CC BY
277
АКТУАЛЬНЫЕ ВОПРОСЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
А.Г. ИСТРАТОВА
Аннотация. В последние годы в социально-трудовых отношениях произошли существенные изменения. Действующее трудовое законодательство нацелено на обеспечение безопасности персональных данных независимо от формы собственности работодателя и его структурной организации. Трудовой кодекс Российской Федерации в главе 14 определяет общие положения защиты персональных данных работника: понятие, требования, особенности хранения, передачи, права работников и ответственность за нарушение норм. Но ТК РФ и существующие федеральные законы РФ не могут решить все вопросы, возникающие в процессе трудовых отношений. В связи с этим вопросы защиты персональных данных работника должны регулироваться отдельным документом — подзаконным актом «О защите персональных данных работников».
Ключевые слова: основные положения, персональные данные работников, обработка, хранение и передача персональных данных работника, действующие нормативно-правовые акты.
TOPICAL ISSUES OF PROTECTION OF PERSONAL DATA OF THE CHILD
A.G. ISTRATOVA
Annotation. Last years in sociolabor relations there were essential changes. The operating labour legislation is aimed at safety of the personal data is not dependent on a pattern of ownership of the employer and its structural organisation. The Labour Code of the Russian Federation in chapter 14 defines general provisions of protection of the personal data of the worker: concept, requirements, features of storage, transfer, the right of workers and a liability of infringement of norms. But The Labour Code of the Russian Federation and existing federal laws of the Russian Federation can't solve all questions arising in the course of labour relations. In communication by it questions of protection of the personal data of the worker should be regulated by the separate document — the sublegislative deed «About protection of the personal given workers».
Key words: basic reglations, personal data of workers, processing, storage and transfer of the personal data of the worker, operating regulatory legal acts.
В последние годы социально-трудовые отношения, складывающиеся в России, претерпели существенные изменения, следствием чего стало появление новых организационно-правовых вопросов, требующих внимания исследователей, в частности, вопросов защиты персональных данных работников.
В настоящее время институт «персональные данные» в Российской Федерации регулируется рядом нормативных актов. При этом, как отмечают авторы, «практически во всех законах присутствуют нормы о правах граждан — субъектов персональных данных, хотя и с различной степенью разработанности. Во многих актах закреплены нормы об ответственности за нарушения в работе с персональными данны-ми»1.
В первую очередь, неприкосновенность частной жизни гаранти-
руется Конституцией Российской Федерации, а персональные данные являются важнейшей составляющей частной жизни.
Далее необходимо отметить, что действующее трудовое законодательство нацелено на обеспечение безопасности персональных данных как в частном секторе, так и на государственной службе. Так, Трудовой кодекс Российской Федерации (далее — ТК РФ)2 в главе 14 определяет общие положения защиты персональных данных работника: понятие, требования, особенности хранения, передачи, права работников и ответственность за нарушение норм.
Федеральный закон № 152-ФЗ «О персональных данных»3 (далее — № 152-ФЗ) описывает организационно-правовые механизмы защиты персональной информации любого физического лица. Однако в отношении данных закон не указывает, распро-
страняются ли его нормы на персональные данные работников.
Отметим, что в отличие от работников частного сектора, в отношении защиты персональных данных государственных гражданских служащих (далее — государственные служащие) действуют дополнительные нормативные акты. Так, п. 4. ст. 42 № 79-ФЗ «О государственной гражданской службе Российской Федерации»4 (далее — № 79-ФЗ) устанавливаются условия получения и обработки персональных данных, доступа субъекта к данным, а также их передача третьим лицам. При этом при работе с персональными данными с использованием средств автоматизации и технических средств необходимо руководствоваться Постановлением от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информа-
ционных системах персональных данных»5.
В целом, несмотря на наличие ряда основополагающих документов, в существующем нормативно -правовом поле нет единых и исчерпывающих положений, связанных с организационно-правовой защитой персональных данных работников.
