Актуальные вопросы правового регулирования персональных данных работников

Современное развитие информатизации общества, с одной стороны, создаёт уникальные возможности для ускоренного общения людей, связанного с передачей различной информации, как в личной жизни, так и в разных сферах человеческой деятельности, а с другой стороны, делает более уязвимой частную жизнь граждан, соблюдение определённого вида тайн на государственном, общественном, производственном и личном уровнях, что обусловливает необходимость их защиты от постороннего внимания.

Одной из сфер, где циркулируют сведения, требующие такой защиты, являются трудовые отношения, основанные на трудовом договоре между работодателем и работником. В настоящее время персональные данные работников и их защита являются важной составляющей в указанных взаимоотношениях.

Каждый гражданин, вступающий в трудовые отношения, предоставляет работодателю информацию, которая касается его персональных данных, и не каждый задумывается, что же будет с ней происходить в дальнейшем, как эта информация будет накапливаться, обрабатываться, храниться, кто будет иметь доступ к ней. Что происходит дальше, например, с паспортными данными, данными о военном билете, номере страхового свидетельства и другой персональной информацией. У работодателей накапливаются огромные массивы информации в документах и информационных базах данных и основной задачей работодателя является обеспечение сохранности персональных данных работников.

Изучение вопроса защиты персональных данных стоит рассматривать с двух позиций. Во-первых, это организация защиты персональных данных работника в целях ограждения его от незаконных действий, которые могут привести к негативным и нежелательным последствиям для него. Во-вторых, защита персональных данных работника, как обеспечение защиты самого работодателя и ограждение его от юридической ответственности. Практика показывает, что работодатели не всегда ответственно подходят к вопросам персональных данных и их защиты, хотя на них законодательством возложены соответствующие обязанности в этой области [1, с. 109].

Разработка локальных нормативных актов и распорядительных документов, регламентирующих защиту персональных данных работников в организациях и у индивидуальных предпринимателей, возложена на работодателей. Причём согласно пункту 10 статьи 86 Трудового кодекса Российской Федерации (далее – ТК РФ) меры такой защиты должны вырабатываться работодателями совместно с работниками и их представителями.

К таким документам, в частности, относятся: положение о порядке обработки персональных данных работников; согласие на обработку персональных данных; согласие на передачу персональных данных третьим лицам; обязательство о неразглашении персональных данных работников; приказ о назначении ответственных лиц за работу с персональными данными работников; приказ о допуске должностных лиц к персональным данным работников организации; положение о ведении личных дел работников (при ведении в организации личных дел).

Должностные лица, имеющие доступ к персональным данным, должны быть ознакомлены с алгоритмом работы с персональными данными работников и предпринимать все необходимые меры для защиты работников от несанкционированного доступа и использования их персональных данных. С этой целью в организации необходимо постоянно проводить внутренние проверки на предмет соблюдения законодательства о персональных данных [1, с. 114].

Отметим субъектов, которые обладают возможностью знать персональные данные работника: работодатель (руководитель организации), начальник и сотрудники отдела кадров данной организации, при этом пе- редача данных внутри корпорации должна осуществляться в соответствии с локальным актом, с которым работник, данные которого передаются, должен быть ознакомлен об этом под роспись [4, с. 85].

ТК РФ закрепляет права работников в ст. 89. Так, работник имеет право знать какие данные хранятся у работодателя, и кто осуществляет их обработку, при этом сотрудник в любой момент может ознакомиться со своими конфиденциальными данными, включая копирование их, при этом он вправе обратиться за судебной защитой в случае нарушения обработки и хранения его персональных данных работодателем.

На основании вышеизложенного, становится понятно, что защита конфиденциальных данных важна, поэтому законодатель определяет следующие виды ответственности за утрату и утечку персональных данных: уголовная, административная, гражданско-правовая и дисциплинарная. Остановимся на последних двух.

Так, в случае причинения убытков лицу в результате нарушения правил обработки его персональных данных, он имеет право обратиться в суд за возмещением понесенных убытков. При этом ему необходимо будет доказать причинно-следственную связь между деянием и наступившем вредом. Под убытками в данном случае необходимо понимать случаи, закрепленные в п. 2 ст. 15 Гражданского кодекса Российской Федерации.

Также работодатель обязан возместить моральный вред работнику, если таковой был причинен в случае нарушения правил обработки персональных данных. Следует отметить, что факт возмещения имущественного вреда не учитывается и не рассматривается при разрешении конкретного дела, данное положение закреплено в различных нормативноправовых актах (ч. 2 ст. 24 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», ст. 237 ТК РФ).

Согласно пункта 30 Постановления Пленума Верховного Суда РФ от 15.11.2022 № 33 «О практике применения судами норм о компенсации морального вреда» в настоящее время судам следует учитывать требования разумности и справедливости, при этом суды должны учитывать все обстоятельства дела, включая значимость компенсации, которая имеет привязку к обычному уровню жизни и общему уровню дохода гражданина, в связи с чем запрещено присуждать чрезвычайно малые суммы, за исключением случая, если такая сумма указана в исковом заявлении.

Обратимся к Апелляционному определению № 33-4172/2013 от 23 октября 2013 г. по делу № 33-4172/2013, рассмотренному судебной коллегией по гражданским делам Верховного Суда Республики Саха (Якутия). В данном деле работодатель передал конфиденциальные данные работника третьей стороне без письменного согласия работника, что уже является нарушением законодательства Российской Федерации, в результате данного действия третья сторона в Интернете выложила статью, в которой изложила информацию, содержащую персональные данные работника, при этом судом было учтено, что данная информация была известна ис- ключительно двум субъектам — работнику и работодателю. В результате рассмотрения дела суд удовлетворил требования работника и взыскал в его пользу моральный вред в размере 25 000 рублей [5, с. 181–182].

