Защита персональных данных работника

Автор: А.М. Лушников

Защита персональных данных работника

(сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ)

А.М. Лушников, д-р юрид. наук, д-р ист. наук, проф., зав. кафедрой, Ярославский гос. ун-т им. П.Г. Демидова

  1. Защита персональных данных в международном законодательстве
  2. Защита персональных данных в российском законодательстве

Институт защиты персональных данных работника тесно связан с частной сферой жизни человека. Если в публичной сфере ведущим является лозунг «больше света», то в частной – прямо обратный – «больше тени». Право на неприкосновенность частной сферы как юридическая категория впервые родилось в США. В 1928 г. судья Верховного Суда Л. Брендайс официально заявил о наличии в Конституции США: «право быть оставленным в покое» или «право быть обособленным». Это заявление имело свою предысторию. Еще в 1890 г., будучи молодым бостонским адвокатом, он совместно с судьей С. Уорреном подготовил и опубликовал статью «Право на частную сферу». Именно в ней впервые ярко и комплексно прозвучала тема правовых и этических проблем, возникающих в связи с имеющей место уже в то время практикой активного вмешательства в частную жизнь. Но соответствующего закона, ограничивающего вмешательство в частную жизнь, так и не было принято. Первый прецедент по этой проблеме появился только в 1965 г. и связан с решением Верховного Суда США по делу Грисвольд. Решение было основано на том, что право на частную жизнь старше Билля о правах и уже по этой причине не менее свято.

 В американской правовой доктрине выделяется право на privacy, т. е. на право контролировать «свое жизненное пространство», право на «свою личность». Это право быть свободным от необоснованных изъятий документов личного происхождения, право контролировать информацию о самом себе, решать, каким образом и в каком объеме эта информация может быть передана третьим лицам и др.

Своеобразным ускорителем данного процесса стало утверждение Всеобщей декларации прав человека 10 декабря 1948 г. на Генеральной ассамблее ООН. В ст. 12 указывалось, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства и таких посягательств. Статья 19 свободу убеждений и их выражения связывает с правом искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ. Статья 23 Декларации провозгласила право на труд, на свободный выбор работы, на справедливые и благоприятные условия труда и защиту от безработицы. В совокупности эти статьи означали, что и в трудовых отношениях личная и семейная жизнь, честь и достоинство человека пользуются защитой закона, тогда как сам человек имеет право на получение полной информации. Принципиальное значение имели ст. 8 и 10 Европейской конвенции о защите прав человека и основных свобод (1950 г.), которая вступила в силу для России 5 мая 1998 г. Она закрепила право на уважение частной жизни, свободу получать и распространять информацию. В Международном пакте о гражданских и политических правах (1966 г.) провозглашается запрет на вмешательство в личную и семейную жизнь и незаконное посягательство на честь и репутацию. Каждый имеет право на защиту от такого вмешательства и таких посягательств (ст. 17). Данные положения нашли отражение и развитие в Руководстве ООН относительно компьютерных файлов персональных данных (1990 г.), ряде конвенций и рекомендаций МОТ, а также актах других международных организаций (например, в Основных положениях Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными (1980 г.)).

С 28 января 1981 г. была открыта для подписания Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», вступившая в силу с 1 октября 1985 г. (ратифицирована РФ) . Ее участниками стали 33 европейских государства.

С 1981 г. по линии Комитета министров государств − членов Совета Европы принимаются специальные Рекомендации по вопросам использования и защиты персональной информации, в том числе в сфере занятости и социального страхования. Наконец, 24 октября 1995 г. принимаются Директивы Европейского парламента и Совета Европейского союза № 95/46/ЕС «О защите физических лиц в условиях автоматизированной обработки персональных данных и о свободном обращении этих данных», а 11 марта 1996 г. «О юридической защите баз данных» .

