Защита персональных данных работника

Персональные данные сторон трудового договора, под которыми понимается информация о работодателе и работнике, имеет важное значение для каждого из них. При заключении трудового договора работник получает информацию о работодателе, о месте его нахождения, характере будущей работы. Большое значение знание персональных данных работника имеет для работодателя, который при заключении трудового договора получает информацию о работнике, о его возрасте, профессии, специализации, квалификации, состоянии здоровья, семейном положении.

После заключения трудового договора информация о работнике необходима работодателю для надлежащего исполнения его обязательств, вытекающих не только из трудового, но и из гражданского, семейного, административного, других отраслей законодательства (например, для удержания из заработной платы налогов, средств в возмещение ущерба, алиментов), для предоставления работнику льгот и преимуществ, например, при переводе на другую работу в связи с болезнью, беременностью, наличием детей.

Предоставляя работодателю право получать объемную информацию о персональных данных работника, закон обязывает его принимать все меры для предупреждения несанкционированного выхода этой информации из ведения работодателя, чтобы персональные данные работника не стали достоянием третьих лиц без его ведома и согласия.

Регулированию и обеспечению конфиденциальности персонифицированной информации о работниках, посвящены нормы, содержащиеся в статьях главы 14 «Защита персональных данных работника», которой завершается раздел III «Трудовой договор» ТК РФ.

Эти нормы появились в отечественном трудовом праве недавно. Действовавший до 1 февраля 2002 г. КЗоТ РФ не только не содержал таких норм, но и не употреблял терминологию, которой охватывались бы понятия персональных данных или иной информации о работниках. И только с принятием Трудового кодекса Российской Федерации, в котором есть специальная глава 14 «Защита персональных данных работника», сбор, хранение, использование конфиденциальной информации о работнике стали предметом правового регулирования.

Появление в российском трудовом праве норм о защите персональных данных работника продиктовано необходимостью реализации в сфере труда общепризнанных норм и принципов международного права, применение которых гарантировано Конституцией Российской Федерации, которая в ст. 23 и 24 устанавливает, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну; сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

В основе этого конституционного установления лежат акты международного права, к числу которых относится Всеобщая декларация прав человека, принятая 10 декабря 1948 г. Генеральной Ассамблеей Организации Объединенных Наций, в ст. 12 которой провозглашено: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств» 1. Такие же нормы содержит Международный пакт о гражданских и политических правах, принятый 16 декабря 1966 г. Генеральной Ассамблеей ООН и ратифицированный Указом Президиума Верховного Совета СССР от 18 сентября 1&73 г., который установил, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции, на его честь и репутацию Данное правовое положение продублировано в Европейской конвенции о защите прав человека и основных свобод, заключенной в г. Минске 26 мая 1995 г. Конвенции Содружества Независимых Государств «О правах и основных свободах человека» 3, которые обязывают страны - участницы Конвенции обеспечить право каждого человека на уважение его личной и семейной жизни, неприкосновенность жилища и корреспонденции, не допускать вмешательства в осуществление этого права государственных органов, за исключением вмешательства, предусмотренного законом и необходимого в демократическом обществе в интересах государственной безопасности и общественного спокойствия, экономического благосостояния страны, а также в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности, защиты прав и свобод других лиц.

Провозглашая в соответствии с общепризнанными нормами и принципами международного права недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, Конституция Российской Федерации в то же время предоставляет каждому право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч. 4 ст. 29). Каждое из этих прав может быть ограничено исключительно федеральным законом и только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Регламентируя эти права, Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации» 1 относит информацию о работнике, его персональные данные к конфиденциальной информации, установление порядка использования и защиты которой находится в совместном ведении Российской Федерации и ее субъектов.

Дальнейшее развитие правовых предписаний о конфиденциальности информации о личности в правовом демократическом государстве получило в главе 14 Трудового кодекса Российской Федерации, и которая состоит из шести статей:

- статья 85 «Понятие персональных данных работника. Обработка персональных данных работника»;

- статья 86 «Общие требования при обработке персональных данных работника и гарантии их защиты»;

- статья 87 «Хранение и использование персональных данных работников»;

- статья 88 «Передача персональных данных работника»;

- статья 89 «Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя;

- статья 90 «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника».

Системно-сравнительный анализ норм, содержащихся в этих статьях, позволяет выявить их некоторую обособленность в системе трудового права, что дает основание рассматривать их в качестве самостоятельного института трудового права, который хотя и связан тесно с трудовым договором, но в то же время выходит за его рамки, приобретая общеотраслевое значение.

Рассмотрение защиты персональных данных работника в качестве института трудового права выявляет его недостаточную разработанность, отсутствие необходимых связей его с рядом важных норм и положений трудового права.

