Вход
Защита персональных данных: международные стандарты и внутреннее российское законодательство (Н.Л. Лютов, "Трудовое право", N 8, август 2010 г.)
-
Защита персональных данных: международные стандарты и внутреннее российское законодательство (Н.Л. Лютов, "Трудовое право", N 8, август 2010 г.)
-
Заключение
Защита персональных данных: международные стандарты и внутреннее российское законодательство
Несмотря на сорокалетнюю историю законодательства о защите персональных данных, до сих пор оно далеко не совершенно. В этом году уже произошло несколько конфликтов, связанных с трактовкой российских законов: это и спор крупнейших операторов сотовой связи с федеральной службой судебных приставов, и протест правозащитников против разглашения фамилий подсудимых в связи с вступлением в силу закона "Об обеспечении доступа к информации о деятельности судов" с 1 июля этого года.
Прецеденты привлечения к ответственности за раскрытие персональных данных тоже есть. Например, менее месяца назад за публикацию информации о должниках на сайте к административной ответственности было привлечено ЗАО "Агентство по сбору коммунальных платежей" из Екатеринбурга. С развитием технологий проблема сохранения в тайне персональной информации приобретает все большую остроту.
Необходимость защиты персональных данных работников базируется на одном из фундаментальных прав человека, не относящихся исключительно к предмету трудового права: защите от вмешательства в личную жизнь. В статье 12 Всеобщей декларации прав человека 1948 г. указывается:
Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств.
Это право воспроизводится и в ст. 8 Европейской конвенции о защите прав человека и основных свобод, ратифицированной Россией. Кроме того, в Европейской конвенции говорится о том, что не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случая, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц.
Таким образом, в отличие от общих положений Всеобщей декларации 1948 г. в Европейской конвенции указывается, что право человека на невмешательство в личную жизнь не абсолютно, а может быть ограничено с учетом определенных соображений. Следует также иметь в виду, что право на невмешательство в частную жизнь тесно соприкасается с правом на свободу слова: свобода слова ограничивается положениями, защищающими частную жизнь других лиц. То есть можно утверждать, что свобода слова заканчивается там, где начинается право на невмешательство в частную жизнь.
В течение достаточно долгого времени кроме общих норм, подобных процитированным выше, ни в международных актах, ни в национальном законодательстве разных государств никаких специальных правил о порядке получения, хранения, обработки и передачи персональных данных не было. Ситуация стала меняться после начала распространения компьютеров, благодаря чему у компаний и государственных органов стало скапливаться большое количество персональных данных, которые относительно легко могли быть разглашены и тем самым нанести как моральный, так иногда и материальный вред лицам, которых касаются эти данные. Поэтому начиная с 1970-х гг. в промышленно развитых странах стало появляться соответствующее законодательство*(1).
Достаточно быстро после введения общих норм стало очевидно, что для обращения с персональными данными работников необходим особый порядок правового регулирования, поскольку работодатели так или иначе должны иметь возможность получать и хранить существенное количество сведений, касающихся работников, и у них есть достаточно большие возможности по получению такой информации. Трудовое законодательство должно в этом вопросе защищать обе стороны трудовых отношений: работника - от информационных злоупотреблений работодателя, а работодатель должен иметь право получать те сведения о своих работниках, которые необходимы для принятия кадровых решений. Установить справедливый баланс в отношении объема и порядка передачи и хранения такой информации достаточно сложно. Основной акцент правового регулирования защиты персональных данных работников в настоящее время сосредоточен на уровне отдельных государств, однако существуют и некоторые международные акты. В России соответствующие правовые нормы, касающиеся трудовых отношений, появились после вступления в силу в 2002 г. ТК РФ, в котором содержится глава 14 "Защита персональных данных работника" (ст. 85-90 ТК РФ). В ЕС и США используются несколько разные подходы в отношении защиты персональных данных. В европейских государствах внимание уделяется достаточно широкой законодательной защите частной жизни. Этой проблеме посвящена специальная директива ЕС (см. далее), а особенно тщательно частная жизнь охраняется от вмешательства законодательством Германии и Франции. В США же используется так называемый отраслевой подход, заключающийся в сочетании законодательных мер и самостоятельного регулирования соответствующих вопросов сторонами трудовых отношений. Законодательные акты США касаются отдельных аспектов защиты персональных данных (видеоинформация, информация о кредитной истории и т.п.).