В рамках формирования трудового права объединенной Европы, осуществляемого по линии Европейского союза (ЕС), была принята специальная Директива 95/46 от 20 февраля 1995 г. «Защита персональных данных работника». Директива обязывает государства − члены ЕС обеспечивать необходимое качество собираемой и обрабатываемой информации: ее сбор и обработка должны происходить в строгом соответствии с законом и только для определенных и законных целей. Государства − члены ЕС должны обеспечить гарантии защиты информации и создать соответствующие контрольно-надзорные органы. Большое внимание в Директиве уделено способам обеспечения конфиденциальности персональных данных и правилам трансграничной передачи информации . Эксперты МОТ разработали Кодекс практики о защите личных данных о работнике. Распространение этого Кодекса было одобрено Административным советом МОТ в 1996 г.

Национальное законодательство стран Запада вначале ограничивалось общим правом граждан на неприкосновенность личной жизни. В ряде конституций европейских стран с начала 30-х гг. ХХ в. были закреплены нормы о защите информации личного и семейного характера (Конституция Ирландии (1937 г.), Исландии (1944 г.), Италии (1947 г.), Хартия испанцев (1945 г.) и др.). Но они носили общий характер. Реально до начала 70-х гг. была сильна идеология, согласно которой все, в т. ч. работодатели, должны иметь доступ к любым данным, не имеющим статуса секретных. Естественно, в личную жизнь работника вторгаться было нельзя, но базы данных о них формировались достаточно произвольно и особо не скрывались. С машинной и компьютерной обработкой таких данных, их размещением в открытых информационных сетях ситуация изменилась. Это открывало простор для злоупотребления базами данных, в т. ч. в криминальных целях. Усилилась опасность для работника разглашения нежелательных для него к огласке персональных данных.
Первый в мире специальный закон о защите персональных данных был принят германской землей Гессен в 1970 г. В 1977 г. принимается Федеральный закон ФРГ «О защите персональных данных». Федеральный Конституционный Суд Германии в 1983 г. сформулировал право каждого на т. н. информационное самоопределение. Только в 70−80-х гг. ХХ в. появились законодательные акты, содержащие специальные нормы о защите персональных данных работника (Швеция (1973 г.), Франция (1978 г.) и др.). Так, в Статуте прав трудящихся Испании (1980 г.) указывается, что основные права работников включают право на невмешательство в их частную жизнь и уважение их личного достоинства. Специальный испанский закон «О защите персональных данных» вступил в силу в 1999 г. Годом раньше аналогичный закон вступил в силу в Великобритании, однако все иные акты должны быть приведены в соответствие с ним только в октябре 2007 г.

В Обязательственном кодексе Швейцарии содержится норма о защите личности работника, которая распространяется и на сферу трудовых отношений, в том числе на процедуру найма. Соответствующие разделы о защите персональных данных имелись в специальных законах о защите частной жизни, принятых в США (1974 г.), Норвегии (1978 г.), Австралии (1988 г.) и др. В Канаде с 1995 г. действует Модельный кодекс по защите персональной данных, разработанный Канадской ассоциацией по стандартам, хотя специального закона на этот счет нет. При этом, наряду, с общим понятием «персональные данные», в большинстве государств выделяются и «персональные данные работника». Все это дало основание И.Я. Киселеву констатировать следующее: «Речь идет, по сути, о новом праве работника в сфере труда и трудовых отношений − праве на конфиденциальность, праве не допускать вторжения работодателя в личную жизнь, в интимную сферу» .

Данный процесс в европейских странах продолжает развиваться. Так, в Финляндии принимается специальный закон о защите персональных данных работников (2003 г.). В 2006 г. во французский Трудовой кодекс было внесено дополнение, предписывающее работодателям, имеющим более 50 работников, обеспечивать анонимность резюме лиц, претендующих на заявленные вакансии. Наблюдается общее возрастание числа локальных актов у работодателей частного сектора, которые регламентируют обработку персональных данных работников.

