Вопросы правового регулирования защиты персональных данных работника являются относительно новыми для российской правовой действительности. Неприкосновенность частной жизни как самостоятельная ценность, включающая в себя право на защиту персональных данных, впервые была введена в отечественное законодательство в 1991 г., когда Верховный Совет РСФСР (Постановление ВС РСФСР от 22 ноября 1991 г. № 1920-1 «О Декларации прав и свобод человека и гражданина») принял соответствующую Декларацию (Всеобщая декларация прав человека 1948 г.: принята Генеральной Ассамблеей ООН 10 декабря 1948 г.). Ею были полностью запрещены сбор, хранение, использование, распространение данных о человеке, без его согласия. Считается, что именно из этой декларации была заимствована норма в действующую российскую Конституцию 1993 г. (далее Конституция РФ).
В научной литературе Д.А. Гильмуллина и И.В. Чикинева под термином «защита» применительно к персональным данным работника понимают обеспечение права на неприкосновенность частной жизни, которое гарантировано каждому Всеобщей декларацией прав человека 1948 г. и Конституцией РФ. Однако не все ученые согласны с таким толкованием данного термина. М.И. Проскурякова отмечает, что в Основном Законе страны отсутствуют положения, напрямую закрепляющие право на защиту персональных данных, в связи с чем гарантии защиты персональных данных предусмотрены в нескольких статьях, а именно в ст. 23 (закрепляющей право на неприкосновенность частной жизни) и ст. 24 (закрепляющей запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия). В литературе также отмечается проблематичность соотношения таких понятий, как «персональные данные» (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ (ред. от 08.08.2024) «О персональных данных» (далее Закон о персональных данных)) и «частная жизнь» (ст. 23 Конституции РФ), поскольку трактовка последнего термина не имеет нормативного закрепления и толкуется лишь доктринально. Однако, по мнению Т.Ю. Прохоровой, «частная жизнь» - более широкое понятие, которое включает в себя не только персональные данные работника, но и данные, касающиеся личной жизни, например вопросы вероисповедания и т.д. В свою очередь суды отмечают, что персональные данные относятся к частной жизни работника. Таким образом, можно сделать вывод, что практика соотносит данные термины как общее с частным.
Вместе с тем, согласно п. 1 ст. 3 Закона о персональных данных, «персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных)».
Вышеприведенное легальное определение понятия персональных данных часто подвергается критике в литературе. Многие исследователи считают его чрезмерно расплывчатым и недостаточно точным.
Н.И. Платонова отмечает, что легальное определение понятия персональных данных в Законе о персональных данных создает споры на практике. О.В. Бычкова считает, что сведения, относящиеся к персональным данным сотрудника, имеют неоднородный характер.
Неясность в разграничении понятий «персональные данные» и «частная жизнь» может привести к их смешению на практике. Ф.А. Абаев отмечает, что не вся информация одинаково важна для идентификации личности. ФИО, дата и место рождения обычно позволяют установить личность, тогда как данные о семейном положении, социальном статусе и профессии сами по себе не идентифицируют человека.
В такой ситуации К.С. Тишкович указывает, что работодатели нередко под предлогом сбора персональных данных задают работникам вопросы личного характера, например о браке или беременности.
Пути решения данной коллизии в литературе обсуждаются достаточно давно. В частности, Е.В. Мицкая предлагает закрепить перечень признаков персональных данных, в числе которых она выделяет: передаваемость, обособляемость, тиражируемость, распространяемость. Данные свойства позволяют персональным данным существовать без своего первоначального обладателя либо производителя. Персональные данные всегда имеют определенную форму выражения - документарное, информационные базы и др., что, собственно, и позволяет им стать объектом права.
В такой ситуации представляется целесообразным дополнить гл. 14 Трудового кодекса Российской Федерации (далее ТК РФ) отдельной статьей, в которой необходимо закрепить норму, устанавливающую определение понятия «частная жизнь работника». Представляется возможным рассмотреть следующую формулировку. Частная жизнь работника — это сфера личных интересов и деятельности работника, которая не связана с его профессиональными обязанностями и не подлежит контролю со стороны работодателя. Включает в себя личные и семейные отношения, хобби, мировоззрение, состояние здоровья и любую другую информацию, не затрагивающую трудовые обязанности. Сохранение конфиденциальности этой информации, неприкосновенность частной жизни и отсутствие вмешательства в нее являются правами работника, гарантированными Конституцией РФ.
Конституция РФ закрепляет право каждого на защиту от предания огласки конфиденциальной информации. В свою очередь развитие научно-технического прогресса, расширение технологического использования персональных данных, включая возможность их трансграничной передачи и обмена, увеличивают риск их недобросовестного использования. В связи с этим в декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г., взяв на себя обязательства привести национальное законодательство в соответствие с международным договором (Конвенция о защите физических лиц при автоматизированной обработке персональных данных, заключена в г. Страсбурге 28 января 1981 г. вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15 июня 1999 г.). В рамках данных обязательств были приняты Закон о персональных данных, а также ряд подзаконных актов. Т.Ю. Прохорова отмечает, что основной целью данного закона является создание общих, универсальных требований к сбору и обработке во всех сферах, где используются персональные данные.
