CC BY
33УДК 340
ИСПОЛЬЗОВАНИЕ НЕКОТОРЫХ ВИДОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В ПРОЦЕССЕ ТРУДОВЫХ ОТНОШЕНИЙ: ОСНОВНЫЕ ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА
© 2017 А. Н. Караваев
Аннотация. В статье анализируется порядок оборота персональных данных работника, основные обязанности работодателя по защите этих данных. Выявляются некоторые проблемы и недоработки российского законодательства в рассматриваемой сфере.
Ключевые слова: трудовые отношения, право на защиту частной жизни, персональные данные работника.
USE OF SOME PERSONAL DATA IN THE COURCE OF LABOR RELATIONS: THE MAIN LEGISLATIVE REQUIREMENTS
© 2017 A. Karavaev
Summary. The article analyzes the order of the employee's personal data turnover, the main duties of the employer on this data protection. Some problems and gaps of Russian legislation in this sphere are revealed.
Keywords: labor relations, the right to protection privacy, personal data of the employee.
Процесс эволюции социальных отношений требует постоянной модификации регулирующих их правовых норм. Формирование на рубеже XX - XXI вв. в развитых странах информационного общества привело к увеличению объектов правовой защиты, некоторые из которых являются весьма специфичными и имеют особую значимость для функционирования социальной сферы. Одним из таких объектов в новую эпоху выступает информация, ставшая одним из базовых ресурсов общественного производства и системообразующим фактором социокультурной реальности. Вследствие этого правовое регулирование информационных отношений нашло свое развитие как в развитых странах, так и в России.
При этом следует отметить, что информационное право не представляет собой отдельную отрасль права, а выступает как комплексная система права, нормы которой представлены практически во всех основных правовых отраслях.
Наибольшую значимость для настоящей работы представляет совокупность правовых норм, регулирующих оборот информации о человеке и его частной жизни, которая обладает высшей ценностью в современных демократических обществах.
Проблема правовых гарантий обеспечения возможности обладателя устанавливать в отношении личной информации ее статус, характеризующийся такими основными параметрами, как целостность, доступность и конфиденциальность, является одной из наиболее актуальных на уровне международного и внутригосударственного права. На международном уровне нормативное оформление права человека на защиту его частной жизни стало оформляться с принятием Огранизацией объединенных наций Всеобщей декларации прав человека, где ст. 12 закрепляет за любым человеком, независимо от его социального статуса и гражданства, право на невмешательство со стороны иных субъектов общественных отношений права в его личную и семейную жизнь, а также «право на защиту закона от такого вмешательства или таких посягательств»1. Аналогичная норма бы-
1 Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.). - М.: Права человека, 2000.
ла закреплена на европейском уровне в Европейской конвенции о защите прав человека и основных свобод 1950 г.
На основании этих ратифицированных РФ международных актов соответствующие нормы были внесены и в законодательство Российской Федерации. Конституция Российской Федерации, принятая 12 декабря 1993 г., гарантирует каждому «право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени» (ч. 1 ст. 23)2, запрещая при этом «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия» (ч. 1 ст. 24)3. Данные нормы-декларации подчеркивают демократический характер Российского государства, провозглашая человека, его права и свободы высшей ценностью4. При этом согласно ч. 4 ст. 15 Основного закона РФ права человека и правовые гарантии могут быть увеличены в случае, если Россия возьмет на себя новые международные обязательства путем подписания международных договоров, которые после ратификации, как отмечено в Конституции, становятся частью ее правовой системы5. Однако поскольку сама Конституция РФ по юридической силе выше международных правовых норм, то согласно ч. 6 ст. 125 международные договоры, не соответствующие Конституции РФ, не подлежат введению в действие и применению6.
На основании указанных норм-деклараций строится вся правовая система защиты личной информации человека и гражданина в России, которую в определенной мере ее обладатель может делать недоступной для государства и широких слоев общества.
Однако следует отметить, что норма Конституции РФ, гарантирующая личности право на неприкосновенность частной жизни, личную и семейную тайну, не нашла своей детализации в конкретном федеральном законе, и вместо закона о неприкосновенности частной жизни в РФ был принят Федеральный закон «О персональных данных» № 152-ФЗ, что, как известно, стало следствием ратификации Россией Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» 19 декабря 2005 г. № 160-ФЗ, причем формальная связь между 152-ФЗ и нормой ст. 23 Конституции РФ была зафиксирована только в результате внесения в 152-ФЗ изменений в июле 2011 г. (261-ФЗ)7.