Иногда работодатель смело публикует в открытом доступе списки бывших сотрудников, уволенных, например, за утрату доверия или неоднократное неисполнение обязанностей. Следует отметить, что это рассматривается правоприменительной практикой, как нарушение требований к обработке персональных данных. В этом случае, публикуя причины увольнения, работодатель сообщает персональные данные работника третьим лицам. Седьмой кассационный суд общей юрисдикции в определении от 01.07.2021 по делу № 88-8488/2021 признал законным увольнение сотрудницы по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ. Причиной увольнения стало нарушение требований локальных нормативных актов, действующих на предприятии, выразившееся в публикации сведений с личными данными работника на сайте, зарегистрированном в открытом доступе. Сотрудник работал ведущим специалистом отдела закупок. Несмотря на то, что в ее обязанности не входила работа с персональными данными сотрудников, при приеме на работу она была знакома с локальными правовыми актами, регламентирующими порядок работы с такими данными за своей подписью. Согласно должностной инструкции Главного специалиста по закупкам, в прямые обязанности Заявителя входили, в том числе, обязанность по размещению закупочной документации на соответствующих сайтах, подготовка протоколов решений закупочной комиссии в целях фиксации решений о приобретении материально-технических средств, работы, услуги, направить утвержденные протоколы (выписки из протоколов) инициаторам закупки. В одном из торговых протоколов на электронной площадке были обнаружены персональные данные другого работника, а именно: должность, место работы, фамилия, имя и отчество. Такая информация должна была быть исключена из торговых протоколов. Персональные данные были размещены истцом на сайте федеральной электронной торговой площадки в сети Интернет, в результате чего к ним получил доступ неопределенный круг пользователей данной электронной торговой площадки. Поскольку на истца уже было наложено другое дисциплинарное взыскание, с учетом тяжести проступка и иных обстоятельств суд признал увольнение законным [2, с. 13].

Нормативная правовая база в отношении персональных данных работников и их защиты довольно обширна, однако в ней существуют определённые пробелы, которые требуют её совершенствования.

Стоит обратить внимание на приказ Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона “О персональных данных”», который вступил в силу 1 марта 2023 г. Согласно положениям данного приказа, оценку вреда осуществляет оператор персональных данных, то есть лицо, которое от- 8

ветственно за сбор и хранение персональных данных. В рамках данного приказа установлено 3 степени вреда: высокая (биометрические данные, специальные категории персональных данных), средняя (распространение персональных данных в «Интернете») и низкая (общедоступная информация — справочная информация).

Согласимся с мнением В. В. Топилина в том, что стоит издать аналогичный акт в рамках трудового права в целях дополнительной меры защиты (например, Приказ Минтруда РФ «Об утверждении методов оценки ущерба, причиненного нарушением правил обработки персональных данных работников» или же на уровне компании «Положение об оценке ущерба причиненного нарушением правил обработки персональных данных работников»), согласно которому оценивать ущерб будет также ответственное лицо, то есть работодатель или специально созданная в организации комиссия [5, с. 183].

Также стоит обратить внимание на требования Роскомнадзора о подтверждении уничтожения личной информации, которые стоит применять и в рамках трудовых правоотношений, а именно оператор персональных данных должен составить акт об уничтожении, выгрузку из журнала регистрации событий в информационной системе персональных данных. В рамках трудового права стоит обязать работодателя издавать акт об уничтожении персональных данных работника.

Глава 14 ТК РФ имеет название «Защита персональных данных работников», но в ней отсутствует определение понятия защиты персональных данных и указание на то, как следует защищать персональные данные работников.

Кроме этого, ТК РФ не содержит исчерпывающего перечня сведений, относящихся к защите персональных данных работников, вследствие чего каждый работодатель совместно с работниками и их представителями, вырабатывая меры защиты, определяет такие сведения по своему усмотрению, что приводит к дополнениям необходимой персональной информации письмами Роскомнадзора и судебными решениями. Подтверждением тому служит мнение учёных [3, с. 175–177].

С внедрением электронного документооборота в трудовых отношениях появляются опасности утечки информации о персональных данных в сети «Интернет», поскольку согласно ч. 1 ст. 22.1 ТК РФ под этим понимается создание, подписание, использование и хранение работодателем, работником или поступающим на работу лицом документов, связанных с работой, в электронном виде, не дублируя на бумажном носителе. Такой документооборот возможен с использованием Единой цифровой платформы в сфере занятости и трудовых отношений «Работа в России» или информационной системы работодателя (действует с 1 марта 2023 г.).

Ч. 10 ст. 22.2 ТК РФ допускает предоставление при заключении трудового договора документов, предусмотренных ст. 65 ТК РФ, в электронном виде, а ч. 11 ст. 22.2 ТК РФ — ознакомление поступающего на работу лица с документами, которые указаны в ч. 3 ст. 68 ТК РФ, в электронном формате. В этой связи предлагается учитывать внедрение данных нововведений в законодательстве РФ о защите персональных данных работников. ТК РФ регулируется защита персональных данных работников, однако отсутствуют какие-либо положения, регламентирующие работу с персональными данными соискателей, которые предоставляют работодателю свои резюме, содержащие их персональные данные. Следует отметить, что недостаточно чётко регулируется работа с персональными данными уволенных работников.

Уточнение и корректировка вышеизложенных моментов в российском законодательстве позволит работодателям более эффективно организовать работу по защите персональных данных работников [1, с. 112–113].