Защита персональных данных работника

СОДЕРЖАНИЕ

Список принятых сокращений_________________________________________3

Введение___________________________________________________________4

Глава 1. Источники правового регулирования персональных данных работников________________________________________________________7

1.1. Международное законодательство и законодательство Российской Федерации в области персональных данных_____________________________7

1.2. Локальные акты организации в области защиты персональных данных работников________________________________________________________18

Глава 2. Понятие, принципы и условия обработки персональных данных работника_________________________________________________________22

2.1. Понятие «Персональные данные» и его содержание__________________22

2.2. Основные принципы защиты персональных данных__________________27

2.3. Условия обработки персональных данных работника_________________30

2.4. Хранение и использование и передача персональных данных работника_49

Глава 3. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение норм, регулирующих защиту персональных данных___________________________________________________________61

3.1. Контроль и надзор за обработкой персональных данных_______________61

3.2. Ответственность за нарушение норм, регулирующих защиту персональных данных___________________________________________________________74

Заключение_______________________________________________________84

Список использованных источников и литературы_______________________90

Приложения______________________________________________________97

СПИСОК ПРИНЯТЫХ СОКРАЩЕНИЙ

ВВЕДЕНИЕ

Современная концепция прав и свобод человека и гражданина, частью которой является право  на неприкосновенность частной жизни в целом и персональных данных  в частности, явилось следствием длительного развития не только правовых норм, но и правопонимания в целом. Влияние на этот процесс оказало активное становлении так называемого информационного общества, которое характеризуется прежде всего высоким уровнем развития информационных и телекоммуникационных технологий и их интенсивным использованием гражданами, бизнесом и органами государственной власти. Последнее сегодня дает возможность получать доступ и использовать различные банки данных (в том числе персональные) практически любым субъектам информационных отношений, что не может сказаться на степени их защищенности и делает задачу обеспечения необходимой правовой защиты персональной информации особо актуальной и значимой.

В Российской Федерации процесс включения в правовую систему института персональных данных начался существенно позже, чем в ряде развитых стран. Первыми нормами российского права стали Декларация прав и свобод человека, Конституция РФ, Трудовой кодекс РФ и наконец, Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"[1].

Развитие законодательных механизмов  является основным направлением в области совершенствования системы государственных гарантий конституционных прав и свобод человека и гражданина в информационной сфере и в частности трудоправовых отношениях между работодателем и работником.

В Настоящее время процесс формирования нормативной базы, определяющей режим персональных данных, находится на активной стадии.

В   нашем    исследовании   мы   поставили   перед собой   цель - раскрыть особенности правового регулирования защиты персональных данных работников.

Для этого ставятся следующие задачи:

- изучение российского и международного законодательства по данному вопросу;

- анализ, исследование проблем правового регулирования защиты персональных данных работников;

-  определить понятие, принципы и условия обработки персональных данных работника;

- рассмотреть функции и полномочия контрольно-надзорных органов за обработкой персональных данных;

- изучить меры ответственности за нарушение норм, регулирующих защиту персональных данных.

Теоретические основы проблемы правового регулирования защиты персональных данных работников в   своих  трудах  рассматривают: А.М.Лушников, доктор юридических наук, профессор, заведующий кафедрой трудового и финансового права Ярославского государственного университета имени П.Г. Демидова, А.Я.Петров, доктор юридических наук, профессор Государственного университета – Высшей школы экономики, другие ученые, а также ряд юристов, статьи которых можно изучить в  журналах «Трудовое право», «Информационное право», «Юрист» и др.

Объект исследования – нормы законодательства правового регулирования защиты персональных данных работников.

Предмет исследования – правовые отношения в сфере  регулирования защиты персональных данных работников.

Методологической основой исследования явились: политико-правовые теории формирования института защиты персональных данных работников и их исследования. 

При решении поставленных задач использовались следующие методы исследования: изучение литературы и анализ состояния проблемы исследования в юридической литературе;  наблюдение на практике; опросные методы;  изучение и обобщение юридического опыта.  Изучение проблемы проводилось на базе общества с ограниченной ответственностью «АМВ».

Выпускная квалификационная  работа состоит из:

- списка принятых сокращений;

- введения;

- трех глав:

Первая глава посвящена изучению и анализу источников правового регулирования персональных данных работников;

Вторая – раскрытию понятия, принципов и условий обработки персональных данных работника;

Третья - контролю и надзору за обработкой персональных данных. Ответственность за нарушение норм, регулирующих защиту персональных данных

- заключения;

- списка использованных источников и литературы;

- приложений.

