В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами ;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами ;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области ;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Комментарий к статье 86 ТК РФ
С целью ограждения работника от сбора персональных данных, которые могут быть использованы для его дискриминации по политическим, национальным, имущественным или иным обстоятельствам, не связанным с трудовыми отношениями, в комментируемой статье предусмотрены общие требования при обработке персональных данных работника и гарантии их защиты.
Федеральный закон "О персональных данных" принят в соответствии с ч. 1 ст. 23 Конституции РФ с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст. 2).
Важное условие защиты персональных данных, соблюдение которого необходимо при их обработке, состоит в необходимости все персональные данные работника получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть поставлен об этом в известность заранее и от него следует получить письменное согласие. Кроме того, работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере получаемых персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Кроме приведенных требований указанная статья устанавливает, что работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, его членстве в общественных объединениях или его профсоюзной деятельности, а также о его частной жизни.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
В связи с этим возникает вопрос о том, что же понимать под частной жизнью исходя из круга отношений, образуемого в связи с трудовой деятельностью работника. Разумеется, что данные о частной жизни и персональные данные работника не являются идентичными понятиями, хотя во многом и пересекаются.
Следует отметить, что не все данные о частной жизни работника необходимы работодателю, а только такие, которые непосредственно касаются трудовых отношений конкретного работника.
Защита персональных данных работника от неправомерного их использования или утраты должна обеспечиваться работодателем за счет его средств в порядке, установленном федеральным законом.
Кроме персональных данных о частной жизни работника к персональным данным, защищаемым ТК, относится и иная информация, необходимая работодателю для оформления трудовых отношений, их изменения и прекращения, которую принято называть "анкетные данные": фамилия, имя, отчество, дата и место рождения, паспортные данные; сведения об образовании, имеющихся навыках, повышении квалификации, наличии ученых степеней и званий, ученых трудов; сведения о предыдущей трудовой деятельности; информация о получаемом вознаграждении за труд.
В некоторых случаях, в зависимости от характера выполняемой работы, необходима особая информация о работнике. Так, например, в соответствии с Федеральным законом от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" (в ред. от 27.06.2011) <1> устанавливается обязательность дактилоскопической регистрации для работников военизированных и иных видов государственной службы, а также персонала некоторых организаций, в частности граждан, проходящих службу в органах внутренних дел, органах федеральной службы безопасности, органах внешней разведки, органах государственной налоговой службы, органах по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий, органах и подразделениях службы судебных приставов, таможенных органах, органах государственной охраны, учреждениях и органах уголовно-исполнительной системы, спасателей профессиональных аварийно-спасательных служб и профессиональных аварийно-спасательных формирований РФ, членов экипажей воздушных судов государственной, гражданской и экспериментальной авиации РФ и др. (ст. 9).
--------------------------------
<1> СЗ РФ. 1998. N 31. Ст. 3806; 2001. N 11. Ст. 1002; 2002. N 30. Ст. 3032, 3033; 2003. N 27 (ч. 1). Ст. 2700; 2004. N 18. Ст. 1687; N 27. Ст. 2711; 2006. N 31 (ч. 1). Ст. 3420; 2007. N 24. Ст. 2832; 2008. N 19. Ст. 2094; N 52 (ч. 1). Ст. 6227, ст. 6235; 2009. N 1. Ст. 30; 2011. N 1. Ст. 16; N 27. Ст. 3867.
При допуске к работе со сведениями, составляющими государственную тайну, необходима дополнительная информация о работнике, касающаяся не только его самого, но и ближайших родственников <1>.
--------------------------------
<1> Инструкция о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утв. Постановлением Правительства РФ от 06.02.2010 N 63 // СЗ РФ. 2010. N 7. Ст. 762.