Например, установив в ст. 90 ТК РФ ответственность за нарушение норм, регулирующих защиту персональных данных работников, законодатель не назвал в ст. 22 ТК РФ среди общих обязанностей работодателя как стороны трудовых отношений обязанность по защите персональных данных работников. В целях устранения такого несоответствия было бы логично отнести защиту персональных данных работников к числу основных обязанностей работодателя, внеся соответствующее дополнение в ч. 2 ст. 22 ТК РФ «Основные права и обязанности работодателя».

Аналогичное несоответствие выявляется при сравнении ст. 89 «Права работника в целях обеспечения защиты персональных данных, хранящихся у работодателя» со ст. 21 «Основные права и обязанности работников», которая среди основных прав работника не упоминает право на защиту его персональных данных.

Общее понятие персональных данных работника приводится в статье 85 ТК РФ, в соответствии с которой персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. В этой же статье дается определение обработки персональных данных работника, под которой понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Приведенные в ст. 85 ТК РФ определения персональных данных и их обработки не являются исчерпывающими. Целый ряд дополнительных признаков содержат другие нормативные правовые акты, предназначенные для регулирования защиты персональных данных в сфере трудовых отношений, государственной и муниципальной службы.

Таким актом является, например, утвержденное Указом Президента РФ от 30 мая 2005 г. №609 Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела. В статье 2 данное Положение устанавливает, что под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в его личном деле либо подлежащие включению в его личное дело. Персональные данные, внесенные в личные дела гражданских служащих, становятся сведениями конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, сведениями, составляющим государственную тайну.

Круг информации, относящейся к персональным данным работника, определяется работодателем с учетом условий, установленных трудовым законодательством применительно к тому или иному виду трудового договора и трудовой деятельности, а также с учетом характера выполняемой работы. Например, специальная информация потребуется работодателю для заключения с работником трудового договора на выполнение работы, требующей специальных познаний или допуска к государственной тайне.

Информация о работнике получается работодателем прежде всего из документов, предъявляемых работником при заключении трудового договора в соответствии со ст. 65 ТК РФ: из паспорта и иного документа, удостоверяющего личность, из трудовой книжки, страхового свидетельства государственного пенсионного страхования, из документов воинского учета, об образовании и квалификации и из других документов, необходимость предъявления которых при заключении трудового договора может предусматриваться Трудовым кодексом, иными федеральными законами, указами Президента и постановлениями Правительства РФ.

Значительная по объему информация может быть почерпнута из паспорта гражданина, являющегося основным документом, удостоверяющим его личность на территории Российской Федерации, в котором в соответствии с Положением о паспорте гражданина Российской Федерации, утвержденном постановлением Правительства РФ от 8 июля 1997 г. №8281 (в ред. от 23 января 2004 г.), производятся отметки:

- о регистрации гражданина по месту жительства и снятии его с регистрационного учета;

- об отношении к воинской обязанности граждан, достигших 18-летнего возраста;

- о регистрации и расторжении брака;

- о детях, не достигших 14-летного возраста;

- о ранее выданных основных документах, удостоверяющих личность гражданина Российской Федерации на территории Российской Федерации;

- о выдаче основных документов, удостоверяющих личность гражданина Российской Федерации за пределами Российской Федерации.

По желанию гражданина в паспорте могут производятся отметки о его группе крови и резус-факторе и об идентификационном номере налогоплательщика.

Вторым важным источником информации о работнике является его трудовая книжка, которая по праву называется трудовым паспортом гражданина. Она содержит полный объем сведений о трудовой деятельности работника, а также иную информацию о нем.

Так, в соответствии со ст. 66 ТК РФ «Трудовая книжка» и с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными постановлением Правительства РФ от 16 апреля 2003 г. №2251 (в ред. от 6 февраля 2004 г.) в трудовую книжку при ее оформлении вносятся сведения о фамилии, имени, отчестве работника, дата его рождения (число, месяц, год), сведения о его образовании, профессии, специальности.

В дальнейшем по месту работы в трудовую книжку вносятся сведения о выполняемой работе, переводах на другую постоянную работу, об увольнении с указанием основания прекращения трудового договора, сведения о поощрениях и награждениях. По желанию работника в трудовую книжку по месту основной работы вносятся сведения о работе по совместительству на основании документа, подтверждающего работу по совместительству.

Записи в трудовую книжку о причинах прекращения трудового договора производятся в точном соответствии с формулировками Трудового кодекса или иного федерального закона, со ссылками на их статьи. Так, при прекращении трудового договора с работником, осужденным приговором суда к наказанию в виде лишения права занимать определенные должности или заниматься определенной деятельностью и не отбывшим это наказание, в трудовую книжку вносится запись о том, на каком основании, на какой срок и какую должность он лишен права занимать или какой деятельностью лишен права заниматься.

В трудовые книжки лиц, отбывших исправительные работы без лишения свободы, вносится по месту работы запись о том, что время работы в этот период не засчитывается в непрерывный трудовой стаж. Указанная запись вносится в трудовые книжки по окончании фактического срока отбытия наказания, который устанавливается по справкам органов внутренних дел.

