ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Трофимова И.А. Питько Е.В.
5.8. ОСОБЕННОСТИ ГРАЖДАНСКО-ПРАВОВОЙ ОТВЕТСТВЕННОСТИ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
Трофимова Инесса Александровна, канд. юрид. наук. Должность: доцент. Место работы: Российский государственный социальный университет. Подразделение: кафедра гражданского права и процесса. E-mail: [email protected] Питько Елена Вадимовна. Должность: старший преподаватель. Место работы: Московский городской педагогический университет. Подразделение: кафедра гражданско-правовых дисциплин. E-mail: [email protected]
Аннотация: В статье рассматриваются некоторые аспекты обработки, хранения и использования персональных данных работников. Определены на основе законодательства и судебной практики проблемы правового регулирования гражданско-правовой ответственности за нарушение обработки и хранения персональных данных работников.
Ключевые слова: обработка персональных данных, гражданско-правовая ответственность, возмещение вреда.
FEATURES OF CIVIL LIABILITY FOR VIOLATIONS OF THE RULES GOVERNING THE PROTECTION OF PERSONAL DATA OF THE EMPLOYEES
Trofimova Inessa Alekcandrovna, PhD at law. Position: associate professor. Place of employment: Russian state social University. Department: civil law and process chair. E-mail: [email protected]
Pitko Elena Vadimovna. Position: Senior lecturer. Place of employment: Moscow city pedagogical University. Department: civil and legal disciplines chair. E-mail: [email protected]
Annotation: The article discusses some aspects of the handling, storage and use of personal data of the employees. Determined on the basis of legislation and judicial practice problems of legal regulation of civil liability for violation processing and storage of personal data of the employees.
Keywords: the processing of personal data, liability, damages.
Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). В контексте трудовых отношений персональные данные - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст.85 ТК РФ).
В соответствии с п. 3 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распро-
странение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По мнению С.Е. Кузахметовой, в составе персональных данных выделяются два составляющие: публичную и частную. Публичная составляющая подлежит передаче работодателю по его просьбе, частная составляющая может быть разглашена лишь с волеизъявления работника [10; 241]. Осуществление трудовых отношений связано с обработкой определенной публичной информации о работнике, поэтому в ТК РФ должен быть предусмотрен перечень общедоступных (публичных) персональных данных работника [6].
С.Е. Кузахметова рассматривает сведения о наличии судимости как тесно связанные с публичной сферой и подлежащее передаче работодателю по его требованию [9; 20]. В статье 86 ТК РФ определяется исчерпывающий перечень требований, предъявляемых к обработке персональных данных работника, которые в целях обеспечения прав и свобод человека и гражданина обязан соблюдать работодатель и его представители [1].
Следует иметь в виду, что для обработки персональных данных без представления уведомления по этому основанию должны одновременно соблюдаться все перечисленные условия:
- персональные данные не должны распространяться;
- они не должны предоставляться третьим лицам без согласия субъекта персональных данных;
- персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных [18; 107].
Очень часто при обработке и хранении персональных данных работников возникают спорные ситуации. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ).
Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также их права и обязанности в этой области. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы [15].
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия [18; 107].
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Следует отметить, что работодатель обязан осуществить сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Для регламентации всех вопросов, связанных с охраной персональных данных работников, в организации должен быть разработан и принят соответствующий документ.
В случае нарушения своих прав работники вынуждены обращаться в суд за защитой персональных данных.
Нарушения при обработке и хранении данных работников также могут быть выявлены при проверке деятельности организации прокуратурой, другими государственными органами по жалобам работников. Суды при вынесении решений по подобным делам руководствуются тем, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества при условии предъявления лицом документа, удостоверяющего личность [18; 107].
В соответствии со статьей 24 Закона о персональных данных и статьей 17 Закона об информации лица, виновные в нарушении требований к защите персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Необходимо иметь в виду, что за нарушение законодательства о персональных данных ответственность будут нести лицо, допустившее нарушение (единоличный исполнительный орган), и организация в целом [6; 3].
Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также может быть основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Согласно пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника. Поскольку такое увольнение относится к увольнениям за нарушение трудовой дисциплины, то работник, разгласивший персональные данные, должен быть уволен с соблюдением процедуры, предусмотренной ст. 193 ТК РФ.
В случае если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности.