При определении содержания обрабатываемых персональных данных работника можно выделить три группы сведений:
а) информация, получаемая работодателем из разных источников, но только с волеизъявления самого работника. Такая информация подлежит особой правовой защите. Именно ее в первую очередь призван охранять институт защиты персональных данных в трудовом праве;
б) информация, получаемая работодателем от самого работника в обязательном порядке, независимо от желания последнего. К такой информации относятся сведения, содержащиеся в документах, которые работник согласно ст. 65 ТК предъявляет при поступлении на работу. В порядке исключения законодатель устанавливает обязательность предоставления сведений, относящихся к частной жизни. Например, ст. 214 ТК обязывает работника немедленно извещать своего непосредственного или вышестоящего руководителя об ухудшении состояния своего здоровья, в том числе о проявлении признаков острого профессионального заболевания (отравления);
в) информация, формируемая самим работодателем. Сведения о работнике, которые работодатель накапливает в течение всей трудовой деятельности лица, могут быть самого разного характера, например результаты аттестации, профессиональная переподготовка, размер заработной платы, наличие поощрений, время использования отпусков и др. Для фиксации этих сведений существуют утвержденные государством формы, например личная карточка работника, личная карточка государственного служащего, учетная карточка научного, научно-педагогического работника.
В соответствии с п. 10 комментируемой статьи меры защиты персональных данных работодатели, работники и их представители могут вырабатывать (помимо установленных законодательством) в локальных нормативных актах организации и, в частности, в коллективном договоре.
Другой комментарий к статье 86 ТК РФ
1. Понятие "персональные данные" впервые было закреплено в Федеральном законе от 20 февраля 1995 года N 24-ФЗ "Об информации, информатизации и защите информации" (в настоящее время утратил силу) - это сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Персональные данные были отнесены к конфиденциальной информации, что впоследствии было отражено в Перечне сведений конфиденциального характера, утвержденных Указом Президента РФ от 6 марта 1997 года N 188. Однако нормы данного закона имели отсылочный характер. Предусматривалось, что перечни персональных данных должны быть закреплены на уровне федерального закона.
ТК РФ стал первым законом, закрепляющим требования к защите персональных данных. Только в 2006 году был принят ФЗ "О персональных данных". С принятием этого закона началось формирование обширной базы подзаконных актов по вопросам защиты персональных данных и обеспечения их безопасности. На сегодняшний день закон претерпел серьезные изменения, был внесен ряд существенных дополнений. В частности, Федеральный закон от 25 июля 2011 года N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" внес изменения в понятие персональных данных, изменил требования к обработке персональных данных, закрепил примерный перечень мер, которые могут быть приняты для обеспечения защиты персональных данных.
Таким образом, правовое регулирование защиты персональных данных, помимо гл.14 ТК РФ, осуществляется ФЗ "О персональных данных" и рядом подзаконных нормативных актов.
Среди международных актов, регулирующих вопросы обработки персональных данных, следует отметить Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года), Россия ратифицировала ее в 2005 году.
Требования к обработке и защите персональных данных в трудовых отношениях предусмотрены в Кодексе практики МОТ по защите персональных данных работников. Цель издания и принятия кодексов практики заключается в разъяснении положений конвенций и рекомендаций, описании конкретных процедур их реализации и т.п. Поэтому данный акт не является обязательным для исполнения.
________________
Кодекс практики МОТ по защите персональных данных работников. МБТ, 1997. http://www.ilo.org/wcmsp5/groups/public/---ed_protect/---protrav/---safework/documents/normativeinstrument/wcms_107797.pdf.
См.: Черняева Д.В. Международные стандарты труда (международное публичное трудовое право): учебное пособие. М.: КНОРУС, 2010. С.69.
Рассмотрим само понятие персональных данных работника.
Информация, касающаяся работника, - это его персональные данные.
До принятия Федерального закона от 7 мая 2013 года N 99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных" в ст.85 ТК РФ содержалось определение понятия "персональные данные работника". С принятием этого закона ст.85 была исключена из ТК РФ.