ГЛАВА 1. ИСТОЧНИКИ ПРАВОВОГО РЕГУЛИРОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

1.1.           Международное законодательство и законодательство Российской Федерации в области персональных данных,  история  их развития

Институт защиты персональных данных работника является новацией в Трудовом кодексе РФ[2]. Очевидна его тесная связь с частной сферой жизни человека. Если в публичной сфере ведущим является лозунг "больше света", то в частной - прямо обратный - "больше тени". Право на неприкосновенность частной сферы как юридическая категория впервые родилось в США. В 1928 г. судья Верховного суда Л. Брендайс официально заявил о наличии в Конституции США прав: "право быть оставленным в покое" или "право быть обособленным". Это явление имело свою предысторию. Еще в 1890 г., будучи молодым бостонским адвокатом, он совместно с судьей С. Уорреном подготовил и опубликовал статью "Право на частную сферу". Именно в ней впервые ярко и комплексно прозвучала тема правовых и этических проблем, возникающих в связи с имеющей место уже в то время практикой активного вмешательства в частную жизнь. Но соответствующего закона, ограничивающего вмешательство в частную жизнь, так и не было принято. Первый прецедент по этой проблеме появился только в 1965 г. и связан с решением Верховного суда США по делу Грисвольд. Решение было основано на том, что право на частную жизнь старше "Билля о правах" и уже по этой причине не менее свято. В американской правовой доктрине выделяется право на privacy, т.е. на право контролировать "свое жизненное пространство", право на "свою личность". Это право быть свободным от необоснованных изъятий документов личного происхождения, право контролировать информацию о самом себе, решать, каким образом и в каком объеме эта информация может быть передана третьим лицам и др.

Своеобразным ускорителем данного процесса стало утверждение Всеобщей декларации прав человека 10 декабря 1948 г. на Генеральной Ассамблее ООН[3]. В ст. 12 указывалось, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства и таких посягательств. Статья 19 свободу убеждений и их выражения связывает с правом искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ. Статья 23 Декларации провозгласила право на труд, на свободный выбор работы, на справедливые и благоприятные условия труда и защиту от безработицы. В совокупности эти статьи означали, что и в трудовых отношениях личная и семейная жизнь, честь и достоинство человека пользуются защитой закона, тогда как сам человек имеет право на получение полной информации. Принципиальное значение имели ст. ст. 8 и 10 Европейской конвенции о защите прав человека и основных свобод (1950 г.), которая вступила в силу для России 5 мая 1998 г[4]. Она закрепила право на уважение частной жизни, свободу получать и распространять информацию. В Международном пакте о гражданских и политических правах (1966 г.) провозглашается запрет на вмешательство в личную и семейную жизнь и незаконное посягательство на честь и репутацию. Каждый имеет право на защиту от такого вмешательства и таких посягательств (ст. 17). Данные положения нашли отражение и развитие в Руководстве ООН относительно компьютерных файлов персональных данных (1990 г.), ряде конвенций и рекомендаций МОТ, а также актах других международных организаций (например, в Основных положениях Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными (1980 г.)).

С 28 января 1981 г. была открыта для подписания Конвенция Совета Европы "О защите физических лиц в отношении автоматизированной обработки данных личного характера", вступившая в силу с 1 октября 1985 г. (ратифицирована РФ)[5]. Ее участниками стали 33 европейских государства. С 1981 г. по линии Комитета министров государств - членов Совета Европы принимаются специальные рекомендации по вопросам использования и защиты персональной информации, в том числе в сфере занятости и социального страхования. Наконец, 24 октября 1995 г. принимаются Директивы Европейского парламента и Совета Европейского союза N 95/46/ЕС "О защите физических лиц в условиях автоматизированной обработки персональных данных и о свободном обращении этих данных", а 11 марта 1996 г. - "О юридической защите баз данных"[6]. В рамках формирования трудового права объединенной Европы, осуществляемого по линии Европейского союза (ЕС), была принята специальная Директива N 95/46 от 20 февраля 1995 г. "Защита персональных данных работника". Директива обязывает государства - члены ЕС обеспечивать необходимое качество собираемой и обрабатываемой информации: ее сбор и обработка должны происходить в строгом соответствии с законом и только для определенных и законных целей. Государства - члены ЕС должны обеспечить гарантии защиты информации и создать соответствующие контрольно-надзорные органы. Большое внимание в Директиве уделено способам обеспечения конфиденциальности персональных данных и правилам трансграничной передачи информации[7]. Эксперты МОТ разработали Кодекс практики о защите личных данных о работнике. Распространение этого Кодекса было одобрено Административным советом МОТ в 1996 г[8].