Из этого, как отмечает ряд исследователей, следует, что соотношение объемов понятий «частная жизнь» и «персональные данные» является в РФ неопределенным , и этот момент можно считать немаловажным при анализе оборота персональных данных в процессе общественных отношений.
Необходимо отметить, что в процессе общественных отношений физическое лицо -субъект персональных данных, согласно 152-ФЗ «О персональных данных», вынуждено предоставлять часть личной информации в целях самоидентификации и исполнения социальных функций.
В частности, включаясь в экономический процесс отношений, гражданин становится субъектом трудовых отношений, что требует от него предоставления необходимых для реализации этих отношений определенной части персональных данных. В современных социально-экономических условиях обострения социальных проблем в стране роль защиты персональных данных, в том числе используемых при реализации трудовых от-
2 Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г. в ред. от 30 декабря 2008 г. № 6-ФКЗ, № 7-ФКЗ) // Собрание законодательства РФ. - 2009. - № 4. - Ст. 445.
3 Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г.).
4 Там же.
5 Там же.
6 Там же.
7 См: Трофимцева С. Ю. Защита персональных данных: некоторые проблемы правоприменительной практики // Материалы Международной научно-практической конференции, 10-11 мая 2011 года. - Пенза; Ереван; Колин: Социосфера, 2012. - С. 73.
8 См. подробнее: Трофимцева С. Ю. Защищаемая информация в УИС. - Самара: Самарский юридический институт ФСИН России, 2015. - С. 49.
ношений, только возрастает. В связи с этим анализ проблем, связанных с правовым обеспечением оборота персональных данных работника, предоставленных в распоряжение работодателя, сохраняет свою актуальность не только для информационного права как комплексной части права, но и для такой самостоятельной отрасли как трудовое право, в том числе и в Российской Федерации.
Конкретный перечень персональных данных определяется согласно п. 2 ч. 1 ст. 5 152-ФЗ целью обработки персональных данных, указанной оператором9. В рассматриваемой в настоящей статье ситуации цель обработки работодателем персональных данных работника определяется п. 1 ст. 86 Трудового кодекса РФ как обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества10. При этом законом не исключается право работодателя дополнять цель обработки персональных данных работника иными положениями, не нарушающими российское законодательство и права работника.
Перечень конкретных мер по защите персональных данных работодателем строится на основе федеральных законов РФ «О персональных данных» 152-ФЗ, «Об информации, информационных технологиях и защите информации» 149-ФЗ, постановления Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их автоматизированной обработке в информационных системах персональных данных» № 1119 от 01.11.2012 г., а также приказа ФСТЭК № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» № 21 от 18.02.2013 г., в которых законодатель установил общие требования при обработке персональных данных физического лица и определил гарантии их защиты.
Российским законодательством определен порядок организации информационного процесса при обработке персональных данных в рамках трудовых отношений. Работник, заключая трудовой договор с работодателем, передает часть своих персональных данных на ответственное хранение работодателю, на которого согласно нормам ч. 1 ст. 7 152-ФЗ возлагается ответственность за соблюдение конфиденциальности полученной информации, вследствие чего работодатель обязан реализовывать организационные, программно-аппаратные и инженерно-технические меры по ее защите от неправомерных воздействий11, нарушающих установленный обладателем персональных данных статус переданной информации. Согласно п. 3 ст. 86 ТК РФ все персональные данные работника необходимо получать у него самого, если же эти данные можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие12.
Рассмотрение защиты персональных данных работника в качестве отдельного института выявляет его недостаточную разработанность, отсутствие необходимых связей его с рядом важных норм и положений трудового права.
Например, как неоднократно указывалось в специальной литературе, несмотря на закрепленные 152-ФЗ, принятого еще в 2006 г., обязанности оператора, коим в трудовых отношениях выступает работодатель или определенное им лицо, в ст. 22 ТК РФ, содержащую перечень обязанностей работодателя по отношению к работнику, не были внесены
9 О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.03.2017).
10 Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.03.2017).
11 О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.03.2017).
12 Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.03.2017).
нормы, устанавливающие ответственность работодателя за соблюдение безопасности полученных им персональных данных работника, хотя из толкования п. 9 ст. 86 и ст. 88 ТК РФ следуют правовые гарантии конфиденциальности персональных данных работника, предоставленных в распоряжение работодателя, который согласно ст. 90 ТК РФ несет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность. Однако данная норма нигде больше в Трудовом кодексе РФ не конкретизируется, и работник, зафиксировав нарушение своих прав работодателем в процессе обработки последним персональных данных работника, может, что зафиксировано в ст. 89 ТК РФ, искать судебной защиты при неправомерных действиях работодателя или его бездействия при обработке и защите персональных данных работника13. В случае признания со стороны правоохранительных органов фактов нарушения со стороны работодателя прав работника на безопасность его персональных данных, работодатель понесет, вероятнее всего, административную ответственность по ст. 13.11 КоАП РФ, где в качестве санкции с 07.02.2017 в отношении юридических лиц установлен штраф от 30 до 50 тысяч рублей14.
