Защита персональных данных р аботника по законодательству Российской Федерации

Проблемам персональных данных вообще, а также персональных данных работников и их защите посвящено достаточно много исследований. Персональные данные являются конфиденциальной информацией. В ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ (ред. от 31.12.2017) «О персональных данных» (далее по тексту — Закон о персональных дан-ных)1 эти данные обозначены как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Конфиденциальность информации определена в ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ (ред. от 19.07.2018) «Об информации, информационных технологиях и защите информации»2 как обязательное для выполнения лицом, получившим доступ к такой информации, требование не передавать эту информацию третьим лицам без согласия ее обладателя.

Вмешательство кого бы то ни было в личную (частную) жизнь любого человека имеет определенные пределы. Статья 23 Конституции Российской Федерации закрепляет конституционное право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Гарантией права на неприкосновенность частной жизни выступает статья 24 Конституции Российской Федерации, устанавливающая запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия1. Приведенные конституционные положения соответствуют общепризнанным принципам и нормам международных правовых актов, каковыми являются Всеобщая декларация прав человека, Международный пакт о гражданских и политических правах, Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера, Конвенция Содружества Независимых Государств [1, с. 379–450].

Таким образом, Конституция Российской Федерации и действующее российское законодательство запрещают собирать любую информацию о человеке и гражданине.

Защита персональных данных работника выступает одной из составляющих общего права на неприкосновенность частной жизни, поэтому в Трудовой кодекс РФ были включены новые нормы, регулирующие защиту таких данных, закрепленные в главе 142.

В настоящее время в Трудовом кодексе РФ отсутствует легальное понятие персональных данных работника, так как статья 85 ТК РФ «Понятие персональных данных работника» утратила силу в соответствии с Федеральным законом от 07.05.2013г. № 99-ФЗ.

Детальная регламентация концепции персональных данных работника, порядка хранения такой информации, а также привлечения к ответственности за нарушение установленных требований по обработке и защите персональных данных работника, закреплена Законом о персональных данных и Трудовом кодексе Российской Федерации.

Работодатель вправе получать только такую информацию о работнике, которая не противоречит требованиям действующего российского законодательства о соблюдении конфиденциальности и не нарушает прав и свобод человека и гражданина, а также только о тех обстоятельствах, которые дают характеристику гражданину как работнику, в том числе его деловым качествам.

Принимая работника на работу, работодатель в соответствии с установленными законодательством требованиями заводит личное дело этого работника, в котором аккумулируются все касающиеся личности этого работника документы, включая заполняемую этим работником при оформлении на работу анкету с биографическими данными.

Следует согласиться с мнением Головиной С.Ю., что в таких случаях возникает ряд вопросов о защите персональных данных лиц, поступающих на работу. В частности, каковы состав и объем информации, собираемой о претенденте, могут ли работодатели получать информацию у третьих лиц без согласия граждан, еще не являющихся работниками, а также передавать без согласия уволившегося работника иным лицам его персональные данные, в том числе полученные в период действия трудовых отношений1.

Следует отметить, что нормы главы 14 ТК РФ содержат термин «работник», которым согласно ст. 20 ТК РФ является физическое лицо, вступившее в трудовые отношения с работодателем. Таким образом, получается, что положения главы 14 распространяют свое действие только на лиц, вступивших в трудовые отношения. Вместе с тем, согласно положениям Конституции Российской Федерации (ст. 23, 24), Федерального закона от 27 июля 2006 г. № 24-ФЗ (в ред. от 19.07.2018 ) «Об информации, информационных технологиях и защите информации», а также Закона о персональных данных защите подлежат персональные данные любого гражданина, в том числе как потенциального, так и бывшего работника.

Полагаем, что в целях устранения разногласий между названными законодательными актами по защите персональных данных в отношении будущих и бывших работников необходимо внести уточнения в главу 14 ТК РФ путем указания на то, что нормы этой главы распространяют свое действие также в отношении лиц, поступающих на работу или прекративших трудовые отношения с работодателем.

В целях предупреждения разглашения персональных данных, могущих повлечь нарушение прав и интересов работника, Трудовым кодексом РФ установлены общие требования к обработке персональных данных, правила и порядок их хранения, использования и передачи, а также ответственность за несоблюдение этих установлений.

Общие направления в сфере защиты персональных данных, выступающие принципами, закреплены в статье 5 Закона о персональных данных, имеющего статус специального закона в этой сфере, поэтому они свое развитие применительно к трудовым правоотношениям получили в статье 86 Трудового кодекса РФ.