Общеправовое понятие персональных данных сформулировано в ст.3 ФЗ "О персональных данных": это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
В трудовом праве (согласно действовавшей ранее ст.85 ТК РФ) термин "персональные данные" имел отраслевую специфику с указанием на принадлежность субъекту трудовых отношений - работнику. Общим родовым признаком персональных данных выступает информация; видовым признаком - область использования (трудовые отношения) и специфический субъект - работник. Из смысла ФЗ "О персональных данных" следует обязательный признак персональных данных работника - это сведения, на основании которых работник может быть идентифицирован, то есть определен. Если сведения не позволяют точно определить его субъекта, то такие сведения перестают быть персональными данными.
ФЗ "О персональных данных" допускает обезличивание персональных данных. Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
В литературе отмечалась возможность расширительного толкования содержания персональных данных работника по ранее действовавшей ч.1 ст.85 ТК РФ.
________________
См.: Лушников А.М., Лушникова М.В. Курс трудового права: Учебник: В 2 т. Т.1. Сущность трудового права и история его развития. Трудовые права в системе прав человека. М.: Статут, 2009. С.868; Хачатурян Ю. Право работника на защиту персональных данных: недостатки механизма реализации // Трудовое право. 2005. N 3. C.77-84.
На сегодняшний день применению подлежит общеправовое определение персональных данных, которое закреплено в ФЗ "О персональных данных". Однако отсутствие трудоправовой дефиниции персональных данных не решает вопроса о том, какие персональные данные могут обрабатываться работодателем.
Для установления тех сведений, которые могут быть получены от работника и могут обрабатываться работодателем, следует определить квалифицирующие признаки персональных данных, не обозначенные в законодательном определении. А.М.Лушников называет два признака: это необходимая работодателю именно в связи с трудовыми отношениями информация, которая должна касаться физического лица именно в качестве работника и быть связанной с его профессиональными характеристиками.
________________
Лушников А.М. Персональные данные как вид информации в трудовом праве: проблемы теории и практики // Закон. 2011. N 10. С.49-50.
Анализ гл.14, ст.ст.64, 65 ТК РФ, ФЗ "О персональных данных" позволяет выделить следующие признаки персональных данных работника:
- персональные данные обрабатываются работодателем в связи с осуществлением работником трудовой функции;
- объем информации определяется деловыми (профессионально-квалификационными и личностными) качествами работника;
- данные обрабатываются в целях, установленных трудовым законодательством. Поэтому при определении тех персональных данных, которые могут быть получены работодателем от работника, работодатель, должен соизмерять свои требования с обозначенными признаками.
В то же время следует учитывать, что персональные данные - это особый вид информации. Особенность персональных данных заключается в том, что они могут быть как общедоступными, так и относиться к информации ограниченного доступа и находиться в режиме конфиденциальности. В некоторых случаях в отношении персональных данных может быть введен режим секретности (государственной тайны). Поэтому дополнительно требуется принимать меры по их защите и устанавливать соответствующий правовой режим (секретности/ конфиденциальности).
К персональным данным могут быть отнесены следующие сведения:
- фамилия, имя, отчество работника, дата и год рождения, место рождения, возраст, адрес места жительства и регистрации;
- паспортные данные, сведения ИНН, страхового свидетельства обязательно пенсионного страхования, медицинских полисов и др. документов;
- сведения об актах гражданского состояния (состояние в браке);
- сведения о профессии, специальности, квалификации, образовании, опыте работы, стаже, переквалификации, о местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;
- сведения о признании недееспособным, ограниченно дееспособным, о судимости, о наличии административных и иных наказаний, о привлечении к ответственности;
- сведения о доходах, об имуществе работника, о долговых обязательствах, о размере заработной платы и других выплат, о наличии акций, учреждении юридических лиц и т.п.;
- сведения о состоянии здоровья работника, фактах обращения за медицинской помощью и прохождения медицинских обследований, проводимом лечении, о диагнозе заболевания, о пластических и других операциях, об инвалидности, временной нетрудоспособности;
- сведения о политических взглядах, религиозных и философских убеждениях, о членстве в общественных организациях и профсоюзах;
- сведения об интимной жизни работника, его любовных связях, смене пола;
- сведения о вредных и других привычках работника, его образе жизни;
- биографические и анкетные данные работника, результаты тестирований, прохождения конкурсов, сдачи экзаменов и др.;
- сведения, касающиеся членов семьи работника: о рождении или усыновлении детей, о членах семьи, о доходах, расходах, об имуществе и обязательствах имущественного характера супругов и несовершеннолетних детей (ст.ст.275, 349.1, 349.2 ТК РФ).