В случае если в результате незаконного распространения информации о персональных данных работника последнему был причинен моральный вред, он подлежит возмещению работодателем. В свою очередь в соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 статьи 238 Тк РФ, под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь данное лицо к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
Кроме того, если работнику причинен имущественный ущерб или моральный вред, он может требовать привлечения к гражданско-правовой ответственности лица, ответственного за осуществление вышеперечисленных действий с персональными данными, виновного в нарушении норм, регулирующих хранение, обработку и использование персональных данных работника, допущенного.
В соответствии со ст. 151 Гражданского кодекса Российской Федерации (далее - ГК РФ), если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные
неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
Как еще ранее отмечал О.С. Иоффе, гражданско-правовая ответственность есть санкция за правонарушение, вызывающая для правонарушителя отрицательные последствия в виде лишения субъективных гражданских прав либо возложения новых или дополнительных гражданско-правовых обязанностей [7].
Авторы сущность гражданско-правовой ответственности определяют как установленную законом неотвратимую негативную реакцию государства на гражданское правонарушение, выражающаяся в лишении определенных гражданских прав или возложении внеэквива-лентных обязанностей имущественного характера [12; 119].
В гражданском праве применяются меры ответственности (наказания), которые прямо установлены законом и те меры, которые установлены договором. Однако для того, чтобы договор устанавливал меру ответственности, необходима предпосылка в виде определенной правовой нормы, так как меры ответственности только договором устанавливаться не могут [16; 141].
По мнению Л.Б. Ситдиковой, гражданско-правовая ответственность одна из форм государственного принуждения, состоящая во взыскание судом с правонарушителя в пользу потерпевшего имущественных санкций, выражающихся в невыгодных имущественных последствиях для правонарушителя из-за его поведения и направленных на восстановление нарушенной имущественной сферы потерпевшего [14; 112].
Согласно ГК РФ моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом [8].
На основании ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.
Как отмечает Е.А. Суханов, мерами гражданско-правовой ответственности понимает гражданско-правовые санкции - предусмотренные законом имущественные меры государственно-принудительного характера, применяемые судом к правонарушителю с целью компенсации имущественных потерь потерпевшего и возлагающие на правонарушителя неблагоприятные имущественные последствия правонарушения[17; 454].
А.П. Сергеев подчеркивает, что меры защиты и меры ответственности «различаются между собой по основаниям применения, социальному назначению и выполняемым функциям, принципам реализации и некоторым другим моментам» [13; 54б]. По мнению С.Ю. Староду-мовой, основанием для применения мер ответственности является полный состав правонарушения, а для применения меры защиты достаточно противоправности поведения правонарушителя, противоречия с законом или договором [16; 142].
Таким образом, под гражданско-правовой ответственностью понимаются неблагоприятные имущественные последствия для лица, допустившего гражданское правонарушение, выразившиеся в утрате таким лицом части имущества. Необходимо отметить, что гражданско-правовая ответственность всегда носит имущественный характер. Она может выступать в форме возмещения убытков (вреда, в том числе морального вреда). Меры ответственности устанавливаются в правовых нормах, реализация которых обеспечивается принудительной силой государства. Ответственность выполняет сле-
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Трофимова И.А. Питько Е.В.
дующие функции: предупредительно-воспитательную, репрессивную, компенсационную и сигнализационную.
В зависимости от оснований возникновения ответственность делится на договорную (возникающую в связи с неисполнением или ненадлежащим исполнением договора и в недоговорную (возникающую непосредственно из правонарушения, при отсутствии обязательственных отношений между нарушителем и потерпевшим).
В соответствии со ст. 1101 ГК РФ компенсация морального вреда осуществляется в денежной форме. Размер компенсации морального вреда определяется судом в зависимости от характера причиненных потерпевшему физических и нравственных страданий, а также степени вины причинителя вреда в случаях, когда вина является основанием возмещения вреда. При определении размера компенсации вреда должны учитываться требования разумности и справедливости.
Характер физических и нравственных страданий оценивается судом с учетом фактических обстоятельств, при которых был причинен моральный вред, и индивидуальных особенностей потерпевшего.
Следует отметить, что суды в отдельных случаях могут самостоятельно определять размер взыскиваемых денежных сумм, например, в соответствии со ст. 1101 ГК РФ при определении размера компенсации морального вреда суды должны учитывать требования разумности и справедливости [11; 82].
Анализ судебной практики показывает, что работодатели часто нарушают требования закона по обработке персональных данных.