В трудовую книжку по месту работы также вносятся записи о времени военной службы в соответствии с Федеральным законом от 28 марта 1998 г. №53-ФЗ «О воинской обязанности и военной службе», службы в органах внутренних дел, органах налоговой полиции, органах по контролю за оборотом наркотических средств и психотропных веществ, в таможенных и других правоохранительных органах, о времени обучения на курсах и в школах по повышению квалификации, переквалификации и подготовке кадров.

Как видим, трудовая книжка может содержать значительный объем разнообразной информации о ее владельце, в том числе и выходящей за пределы его трудовой деятельности.

Источниками информации о работнике являются иные предоставляемые им при поступлении на работу документы: страховое свидетельство государственного пенсионного страхования, документы воинского учета, документы об образовании, о квалификации, наличии специальных знаний, ученых степеней и званий.

Информация о работнике, относящаяся к его персональным данным, концентрируется в унифицированных формах первичной учетной документации по учету труда и его оплаты, утвержденных постановлением Государственного комитета Российской Федерации по статистике от 5 января 2004 г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», согласованным с Министерством финансов РФ, Министерством экономического развития и торговли РФ, Министерством труда и социального развития РФ.

Обязательность ведения унифицированных форм первичной учетной документации по учету труда и его оплаты распространена на все организации, осуществляющие использование труда наемных работников по трудовому договору на территории Российской Федерации, независимо от их организационно-правовых форм и формы собственности. Некоторые исключения в части учета рабочего времени и расчетов с персоналом по оплате труда предусмотрены лишь для бюджетных учреждений и работодателей - физических лиц.

В соответствии с названным выше постановлением все унифицированные формы первичной учетной документации по учету труда и его оплаты подразделяются на две группы. Первая - это документы по учету кадров, вторая - документы по учету рабочего времени и расчетов с персоналом по оплате труда.

К документам по учету кадров относятся приказ (распоряжение) о приеме работника на работу, личная карточка работника или личная карточка государственного (муниципального) служащего, учетная карточка научного, научно-педагогического работника, приказ (распоряжение) о переводе работника на другую работу, приказ (распоряжение) о предоставлении отпуска работнику, график отпусков, приказ (распоряжение) о прекращении (расторжении) трудового дрговора с работником, приказ (распоряжение) о направлении работника в командировку, командировочное удостоверение и служебное задание для направления в командировку, отчет о его выполнении, приказ (распоряжение) о поощрении работника.

К документам по учету рабочего времени и расчетов с персоналом по оплате труда относятся: табель учета рабочего времени и расчета оплаты труда, расчетная или платежная ведомость, лицевой счет, записка-расчет о предоставлении отпуска работнику, записка-расчет при прекращении (расторжении) трудового договора с работником, акт о приеме работ, выполненных по срочному трудовому договору, заключенному на время выполнения определенной работы.

Получение информации о работнике является правом работодателя. Она необходима ему в первую очередь для эффективной организации трудового процесса. Но информация о работнике может потребоваться работодателю и для исполнения обязанностей, возложенных на него трудовым законодательством. Например, для применения особых правил регулирования труда работников в возрасте до 18 лет (гл. 41 ТК РФ) или лиц с семейными обязанностями (гл. 42 ТК РФ) работодателю потребуется информации о возрасте работника, о наличии у него детей.

Получение информации о работнике может быть не только правом работодателя, но и его обязанностью, предусмотренной как трудовым правом, так и нормативными правовыми актами другой отраслевой принадлежности.

Например, налоговое законодательство, наделяя работодателя статусом налогового агента и возлагая на него обязанности по исчислению, удержанию у работника как налогоплательщика налогов и перечислению их в соответствующие бюджеты или внебюджетные фонды, обязывает работодателя учитывать целый комплекс сведений о работнике.

Сходные обязанности по сбору информации о работнике возлагает на работодателя Федеральный закон от 1 апреля 1996 г. №27-ФЗ

«Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (действует в ред. от 9 мая 2005 г.).

В результате всего этого у работодателя концентрируется значительный объем разнообразной информации о работнике, совокупность которой и образует его персональные данные, защита которых входит в число обязанностей работодателя как обладателя персональных данных работника, осуществляющего их сбор, хранение, использование, передачу третьим лицам.

1.1 Ограничение персональных данных от другой информации

С момента появления персональных данных как категории в российском законодательстве в 1995 г. в Федеральном законе «Об информации, информатизации и защите информации» персональные данные сразу же были отнесены к разряду конфиденциальной информации, т.е. информации ограниченного доступа. Принятый впоследствии Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» также содержит их упоминание в качестве конфиденциальной информации. Действующий ныне Федеральный закон «Об информации, информационных технологиях и о защите информации» аналогичным образом говорит о персональных данных в статье об ограничении доступа к информации, однако прямо не называет их в качестве конфиденциальной информации или информации ограниченного доступа, указывая лишь на особый порядок доступа к ним, предусмотренный специальным законом. Федеральный закон «О персональных данных», что интересно, также не характеризует персональные данные в целом как конфиденциальную информацию, даже более того, наряду с просто определением «персональных данных» содержит определение «общедоступных персональных данных» - термин, который невозможно логически соотнести с информацией ограниченного доступа.