В ФЗ "О персональных данных" выделены три категории персональных данных: специальные категории, общедоступные и биометрические персональные данные.
Специальные категории персональных данных - это информация о частной жизни работника, касающаяся его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, факта уголовного преследования и судимости, в отношении которой устанавливается режим ограниченного доступа, получение и обработка которой не допускается, за исключением случаев, предусмотренных федеральным законом.
Специальные категории персональных данных определены в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных как данные личного характера, касающиеся расовой принадлежности, политических взглядов или религиозных убеждений, а также касающиеся здоровья или половой жизни, судимости.
Биометрические персональные данные - это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления его личности (ст.11 ФЗ "О персональных данных"). К таким персональным данным относятся: изображение человека (фото, видеоизображение); отпечатки пальцев; анализ ДНК; особенности строения тела; сетчатка глаза и т.п. Обработка таких сведений возможна только с письменного согласия работника. Поэтому невозможно размещение биометрических данных работника на официальном сайте компании, доске почета, других носителях без согласия работника.
Использование биометрических персональных данных работника в трудовых отношениях может осуществляться: при организации пропускной системы на территорию работодателя; при использовании электронно-цифровой подписи; при определении пригодности человека для выполнения данной работы (например, проведение генетических тестирований, опросов на полиграфе, исследование почерка и т.п.) и т.д.
Общедоступные персональные данные - это данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6 ФЗ "О персональных данных"). Закон предусматривает возможность создания общедоступных источников персональных данных (ст.8 ФЗ "О персональных данных"). В трудовых отношениях работодателями могут создаваться такого рода общедоступные источники персональных данных работников: телефонные книги; внутренние справочники. Включение персональных данных в такие общедоступные источники возможно только с письменного согласия работника. В таких источниках допускается указывать: фамилию, имя, отчество; год и место рождения; адрес; абонентский номер; сведения о профессии и т.д.
В некоторых случаях требования об общедоступности персональных данных предусмотрены федеральными законами. Размещение таких сведений в общедоступных источниках не требует согласия работника.
Теперь обратимся к понятию "обработка персональных данных работника". Согласно ФЗ "О персональных данных" она включает в себя множество операций, совершаемых с персональными данными: это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В подзаконном порядке регламентированы требования к автоматизированной и неавтоматизированной обработке персональных данных (постановление Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации").
2. Комментируемая статья определяет общие требования при обработке персональных данных работника и гарантии их защиты в целях обеспечения прав и свобод человека и гражданина. Рассмотрим их более подробно.
2.1. Обработка персональных данных допускается только в установленных законом целях. Цель обработки персональных данных должна быть определена до начала их получения и обработки. В комментируемой статье определен исчерпывающий перечень целей обработки персональных данных. Однако, на наш взгляд, названный перечень должен быть дополнен указанием на обработку персональных данных в целях соблюдения не только нормативных правовых актов, но и коллективных договоров, соглашений, ЛНА и трудового договора.
Обрабатываемые персональные данные не должны быть избыточными по отношению к ранее заявленным целям обработки персональных данных. Работодатель должен обеспечить точность и достаточность персональных данных, а также актуальность персональных данных по отношению к целям их обработки.