В соответствии со статьей 86 ТК РФ обработка персональных данных может осуществляться работодателем лишь с целью обеспечения соблюдения нормативных правовых актов, содействия работникам в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Согласно части 1 статьи 22.1 Федерального закона от 27.06.06 № 152 «О персональных данных» оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Так, в нарушение п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Федерального закона от 27.06.06 № 152 «О персональных данных» в ООО «Ясмин» не назначен ответственный за организацию обработки персональных данных. Согласно п. 2 ч. 1 ст. 18.1 Федерального закона от 27.06.06 № 152 «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом и принятыми в соответствии с ним нормативными правовыми актами [4].
В некоторых случаях суд может признать законность действий работодателя при обработке и защите персональных данных работника.
Так, в исковом заявлении Б.П. ссылался на то обстоятельство, что в период его работы у ответчика при разработке конструкторской документации на ряде документов, которые он не видел и не подписывал или с содержанием которых не был согласен, представители работодателя указали его фамилию.
В связи с чем, он в докладной записке потребовал от работодателя удалить свою фамилию из всех конструкторских документов, которые он не подписывал или с содержанием которых не был согласен, однако работодатель никаких действий по защите персональных данных Б.П. не предпринял, чем нанес ему моральный вред.
Отказывая в удовлетворении исковых требований Б.П., суд указал, что использование работодателем
персональных данных Б.П. в виде указания его фамилии в конструкторской документации было обусловлено выполнением им трудовых обязанностей и было осуществлено в соответствии с должностной инструкцией Б.П. и действующими нормами трудового права.
Суд при этом отметил, что каких-либо доказательств того, что документы, в которых была указана фамилия истца, не относились к области его трудовых обязанностей, в материалах дела не имеется [3].
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Исходя из толкования ст. 90 ТК РФ в совокупности со ст. 237 ТК РФ следует, что в результате незаконного распространения информации о персональных данных работника последнему может быть причинен моральный вред, подлежащий возмещению работодателем.
Так, Апелляционным определением Верховного суда Республики Саха (Якутия) от 23 октября 2013 г. по делу N 33-4172/13 было установлено незаконные бездействие акционерной компании «АЛРОСА», выразившееся в нарушении норм защиты персональных данных работника Д. при их получении и обработке, содержавшихся в дополнительном соглашении б/н от 30 апреля 2008 года к трудовому договору. При таких обстоятельствах, вопреки выводам суда первой инстанции, распечатка с интернет-сайта и протокол осмотра с участием нотариуса указывают на неправомерное использование третьими лицами персональных данных работника, находившихся кроме истца только у работодателя. Таким образом, акционерная компания «АЛРОСА» (ОАО) нарушила действующее законодательство по защите персональных данных работника.
В соответствии с п. 4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать данные работника о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия, если это не связано с трудовыми отношениями.
Обязанность работодателя обеспечивать защиту персональных данных работника подтверждается судебной практикой. Так, суд указал, что работодатель правомерно не представил акционерам общества копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне, а в соответствии со ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих защиту персональных данных, несут административную, гражданско-правовую или уголовную ответственность [2].
Суды и другие правоохранительные органы могут беспрепятственно получать от организаций персональные данные работников, клиентов или контрагентов без согласия последних. Данную правовую позицию поддерживают и суды высших инстанций.
В частности, Иркутский областной суд в апелляционном определении от 9 сентября 2014 г. по делу № 337441-14 указал, что суд первой инстанции сделал правильные выводы о том, что запрос сведений, касающихся лица, состоящего в трудовых отношениях с администрацией муниципального образования, является правомерным, произведен прокурором в пределах его полномочий, предусмотренных законом, и не требует согласия указанного гражданина на обработку его персональных данных. Как следует из содержания запроса и материалов дела, обращаясь к главе администрации АМО, прокурор конкретизировал запрашиваемые сведения, ограничив их документами, предшествующими заключению трудового договора, включая конкурсную документацию, что воспринимается однозначно и не
вызывает сомнений в составе и объеме запрашиваемых документов [3].
В соответствии с пунктом 6 статьи 3 Федерального закона «О персональных данных» действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, являются предоставлением, а не распространением информации.
Федеральными законами могут быть предусмотрены иные случаи передачи персональных данных без согласия работника. Запрашивать сведения о персональных данных работника могут также адвокаты, нотариусы, должностные лица государственных органов.
Объем статьи позволяет сделать анализ лишь некоторых случаев из судебной практики с ограниченным количеством примеров.
