О персональных данных работника: современное состояние правового регулирования
(Петров А. Я.)
("Трудовое право", 2008, N 4)
Текст документа
О ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА:
СОВРЕМЕННОЕ СОСТОЯНИЕ ПРАВОВОГО РЕГУЛИРОВАНИЯ
А. Я. ПЕТРОВ
Петров А. Я., доктор юридических наук, профессор, Государственный университет - Высшая школа экономики.
Впервые в истории российского трудового права в Трудовом кодексе РФ закреплена глава 14 "Защита персональных данных работника". В соответствии со статьей 85 Кодекса персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое использование персональных данных работника.
Общие требования при обработке персональных данных работника и гарантии их защиты предусмотрены в статье 86 ТК РФ (в ред. ФЗ от 30 июня 2006 г.).
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Порядок хранения и использования персональных данных устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Согласно статье 88 Трудового кодекса РФ (в ред. ФЗ от 30 июня 2006 г.) при передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных ТК РФ или иными федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
- осуществлять передачу персональных данных работника в пределах одной организации, у индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Статья 89 Трудового кодекса РФ (в ред. ФЗ от 30 июня 2006 г.) закрепляет права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя.
Так, работники имеют право на:
- полную информацию об их персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
За нарушение норм, регулирующих обработку и защиту персональных данных работника, предусмотрена ответственность. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (статья 90 ТК РФ, в ред. ФЗ от 30 июня 2006 г.).
Таково современное состояние правовой регламентации отношений, связанных с персональными данными работников. А теперь попытаемся проанализировать нормы главы 14 Трудового кодекса РФ, дать им оценку и определить возможную перспективу правового регулирования указанных отношений.
В соответствии со статьей 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Кроме этого, в статье 24 Конституции Российской Федерации закреплено:
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается;
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Первый вопрос: соответствует ли Конституции Российской Федерации глава 14 Трудового кодекса РФ? Представляется, что не совсем, так как принципиальные положения Конституции Российской Федерации справедливо и обоснованно нацелены на права и свободы человека и гражданина и их обеспечение. А нормы главы 14 Кодекса - на персональные данные работника.
Указанная глава несколько не согласуется с целями и задачами трудового законодательства. Согласно статье 1 ТК РФ целями трудового законодательства являются установление государственных гарантий трудовых прав и свобод граждан, создание благоприятных условий труда, защита прав и интересов работников и работодателей.
Основными задачами трудового законодательства являются создание необходимых правовых условий для достижения оптимального согласования интересов сторон трудовых отношений, интересов государства, а также правовое регулирование трудовых отношений и иных непосредственно связанных с ними отношений по:
- организации труда и управлению трудом;
- трудоустройству у данного работодателя;
- профессиональной подготовке, переподготовке и повышению квалификации работников непосредственно у данного работодателя;
- социальному партнерству, ведению коллективных переговоров, заключению коллективных договоров и соглашений;
- участию работников и профессиональных союзов в установлении условий труда и применении трудового законодательства в предусмотренных законом случаях;
- материальной ответственности работодателей и работников в сфере труда;
- надзору и контролю (в том числе профсоюзному контролю) за соблюдением трудового законодательства (включая законодательство об охране труда) и иных нормативных правовых актов, содержащих нормы трудового права;
- разрешению трудовых споров;
- обязательному социальному страхованию в случаях, предусмотренных федеральными законами.
Нетрудно заметить, что отношения, связанные с персональными данными работника, в предмет трудового права не входят (о них в статье 1 ТК РФ нет даже упоминания).
Далее, если законодатель не сочтет необходимым исключить главу 14 из Кодекса, следует решить ряд других конкретных вопросов.
Так, неясно: почему эта глава названа "Защита персональных данных работника"? Ведь из шести ее статей только три посвящены (и то в относительной мере) защите персональных данных работника.
Так, статья 86 Кодекса в названии указывает на гарантии их защиты, а в ее содержании акцент сделан на общие требования при обработке персональных данных работника (из 10 пунктов данной статьи только 7-й и 10-й касаются вопросов защиты). При этом в пункте 9 статьи 86 Кодекса допущена неточность, вместо "защиты персональных данных работника" указано: "сохранение и защиту тайны". Видимо, здесь не учтено, что персональные данные работника как правовая категория в данном контексте значительно шире категории "тайна" (государственная, служебная, коммерческая и др.).