2.2. Цель обработки персональных данных предопределяет объем и содержание обрабатываемых персональных данных. Комментируемая статья предусматривает, что при определении объема и содержания обрабатываемых данных работодатель должен руководствоваться Конституцией РФ и федеральными законами. Например, если речь идет о трудоустройстве, то работодатель может обрабатывать только персональные данные, необходимые для трудоустройства. Такие данные могут быть получены из документов, предъявляемых для заключения трудового договора (ст.65 ТК РФ). Получение иных персональных данных должно быть обусловлено требованиями нормативных правовых актов и обосновано работодателем.
Дополнительные сведения должны быть предоставлены при приеме на отдельные виды работ. В частности, сведения о своих доходах, об имуществе и обязательствах имущественного характера должны предоставляться лицами, поступающими на должность руководителя государственного (муниципального) учреждения (ст.275 ТК РФ). Работники государственных компаний и корпораций обязаны предоставлять сведения не только о своих доходах, но и о расходах (п.1 ст.349.1 ТК РФ).
В целях обеспечения личной безопасности работника, контроля количества и качества выполняемой работы возможна обработка биометрических персональных данных, например, при организации видеонаблюдения на рабочих местах или пропускного режима на территорию выполнения работы оформляются пропуска, содержащие фотографии работников. Обработка таких сведений допускается, но только с согласия работника.
2.3. Получить персональные данные можно только у самого работника. Работник принимает решение о предоставлении персональных данных свободно, своей волей и в своем интересе. Такое положение обосновывается принципом свободы трудового договора.
В случаях, когда получить персональные данные у самого работника не представляется возможным, допускается их получение у третьей стороны. Комментируемый закон требует наличия согласия работника на получение его персональных данных от третьей стороны. При этом работодатель должен уведомить об этом работника. Однако форма такого уведомления не закреплена ни в ТК РФ, ни в ФЗ "О персональных данных". Наряду с этим оба закона устанавливают требования к содержанию сведений, которые должны быть сообщены работнику (субъекту персональных данных) при получении информации от третьей стороны.
В комментируемой статье определены следующие требования: работодатель должен сообщить о предполагаемых источниках, способах получения персональных данных; о характере получаемых данных и о последствиях отказа дать согласие на получение персональных данных от третьей стороны.
Пункт 3 ст.18 ФЗ "О персональных данных" предусматривает сообщение следующих сведений: наименование (либо ФИО) и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; права субъекта персональных данных. На наш взгляд указанные требования дополняют друг друга и должны быть сообщены работнику в письменной форме.
Особое внимание должно быть уделено последствиям отказа работника на предоставление такого согласия. В данном разделе следует указать правовое основание (норму права), которое обуславливает необходимость получения персональных данных, а также правовые последствия отсутствия у работодателя таких персональных данных.
2.4. Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных. Ранее нами указывалось на закрепление в законодательстве специальных категорий персональных данных, содержание которых охватывает сведения о политических, религиозных и иных убеждениях работника. В соответствии с п.2.3 ч.2 ст.10 ФЗ "О персональных данных" обработка специальных категорий персональных данных допускается в соответствии с трудовым законодательством. До внесения изменений Федеральным законом от 7 мая 2013 года N 99-ФЗ в ст.86 ТК РФ термин "специальные категории" не употреблялся, при этом запрещалась обработка отдельных сведений, составляющих такие специальные категории.
Для работодателя - религиозной организации весьма актуальным является вопрос об обработке персональных данных работника о его религиозных убеждениях. В силу комментируемой статьи их обработка невозможна. Для религиозной организации такие сведения напрямую связанны с деловыми качествами их работников. В силу п.5 ч.2 ст.10 ФЗ "О персональных данных" допускается обработка специальных категорий персональных данных (в том числе об их религиозных убеждениях) только членов (участников) религиозных организаций для достижения их законных целей, предусмотренных учредительными документами.