В ст. 4 Закона содержится определение «конфиденциальности персональных данных», которая заключается в их нераспространении, т.е. недопущении действий, направленных на передачу и ознакомление с персональными данными третьими лицами, их опубликование, размещение в отрытом доступе. Соблюдение конфиденциальности не требуется в случае обработки общедоступных персональных данных и в случае их обезличивания, т.е. утраты всякой связи с субъектом, что не позволяет, по-видимому, их в дальнейшем вообще рассматривать в качестве персональных данных. Следовательно, рассматривать персональные данные в целом как информацию ограниченного доступа вряд ли представляется возможным, скорее, было бы правильным ввести в таком случае в оборот категорию «конфиденциальные персональные данные». В итоге из всей массы персональных данных это позволило бы выделить те из них, на которые законодательством распространяется требование соблюдения конфиденциальности. Исключением из правила следует считать случаи, упомянутые в ч. 2 ст. 1 Закона - персональные данные, составляющие государственную тайну, хранящиеся в архивах, находящиеся в едином реестре индивидуальных предпринимателей и юридических лиц, обрабатываемые исключительно для бытовых нужд. На часть из них будет распространяться другой режим ограничения доступа - режим государственной тайны. В отношении двух других случаев будут действовать совершенно другие правовые режимы, в рамках которых говорить об ограничении доступа к персональным данным в полной мере невозможно. Законодательство об архивном деле предусматривает общий запрет на доступ к информации о частной жизни лица, его личной и семейной тайне, о чем можно судить на основании п. 3 ст. 25 Федерального закона «Об архивном деле в РФ», учитывая, что ни того, ни другого определения законодательно не существует. Сведения единых государственных реестров юридических лиц и индивидуальных предпринимателей являются на основании закона общедоступными, за исключением паспортных данных физических лиц (но не в случае индивидуальных предпринимателей) и информации о банковских счетах юридических лиц, индивидуальных предпринимателей. Последний упомянутый случай исключения из правового режима конфиденциальности персональных данных, когда речь идет об их обработке для личных бытовых нужд, следует рассматривать как достаточно спорный. Вероятно, в таком случае сложно вести речь о конфиденциальности таких персональных данных в полной мере, но можно говорить о существовании общего требования об уважении прав и свобод субъекта персональных данных, в первую очередь права на уважение частной жизни, личную и семейную тайну, при их обработке, установленного Конституцией РФ в ст. 23 и 24.

Возвращаясь, собственно, к режиму конфиденциальности персональных данных, установленному Законом, следует сказать, что его суть, по аналогии с другими видами информации ограниченного доступа, должна заключаться в установлении особого порядка доступа к ним, их использования и распространения. Но в Законе (ст. 1 9) закреплено лишь крайне общее требование - предпринять организационные и технические меры по охране от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Технические меры, которые обязан предпринять оператор, можно считать достаточно определенными, поскольку действуют аналогичные нормативные положения, связанные с защитой иных видов конфиденциальной информации. Такая деятельность по защите конфиденциальной информации осуществляется путем лицензирования и сертификации средств защиты информации Федеральной службой по техническому и экспортному контролю, на основании соответствующих положений. Но вот что касается организационных мер, то здесь совершенно отсутствуют какие-либо четкие указания на этот счет. По аналогии с другими категориями информации ограниченного доступа, такими, как государственная тайна, коммерческая тайна, служебная тайна (в том числе на основании находящегося на стадии рассмотрения в Государственной Думе РФ проекта Федерального закона «О служебной тайне»), к таким действиям логически следовало бы отнести:

1. Установление перечня персональных данных.

2. Установление круга субъектов, имеющих доступ к персональным данным.

3. Использование специального грифа и реквизитов, позволяющих в дальнейшем идентифицировать информацию как конфиденциальную, - «Конфиденциально».

4. Учет (регистрация) лиц, фактически получивших доступ к персональным данным.

5. Урегулирование отношений по охране конфиденциальности информации работниками и другими лицами на основании трудовых и гражданско-правовых договоров.

