Трудовое право. Том II. Часть особенная
Шрифт:
8.6. Защита персональных данных работников
Конституция РФ в ст. 23 закрепляет право каждого человека на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Имплементация данного положения Конституции РФ отчасти нашла свое отражение в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [152] , в котором персональные данные определены как любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
152
Собрание законодательства РФ. – 2006. – № 31 (ч. 1). – Ст. 3451.
В процессе трудовых отношений у работодателя возникает потребность
Трудовое законодательство не содержит определения понятия «персональные данные работника». Анализ гл. 14, ст. 64, 65 ТК РФ и Федерального закона «О персональных данных» позволяет обозначить следующие признаки персональных данных работника: сведения принадлежат субъекту трудового права – работнику; обработка персональных данных предопределяется целями и задачами трудового законодательства и п. 1 ст. 86 ТК РФ.
ТК РФ предусматривает защиту персональных данных именно работника. Однако в силу действующего законодательства защите подлежат также персональные данные соискателей (кандидатов) на работу и бывших работников.
Защита персональных данных работников предполагает установление режима конфиденциальности сведений и соблюдение требований по их обработке.
Режим конфиденциальности устанавливается в отношении не общедоступных персональных данных и заключается в принятии правовых, организационных и технических мер. Правовые меры предусматривают разработку локальных нормативных актов о защите и обработке персональных данных (положений, инструкций), заключение трудовых договоров и соглашений об обеспечении конфиденциальности персональных данных. Организационные меры включают деятельность работодателя по ограничению доступа к персональным данным. Технические меры предполагают применение технических средств защиты, а именно средств охранной сигнализации, криптографических (шифровальных) средств и др. Работодатель должен обеспечить хранение персональных данных работников в закрытых помещениях, сейфах, предусмотреть коды доступа к ЭВМ и т. п.
При этом не все персональные данные работника являются конфиденциальными. Часть сведений может носить публичный характер, и поэтому они являются общедоступными. К примеру информация о профессии работника, его фамилия, имя и отчество. В некоторых случаях законодатель обязывает размещать ряд персональных данных в сети Интернет. К примеру, на официальном сайте образовательной организации должны быть размещены сведения о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы [153] . Так как не все персональные данные требуют введения режима конфиденциальности, то представляется необходимым определить в ТК РФ общедоступные персональные данные работника, такие как: фамилия, имя, отчество работника; его пол; сведения об образовании, профессии, специальности, квалификации, если для данных сведений не предусмотрено введение режима конфиденциальности (секретности).
153
Подпункт 3 п. 2 ст. 29 Федерального закона от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации».
Часть персональных данных может относиться к сфере частной жизни работника, в том числе составлять его личную и семейную тайны. В ст. 1522 ГК РФ к информации о частной жизни гражданина отнесены сведения о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни. Конституционный Суд РФ определил, что лишь само лицо вправе определить, какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне [154] .
154
Об отказе в принятии к рассмотрению жалобы гражданина Супруна Михаила Николаевич на нарушение его конституционных прав статьей 137 Уголовного кодекса РФ: определение Конституционного Суда Российской Федерации от 28 июня 2012 г. № 1253-О// Доступ из СПС «КонсультантПлюс».
Обработка персональных данных представляет собой любое действие (операцию)
или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Федерального закона «О персональных данных»).При обработке персональных данных работников работодатель обязан соблюдать ряд обязательных требований.
1. При работе с персональными данными работодатель обязан руководствоваться нормами закона. Обработка персональных данных регламентирована обозначенным выше Федеральным законом «О персональных данных», а также рядом подзаконных нормативных актов.
2. Обработка персональных данных допускается только в установленных законом целях. ТК РФ определяет следующие законные цели обработки персональных данных: обеспечение соблюдения законов и иных нормативных правовых актов; содействие работникам в трудоустройстве, получении образования и продвижении по службе; обеспечение личной безопасности работников; контроль количества и качества выполняемой работы и обеспечение сохранности имущества. К примеру, допускается обработка сведений об образовании работника при решении вопроса о переводе на вышестоящую должность. В то же время незаконной является обработка сведений о религиозных убеждениях работника.
3. Работник как субъект персональных данных вправе самостоятельно распоряжаться информацией о себе, в том числе решать вопрос о предоставлении тех или иных сведений работодателю. Поэтому работодатель вправе получить персональные данные работника только от него самого. Если же персональные данные содержатся у третьего лица, то работодатель должен в письменной форме уведомить работника о необходимости получения его персональных данных от третьего лица и привести конкретные причины и цели получения такой информации. Работнику следует также сообщить о предполагаемых источниках и способах получения данных, а также о характере подлежащих получению персональных данных. Работник должен знать о последствиях отказа дать письменное согласие на их получение.
4. Законодатель разграничивает категории персональных данных: специальные, биометрические, общедоступные персональные данные. Так, работодатель не вправе требовать от работника получения специальных категорий персональных данных. К специальным категориям персональных данных относятся сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Специальные категории персональных данных можно определить как сведения о частной жизни человека, касающиеся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, факта уголовного преследования и судимости, в отношении которых устанавливается режим конфиденциальности, получение и обработка которых не допускается, за исключением случаев, предусмотренных федеральным законом.
Сведения о судимости также отнесены к специальным категориям персональных данных. Обработка такой информации возможна только в случаях, предусмотренных федеральными законами. Например, при применении при применении ст. 65, 331, 3511, п. 4, 8, 9 ч. 1 ст. 83 и п. 11 ст. 77 ТК РФ.
Согласно ст. 24 Конституции РФ сбор, хранение, обработка или использование информации о частной жизни без согласия гражданина не допускается. Специальные категории персональных данных составляет информация о частной жизни, соответственно их обработка без согласия работника недопустима. Ограничения допускаются только на основании федерального закона (ч. 3 ст. 55 Конституции РФ). Однако относительно способа обработки специальных категорий персональных данных нормы Федерального закона «О персональных данных» сформулированы неоднозначно. Требуется ли согласие субъекта на обработку специальных категорий персональных данных в случаях, предусмотренный ч 2. ст. 10 Федерального закона «О персональных данных»? В пп. 2.3 ч. 2 ст. 10 разрешается обработка в соответствии с трудовым законодательством, но не обозначен способ такой обработки. В п. 1 ч. 2 данной статьи обозначена возможность обработки с согласия субъекта. Все остальные случаи сформулированы автономно, следовательно, можно предположить их противопоставление п. 1, о том же свидетельствует ч. 3 ст. 9 Закона. В то же время в ч. 2 ст. 9 предусмотрен отзыв согласия субъектом с возможностью оператора продолжить обработку. Значит, согласие все-таки требуется. Несовершенство юридической техники противоречит ст. 24 Конституции РФ, поэтому требуется устранение таких противоречий по аналогии с первоначальной редакцией ст. 10 Закона, где было прямо указано на случаи обработки без согласия субъекта.