В рамках антропоцентричного подхода к исследуемой правовой проблеме6, т.е. с акцентом на индивидуальной стороне трудовых отношений, автор статьи считает необходимым сформулировать ряд некоторых правовых положений, касающихся защиты персональных данных работника.
1. Определение «персональные данные работника».
ТК РФ дает такое определение персональным данным работника: это «информация, необходимая работодателю, связанная с трудовыми отношениями и касающаяся конкретного работника» (ТК РФ, гл. 14, ст. 85). Более конкретно формулирует понятие № 152-ФЗ «О персональных данных»: «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» (ст. 3). Определение, данное в № 152-ФЗ, представляется более адекватным для решения проблемы разночтений термина «персональные данные работника», в связи с чем предлагается его включение в новый вариант нормативных документов, регулирующих данную сферу.
2. Границы владения персональными данными работника.
В ст. 88 ТК РФ обозначаются границы владения персональными данными работников через условия их передачи, в частности
«не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами». При этом закон не указывает список случаев, обозначенных как «в целях предупреждения угрозы жизни и здоровью работника». Более того, закон оставляет возможности для применения широкого круга нормативных актов, не ограничивая их, например, конституционными свободами гражданина.
Другой нормативный документ — № 152-ФЗ — определяет границы защиты персональных данных работника через понятие «конфиденциальность персональных данных» — это «обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания» (ст. 3 № 152-ФЗ).
Исключения, допускаемые эти законом, касаются случаев обезличивания и общедоступных персональных данных, положения о которых достаточны для эффективной правоприменительной практики (ст. 7, 8 № 152-ФЗ).
Предлагается использовать нормативное положение по передаче персональных данных, изложенное в п. 1 ст. 42 № 79-ФЗ: «Передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральным законом».
В нашей редакции это положение выглядит следующим образом:
«Передача персональных данных работника третьей стороне не допускается без письменного
согласия работника, за исключением случаев, установленных настоящим Федеральным законом» (изменения выделены курсивом).
3. Правовые риски, связанные с использованием анкетной формы при получении персональных данных работника (соискателя).
Немаловажную роль в увеличении правовых рисков работника играют распространенные анкетные формы, используемые работодателем как в процессе оценки кандидатов на вакансии, так и во время действия трудового договора. Существующая на практике угроза защиты персональных данных работника при заполнении анкетной формы состоит в том, что, заполняя анкету, субъект в письменной форме оставляет о себе очень широкий спектр информации. Анкета зачастую составляется таким образом, чтобы заставить субъекта максимально раскрыть свой информационный портрет, при том что содержащиеся в ней вопросы не всегда направлены на выявление профессиональных качеств этого субъекта. В идеальной ситуации подбора персонала анкета должна составляться так, чтобы максимально полно выявлять круг критериев, которые необходимы для занятия определенной должности с вероятной степенью надежности.
Более того, как отмечают специалисты, «значение анкеты, заполняемой при приеме на работу, проявляется и в следующем. Если сведения, сообщенные в анкете гражданином, которые имели существенное значение при принятии решения о его приеме на работу, впоследствии окажутся заведомо ложными, это может послужить основанием для расторжения трудового договора по пункту 11 статьи 81 Трудового кодекса РФ (т.е. при таких обстоятельствах анкета окажется документом, подтверждающим факт представления заведомо ложных сведений)»7.
Несмотря на то что анкета является одним из наиболее распро-
страненных документов, утвержденной ее формы не существует. Она представляет собой опросный лист, состоящий из вопросов, составленных работодателем.
Автор статьи считает необходимым правовое закрепление формы анкеты. Так, в анкете необходимо избегать двусмысленных вопросов и вопросов, не относящихся к трудовой функции опрашиваемого: «...правильно подобранные вопросы позволят первоначально озвучить цели, мотивы, профессиональные притязания кандидата»8. Унификация анкетной формы и ее использования также может предусматривать обязанность работника предоставлять достоверную информацию о своих персональных данных, содержать разрешение на обработку предоставленных данных, а также право проводить проверку полученной информации.