Во всех перечисленных случаях такие действия должны предприниматься своевременно (заблаговременно), и режим конфиденциальности/ секретности будет установлен в отношении информации, исключительно после принятия всех перечисленных мер. В отношении же персональных данных законодатель от такой четкой регламентации действий оператора по неясным причинам отказался. В частности, сформировать перечень персональных данных, обработка которых осуществляется конкретным оператором, представляется вполне возможным. Закон в ст. 5 указывает на то, что персональные данные не должны быть избыточными и превышать объем, необходимый для достижения заранее заявленных целей, а значит, их конкретный перечень можно и нужно сформировать заблаговременно. То же касается персональных данных, обработка которых разрешена на основании закона (персональные данные работников) или содержащихся в договорах между субъектом персональных данных и оператором (обработка персональных данных клиентов, потребителей, абонентов и т.д.). Хоть их обработка не требует соответствующего уведомления органа по защите прав субъектов персональных данных или согласия последнего их также необходимо было бы включить в рассматриваемый перечень. Использование специального грифа также дало бы возможность четкого обозначения той информации, на которую распространяется режим конфиденциальности персональных данных, установленный Законом.

Отдельно стоит рассмотреть проблему охраны конфиденциальности персональных данных в рамках трудовых отношений. По аналогии с другими видами конфиденциальной информации, такие положения необходимо включать в трудовые договоры с работниками, имеющими доступ к конфиденциальным персональным данным. То же касается предупреждения работников о возможной ответственности за передачу, распространение персональных данных, обязанность работников при увольнении передать все носители и другие материальные объекты, содержащие персональные данные, работодателю, обязанность работника сохранять конфиденциальность персональных данных ставших ему известными при исполнении трудовой функции, после расторжения трудового договора и т.д. К сожалению, Закон не содержит ни одного из указанных положений и, более того, в принципе не выделяет работника, т.е. физическое лицо, которое непосредственно при исполнении своих трудовых обязанностей осуществляет эксплуатацию информационной системы, базы/ банка персональных данных и имеет к ним прямой доступ.

Аналогичная ситуация сложилась в вопросе доступа к информационным системам, базам / банкам персональных данных третьих лиц на основании гражданско-правовых договоров, в частности договоров/ о технической поддержке, направленных на обеспечение бесперебойного функционирования информационных систем, баз/банков персональных данных, и других подобных случаях.

Учет данных рекомендаций позволил бы разрешить множество вопросов, связанных с привлечением к юридической ответственности виновных лиц, и в большей степени ее дифференцировать. Поскольку, по аналогии с другими видами конфиденциальной информации, чаще всего субъектом ответственности является специальный субъект, т.е. лицо, имеющее допуск/ доступ к ней на законном основании и принявшее в добровольном порядке на себя обязательства по сохранению конфиденциальности.

Отметим еще один существенный аспект, связанный с охраной конфиденциальности персональных данных. Основным «конфидентом» в отношении персональных данных, на основании Закона следует считать «оператора», а в некоторых случаях третьих лиц, которые получили к ним доступ. При этом сам субъект персональных данных, являясь одним из участников отношений по охране их конфиденциальности, такой обязанности по закону не несет. Более того, он обладает рядом «эксклюзивных прав» - правом доступа к своим персональным данным, включая право требовать их уточнения, а также, что самое главное, вправе в любой момент снять режим конфиденциальности - согласиться на их общедоступность, сообщить их или передать их третьим лицам, другим операторам, и в целом распорядиться ими по своему усмотрению. Однако оператор, как конфидент, предположительно, обязан сохранять иногда конфиденциальность персональных данных, ставших фактически общеизвестными. К примеру, если они стали таковыми без согласия субъекта в результате противоправных действий, предположим, путем публикации в СМИ. В таких случаях требовать дальнейшего сохранения конфиденциальности информации в большинстве случаев было бы просто нелогично, поскольку эта информации стала общедоступной. Общедоступность же персональных данных четко обусловлена двумя условиями - это согласие субъекта или прямое требование закона (например, положения ст. 7 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», предусматривающая идентификацию лица при совершении крупных сделок и передачу этой информации в соответствующие государственные структуры). Следовательно, ввиду отсутствия упомянутых выше двух условий в рассматриваемой ситуации, оператор по-прежнему был бы обязан сохранять их «конфиденциальность», как это ни парадоксально. В противном случае это было бы прямым нарушением прав субъекта, который мог пострадать, если бы информация о его частной или личной жизни, содержащаяся в персональных данных, стала предметом всеобщего обсуждения.

Часть указанных проблем в определении содержания правового режима конфиденциальности персональных данных можно объяснить особенностями природы персональных данных, которая тесным образом связана с правом на уважение частной жизни индивида, личную и семейную тайну. Некоторые российские авторы, например В.Н. Лопатин, в связи с этим прямо указывают на персональные данные как на институт охраны права на частную жизнь. Такое положение дел объясняет необходимость особого подхода к персональным данным, при их обработке независимо от существования режима ограничения доступа к ним, поскольку их использование не должно нарушать общих фундаментальных прав индивида, таких, как право на частную жизнь, личную и семейную тайну.

