни и здоро­вью работника, относится к компетенции работодателя.

Круг информации о работнике, передаваемой представителям работников, определяется функциями представителей. Общей функцией любого представителя работников в сфере трудовых отношений является участие в коллективных переговорах по заключению коллективного договора, соглашения. Поэтому без согласия работников может быть передана только информация о них, необходимая для ведения коллективных переговоров.

Конвенция Совета Европы 1981 г. «О защите физических лиц при автоматизированной обработке персональных данных» предусматривает предоставление любому лицу следующих прав в области защиты персональных данных:

а) быть осведомленным о существовании базы персональных данных и ее главных целях;

б) периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются ли в базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;

в) требовать уточнения или уничтожения данных, обработанных с нарушением положений национального права;

г) прибегнуть к судебной защите нарушенного права, если его запрос или требование о предоставлении информации, уточнении или уничтожении данных не были удовлетворены.

В соответствии со ст. 14 Закона о персональных данных граж­дане как субъекты персональных данных имеют право на доступ к своим персональным данным, которое включает правомочия: на получение сведений об операторе, о наличии у оператора персональных данных, относящихся к соответствующему субъ­екту; на ознакомление с имеющимися персональными данными, за исключением случаев, предусмотренных законом; на требование от оператора уточнения своих персональных данных, их блокирования или уничтожения, если персональ­ные данные являются неполными, устаревшими, недостовер­ными, незаконно полученными или не являются необходимы­ми для заявленной цели обработки; на принятие предусмотренных законом мер по защите своих прав, в том числе на обжалование действий или бездействия оператора. [7]

При этом ознакомление субъекта персональных данных или его законного представителя с имеющимися персональными данными, а также внесение в них изменений или их уничтоже­ние (блокирование) производится оператором на безвозмезд­ной основе.

Статья 89 ТК РФ конкретизирует общее право на доступ к персональным данным применительно к информации, обраба­тываемой работодателем в связи с трудовыми отношениями. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на: полную информацию об их персональных данных и обра­ботке этих данных; свободный бесплатный доступ к своим персональным дан­ным, включая право на получение копий любой записи, содер­жащей персональные данные работника, за исключением слу­чаев, предусмотренных федеральным законом; определение своих представителей для защиты своих персо­нальных данных; доступ к относящимся к ним медицинским данным с помо­щью медицинского специалиста по их выбору; требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработан­ных с нарушением требований ТК РФ. При отказе работодате­ля исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого не­согласия. Персональные данные оценочного характера работ­ник имеет право дополнить заявлением, выражающим его соб­ственную точку зрения; требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключени­ях, исправлениях или дополнениях; обжалование в суд любых неправомерных действий или без­действия работодателя при обработке и защите его персональ­ных данных.[2]

Лица, виновные в нарушении норм, регулирующих получе­ние, обработку и защиту персональных данных работника, при­влекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными зако­нами, а также к гражданско-правовой, административной и уго­ловной ответственности в порядке, установленном федеральны­ми законами. Административная ответственность может насту­пать в соответствии со ст. 5.39, 13.11, 13.12 и 13.14 КоАП РФ, а уголовная — в соответствии со ст. 137 и 140 УК РФ.[4,5]

Подводя итого можно скачать, что личная тайна работника или любого другого человека охраняется законом на самом высшем уровне. Необходимо учесть, что основная причина правонарушений в данных вопросах – это неграмотность работников отделов кадров. На очень многих предприятиях нет конкретных правил хранения персональных данных.

Необходимо выделить, что существуют законы, в которых предусмотрены наказания за нарушения в вопросах охраны персональных данных работника. Но все-таки в этих законах прописаны санкции, которые восстанавливают справедливость, но не снижают количество правонарушений. 

Большое значение имеет то, как руководитель каждого предприятия относится к правам своих работников. Так как только администрация предприятия или организации может и должна контролировать соблюдение порядка по хранению и защите персональных данных своих работников.

Список использованных источников и литературы. 

Нормативные акты.

1. Конституции Российской Федерации. Принята на всенар. голосовании 12 дек. 1993 г. (с изм и доп.) // СЗ РФ. - 1994. - № 1. - Ст. 13.
2. Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ (ТК РФ) // СПС «Консультант-Плюс» 
3. Гражданский кодекс Российской Федерации от 30.11.1994 г. № 51-ФЗ-Часть 1 (ГК РФ) // СПС «Консультант-Плюс» 
4. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (УК РФ) // ИП Налоги Ру 
5. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (КоАП РФ)
6. Федеральный закон РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в ред. Федеральных законов от 27.07.2010 N 227-ФЗ, от 06.04.2011 N 65-ФЗ) // СПС «Консультант-Плюс» 
7. Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» (в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ, от 23.12.2010 N 359-ФЗ) // СПС «Консультант-Плюс» 
8. Основы законодательства Российской Федерации об охране здоровья граждан, утв. ВС РФ 22.07.93 г. № 5487-1 (с изм. и доп.)Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера» (в ред. Указа Президента РФ от 23.09.2005 N 1111) // ПС «Референт».

Литература.

9. Трудовое право России: учебник для бакалавров / отв. ред. Ю. П. Орловский. – М.: Издательство Юрайт, 2014.

10. Трудовое право: учебник / Е.А. Певцова. – Москва: Юстиция, 2017.

11. Трудовое право: краткий курс лекций / А. Я. Рыженков, В. М. Мелихов, С. А. Шаронов. — 2-е изд., перераб. и доп. – Москва: Издательство Юрайт, 2015.