Отметим, что обоснованное некогда Л. Брендайсом «право быть оставленным в покое» подверглось достаточно существенной коррекции, особенно в начале XXI в. Категорический запрет вмешательства в личную жизнь со стороны государства постепенно смягчается, а число законных поводов для этого увеличивается. Для США катализатором данного процесса послужили события в Нью-Йорке 11 сентября 2001 г. и начавшаяся затем компания по борьбе с терроризмом. В 2002 г. принимается Закон Сарбанеса-Оксли, который во главу угла ставит, скорее, не защиту персональных данных, а максимальную открытость баз данных с целью предотвращения угроз общественной безопасности. В США более активно, чем в европейских странах, допускается проверка на наличие криминального прошлого для значительного числа работников (для руководителей, в сфере кредитования, ипотеки, в государственных учреждениях, финансовых структурах и др.). Во многих штатах допускается мониторинг поведения работников не только на работе, но и во внерабочее время. Он должен проводиться с согласия работника, но это требование соблюдается далеко не всегда. Также далеко не во всех даже европейских странах передача персональных данных работника третьим лицам требует согласия на это ее носителя, а в ряде стран работника даже не обязательно ставить в известность о такой передаче. Противоречивость развития правовой защиты персональных данных отмечалась отечественными исследователями. Очевидно и то, что само понятие «защита персональных данных» до известной степени условно, ибо защищаются скорее не персональные данные как таковые, а их носитель, человек, от противоправного или нежелательного для него использования таких данных. Персональные данные не должны изыматься из оборота, но должен определяться порядок их обработки, обеспечивающий защиту прав их носителей. В соответствии с этим во всех странах Запада защита персональных данных составляет обширный институт трудового законодательства, ориентированного на международные стандарты.

Ситуация в СССР относительно защиты персональных данных работника развивалась принципиально иначе, чем на Западе. Вмешательство в частную жизнь граждан со стороны администрации предприятий, партийных комитетов, спецслужб было чрезвычайным, в связи с чем вопрос о защите персональных данных даже не ставился. Ленинский завет о том, что «Мы ничего ‟частного” не признаем, для нас все в области хозяйства есть публично-правовое…» стал руководством к действию. Форма листка по учету кадров и анкеты содержали большой перечень вопросов, не связанных с деловыми качествами работников, и касались обстоятельств их личной жизни: о социальном происхождении, партийности и наличии партийных взысканий, о семейном положении и членах семьи, о пребывании за границей и наличии там родственников, о проживании на оккупированной территории и др.

В советском трудовом законодательстве правовой регламентации подверглись отдельные аспекты защиты персональных данных работника. В КЗоТ 1922 г. (ст. 42) запрещалось помещение в документах, которые наниматель выдавал нанимающемуся, каких-либо условных знаков. Также запрещалось сообщение нанимателями друг другу сведений, направленных на установление условий, на которых могли быть приняты рабочие. Указанные ограничения были ориентированы на частные предприятия.

В КЗоТ 1971 г. подобная статья отсутствовала. Единственными работодателями выступали государственные предприятия, организации, учреждения, и запрет передачи данных о работнике утратил свое значение, а все поступающие на работу обязаны были заполнять единые унифицированные формы личных листков по учету кадров. Косвенно персональные данные работника защищались только в случае незаконного увольнения. В случае признания формулировки причины увольнения неправильной или не соответствующей действующему законодательству, орган, рассматривающий трудовой спор, был обязан изменить ее и указать в решении причину увольнения в точном соответствии с формулировкой действующего законодательства и со ссылкой на соответствующую статью (пункт) закона. Если неправильная формулировка причины увольнения в трудовой книжке препятствовала поступлению работника на новую работу, орган, рассматривающий трудовой спор, должен был одновременно принять решение об оплате среднего заработка за время вынужденного прогула (ст. 214 в ред. от 19 ноября 1982 г. и ст. 213 в ред. от 20 марта 1997 г.).
Таким образом, институт защиты персональных данных работника в ТК РФ был в значительной степени рецептирован из западного законодательства. Первым из отечественных ученых о важности этого института написал И.Я. Киселев. Уже в 1992 г. он обратил внимание на западное законодательство, ограничивающее применение полиграфа при профессиональном отборе, о запрете личных обысков работников на предприятии и запрете использования телевизионного оборудования для контроля за деятельностью работника и др.
Впоследствии И.Я. Киселев утверждал, что, в связи с пристальным вниманием к правам и свободам человека на Западе, в проблематику трудового права включается такой вопрос, как защита работников от злоупотреблений государства, корпораций и частных лиц в отношении сбора, хранения, обработки и использования информации о работниках. Обращалось внимание на акты Совета Европы (Конвенции и рекомендации) о защите информационных данных в трудовых отношениях .