Глава 4 Закона о персональных данных устанавливает обязанности оператора при сборе персональных данных. В частности, на работодателе лежит обязанность по использованию средств защиты персональных данных от неправомерного или случайного доступа к ним. Способы и меры защиты персональных данных дополнительно регламентируются Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», в которых определены особенности защиты персональных данных в зависимости от носителя, на котором они зафиксированы.
ТК РФ возлагает РрРна работодателя ряд обязанностей по обеспечению защиты персональных данных работника. Так, согласно абз. 6 ч. 1 ст. 88 данного закона, «доступ к персональным данным работников разрешен только для специально уполномоченных лиц». Также уточняется, что эти лица могут получать лишь те персональные данные, которые необходимы.
Иными словами, норма закрепляет, что лица, получившие персональные данные в процессе своей трудовой деятельности, обязаны использовать их исключительно в целях, которые заявлялись при запросе соответствующей информации. Из данного правила существуют некоторые исключения. В частности, обязанность передать персональные данные может вытекать из законодательства об административных правонарушениях, уголовного процессуального законодательства.
Помимо этого, в судебной практике отмечается, что факт получения из открытых источников информации о личной жизни лица или его персональных данных не отменяет права гражданина на защиту частной жизни и охрану его персональных данных.
В соответствии с положениями абз. 2 ч. 1 ст. 6 Закона о персональных данных «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных». В свою очередь ст. 9 Закона о персональных данных гласит, что «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным».
В судебной практике отмечается, что системное толкование норм ТК РФ и Закона о персональных данных показывает, что сбор, обработка, передача и распространение персональных данных возможны только при наличии согласия субъекта этих данных.
Помимо этого, в судебной практике возникают споры, когда работник недостаточно знаком с Положением о защите персональных данных и другими локальными актами работодателя. А.С. Кашлакова в таких случаях указывает, что субъект персональных данных должен иметь право на получение важной информации в доступной и понятной форме.
Вместе с тем трудно говорить о сознательном согласии работника на обработку персональных данных, если он не понимает содержание локальных нормативных актов в данной области.
В такой ситуации представляется целесообразным дополнить ст. 89 ТК РФ правом работника на разъяснение содержания локальных нормативных актов, регулирующих особенности обработки и хранения персональных данных.
Вместе с тем иногда суды допускают возможность обработки персональных данных без согласия работника. В частности, если такая обработка осуществлялась в рамках исполнения трудового договора, закона и не могла ставиться под условие получения согласия на обработку персональных данных, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона.
Однако суды отмечают — если цели обработки персональных данных работников выходят за рамки ТК РФ, для каждого случая передачи персональных данных работников третьим лицам необходимо получать отдельное письменное согласие работника.
Отдельно в абз. 4 ч. 1 ст. 88 ТК РФ законодатель закрепляет обязанность работодателя поставить в известность лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в тех целях, для которых они сообщены. Также в данной норме законодатель устанавливает право работодателя требовать от данных лиц подтверждения того, что цель использования персональных данных ими соблюдена. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности) (данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами). На практике данная норма приводит к тому, что, как правило, доступ к персональным данным работников в процессе их обработки ограничивается кругом лиц, для которых обработка соответствующих данных является одной из должностных обязанностей (сотрудники кадровых, бухгалтерских и иных служб). Однако право доступа к персональным данным работников может быть предоставлено также лицам, осуществляющим функции надзора и контроля за соблюдением работодателями законодательства о труде, а также лицам, контролирующим правильность исполнения работодателем своих обязанностей как налогового агента работника или страхователя в системе обязательного государственного страхования.
Несмотря на огромный массив законодательных актов и широкий круг обязанностей работодателя в области защиты персональных данных на практике правоприменитель сталкивается с некоторыми недостатками действующего законодательства.
В частности, имеет место конкуренция норм права о неприкосновенности частной жизни, личной и семейной тайны (ст. 23 Конституции РФ) и права каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом — свобода массовой информации (ст. 29 Конституции РФ). Эта проблема с каждым днем становится более острой, поскольку происходит стремительное развитие информационных технологий, которое порождает возможность бесконтрольного распространения информации.
В данной ситуации можно сделать вывод, что Конституция РФ, ТК РФ и иные существующие федеральные законы РФ не могут решить все вопросы, возникающие в процессе трудовых отношений. Наиболее целесообразным способом решения этого вопроса можно считать принятие отдельных постановлений Правительства с учетом баланса интересов работника и работодателя.
Подводя итог исследованию, можно отметить, что, несмотря на существующие юридические нормы, защита персональных данных работников требует постоянного совершенствования законодательства и более эффективного контроля со стороны государственных органов. Особое внимание следует уделить повышению уровня осведомленности работников относительно своих прав и обязанностей в сфере защиты персональных данных.