Другая часть проблем объясняется тем, что персональные данные в случае наличия требования их конфиденциальности, которая обоснованно презюмируется, в том числе на основании последовательного анализа положений Закона, можно отнести к числу «производных» тайн или категорий информации ограниченного доступа. Это, в свою очередь, требует от их обладателя принятия безусловных мер по охране их конфиденциальности, поскольку охраняются в данном случае не его права и интересы, а права и интересы других лиц, в частности фундаментальные права и свободы человека. Поэтому, по мнению авторов, в отсутствие прямого интереса обладателя в защите конфиденциальности персональных данных существует необходимость четкого формулирования его обязанности в этом случае.

Последнее, что стоит отметить при характеристике персональных данных как конфиденциальной информации, связано с их соотношением в таком качестве с другими категориями информации с ограниченным доступом, что может представлять некоторые сложности. С одной стороны, персональные данные связаны с необходимостью защиты частной жизни индивида, сферы, по мнению большинства современных авторов, едва ли поддающуюся четкому определению, с другой стороны, почти все определения, в том числе и законодательное, характеризуют их как «любую информацию, которая может быть связана с индивидом или идентифицирована с ним», а следовательно, персональные данные могут охватывать практически все сферы жизни индивида. Совершенно очевидно, что ввиду такой сложной природы они могут потенциально охраняться на условиях других режимов конфиденциальности / секретности, в частности на условиях режима государственной тайны, коммерческой тайны, служебной тайны и многих видов профессиональных тайн (врачебной, нотариальной, тайны усыновления и т.д.). На подобный вывод наталкивает анализ целого ряда положений Закона, по смыслу которых персональные данные составляют одновременно: государственную тайну (ч. 2 ст. 1), личную, семейную тайну, тайну частной жизни (ст. 2, 12), врачебную тайну (п. 3-4 ч. 2 ст. 10 и ст. 12), тайну следствия (л. 6 ч. 2 ст. 10), тайну правосудия и оперативно-розыскной деятельности (ст. 11). Вполне очевидно, что за некоторым исключением в отношении такой информации будут действовать одновременно требования законодательства о защите персональных данных и иного специального законодательства.

В заключение выразим общее суждение о некотором несовершенстве российского Закона в части определения персональных данных в качестве информации ограниченного доступа или конфиденциальной, что было отмечено уже и другими авторами, в частности Н.И. Петрыкиной. В качестве возможных путей совершенствования положений законодательства авторам видится целесообразным сформулировать следующие предложения и выводы.

Во-первых, стоит ввести в законодательную материю понятие «конфиденциальные персональные данные», т.е. персональные данные, на которые, в соответствии законом о персональных данных, распространяется специальный правовой режим ограничения доступа к ним - режим конфиденциальности персональных данных.

Во-вторых, следует выделить в законе о персональных данных основные организационные меры по установлению режима конфиденциальности персональных данных. К таковым мерам следует отнести: установление оператором перечня конфиденциальных персональных данных, обработку которых он осуществляет, определить круг субъектов, которые будут иметь доступ к ним, установить правила использования соответствующих реквизитов на материальных носителях, содержащих конфиденциальные персональные данные.

В-третьих, указать в законе о персональных данных в качестве субъектов отношений по охране конфиденциальности персональных данных, «обладателя» информационной системы, базы / банка персональных данных, и непосредственно «оператора» информационной системы, базы / банка персональных данных, т.е. лицо, которое на основании трудового или гражданско-правового договора осуществляет эксплуатацию, обслуживание такой информационной системы и имеет доступ к персональным данным. Определить особенности их правового статуса и ответственности.

1.2 Развитие законодательства о защите персональных данных

Институт персональных данных это достаточно молодой по правовым меркам институт. Его становление тесно связано с развитием конституционных прав и свобод человека и гражданина, и в первую очередь, с правом на неприкосновенность частной жизни.

Право на неприкосновенность частной сферы как юридическая категория зародилось в США. В английском языке все стороны частной жизни обозначаются единым термином «privacy», который не имеет буквального эквивалента в русском языке. Одна из первых попыток сформулировать суть понятия «privacy» была предпринята в 1890 г. известными американскими юристами Сэмюэлем Уорреном и Луисом Брандейсом, которые определили его как «the right to be alone» - право быть оставленным в покое или право быть предоставленным самому себе. В своей статье «Право на приватность» в Гарвардском правовом журнале они утверждали, что приватность подвергается опасности со стороны новых изобретений и методов ведения бизнеса, и обосновывали необходимость создания специального «права приватности». С развитием научного и технического прогресса мы все более убеждаемся в справедливости указанных положений.

Огромную роль в становлении и формулировании права на частную жизнь сыграла деятельность американских судов. Так, в 1965 г. в деле Griswold v. Connecticut судья Верховоного суда США Дуглас вывел право на прайвеси из первых пяти поправок к Конституции США, признав, что эти поправки «охраняют различные аспекты неприкосновенности частной жизни». Широко известны слова, которые он произнес, резюмируя решение суда: «Мы имеем дело с правом на неприкосновенность частной жизни, которое старше, чем Билль о правах».