Национальное законодательство стран Запада вначале ограничивалось общим правом граждан на неприкосновенность личной жизни. В ряде конституций европейских стран с начала 30-х гг. XX в. были закреплены нормы о защите информации личного и семейного характера (Конституции Ирландии (1937 г.), Исландии (1944 г.), Италии (1947 г.), Хартия испанцев (1945 г.) и др.). Но они носили общий характер. Реально до начала 70-х гг. была сильна идеология, согласно которой все, в т.ч. работодатели, должны иметь доступ к любым данным, не имеющим статуса секретных. Естественно, в личную жизнь работника вторгаться было нельзя, но базы данных о них формировались достаточно произвольно и особо не скрывались. С машинной и компьютерной обработкой таких данных, их размещением в открытых информационных сетях ситуация изменилась. Это открывало простор для злоупотребления базами данных, в т.ч. в криминальных целях. Усилилась опасность для работника разглашения нежелательных для него к огласке персональных данных[9].

Первый в мире специальный Закон о защите персональных данных был принят германской землей Гессен в 1970 г. В 1977 г. принимается Федеральный закон ФРГ "О защите персональных данных". Федеральный конституционный суд Германии в 1983 г. сформулировал право каждого на так называемое информационное самоопределение. Только в 70 - 80-х гг. XX века появились законодательные акты, содержащие специальные нормы о защите персональных данных работника (Швеция (1973 г.), Франция (1978 г.) и др.). Так, в Статуте прав трудящихся Испании (1980 г.) указывается, что основные права работников включают право на невмешательство в их частную жизнь и уважение их личного достоинства. Специальный испанский Закон "О защите персональных данных" вступил в силу в 1999 г. Годом раньше аналогичный закон вступил в силу в Великобритании, однако все иные акты должны быть приведены в соответствие с ним только в октябре 2007 г. В Обязательственном кодексе Швейцарии содержится норма о защите личности работника, которая распространяется и на сферу трудовых отношений, в том числе на процедуру найма. Соответствующие разделы о защите персональных данных имелись в специальных законах о защите частной жизни, принятых в США (1974 г.), Норвегии (1978 г.), Австралии (1988 г.) и др. В Канаде с 1995 г. действует Модельный кодекс по защите персональной данных, разработанный Канадской ассоциацией по стандартам, хотя специального закона на этот счет нет. При этом наряду с общим понятием "персональные данные" в большинстве государств выделяются и "персональные данные работника". Все это дало основание И.Я. Киселеву констатировать следующее: "Речь идет, по сути, о новом праве работника в сфере труда и трудовых отношений - праве на конфиденциальность, праве не допускать вторжения работодателя в личную жизнь, в интимную сферу"[10]. Данный процесс в европейских странах продолжает развиваться. Так, в Финляндии принимается специальный Закон о защите персональных данных работников (2003 г.). В 2008 г. во французский Трудовой кодекс было внесено дополнение, предписывающее работодателям, имеющим более 50 работников, обеспечивать анонимность резюме лиц, претендующих на заявленные вакансии. Наблюдается общее возрастание числа локальных актов у работодателей частного сектора, которые регламентируют обработку персональных данных работников.

Отметим, что обоснованное некогда Л. Брендайсом "право быть оставленным в покое" подверглось достаточно существенной коррекции, особенно в начале XXI в. Категорический запрет вмешательства в личную жизнь со стороны государства постепенно смягчается, а число законных поводов для этого увеличивается. Для США катализатором данного процесса послужили события в Нью-Йорке 11 сентября 2001 г. и начавшаяся затем кампания по борьбе с терроризмом. В 2002 г. принимается Закон Сарбанеса-Оксли, который во главу угла ставит скорее не защиту персональных данных, а максимальную открытость баз данных с целью предотвращения угроз общественной безопасности. В США более активно, чем в европейских странах, допускается проверка на наличие криминального прошлого для значительного числа работников (для руководителей, в сфере кредитования, ипотеки, в государственных учреждениях, финансовых структурах и др.). Во многих штатах допускается мониторинг поведения работников не только на работе, но и во внерабочее время. Он должен проводиться с согласия работника, но это требование соблюдается далеко не всегда. Также далеко не во всех даже европейских странах передача персональных данных работника третьим лицам требует согласия на это ее носителя, а в ряде стран работника даже не обязательно ставить в известность о такой передаче. Противоречивость развития правовой защиты персональных данных отмечалась отечественными исследователями[11]. Очевидно и то, что само понятие "защита персональных данных" до известной степени условно, ибо защищаются скорее не персональные данные как таковые, а их носитель, человек, от противоправного или нежелательного для него использования таких данных. Персональные данные не должны изыматься из оборота, но должен определяться порядок их обработки, обеспечивающий защиту прав их носителей. В соответствии с этим во всех странах Запада защита персональных данных составляет обширный институт трудового законодательства, ориентированного на международные стандарты.