В последующих трудах И.Я. Киселев дал развернутую характеристику института защиты персональных данных работника на Западе, в том числе проанализировал зарубежное и международное законодательство по данной проблеме .

Другой причиной, вызвавшей появление в ТК РФ главы 14 «Защита персональных данных работника», стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина – обязанностью государства (ст. 2). По Конституции РФ, каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается (ст. 23). Очевидно, что правовая охрана персональных данных касается не только трудового права, но ТК РФ стал первым кодифицированным актом, имеющим в своей структуре соответствующую специальную главу. Этому способствовало и то, что с середины 90-х гг. ХХ в., как уже отмечалось, начала формироваться комплексная отрасль законодательства − «информационное право», одним из основных направлений которой стала защита персональной тайны.

Рассматриваемая новация в ТК РФ была встречена в российском научном мире неоднозначно, хотя преимущественно позитивно. Правоприменительная практика по данной проблеме в настоящее время практически отсутствует, а научное осмысление проводится в основном в прикладном ключе на уровне комментариев к соответствующей главе ТК РФ, формулировок новых задач для кадровых служб, а также учебной литературы . Появились и первые специальные исследования как по общей проблеме персональных данных, так и по ее трудоправовой специфике .

Начнем с того, что в Конституции РФ используется термин «частная жизнь» (ст. 23), а в ТК РФ – персональные данные работника.

По обоснованному мнению ряда ученых, «частная жизнь» является более широким понятием и включает в себя «персональные данные».

Их взаимное пересечение − несомненно, но есть и некоторые отличия. Так, информация о частной жизни не требует фиксации на материальном носителе, тогда как для персональных данных работника это обязательно. Данные о частной жизни невозможно обезличить (они станут бессмысленными, как бессмысленна личная тайна вне привязки к конкретной личности), тогда как персональные данные можно обезличить в силу прямого указания закона, о чем будет сказано ниже. Закон позволяет создать общедоступные источники персональных данных (справочники, адресные книги и др.), тогда как информация о частной жизни, став общедоступной, теряет свойства неприкосновенной и выходит за рамки неприкосновенности частной жизни. К тому же субъектами охраны персональных данных являются не только лица − ее носители, но и их наследники, а также операторы (держатели персональных данных, в том числе работодатели). Субъектом частной жизни, как и сведений о ней, является само физическое лицо, а право на ее неприкосновенность является конституционным правом данного лица. Это позволяет нам сделать вывод о том, что в трудовом праве специфической защите подлежат именно персональные данные. Защита личной жизни имеет универсальный общеправовой характер.

В зарубежном законодательстве сложилось два основных подхода к определению персональных данных. Во-первых, в некоторых государствах персональные данные отождествляются с любой информацией, имеющей отношение к данному лицу (Нидерланды, Швеция, Новая Зеландия и др.). Во-вторых, для некоторых государств характерна детализация, установления определенных критериев отнесения информации к указанной категории (Великобритания и др.). При этом оптимальным вариантом регулирования считается наличие тщательно выверенного и закрепленного правом баланса двух основных информационных прав и свобод: право доступа к информации, затрагивающей интересы лица, и право ограничения доступа третьих лиц к информации о себе .