Сформированная в США концепция прайвеси оказала большое влияние на становление современной системы прав и свобод человека. 10 декабря 1948 года на Генеральной Ассамблеи ООН была утверждена Всеобщая Декларация прав человека, в статье 12 которой устанавливалось, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию; каждый человек имеет право на защиту закона от такого вмешательства и таких посягательств.

В 1950 году аналогичная норма была закреплена в статье 8 Европейской конвенции о защите прав человека и основных свобод в следующей формулировке: «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции». Благодаря данным документам право на неприкосновенность частной жизни получило признание в качестве неотъемлемого права каждого человек.

С развитием информационных технологий внимание и интерес к проблеме неприкосновенности частной жизни начали существенно усиливаться. Появились новые технологии и средства для сбора, хранения и обработки данных, касающихся как личной жизни индивидов, так и их публичной деятельности. В праве остро встал вопрос о принятии особых правил регулирования сбора и обработки персональных данных как все более популярного объекта хозяйственного оборота. В это время наиболее активное развитие норм о защите персональных данных наблюдается в Европе.

Принципы, заложенные в Европейской конвенции о защите прав и основных свобод, получили свое развитие в специальных нормах Конвенции 108 Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных 1981 года, в которой защита данных рассматривается как защита основных прав и свобод индивидов, в частности, их права на неприкосновенность частной жизни в отношении обработки персональных данных.

Впоследствии в Директиве Европейского парламента и Совета Европейского союза от 24 октября 1995 г. №95/46ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных были заложены основы общеевропейской системы защиты персональных данных. В 2000 году в Хартии ЕС об основных правах право на защиту персональных данных было сформулировано в качестве самостоятельного фундаментального права.

Таковы основные этапы формирования нормативного механизма о защите персональных данных на европейском континенте. Заключительным этапом его формирования стало принятие национальных законов стран - участниц ЕС, направленных на регулирование вопросов защиты персональных данных.

Первый в мире специальный Закон о защите персональных данных был принят германской землей Гессен в 1970 г. До этого подобных законов нигде в мире не было. За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были закреплены реальные механизмы правового регулирования оборота персональных данных. Следует отметить, что создание нормативных актов в данной сфере шло самостоятельно наряду с развитием законодательства о защите права на неприкосновенность частной жизни.

В России отдельные элементы права на неприкосновенность частной жизни законодательно закреплялись и анализировались еще в дореволюционный период. Так, Почтовый устав 1857 г. и Телеграфный устав 1876 г. закрепляли тайну корреспонденции, уголовно-правовая охрана указанной тайны осуществлялась на основании норм Уложения о наказаниях уголовных и исправительных 1845 г., Уголовного Уложения 1903 г. Так, в Уголовном Уложении 1903 г. (ст. 162-170) устанавливался запрет на вмешательство должностных лиц при отправлении ими правосудия в личную и семейную жизнь человека.

После революции подход к проблеме прав человека существенным образом изменился. Так, Конституция РСФСР 1918 г., хотя и содержала раздел о правах человека под названием «Декларация прав трудящегося и эксплуатируемого народа» (декларация была принята ранее на III Всероссийском съезде Советов), но не закрепляла даже элементарных прав, минимума личных, политических, экономических, культурных прав человека. В нее вошли лишь запрет эксплуатации, право уравнительного землепользования, освобождение трудящихся масс из-под ига капитала, право трудящихся в управлении.

В 1924 г. была принята новая конституция - Конституция СССР, в которой уже не содержалось Декларации прав. Из прав человека в ней были провозглашены лишь национальная свобода, равенство, единое союзное гражданство. Наряду с этим в Конституции СССР отдельная глава была посвящена учреждению с целью борьбы с политической и экономической контрреволюцией, шпионажем и бандитизмом Объединенного государственного политического управления, которое руководило репрессиями, попирающими все человеческие права.

Впервые глава о правах и обязанностях граждан появилась в Конституции СССР принятой 5 декабря 1936 г. накануне массовых репрессий 1937-1938 гг. Конституция закрепляла широкий перечень личных прав и свобод таких, как свобода совести (ст. 124), неприкосновенность личности (ст. 127), неприкосновенность жилища и тайна переписки (ст. 128). В теоретическом плане это было серьезным достижением советского права, а в практическом - всего лишь формальностью.

Так, приказом НКВД СССР от 29 декабря 1939 г. было предписано стенографировать все без исключения международные телефонные разговоры сотрудников иностранных посольств и иностранных корреспондентов, а также решением директивных органов была введена цензура всей входящей и исходящей международной корреспонденции.

Не только международные связи контролировались органами государственной безопасности, внутри государства «большое место в контроле над человеком и обществом отводилось деятельности по использованию осведомителей».

Несмотря на очевидное нарушение такой практикой права на неприкосновенность частной жизни, подобные действия оправдываются государствами как необходимые меры обеспечения безопасности.