Ситуация в СССР относительно защиты персональных данных работника развивалась принципиально иначе, чем на Западе. Вмешательство в частную жизнь граждан со стороны администрации предприятий, партийных комитетов, спецслужб было чрезвычайным, в связи с чем вопрос о защите персональных данных даже не ставился. Ленинский завет о том, что "Мы ничего "частного" не признаем, для нас все в области хозяйства есть публично-правовое", стал руководством к действию. Форма листка по учету кадров и анкеты содержали большой перечень вопросов, не связанных с деловыми качествами работников, и касались обстоятельств их личной жизни: о социальном происхождении, партийности и наличии партийных взысканий, о семейном положении и членах семьи, о пребывании за границей и наличии там родственников, о проживании на оккупированной территории и др.

В советском трудовом законодательстве правовой регламентации подверглись отдельные аспекты защиты персональных данных работника. В КЗоТе 1922 г. (ст. 42) запрещалось помещение в документах, которые наниматель выдавал нанимающемуся, каких-либо условных знаков. Также запрещалось сообщение нанимателями друг другу сведений, направленных на установление условий, на которых могли быть приняты рабочие. Указанные ограничения были ориентированы на частные предприятия. В КЗоТе 1971 г. подобная статья отсутствовала. Единственными работодателями выступали государственные предприятия, организации, учреждения, и запрет передачи данных о работнике утратил свое значение, а все поступающие на работу обязаны были заполнять единые унифицированные формы личных листков по учету кадров. Косвенно персональные данные работника защищались только в случае незаконного увольнения. В случае признания формулировки причины увольнения неправильной или не соответствующей действующему законодательству орган, рассматривающий трудовой спор, был обязан изменить ее и указать в решении причину увольнения в точном соответствии с формулировкой действующего законодательства и со ссылкой на соответствующую статью (пункт) закона. Если неправильная формулировка причины увольнения в трудовой книжке препятствовала поступлению работника на новую работу, орган, рассматривающий трудовой спор, должен был одновременно принять решение об оплате среднего заработка за время вынужденного прогула (ст. 214 в ред. от 19 ноября 1982 г. и ст. 213 в ред. от 20 марта 1997 г.)[12].

В Российской Федерации процесс включения в правовую систему института персональных данных начался существенно позже, чем в ряде развитых стран, где формирование профильного законодательства происходило в 70-е годы XX в., и основывался в значительной степени на европейском опыте. Первыми нормами российского права в этом отношении стали положения Декларации прав и свобод человека и гражданина от 22 ноября 1991 г.[13], гарантировавшей каждому право на неприкосновенность частной жизни, на тайну переписки, телефонных переговоров, телеграфных и иных сообщений. Кроме того, ст. 9 указанного документа предусматривала запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, за исключением случаев, указанных в законе.

Затем Конституция Российской Федерации 1993 г. закрепила за каждым человеком право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23); установила запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 24); гарантировала право каждого на свободу указания своей национальной принадлежности (ст. 26).

Впервые термин "персональные данные" появился в российском законодательстве в ст. 11 Федерального закона от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" (утратил юридическую силу с 26 января 2007 г.)[14] и был определен как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

Затем 6 марта 1997 г. Президентом Российской Федерации был подписан Указ N 188 "Об утверждении Перечня сведений конфиденциального характера"[15], которым сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), были признаны не подлежащими свободному распространению.

Следуя тенденциям развития права, государственных и политических реалий, в 1999 г. Межпарламентской Ассамблеей государств - участников СНГ был принят Модельный закон "О персональных данных", который лишь отчасти является прототипом действующего Закона.

