Персональные данные работников организации и их защита

К. М. Саматов

В данном учебном пособии рассматриваются вопросы обработки персональных данных работников организации и построения системы их защиты. Уделено внимание вопросам прохождения операторами персональных данных контрольно-надзорных мероприятий со стороны государственных органов. Предлагаемое учебное пособие предназначено для работников кадровых служб организаций. Также оно может быть полезно студентам высших и средних учебных заведений обучающихся по специальности «Информационная безопасность».

Персональные данные как правовой институт

Понятие персональных данных: исторический и юридический аспект

Защита частной жизни имеет давнюю историю. Еще в дореволюционный период этот вопрос привлекал внимание ученых-юристов. Правовые нормы, являющиеся составной частью неприкосновенности частной жизни, относящиеся к неприкосновенности корреспонденции, уже имели место в Почтовом уставе 1857 г. и в Уставе о телеграфах 1876 г.

В советский период в Конституцию Союза ССР 1936 г. были включены нормы о неприкосновенности личности, жилища, переписки. Конституция СССР 1977 г. также содержала нормы о защите личной жизни граждан, о тайне переписки, телефонных переговоров и телеграфных сообщений. Однако правовые гарантии конституционного права граждан на неприкосновенность личной жизни были явно недостаточны, в порядке вещей было ограничение рассматриваемых прав [107].

Новый этап формирования института неприкосновенности частной жизни начался с принятой 22 ноября 1991 г. Декларации прав и свобод человека и гражданина (ст. 9), которая провозгласила право каждого на неприкосновенность частной жизни, тайну переписки, телефонных переговоров, телеграфных и иных сообщений. Принципиальным моментом было установление судебного порядка ограничения указанных прав.

Обозначенная линия неприкосновенности частной жизни прослеживается и в Конституции Российской Федерации 1993 г. (ст. ст. 23, 24). Статья 23 Конституции гарантирует каждому «право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Статья 24 установила запрет на «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия» [107].

Термин «персональные данные», тесно связанный с частной жизнью человека, появился в российском законодательстве в середине 1990-х, тогда же были определены основные черты правового режима персональных данных. Федеральным законом от 20 февраля 1995 г. №24-ФЗ «Об информации, информатизации и защите информации» (ныне утратил силу), персональные данные были отнесены к категории конфиденциальной информации, установлен запрет на сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

При этом содержание понятия «персональные данные» в указанном Федеральном законе не было раскрыто. Позже был издан Указ Президента Российской Федерации от 6 марта 1997 г. №188 (действующий на сегодняшний день), утвердивший Перечень сведений конфиденциального характера, согласно которому персональные данные «включают в себя сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность» [107].

Основы правового режима персональных данных, установленные в Федеральном законе «Об информации, информатизации и о защите информации», содержали ряд черт, характерных для европейской модели защиты персональных данных. Принципиальным различием, сохранившимся до настоящего времени, с европейской моделью правового регулирования является акцент на защиту информации персонального характера в отрыве от защиты прав субъектов персональных данных и их интересов. Указанный подход был реализован и в Федеральном законе от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») и принятых в его исполнение подзаконных актах.

В декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, взяв на себя тем самым обязательства привести национальное законодательство в соответствие с этой Конвенцией. В рамках данных обязательств были приняты упомянутый Федеральный закон «О персональных данных», который закрепляет общие принципы их охраны, а также ряд подзаконных актов. И хотя нормы названного Закона существенно не отличаются от норм Конвенции, подзаконными актами устанавливаются требования, которые не характерны для законодательства и практики других стран, подписавших Конвенцию [107].

Кроме того, следует учитывать, что европейское законодательство после принятия Конвенции активно развивалось и что страны Европейского союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями Директив 95/46/ЕС и 97/66/ЕС Европейского парламента и Совета Европы, согласно которым юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. Сбалансированность, в свою очередь, означает соразмерность, обоснованность и выполнимость этих требований. Именно этого недостает в ряде случаев российскому законодательству.

Понятие персональных данных содержалось ранее и в Трудовом кодексе РФ. Так, согласно ст. 85 ТК РФ персональные данные работника — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Данное определение конкретизировало общее понятие персональных данных применительно к сфере трудовых отношений и не противоречило ему.

В то же время, с принятием Федерального закона от 07.05.2013 №99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» ст. 85 ТК РФ утратила силу.

В действующей редакции Федерального закона «О персональных данных» (ст. 3) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение персональных данных появилось благодаря изменениям, внесенным в названный Закон 25 июля 2011 г. Первоначально под персональными данными понималась любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [108].