Таким образом, можно сделать вывод о том, что в основном в судах рассматриваются нарушения правил обработки и хранения персональных данных различными организациями. Большинство споров удалось бы избежать, если бы работодатели соблюдали требования федерального законодательства об обработке и хранении персональных данных.
В основном суды апелляционной и кассационной инстанции соглашаются с выводами судов первой инстанции и оставляют решения без изменений.
Список литературы:
1. Трудовой кодекс Российской Федерации // Собрание законодательства РФ. 2002. № 1 (ч. 1). Ст. 3.
2. Постановление ФАС Московского округа от 14.01.2010 по делу № А40-38438/09-17-269 // СПС Консультант. 2010 г.
3. Апелляционное определение Иркутского областного суда от 9 сентября 2014 г. по делу № 33-7441-14 // СПС Консультант. 2014 г.
4. Решение судебной коллегии по гражданским делам Санкт-Петербургского городского суда от 26 января 2012 года по делу №33-712/2012 // СПС Консультант. 2012 г.
5. Постановление мирового судьи Вологодской области по судебному участку № 9 по делу № 5-1303/2015 г. // СПС Консультант. 2015 г.
6. Волкова М.А., Ленковская Р.Р. Преддоговорная ответственность: проблемы правовой природы // Актуальные проблемы российского законодательства. 2015. № 11. С. 21 -28.
7. Иоффе О.С. Ответственность по советскому гражданскому праву. М., 1955.
8. Кузахметова С.Е. Неприкосновенность частной жизни - фундаментальный принцип прав человека (исторический и теоретический аспекты) // Право и образо-вание.2007. № 11. С. 170-176.
9. Кузахметова С.Е. Понятие принципа неприкосновенности частной жизни // Вестник Саратовской государственной юридической академии. 2008. № 2 (60). С.21-25.
10. Кузахметова С.Е. Принцип неприкосновенности частной жизни: теоретико-правовой аспект: автореферат дис. ... канд. юрид. наук - Саратов, 2008. - 26 с.
11. Кузахметова С.Е., Стародумова С.Ю. Гражданско-правовая ответственность в сфере туристских услуг // Актуальные проблемы российского законодательства. 2015. № 12 . С.79-90.
12. Ответственность в сфере оказания услуг: проблемы правового регулирования и судебной практики: Монография. - М.: Русайнс, 2015. 298 с.
13. Сергеев А.П. Защита гражданских прав // Гражданское право: Учеб. В 3 т. / под ред. А.П. Сергеева. -М., 2012. Т. 1. С. 546-547.
14. Ситдикова Л.Б. Нормативно-правовое и договорное регулирование отношений на возмездное оказание
консультационных услуг. - М.: ИГ «Юрист», 2007. - 176 с.
15. Sitdikova L.B. Legal nature of internet services // Russian Law: theory and practice. 2008. № 2. P. 203-207.
16. Стародумова С.Ю. Ответственность и меры ответственности в гражданском праве России // Актуальные проблемы российского законодательства. 2015. № 12 . С. 138-151.
17. Суханов Е.А. Гражданско-правовая ответственность. Гражданское право: Учебник / отв. ред. Е.А. Суханов. - М., 2003. Т. 1. С. 454.
18. Трофимова И.А. Обработка и хранение персональных данных // Делопроизводство. 2015. № 3. С. 107- 114.
Рецензия
на статью Трофимовой Инессы Александровны и Питько Елены Вадимовны «Особенности гражданско-правовой ответственности за нарушение норм, регулирующих защиту персональных данных работников»
Право на неприкосновенность частной жизни напрямую не предусмотрено в Трудовом кодексе РФ, но поддерживается нормами гл. 14 «Защита персональных данных работника». Федеральный Закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" регламентирует, что согласие на обработку персональных данных может быть дано гражданином или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Очень часто при обработке и хранении персональных данных работников возникают спорные ситуации. В случае, если в результате незаконного распространения информации о персональных данных работника ему был причинен моральный вред, он подлежит возмещению работодателем. Кроме того, работник может требовать привлечения к гражданско-правовой ответственности лица, виновного в нарушении норм, регулирующих хранение, обработку и использование персональных данных работника.
В статье также рассматривается обеспечение конфиденциальности персональных данных работника как условие защиты его прав. Анализируются изменения законодательства и судебная практика по вопросам защиты персональных данных.
Статья рекомендуется к опубликованию и использованию в учебном процессе.
Статья ранее не публиковалась.
Рецензент:
Доцент кафедры административного, финансового и международного права ОУП ВО «Академия труда и социальных отношений» Букаева И.Н.