2.5. Обработка персональных данных о членстве в профсоюзной организации и иных общественных организациях, его профсоюзной деятельности также не допускается. Исключение составляют случаи, предусмотренные федеральными законами. ТК РФ предоставляет определенные гарантии работникам в связи с их членством в представительном органе работников. Например, в силу ст.ст.39, 82 ТК РФ работодатель для предоставления гарантий представителям работников, участвующим в коллективных переговорах, членам профсоюза при расторжении трудового договора должен располагать соответствующей информацией. Для осуществления отчислений из заработной платы работников в счет взносов в профсоюзную организацию работодатель также должен знать о членстве работника в такой организации.
Сокрытие информации о членстве в профсоюзной организации может быть расценено как злоупотребление правом. В п.27 постановления Пленума ВС РФ о применении судами ТК РФ предусмотрено, что недопустимо сокрытие работником на момент его увольнения с работы того обстоятельства, что он является членом профессионального союза или руководителем (его заместителем) выборного коллегиального органа первичной профсоюзной организации, выборного коллегиального органа профсоюзной организации структурного подразделения организации (не ниже цехового и приравненного к нему), не освобожденным от основной работы, когда решение вопроса об увольнении должно производиться с соблюдением процедуры учета мотивированного мнения выборного органа первичной профсоюзной организации либо соответственно с предварительного согласия вышестоящего выборного профсоюзного органа.
________________
См. подробнее об этом: Офман Е.М. Злоупотребление правом субъектами трудовых отношений: монография. М.: Проспект, 2011. 128 с.
2.6. Принятие решений на основании данных, полученных в результате их автоматизированной обработки, не допускается.
Автоматизированная обработка персональных данных понимается как обработка персональных данных с помощью средств вычислительной техники. При этом в ТК РФ говорится также об электронном получении персональных данных, в то время как информационное законодательство запрещает принятие решений исключительно только на основании автоматизированной обработки персональных данных.
Постановлением Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" закреплено, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе либо были извлечены из нее.
Информационная система персональных данных понимается как информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (см. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не составляющей государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных персональных данных, утвержденные ФСБ России 21 февраля 2008 года N 149/6/6-622).
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных определяет автоматизированную обработку через указание на следующие операции, которые осуществляются полностью или частично с использованием автоматизированных средств: хранение данных; осуществление логических и (или) арифметических операций с этими данными; их изменение, уничтожение, поиск или распространение.
ФЗ "О персональных данных" предусматривает исключения из названного запрета. Согласно ст.16 ФЗ "О персональных данных" на основании исключительно автоматизированной обработки персональных данных можно принять решение только с письменного согласия субъекта персональных данных, либо в случаях, предусмотренных федеральными законами. На оператора возлагается дополнительная обязанность разъяснить субъекту порядок принятия решения и предоставить возможность заявить возражения против такого решения. Возражение субъекта должно быть рассмотрено оператором в течение тридцати дней с момента его получения. О результатах рассмотрения субъект должен быть уведомлен оператором. Однако ТК РФ таких исключений не делает.
2.7. Защита персональных данных обеспечивается за счет средств работодателя.
ГОСТ Р 50922-2006 "Защита информации" определяет защиту информации как деятельность, направленную на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. В указанном Стандарте предусмотрено несколько видов защиты информации: правовая; техническая; криптографическая; физическая защита. Соответственно, работодатель, как обладатель информации, обязан обеспечить все виды защиты информации, составляющей персональные данные.
Правовая защита информации - это защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением. Основу правовой защиты персональных данных составляют ТК РФ, ФЗ "О персональных данных" и другие нормативные правовые акты. Работодателю также предоставлена возможность разработать ЛНА по вопросам защиты персональных данных. В ст.18.1 ФЗ "О персональных данных" в числе возможного перечня мер, необходимых для обеспечения обязанностей, предусмотренных этим законом, предлагается издание оператором - юридическим лицом ЛНА по вопросам обработки персональных данных, а также ЛНА, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений. В соответствии со ст.88 ТК РФ работодатель должен иметь ЛНА, регламентирующий передачу персональных данных у одного работодателя (в пределах одной организации или у одного индивидуального предпринимателя).