Поскольку дискриминация трудовым законодательством России запрещена и это возведено в принцип правового регулирования в сфере тру- да, работодателю запрещено получать и обрабатывать персональные данные работника, касающиеся его политических и религиозных убеждений, членства в общественных организациях и т. п.

Главным решающим фактором в принятии работодателем решений относительно любого работника должны являться деловые качества последнего.

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки их персональных данных, а также об их правах и обязанностях в этой области. При этом работники не должны отказываться от своих прав на сохранение и защиту тайны.

Помимо установленных законодательством мер защиты персональных данных Трудовым кодексом закреплено требование о совместной разработке работодателями, работниками и их представителями мер защиты персональных данных работников, которые, в свою очередь, находят свое выражение в локальных нормативных актах работодателя: коллективном договоре, правилах внутреннего трудового распорядка и т. п.

Общеизвестно, что установление правил требует их исполнения, в противном случае должен быть предусмотрен определенный вид юридической ответственности. Эта составляющая присуща и сфере защиты персональных данных. При этом в зависимости от вида совершенного правонарушения в исследуемой сфере зависит и вид юридической ответственности: дисциплинарная, административная или уголовная.

К дисциплинарной ответственности, установленной и регламентируемой Трудовым кодексом РФ, может быть привлечен работник, совершивший дисциплинарный проступок, выразившийся в разглашении персональных данных, ставших известными ему в силу исполнения им своих служебных обязанностей. При этом обязательно должен быть соблюден порядок привлечения к дисциплинарной ответственности, установленный статьей 193 Трудового кодекса РФ. Такой вид юридической ответственности, согласно анализу судебной практики, применяется чаще всего.

Следует отметить, что не всегда работодатели правильно применяют предоставленное им право привлечения к дисциплинарной ответственности за нарушение норм, регулирующих защиту персональных данных, в силу неправильного толкования действующих правовых норм.

В частности, решением суда признано неправомерным привлечение к дисциплинарной ответственности в виде увольнения работницы Д., которая была уволена с работы на основании подп. «в» п. 6 части первой ст. 81 ТК РФ за разглашение персональных данных: предоставление своему родственнику для обращения в суд копий рабочих документов, содержащих сведения о выплате вознаграждения лицам, заключившим договор подряда. Разрешая спор, суд принял во внимание доводы истца Д. о том, что те сведения, которые содержались в предоставленных Д. своему родственнику ведомостях, не являются персональными данными работников организации. Согласно Положению МУП «СРС» (работодателя Д.) об обработке и защите персональных данных, с которым Д. была ознакомлена под роспись, под работниками подразумеваются лица, заключившие трудовой договор с МУП «СРС». По мнению суда, лица, заключившие договоры подряда с МУП «СРС», его работниками в смысле трудового законодательства не являются, так как они не вступали в трудовые отношения с названным работодателем и не заключали трудовые договоры. С учетом этих обстоятельств суд пришел к выводу о том, что данные лица не относятся к категории работников, чьи персональные данные подлежат защите в соответствии с Трудовым кодексом РФ и действующим в организации Положением об обработке и защите персональных данных работников1.

Приведенный пример еще раз свидетельствует об имеющихся недостатках в законодательстве Российской Федерации, включая трудовое законодательство, по регулированию защиты персональных данных, влекущих неоднозначное толкование действующих правовых норм.

В целях совершенствования действующего законодательства в этой сфере представляется необходимым уточнить объект, защищаемый трудовым законодательством, включив помимо охраняемых законом тайн другие виды информации, касающиеся персональных данных лиц, заключивших с работодателем договоры о труде гражданско-правового характера.

Следующим видом юридической ответственности в сфере защиты персональных данных выступает административная ответственность, предусмотренная статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях2.

В частности, ст. 13.11 КоАП РФ предусматривает санкцию за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданине3.

Ст. 13.14 КоАП РФ устанавливает административную ответственность за разглашение информации с ограниченным доступом, т. е. информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответствен-ность)4.

Наиболее тяжким видом юридической ответственности в этой сфере, как и в других, является уголовная ответственность (статья 138 УК РФ)5, привлечение к которой возможно лишь в случаях серьезных нарушений, допущенных при работе с персональными данными. Личные данные работника относятся к личной жизни человека и составляют его личную или семейную тайну. Незаконный сбор или распространение информации, включая распространение этой информации в публичном заявлении или средствами массовой информации квалифицируется ст. 138 УК РФ как нарушение неприкосновенности частной жизни1.