Уже в 1940-е гг., с расширением репрессивно-карательной политики по отношению к инакомыслящим, с ужесточением тоталитарного режима, проблема прав человека фактически была «закрыта».

Вновь вопрос о правах человека был поднят только в период политической «оттепели» конца 1950-х - начала 1960-х гг., когда в СССР появились первые теоретические исследования по политическим и правовым учениям.

В 1977 г. в связи с ратификацией Международного пакта о гражданских и политических правах от 16 декабря 1966 г. была принята новая Конституция СССР. Конституция СССР 1977 г. стала первой и единственной за весь советский период конституцией, включавшей в отдельном разделе стандартный для развитых европейских стран комплекс гражданских, политических, экономических, социальных и культурных прав. Статьями 54-56 Конституции СССР 1977 г. гражданам были гарантированы неприкосновенность личности, жилища, а также охрана законом личной жизни, тайны переписки, телефонных переговоров и телеграфных сообщений. В ст. 57 Конституции СССР 1977 г. было оговорено, что уважение личности, охрана прав и свобод граждан - обязанность всех государственных органов, общественных организаций и должностных лиц.

Впервые в России право на неприкосновенность частной жизни как самостоятельное право было сформулировано в Декларации прав и свобод человека и гражданина, принятой накануне распада союзного государства Верховным Советом РСФСР 22 ноября 1991 года. В ней предусматривается запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Впоследствии данная норма будет закреплена в Конституции РФ 1993 года.

В 1995 году Федеральным законом «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24-ФЗ впервые было законодательно закреплено понятие персональных данных. Согласно статье 2 указанного Федерального закона персональные данные - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Кроме того, указанным законом устанавливались общие принципы сбора, использования информации о гражданах, согласно этому закону персональные данные были отнесены к информации конфиденциального характера.

Следует отметить, что разработка специального закона о защите персональной информации, началась в России еще до принятия Директивы Европейского Парламента и Совета Европы 95/46/ЕС 24 октября 1995 г. «О защите личности в отношениях обработки персональных данных и свободном обращении этих данных». Первоначальный проект закона с рабочим названием «Об информации персонального характера» разрабатывался в 1998 г. в Комитете по информационной политике и связи Государственной Думы РФ при участии рабочей группы экспертов в сфере информационного законодательства. Однако этот проект закона так и не был рассмотрен в Государственной Думе РФ. Затем по истечении более чем двух лет в Совете Безопасности РФ была сформирована другая рабочая группа, которой и был подготовлен проект принятого впоследствии Федерального закона «О персональных данных» от 27.07.2006 г. №152-ФЗ.

Основополагающие нормы, регулирующие отношения по поводу персональных данных, содержатся в Федеральном законе «О персональных данных». В соответствии с п. 1 ст. 3 этого Закона персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В соответствии с ч. 1 ст. 85 Г. К РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Оценочный характер данного определения отражает лишь общий подход законодателя к категории персональных данных работника. Работодатель может собирать и обрабатывать не любую информацию о лице, являющемся его работником, а лишь ту, которая непосредственно связана с его трудовым правоотношением.

1.3 Общие требования к обработке персональных данных работника и гарантия их конфиденциальности

Концентрация у работодателя персонифицированной информации (персональных данных) о работнике предполагает ее обработку. По определению, данному в ч. 2 ст. 85 ТК РФ, обработка персональных данных - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Из этой дефиниции следует, что обработка персональных данных работника охватывает все стадии работы с информацией о работнике - от получения и до передачи ее другим лицам.

Общие требования, подлежащие соблюдению при обработке персональных данных работника, а также гарантии их защиты установлены в целях обеспечения прав и свобод человека и гражданина в ст. 86 ТК РФ, которая включает в себя девять пунктов, каждый из которых формулирует одно из требований, отнесенных к категории общих.

Так, п. 1 ст. 86 ТК РФ требует, чтобы обработка персональных данных работника осуществлялась исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Аналогичным образом решается вопрос о целях сбора персональных данных и в системе государственной службы. Так, в утвержденном Указом Президента РФ от 30 мая 2005 г. №609 Положении о персональных данных государственного гражданского служащего Российской федерации и ведении его личного дела на этот счет сказано, что при получении, обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать требования, перечень которых приводится в ст. 5 данного Указа.

Первое из таких требований гласит, что обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации, в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей.

Пункт 2 ст. 86 ТК РФ устанавливает, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

Данное требование следует рассматривать как ограничивающее право работодателя самому определять объем и характер сведений о работника, которые необходимы ему для организации эффективных трудовых отношений с работником. Собирая информацию о работнике, работодатель не должен выходить за пределы, установленные Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

Так, работодатель не должен нарушать гарантированные Конституцией Российской Федерации права и свободы человека и гражданина и требовать от работника информацию, нарушающую его право на неприкосновенность частной жизни, личную и семейную тайну (ст. 23), самостоятельно определять и указывать свою национальную принадлежность (ст. 26).