Также необходимо урегулировать вопрос о хранении или уничтожении анкет соискателей, не прошедших конкурс на вакансию. Все это позволит максимально снизить правовой риск работника при прохождении конкурса.
4. Личное дело работника как источник его персональных данных.
Активно используемое на практике личное дело работника в ТК РФ не нашло своего отражения. Как известно, документы, представленные при приеме на работу, и информация, накапливаемая в процессе трудовой деятельности работника, формируются в личное дело. В личное дело сотрудника может входить следующая информация и копии документов:
Ф паспортные данные (копия документа, удостоверяющего личность);
Ф адрес места жительства и домашний телефон;
Ф данные, содержащиеся в анкете, которую составляет работник на стадии принятия его на работу;
Ф сведения и копии документов об образовании;
Ф сведения о составе семьи, на-
личие судимостей (данная информация может входить в анкету);
$ сведения о трудовом и общем стаже, а также о предыдущем месте работы;
$ сведения о воинском учете;
$ сведения о социальных льготах;
$ специальность, занимаемая должность, размер заработной платы;
$ сведения, содержащиеся в трудовой книжке сотрудника и подлинники или копии приказов по личному составу.
В личном деле могут содержаться также такие персональные данные работника, как сведения о переводах; о профессиональном росте, профессиональной карьере работника; повышении его квалификации; сведения об аттестации, конкурсных испытаниях, иная информация, которая непосредственно касается работника и которая может быть отнесена к разделу конфиденциальной9.
Очевидно, что как информация, так и документы, ее содержащие, из личного дела работника являются конфиденциальными. Кроме определения состава личного дела, необходимо ограничить срок хранения и режим конфиденциальности персональных данных по аналогии с прочими документами, содержащими информацию о персональных данных работника.
Заслуживает внимания ограничение на состав личного дела, указанный в п. 1 ст. 42 № 79-ФЗ: «Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего не установленные настоящим Федеральным законом и другими федеральными законами персональные данные о его политических, религиозных и иных убеждениях и частной жизни, о членстве в общественных объединениях, в том числе в профессиональных союзах».
Данное положение необходимо включить в состав основных норм, связанных с защитой пер-
сональных данных работников.
5. Подзаконный акт «О защите персональных данных работников» как необходимый этап развития организационно-правовых основ защиты персональных данныхработ-ника.
Совершенно очевидна необходимость разработки нормативных положений по защите персональных данных работника и их принятие в рамках подзаконного акта «О защите персональных данных работников» (причем с ориентацией на нормы в отношении защиты персональных данных государственных служащих, изложенные в № 79-ФЗ «О государственной гражданской службе Российской Федерации»).
ТК РФ и существующие федеральные законы РФ не могут решить все вопросы, возникающие в процессе трудовых отношений. При этом некоторые вопросы не регулируются ТК РФ, но подпадают под действие подзаконных нормативных актов (например, постановления Госкомстата России, определяющие унифицированную форму первичной учетной документации). Также есть вопросы, которые не подпадают под действие и существующих подзаконных актов. Поэтому эти вопросы должны регулироваться отдельным документом, который не должен противоречить действующим нормативно-правовым актам.
Автором статьи разработан проект подзаконного акта «О защите персональных данных работников».
Проект документа «О защите персональных данных работников» содержит принципы, в соответствии с которыми будет осуществляться работа с персональными данными работника.
Данный документ устанавливает порядок получения, обработки, хранения, передачи документов, содержащих персональные данные работника, а также ответственность за несоблюдение норм. Цель проекта подзакон-
ного акта заключается в защите персональных данных работника от несанкционированного доступа и хищения конфиденциальной информации. Индивидуальные меры защиты персональных данных работника могут дополнительно разрабатываться работодателем, работниками или их представителями с условием, что они не вступают в конфликт с нормами проекта документа «О защите персональных данных работников».
В целом, подводя итог анализу вопросов, связанных с организационно-правовыми основами защиты персональных данных работника, необходимо подчеркнуть, что в связи с тем, что персональные данные составляют огромную часть потоков информации, важно создавать механизмы защиты, которые бы не препятствовали экономическому развитию общества, а эффективно обеспечивали бы их конфиденциальность.