Единственный акт, обладающий статусом международного договора, в отношении которого у России есть юридические обязательства по его соблюдению, это Конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных" 1981 г., ратифицированная Россией в 2005 г.*(2) Эта Конвенция применяется к любым отношениям в области обработки персональных данных, не ограничивая свою сферу действия отношениями в сфере труда. Конвенция развивает принципы защиты персональных данных, сформулированные годом ранее в обладающих рекомендательным статусом положениях ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными (1980 г.)*(3). После ратификации Конвенции Совета Европы в России был принят Федеральный закон "О персональных данных" от 27 июля 2006 г. N 152-ФЗ*(4). Он разработан также с учетом Модельного закона о персональных данных, принятого в рамках СНГ в 2000 г.
В главе II Конвенции перечисляются "основополагающие принципы защиты данных": качество данных (требования, предъявляемые к персональным данным); специальные категории данных (защита от дискриминации при обработке персональных данных); защита данных и дополнительные гарантии.
Рекомендация Совета Европы N R (89) 2 и Кодекс практики МОТ о защите персональных данных работников.
Однако наиболее детально вопросы охраны персональных данных применительно к работникам были отражены в двух рекомендательных актах МОТ и Совета Европы. Речь идет о Рекомендации Комитета министров Совета Европы N R (89) 2 о защите персональных данных, использующихся в области найма 1989 г.*(5) и Кодексе практики о защите персональных данных работников*(6), выпущенном МБТ в 1996 г.
Содержание двух международных рекомендательных актов, касающихся защиты персональных данных работников, - Рекомендации Совета Европы N R (89) 2 1989 г. (далее Рекомендация СЕ) и Кодекса практики МОТ - не идентично, но пересекается по большей части вопросов. Глава 14 ТК РФ, посвященная защите персональных работников, и Федеральный закон "О персональных данных" N 152-ФЗ (Далее - Закон о персональных данных) воспроизводят существенную часть, но далеко не все положения этих актов. Поскольку наиболее полно защита персональных данных регулируется в Кодексе практики МОТ, далее содержание двух рекомендательных международных актов сравнивается с российским законодательством исходя из структуры Кодекса практики.
А. Понятийный аппарат и сфера применения актов. В Рекомендации СЕ и Кодексе практики МОТ персональные данные понимаются как любая информация, относящаяся к работнику или физическому лицу. Схожим образом это понятие определяется и в Законе о персональных данных. В ч. 1 ст. 85 ТК РФ персональные данные понимаются как "информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника". По сути это означает, что иная информация, намеренно или случайно полученная работодателем, не являющаяся необходимой работодателю в связи с трудовыми отношениями, не подлежит защите в соответствии с гл. 14 ТК РФ, а только в соответствии с Законом о персональных данных, неоправданно суженное понятие.
В Кодексе практики МОТ, Законе о персональных данных и ч. 2 ст. 85 ТК РФ содержатся схожие определения понятия "обработка персональных данных", т.е. получение, хранение, комбинирование, передача или любое другое использование персональных данных.
Важное понятие, имеющееся в Кодексе практики МОТ, - "мониторинг персональных данных", т.е. использование устройств, таких как компьютеры, видеооборудование, звуковые устройства, телефоны и иные средства связи, различных методов идентификации или установления местонахождения, либо любой иной вид наблюдения. Аналогичных понятий в российских законах не содержится.
Согласно п. 1.3 Рекомендации СЕ и п. 3.4 Кодекса практики МОТ, эти акты применяются в отношении любого настоящего или бывшего работника либо кандидата на трудоустройство. Нормы гл. 14 ТК РФ применяются только в отношении работников, т.е. лиц, согласно ч. 2 ст. 20 ТК РФ, вступивших в трудовые отношения с работодателем. Таким образом, сфера применения гл. 14 существенно уже. Потенциальные и бывшие работники защищаются только нормами Закона о персональных данных.