Согласно ТК РФ, под персональными данными подразумевается информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений. При определении объема и содержания обрабатываемых персональных данных работника, работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. По сути это означает, что круг сведений и вид информации, которые составляют персональные данные работника, следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством. Между тем федеральный закон об информации, как отмечалось нами выше, относит персональные данные к информации ограниченного доступа и устанавливает, что порядок доступа к персональным данным граждан (физических лиц) должен быть установлен федеральным законом (ч. 9 ст. 9). В качестве такового выступает Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» . Он определил, что персональные данные − любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Здесь же дано понятие оператора (в качестве которого может выступать работодатель) и обработки персональных данных. Под ней подразумеваются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание (ст. 7), блокирование, уничтожение персональных данных (ст. 3). В соответствии со ст. 19 данного Закона постановлением Правительства РФ № 781 от 17 ноября 2007 г. было утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных . Согласно п. 14 данного Положения, лица, доступ которых к персональным данным в информационной системе необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. На наш взгляд, содержание п. 2 и 8 ч. 1 ст. 86 и 87 ТК РФ в совокупности с Федеральным законом «О персональных данных» свидетельствуют о необходимости для работодателя принять локальный нормативный акт о защите персональных данных работника. В отношении государственных гражданских служащих действует Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела, утвержденное Указом Президента РФ № 609 от 30 мая 2005 г.
Окончание в следующем номере.

СЗ РФ. 1998. № 20. Ст. 2143.

Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» // СЗ РФ. 2005. № 52 (ч. 1). Ст. 5573.

См.: Монахов В.Н. Информационные права граждан: опыт защиты и развития // Право граждан на информацию и защита неприкосновенности частной жизни. Сб. Ч. 1. Нижний Новгород, 1999. С. 50−61.

См.: Киселев И.Я. Новый облик трудового права стран Запада (прорыв в постиндустриальное общество). М., 2003. С. 132.

Киселев И.Я. Сравнительное и международное трудовое право. М., 1999. С. 131.

См.: Черняева Д.В. Правовое регулирование персональных данных работников: опыт Европы и США // Вопросы трудового права. 2007. № 3. С. 33−35.

Ленин В.И. Полн. собр. соч. Т. 44. С. 398.

См.: Киселев И.Я. Трудовое право в условиях рыночной экономики: опыт стран Запада. М., 1992. С. 31, 38 и др.

См.: Он же. Трудовое право стран Запада на рубеже XXI века // Государство и право. 1996. № 1. С. 121−125.

См.: Он же. Сравнительное и международное трудовое право. М., 1999. С. 117−140; Он же. Новый облик трудового права стран Запада. С. 29−38.

См.: Гейхман В.Л., Дмитриева И.К. Трудовое право. М., 2002. С. 156−161 (автор параграфа В.Л. Гейхман); Гусов К.Н., Толкунова В.Н. Трудовое право России. М., 2003. С. 247−248; Маврин С.П., Филиппова М.В., Хохлов Е.Б. Трудовое право России. СПб., 2005. С. 220−236; Молодцов М.В., Головина С.Ю. Трудовое право России. М., 2003. С. 191−199 (автор параграфа С.Ю. Головина); Трудовое право / Под ред. О.В. Смирнова, И.О. Снигиревой. М., 2007. С. 297−309 (автор параграфа И.А. Костян) и др.

Бачило И.Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006; Волчинская Е.К. Защита персональных данных: опыт правового регулирования. М., 2001; Дворецкий А.В. Защита персональных данных по законодательству Российской Федерации: Автореф. дисс. … канд. юрид. наук. Томск, 2005; Маркевич А.С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях: Автореф. дисс … канд. юрид. наук. Воронеж, 2006; Тихомирова Л.В. Защита персональных данных работника. М., 2002 и др.

См.: Бачило ИЛ., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Указ. соч., С. 16.

См.: Защита персональных данных работников по законодательству зарубежных стран: Бюллетень. Вып. 3 / Под ред. В.М. Лебедева и др. Томск, 2007. С. 12−13.

СЗ РФ. 2006. № 31 (ч. 1). Ст. 3451.

Бюллетень трудового и социального законодательства РФ. 2008. № 1.

СЗ РФ. 2005. № 23. Ст. 2242.