В принципиальном смысле содержание главы 14 ТК РФ в большей мере относится к обработке персональных данных работника. Следовательно, название главы, очевидно, должно предусматривать прежде всего не защиту персональных данных работника, а их обработку.
Важно определиться с целями правового регулирования. В соответствии со статьями 23 - 24 Конституции Российской Федерации и статьей 1 Трудового кодекса РФ, а также статьей 86 Кодекса целесообразно и логично назвать статью 89 ТК РФ "Права работников", исключив слова "в целях обеспечения защиты персональных данных, хранящихся у работодателя", а в содержании этой статьи предусмотреть: "В целях обеспечения защиты прав и свобод человека и гражданина работники имеют право..." - и далее по тексту.
Не совсем удачный термин "обработка" употребляется в рассматриваемой главе ТК РФ. "Обработать" означает "подвергнуть выделке, отделке, изменениям, анализу", "сделать готовым" для чего-н. Обработать кожу. Обработать землю. Обработать рану. Обработать информацию". (Ожегов С. И., Шведова Н. Ю. Толковый словарь русского языка. 3-е издание. М., 1995. С. 426.)
С учетом этимологического значения данного термина вряд ли правильно включать в содержание понятия "обработка" "получение, хранение, передача персональных данных работника" (статья 85 Кодекса). Не случайно в пункте 4 статьи 86 ТК РФ закреплено, что работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.
Аналогично в пункте 5 статьи 86 ТК РФ предусмотрено, что работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности. Представляется очевидным, что такую несогласованность норм статей 85 и 86 Трудового кодекса РФ необходимо исключить.
Без учета научно обоснованной и признанной системы российского трудового права как отрасли глава 14 помещена в раздел III Кодекса "Трудовой договор". А почему ее не закрепить в разделе XIII ТК РФ "Защита трудовых прав и свобод..." исходя из целей правового регулирования отношений, связанных с персональными данными работника?
Существенным явлением в рассматриваемом аспекте следует признать принятие Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Российская газета. 2006. 29 июля).
Федеральный закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Действие данного Закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Этот Закон предназначен для широкой сферы регулирования и имеет межотраслевое значение. В связи с этим важно подчеркнуть то, что глава 14 Трудового кодекса РФ в настоящее время и на перспективу должна применяться с учетом Федерального закона от 27 июля 2006 г. Поэтому хотелось бы акцентировать внимание на позитивных его нормах и положениях.
Так, согласно статье 2 Федерального закона от 27 июля 2006 г. целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (что еще раз подтверждает необходимость изменения соответствующих норм главы 14 ТК РФ).
Закон формулирует следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Согласно пункту 1 статьи 4 Федерального закона от 27 июля 2006 г. законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов. В связи с этим следовало бы учесть, что глава 14 Трудового кодекса РФ определяет случаи и особенности обработки персональных данных работников, а пункт 2 статьи 86 Кодекса не совсем согласуется с пунктом 1 статьи 4 Федерального закона, который предпочтительнее, ибо включает в основу правового регулирования и международные договоры Российской Федерации.
В соответствии со статьей 5 Федерального закона от 27 июля 2006 г. обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для не совместимых между собой целей баз данных информационных систем персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Условия обработки персональных данных закреплены в статье 6 Федерального закона от 27 июля 2006 г. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 данной статьи. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услуг связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Важно подчеркнуть, что в случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке (пункт 4 статьи 6 Федерального закона).
Позитивно и то, что в статье 7 Федерального закона от 27 июля 2006 г. предусмотрены положения о конфиденциальности персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 данной статьи.
Обеспечения конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Не только теоретический, но и практический интерес представляют специальные категории персональных данных. Согласно статье 10 Федерального закона от 27 июля 2006 г. обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 анализируемой статьи.
Обработка специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
Целые главы Федерального закона от 27 июля 2006 г. посвящены правам субъекта персональных данных (статьи 14 - 17) и обязанностям оператора (статьи 18 - 22), контролю и надзору за обработкой персональных данных, а также ответственности за нарушение требований Федерального закона (статьи 23 - 24).
Таким образом, рассмотрение лишь основополагающих норм Федерального закона от 27 июля 2006 г. "О персональных данных" свидетельствует о его всесторонности и обоснованности в вопросах правового регулирования указанных отношений. В связи с этим работодатель и его представители (особенно это касается управления персоналом, кадровых служб и т. д.) в своей практической деятельности, очевидно, должны руководствоваться прежде всего этим Законом, а не главой 14 Трудового кодекса РФ.
------------------------------------------------------------------
Название документа