В 2001 г. Российской Федерацией был подписан один из основополагающих актов международного уровня, регламентирующих правоотношения с таким объектом, как персональные данные, - Конвенция Совета Европы от 28 января 1981 г. "О защите физических лиц при автоматизированной обработке персональных данных" (далее - Конвенция). Однако Российской Федерацией она была ратифицирована лишь 19 декабря 2005 г.[16], что мотивировалось необходимостью внесения изменений во внутреннее законодательство страны.

В конце сентября 2003 г., т.е. спустя четыре года после принятия Модельного закона и два года после подписания Конвенции, Правительством РФ в Государственную Думу был внесен проект ФЗ "О персональных данных". Так начался процесс по воплощению в жизнь соответствующих норм международного права и регламентации оборота персональных данных как объекта правовой охраны в РФ. Безусловно, отдельные шаги в этом направлении делались и раньше, однако комплексное и полноценное регулирование данного вопроса стало возможным только посредством принятия специального федерального закона, что должно было привести наряду с иными результатами к "постепенному формированию правовой культуры защиты персональных данных"[17].

В состав российского законодательства в области оборота персональных данных помимо ФЗ "О персональных данных" входят также другие федеральные законы, определяющие случаи и особенности обработки персональных данных. Кроме того, на основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных.

Формирование правовой платформы института персональных данных в России в настоящее время, как представляется, осуществляется по трем основным направлениям.

Во-первых, активно идет процесс создания специализированных правовых актов различной юридической силы, к числу которых следует отнести: ФЗ "О персональных данных", Федеральный закон от 3 декабря 2008 г. N 242-ФЗ "О государственной геномной регистрации в Российской Федерации"[18], Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"[19] и другие.

Во-вторых, в настоящее время значительно возросли темпы нормотворчества государственных органов исполнительной власти в данной сфере; так, практически каждым федеральным министерством и ведомством были изданы акты, регулирующие обработку персональных данных служащих указанных органов или их оборот в целом. К числу таких актов следует отнести: Приказ ФСТЭК России N 55, ФСБ России N 86, Мининформсвязи РФ N 20 от 13 февраля 2008 г. "Об утверждении Порядка проведения классификации информационных систем персональных данных"[20]; Приказ ФФОМС от 19 августа 2008 г. N 180 "Об утверждении Положения о защите персональных данных работников Федерального фонда обязательного медицинского страхования" и пр.

В-третьих, институт персональных данных значительно укрепляется нормами непрофильного законодательства, к которому относятся: Федеральный закон от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния", Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ и другие.

Традиционный для российского права приоритет норм международного уровня подтверждается ч. 4 ст. 4 ФЗ "О персональных данных", устанавливающей правило, согласно которому в случае установления международным договором Российской Федерации иных правил, чем те, которые предусмотрены указанным Законом, применяются правила международного договора.

ФЗ "О персональных данных" регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Немало споров в российской юридической науке и практике вызывают нормативные акты регулирующие сферу защиты  персональных данных, которые также весьма непросты в понимании, хорошо было бы,  если бы в процессе нормотворчества законодатель учитывал простоту и удобство во всеобщем восприятии правовой нормы, но отсутствие в необходимых случаях разъяснений (законодательных дефиниций), наличие содержательных недоработок, а также чрезмерная терминологическая загруженность законодательного текста приводит к его несовершенству и спорам.

1.2. Локальные акты организации в области защиты персональных данных работников

По статистике в сфере нарушений законодательства о труде лидируют нарушения, которые квалифицируются как отсутствие в организации положения по защите персональных данных (обязанность работодателя по установлению порядка хранения и использования персональных данных указана в ст. 87 ТК РФ) либо неознакомление с ним всех работников под роспись (п. 8 ст. 86 ТК РФ)[21]. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Данные нормы обязывают работодателя принять ряд локальных актов, которые будут регулировать порядок хранения и использования персональных данных. Такими актами являются:

1) Положение о защите персональных данных работников (Приложение 1). Оно не имеет унифицированной формы и относится к тем локальным актам, которые обязательно должны быть в организации. При составлении в данное положение могут быть включены следующие разделы:

- "Общие положения". В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;

- "Основные понятия. Состав персональных данных работников". Здесь следует указать, какие документы в организации содержат персональные данные;

- "Обработка персональных данных". В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

- "Передача персональных данных". Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

- "Доступ к персональным данным". В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);