Таким образом, из определения исчезло лишь перечисление той информации, которая относится к персональным данным. Поскольку конструкция данной нормы представляла собой открытый перечень, то исключение этого перечня не повлекло особых изменений в существе понятия «персональные данные». Основной критерий остался прежним: относимость информации к конкретному лицу и возможность его идентификации.

По мнению ряда авторов (Амелин Р. В., Богатырева Н. В., Волков Ю. В., Марченко Ю. А., Федосин А. С.), конкретно указанные в законе атрибуты позволяли правоприменителям приходить к выводу, что простое сообщение фамилии, имени и отчества лица вне зависимости от контекста является распространением персональных данных. Новое же определение более точно соответствует положению ст. 2 Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108) (заключена в г. Страсбурге, 28 января 1981 г.), согласно которому персональной информацией признана любая информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных) [65].

Вместе с тем, по мнению Л. К. Терещенко, наличие такого перечня в первоначальной редакции Закона сыграло важную роль, поскольку давало представление о характере информации, отнесенной законодателем к персональным данным. Несмотря на то, что Федеральный закон «О персональных данных» содержит максимально широкое определение персональных данных, в практической деятельности нередко возникают проблемы с определением того, какая информация относится к персональным данным. Отсутствие перечня в отдельных случаях, в том числе и в судебной практике, позволяет по-разному толковать отнесение тех или иных категорий данных к персональным [108].

По мнению автора, широкое толкование и отсутствие перечня информации относящейся к персональным данным, порождают следующие два негативных момента: во-первых, непонимание операторов (организаций обрабатывающих персональные данные), что необходимо относить к персональным данным и, во-вторых, широкие возможности контролирующих органов по привлечению операторов к ответственности за непредоставление сведений об обработке персональных данных. Так в судебной практике имеются решения судов по спору между территориальными органами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и операторами персональных данных, в которых последним вменялось отсутствие в уведомлениях об обработке определенных категорий персональных данных. Представляется, что наличие умысла организаций на совершение указанных действий маловероятно.

Система законодательства о персональных данных

В теории права, система законодательства определяется как совокупность нормативно-правовых актов, находящихся в иерархическом и субординационном соотношениях друг с другом. Место каждого нормативного акта в данной системе зависит от его юридической силы, которая, в свою очередь, зависит от уровня органа, принявшего данный акт, и порядка его принятия.

В сфере обработки персональных данных существует следующая регулирующая данные правоотношения система нормативных правовых актов:

1. Конституция Российской Федерации и нормы международного права:

Конституция РФ принята на всенародном голосовании 12 декабря 1993 г. и является Основным Законом Российской Федерации. Конституция имеет высшую юридическую силу, прямое действие и применяется на всей территории РФ. Законы и иные правовые акты, принимаемые в РФ, не должны противоречить Конституции. Применительно к институту персональных данных Конституция РФ выступает основным гарантом реализации правовых норм его составляющих и соблюдения прав граждан в процессе их реализации.

Международные договоры Российской Федерации согласно ст. 5 Федерального закона от 15.07.1995 №101-ФЗ «О международных договорах Российской Федерации» наряду с общепризнанными принципами и нормами международного права являются составной частью правовой системы Российской Федерации.

Положения официально опубликованных международных договоров Российской Федерации, не требующие издания внутригосударственных актов для применения, действуют в Российской Федерации непосредственно. Для осуществления иных положений международных договоров Российской Федерации принимаются соответствующие правовые акты [65].

Часть 4 ст. 4 Федерального закона «О персональных данных» устанавливает приоритет международных договоров Российской Федерации в области регулирования отношений по обработке персональных данных, а именно: если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены российским законодательством, применяются правила международного договора. Указанная норма дублирует ч. 2 ст. 5 Федерального закона от 15.07.1995 №101-ФЗ.

Основными международными актами в области защиты персональных данных являются следующие:

— Всеобщая декларация прав человека, принятая на третьей сессии Генеральной Ассамблеи ООН Резолюцией 217А (III) от 10.12.1948, которая провозглашает, что никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств (ст. 12);

— Международный пакт о гражданских и политических правах (Нью-Йорк, 19.12.1966);

— Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108) (заключена в г. Страсбурге, 28 января 1981 г.).

В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Данная Конвенция была ратифицирована Федеральным законом от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» с отдельными заявлениями, а именно Российская Федерация заявила, что не будет применять Конвенцию к персональным данным [65]:

Конец ознакомительного фрагмента.