Отсутствие реальных механизмов реализации прав и ответственности в сфере оборота персональных данных приводит к тому, что факты утечки информации в большинстве случаев не перерастают в конкретные расследования, судебные процессы и решения. Именно поэтому, несмотря на формальное наличие в законодательстве значительного числа правовых норм в этой сфере, за последние пять лет было лишь несколько случаев возбуждения уголовных или административ-
ных дел, связанных с незаконным распространением информации о частной жизни.
Предлагаемые в статье решения данной проблемы в рамках работы над проектом правового акта «О защите персональных данных работников» позволят создать нормативное поле, объектом которого являются персональные данные, а субъектами — работники государственных и частных компаний и работодатели.
1 Арешев А.Г., Бачило И.Л., Сергиен-ко Л.А. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. М., 2006. С. 71.
2 Трудовой Кодекс РФ от 30.12.2001 № 197-ФЗ (в ред. Федеральных законов от 24.07.2002 № 97-ФЗ, от 25.07.2002 № 116-ФЗ, от 30.06.2003 № 86-ФЗ, от 27.04.2004 № 32-ФЗ, от 22.08.2004 № 122-ФЗ, от 29.12.2004 № 201-ФЗ, от 09.05.2005 № 45-ФЗ, от 30.06.2006 № 90-ФЗ, от 18.12.2006 № 232-ФЗ, от 30.12.2006 № 271-ФЗ, от 20.04.2007 № 54-ФЗ, от 21.07.2007 № 194-ФЗ, от 01.10.2007 № 224-ФЗ, от 18.10.2007 № 230-ФЗ, от 01.12.2007 № 309-ФЗ, от 28.02.2008 № 13-ФЗ, от 22.07.2008 № 157-ФЗ, от 23.07.2008 № 160-ФЗ, от 25.12.2008 № 280-ФЗ, от 25.12.2008 № 281-ФЗ, от 30.12.2008 № 309-ФЗ, от 30.12.2008 № 313-ФЗ, с изм., внесенными Постановлением Конституционного Суда РФ от 15.03.2005 № 3-П, Определением Конституционного Суда РФ от 11.07.2006 № 213-О).
3 О персональных данных: ФЗ от
27.02.2006 № 152-ФЗ // Собрание законодательства РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
4 О государственной гражданской службе Российской Федерации: ФЗ от 27.07.2004 № 79-ФЗ (в ред. Федеральных законов от 02.02.2006 № 19-ФЗ, от 02.03.2007 № 24-ФЗ, от 12.04.2007 № 48-ФЗ, от 01.12.2007 № 309-ФЗ, от 29.03.2008 № 30-ФЗ, от 23.07.2008 № 160-ФЗ, от 25.12.2008 № 280-ФЗ // СЗ РФ. 02.08.2004. № 31. Ст. 3215.
5 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных: Постановление Правительства от 17.11.2007 г. № 781 // СЗ РФ. 26.11.2007. № 48 (2 ч.). Ст. 6001.
6 См., напр.: Дивеева Н.И. Теоретические проблемы индивидуального правового регулирования трудовых отношений: Дис. ... докт. юрид. наук. СПб., 2008.
7 Покровская М.М., Строгович Ю.Н. Прием на работу: неординарные ситуации // http://hr-portal.com.ru. Дата публикации: 26.07.2005.
8 Чутчева Е. Анкетирование при приеме на работу — взгляд со всех сторон // Кадры предприятия. 2002. № 3.
9 Комментарий к Трудовому кодексу Российской Федерации.2-е изд., пере-раб. и доп. / Под ред. О.В. Смирнова. М.: ТК Велби, Кнорус, 2003. С. 203.
Литература
1. Дивеева Н.И. Теоретические проблемы индивидуального правового регулирования трудовых отношений: Дис. ... докт. юрид. наук. СПб., 2008.