В связи с этим можно констатировать насущную потребность внесения изменений в ч. 2 ст. 22 ТК РФ, которую предлагается дополнить последним абзацем в следующей редакции: работодатель обязан <.. .> «соблюдать режим конфиденциальности по отношению к полученным им персональным данным работника согласно действующему законодательству РФ».
Не останавливаясь на проблеме дефиниций понятия «персональные данные работника» в связи с весьма расплывчатой формулировкой в самом 152-ФЗ, где под персональными данными в РФ следует понимать «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»15, хотелось бы акцентировать внимание на вызывающем недоумение требовании п. 10 ст. 86 ТК РФ, согласно которому работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников16. Указанное недоумение вызвано тем, что общий перечень мер по защите персональных данных работника строится на основании частной модели угроз, разработанной оператором (то есть работодателем) на базе указанных выше постановления Правительства № 1119, приказа ФСТЭК № 21, а также утвержденных в организации Положения «Об обработке персональных данных», где определены общие принципы, организационные и правовые меры защиты персональных данных работников, и положения «О защите персональных данных», где определен конкретный тип автоматизированной информационной системы персональных данных, выявлены актуальные угрозы данным, прописаны конкретные инженерно-технические и программно-аппаратные меры защиты обрабатываемых данных, определены требования к программно-аппаратным компьютерным системам. Поскольку данные требования к оператору определены федеральным законодательством и отнесены согласно ч. 2 ст. 19 152-ФЗ к компетенции правительства, а система защиты не может быть изменена по прихоти каждого нового работника, поскольку зависит от установленных правительством и регуляторами требований, на основании ч. 4 ст. 14 152-ФЗ субъект персональных данных имеет право на получение информации о способах обработки его персональных данных. Такое несоответствие норм в части порядка выработки мер защиты персональных данных работника можно было бы рассматривать как правовую коллизию,
13 Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.03.2017).
14 Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ // СПС «Консультант Плюс» (дата обращения: 23.05.2017).
15 О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.03.2017).
16 Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.03.2017).
но, скорее, выявленное обстоятельство свидетельствует лишь о своевременном невнесении изменений в Трудовой кодекс РФ после утверждения в 2012 - 2013 гг. новых требований к защите персональных данных при их автоматизированной обработке. В этой связи предлагается изъять п. 10 ст. 86 из Трудового кодекса Российской Федерации как противоречащий положениям законодательства РФ в области оборота и защиты персональных данных в России.
В заключение следует отметить, что определенные трудности вызывает, в том числе, и отнесение персональных данных к конфиденциальной информации, что было определено указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. Ограничение доступа к персональным данным обусловлено требованиями Конституции РФ о защите частной жизни человека, однако в связи с указанной выше расплывчатостью нормы-дефиниции «персональные данные» объем указанной информации может охватывать не только личную информацию индивида, но и всю сферу человеческой жизнедеятельности и параметры естественной среды.
В этой связи следует согласиться с теми специалистами, которые настаивают на конкретизации указанной нормы-дефиниции в российском законодательстве, что поможет снять хотя бы часть проблем, связанных с правовыми гарантиями прав и свобод субъекта в Российской Федерации.
Библиографический список
Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.). - М.: Права человека, 2000.
Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 23.05.2017).
Конституция Российской Федерации. Принята всенародным голосованием 12 декабря 1993 г. в ред. от 30 декабря 2008 г. № 6-ФКЗ, № 7-ФКЗ // Собрание законодательства РФ. - 2009. - № 4. - Ст. 445.
О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.05.2017).
Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела (утв. указом Президента РФ от 30 мая 2005 г. № 609 (с изм. и доп.)) [Электронный ресурс] // СПС «Гарант» (дата обращения: 25.05.2017).
Трофимцева, С. Ю. Защита персональных данных: некоторые проблемы правоприменительной практики / С. Ю. Трофимцева // Материалы Международной научно-практической конференции, 10-11 мая 2011 г. - Пенза; Ереван; Колин: Социосфера, 2012. - С. 72-75.
Трофимцева, С. Ю. Защищаемая информация в УИС / С. Ю. Трофимцева. - Самара: Самарский юридический институт ФСИН России, 2015.
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (с изм. и доп.) [Электронный ресурс] // СПС «Консультант Плюс» (дата обращения: 25.05.2017).