Кроме случаев, когда национальным законодательством предусмотрено обратное, положения Рекомендации СЕ применяются не только в отношении работодателей, но и в отношении деятельности агентств занятости, получающих персональные данные кандидатов на трудоустройство (п. 1.4). Положения Кодекса практики МОТ прямо не распространяются на агентства занятости, однако, согласно п. 13.1 Кодекса практики, если работодатель пользуется услугами агентств занятости для найма работников, он должен требовать от них обработки персональных данных в соответствии с требованиями Кодекса практики. Соответствующей нормы в гл. 14 ТК РФ нет, однако на агентства занятости в любом случае распространяются нормы Закона о персональных данных.
Б. Общие принципы. Согласно п. 5.1 Кодекса практики МОТ, персональные данные должны обрабатываться на основе принципов законности и добросовестности, и только в целях, непосредственно имеющих отношение к трудовым отношениям с участием соответствующего работника. Соответствующего принципа в гл. 14 ТК РФ нет, однако в п. 1 ст. 86 указывается, что обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Принцип же законности и добросовестности обработки данных воспроизводится в Законе о персональных данных (п. 1 ч. 1 ст. 5).
Согласно п. 6.1 Рекомендации СЕ и п. 5.2 Кодекса практики МОТ, персональные данные должны, в принципе, использоваться с той целью, для которой они были получены. В п. 1. ч. 1 ст. 86 ТК РФ содержится более жесткая норма, прямо перечисляющая цели, для которых могут использоваться данные: соблюдение законодательства, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Кроме того, в п. 2 ч. 2 ст. 5 Закона о персональных данных говорится о принципе соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора (т.е. лица, получающего или обрабатывающего данные).
В п. 5.4 Кодекса практики МОТ указывается, что персональные данные, полученные в связи с техническими или организационными мерами, направленными на обеспечение безопасности и должного функционирования автоматических систем, не должны использоваться для контроля за поведением работников. Аналогичные нормы во внутреннем российском законодательстве отсутствуют.
И в международных, и во внутренних российских актах содержится принцип, согласно которому решения работодателя в отношении работника не должны основываться исключительно на автоматической обработке персональных данных. Однако Кодекс практики МОТ (п. 5.6) расширяет этот принцип указанием на данные, полученные в результате электронного мониторинга (см. понятийный аппарат выше). Аналогичных норм во внутреннем российском законодательстве не содержится.
В п. 5.7 Кодекса практики МОТ указывается, что работодатели должны регулярно анализировать практику обработки персональных данных с целью:
а) уменьшения, насколько это возможно, объема и видов получаемых персональных данных;
b) улучшения способов защиты частной жизни работников.
Аналогичных норм во внутреннем российском законодательстве также не содержится.
В Рекомендации СЕ (п. 3.1) указывается, что работодатели должны заблаговременно информировать или проводить консультации со своими работниками и их представителями относительно введения или изменения автоматических систем получения и использования персональных данных. Данный принцип распространяется и в отношении введения или изменения использования технических устройств, предназначенных для слежения за передвижениями или производительностью труда работников. В Кодексе практики МОТ (п. 5.8) и п. 8 ч. 1 ст. 86 ТК РФ указывается лишь на право работников на информацию о процессах получения персональных данных, без указания на заблаговременное информирование и право на консультации с представителями работников в соответствующих случаях.
В Кодексе практики МОТ есть положение (п. 5.9), согласно которому лица, обрабатывающие персональные данные, должны регулярно проходить подготовку с целью усвоения процедур и принципов получения данных. Аналогичных положений во внутреннем российском законодательстве не имеется.
В п. 5.10 Кодекса практики МОТ указывается, что обработка персональных данных не должна приводить к незаконной дискриминации в области труда и занятий. Аналогичных положений в ТК РФ и Законе о персональных данных нет, однако есть запрет на получение и обработку данных, касающихся некоторых критериев дискриминации (см. далее).
В п. 5.11 Кодекса практики МОТ предусматривается, что работодатели, работники и их представители должны сотрудничать в области защиты персональных данных. В п. 10 ст. 86 ТК РФ содержится в большей степени защищающая работников норма: стороны социального партнерства должны совместно вырабатывать меры защиты персональных данных.