Отметим, что в силу ст.8 ТК РФ работодатели, являющиеся индивидуальными предпринимателями, вправе принимать ЛНА. Поэтому не будет являться ошибкой, если индивидуальный предприниматель разработает такого рода локальные акты.
Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Для защиты персональных данных необходимо предпринять физические меры защиты. Персональные данные должны храниться в закрытых помещениях, в сейфах или закрывающихся шкафах.
Работодатель должен обеспечить техническую защиту информации - это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств, а также криптографическую защиту информации, т.е. защиту информации с помощью ее криптографического преобразования.
ФСБ России утверждены Методические рекомендации и типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств для защиты информации от 21 февраля 2008 года N 149/6/6-622. Данные требования являются обязательными для тех операторов (работодателей), которые осуществляют обработку персональных данных в информационных системах с использованием криптографических средств защиты.
2.8. Меры защиты персональных данных вырабатываются совместно работодателями, работниками и их представителями.
В законодательстве не предусмотрено исчерпывающего перечня мер, направленных на защиту персональных данных. В ФЗ "О персональных данных" указывается на два вида мер:
- меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным законом (ст.18.1);
- меры по обеспечению безопасности персональных данных при их обработке (ст.19).
При этом первая группа мер принимается по усмотрению оператора; законодатель предлагает их примерный перечень. Принятие мер второй группы обязательно, перечень мер также предложен. Цель первой группы мер состоит в обеспечении обязанностей в области персональных данных; цель второй предусматривает защиту персональных данных от неправомерного и случайного доступа к информации (ч.1 ст.19). Кроме того, меры по обеспечению безопасности входят в состав первой группы мер (абз.3 ч.1 ст.18.1). Содержание перечня второй группы позволяет сделать вывод о том, что данные меры являются техническими и организационными (физическими), в то время как первая группа мер - это правовые и организационно-правовые меры. Несмотря на то, что в ч.1 ст.19 ФЗ "О персональных данных" говорится о правовых мерах, направленных на защиту информации, в перечне такие меры отсутствуют. Следовательно, законодатель сводит защиту информации именно к технической защите, в то время как введение правового режима предполагает именно правовую защиту.
Перечень мер определяется самим оператором - работодателем (он приведен в ст.18.1 ФЗ "О персональных данных).
В ст.19 данного закона не раскрываются организационные и правовые меры защиты. На наш взгляд, обязательными правовыми мерами, направленными на обеспечение безопасности и защиты персональных данных, являются:
- разработка ЛНА по вопросам безопасности и защиты персональных данных и их обработке;
- заключение трудовых договоров с условием об обеспечении требований к обработке и защите персональных данных, а также об обеспечении конфиденциальности персональных данных;
- информирование работников и ознакомление под роспись с введенным режимом конфиденциальности персональных данных и мерами их защиты.
В числе организационных мер работодатель должен:
- определять и вести учет лиц, получающих доступ к персональным данным;
- организовать и ограничить допуск и доступ к персональным данным;
- установить и нанести грифы конфиденциальности на носители персональных данных (закон не требует такой меры, однако это усилит защиту персональных данных и дополнительно проинформирует работников об их обязанностях по работе с полученным документом);
- создать условия по соблюдению требований к обработке и защите персональных данных, в том числе путем принятия технических, физических и криптографических мер защиты информации;
- сформировать структурные подразделения, осуществляющие работу с персональными данными и обеспечивающие ее защиту (создание структурного подразделения является обязательным для обеспечения первого уровня безопасности персональных данных в информационной системе, а также для защиты инсайдерской информации);
- организовать обучение и проверку знаний работников по работе с персональными данными.
Перечень необходимых мер по обеспечению безопасности и защиты персональных данных, а также по соблюдению требований к их обработке следует закрепить в ЛНА работодателя.
Так как п.10 комментируемой статьи требует совместное принятие мер по защите персональных данных, то в данном локальном акте следует определить такой совместный порядок принятия этих мер. В связи с этим возникает вопрос о том, в каком порядке следует разрабатывать данный нормативный правовой акт: единолично работодателем, с учетом мнения представительного органа работников или по согласованию с представительным органом работников. ТК РФ не предусматривает случаев обязательного принятия локального акта по согласованию с представительным органом работников. Исключение составляет ч.3 ст.8 ТК РФ, которая предусматривает, что в случаях, установленных ТК РФ, другими федеральными законами и иными нормативными правовыми актами Российской Федерации, коллективным договором, соглашениями, работодатель при принятии локальных нормативных актов учитывает мнение представительного органа работников (при наличии такого представительного органа).
В обязательном порядке может быть предусмотрено только прохождение процедуры учета мнения. А.М.Лушников и М.В.Лушникова указывают, что принять такой ЛНА лучше с учетом мнения выборного органа первичной профсоюзной организации о защите персональных данных работника. Однако при отсутствии нормативного требования процедура учета мнения для принятия такого локального акта - это право работодателя. Так как при организации защиты персональных данных работников должны быть соблюдены их права и законные интересы, считаем необходимым закрепить в ТК РФ требование о принятии ЛНА по защите персональных данных работников с учетом мнения их представительного органа. Это позволит представителям работников участвовать в защите персональных данных и обяжет работодателя информировать представителей работников о мерах, принимаемых для защиты персональных данных. Аналогичные требования содержит Кодекс практики МОТ по защите персональных данных работников. В п.12.2 данного Кодекса установлено, что представители работников, если таковые существуют, в соответствии с национальным правом и практикой должны получать информацию и участвовать в консультациях:
________________
Лушников А.М., Лушникова М.В. Курс трудового права: Учебник: в 2 т. Сущность трудового права и история его развития. Трудовые права в системе прав человека. Общая часть. М.: Статут, 2009. С.877.
- касающихся внедрения или модификации автоматизированных систем для обработки персональных данных;
- предшествующих установке любых электронных систем слежения за действиями работников на рабочих местах;
- касающихся целей, содержания и способов проведения опросов и тестов и интерпретирования их результатов, относящихся к персональным данным работников.
Согласно ст.7 ФЗ "О персональных данных" операторы и третьи лица, получившие доступ к персональным данным, должны обеспечивать конфиденциальность таких данных. Поэтому включение в трудовые договоры таких работников условия о соблюдении конфиденциальности персональных данных необходимо. Обязанность обеспечивать конфиденциальность персональных данных установлена для всех лиц, получивших к ним доступ. Отсюда также может быть сделан вывод о производности такого условия. Однако привлечение к ответственности работника, который, например, случайно ознакомился с текстом приказа, содержащим персональные данные других работников, и разгласил их, невозможно в силу п.43 постановления Пленума ВС РФ о применении судами ТК РФ.
Для эффективной защиты персональных данных следует признать недостаточным наличия только перечня лиц, имеющих доступ к персональным данным, для закрепления их обязанностей в этой сфере (постановление Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"). Часть 3 ст.6 ФЗ "О персональных данных" устанавливает, что оператор вправе поручить обработку другому лицу на основании договора. Далее предусмотрено, что в поручении должна быть закреплена обязанность такого лица соблюдать конфиденциальности персональных данных и обеспечивать их безопасность. Следовательно, речь идет о гражданско-правовых отношениях, требования о заключении трудового договора нет. Статья 57 ТК РФ предусматривает условие о неразглашении охраняемой законом тайны в числе дополнительных условий трудового договора. Однако речь идет именно о тайнах, а не о персональных данных. По составу персональные данные могут не составлять охраняемую законом тайну. В связи с этим представляется необходимым дополнить ст.57 ТК РФ указанием на включение в трудовой договор условия о соблюдении конфиденциальности персональных данных как обязательного условия, если работа требует доступа к таким сведениям.
В постановлении Правительства РФ от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" в качестве мер защиты персональных данных обозначено наличие типового обязательства государственного или муниципального служащего, непосредственно осуществляющего обработку персональных данных.