В п. 5.12 Кодекса практики МОТ указывается, что все лица, имеющие доступ к персональным данным работников, должны быть связаны обязательствами неразглашения, совместимыми с выполнением их функций. В ст. 88 ТК РФ указывается на обязанность соблюдения конфиденциальности.
В п. 5.13 Кодекса практики МОТ говорится о том, что работники не могут отказаться от своего права на защиту частной жизни. В п. 9 ст. 86 ТК РФ содержится не очень удачный, но в общих чертах совпадающий перевод этой нормы. В Кодексе РФ говорится о том, что работники "не должны" отказываться от соответствующих прав.
В. Получение персональных данных. Во всех актах (п. 4.1 Рекомендации СЕ, п. 6.1 Кодекса практики МОТ, п. 3 ч. 1 ст. 86 ТК РФ), указывается, что, по общему правилу, все персональные данные следует получать у самого работника. Кроме того, во всех актах*(7) указывается, что если необходимо получить персональные данные у третьих лиц, работник должен быть об этом заранее проинформирован и дать на это прямо выраженное согласие. В Кодексе практики и ТК РФ дополнительно говорится, что работодатель должен указать цели обработки, источники и способы, которыми он собирается обрабатывать информацию, тип данных, которые будут собираться, а также последствия отказа от согласия на получение информации, если таковые будут иметь место. В Рекомендации СЕ (п. 4.3) есть специальная оговорка о кандидатах на трудоустройство. Внешние источники информации в таких ситуациях могут использоваться только с согласия работника, либо если он был заранее проинформирован о такой возможности.
В п. 6.1 Кодекса практики МОТ указывается, что согласие работника на получение или разглашение своих персональных данных должно быть составлено на ясном языке, касаться именно лиц, учреждений и организаций, которым адресуются данные, должно содержать состав передаваемых данных, цели, для которых получаются данные, и срок, в течение которого согласие работника может быть использовано. В ТК РФ аналогичных положений нет. Подробные требования в отношении содержания согласия субъекта персональных данных содержится в п. 4 ст. 9 Закона о персональных данных.
В п. 6.4 Кодекса практики МОТ предусматривается, что если работодатель получает согласие работника на получение персональных данных, он должен обеспечить, чтобы все лица или организации, которым работодатель поручает получение данных, знали о цели такого получения и избегали ложного или неправильного представления данных. Аналогичных норм в российском законодательстве нет.
В п. 4.2 Рекомендации СЕ говорится о том, что данные, получаемые от работника, должны быть относящимися к трудовым отношениям и не быть избыточными с учетом характера трудовых отношений и потребностей работодателя в информации. В п. 6.5 и 6.6 Кодекса практики МОТ говорится о том, что работодатель не должен собирать данные:
а) о сексуальной жизни работника;
b) о политических, религиозных и иных взглядах;
c) о криминальном прошлом.
В исключительных случаях работодатель может собирать эти данные, если они прямо касаются решения о трудоустройстве работника и соответствуют национальному законодательству. П. 4 ст. 86 ТК РФ предусматривает более жесткую норму, согласно которой работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Согласно этой норме, например, незаконно задавать вопрос священнослужителю о том, верит ли он в Бога. В отношении информации о судимости действуют ограничения, предусмотренные п. 3 ст. 10 Закона о персональных данных, но эти ограничения распространяются лишь в отношении государственных и муниципальных органов власти.
Согласно п. 6.6 Кодекса практики МОТ, работодатели не должны собирать данные о членстве работника в профсоюзах или профсоюзной деятельности, кроме случаев, когда это разрешено законодательством или коллективными договорами. В п. 5 ч. 1 ст. 86 ТК РФ это ограничение сформулировано более жестко: предусмотреть соответствующее право работодателя в коллективных договорах и соглашениях нельзя.
Как указывается в п. 10.2 Рекомендации СЕ, работник или претендент на трудоустройство могут опрашиваться о состоянии здоровья или проходить медицинское освидетельствование только в случаях: а) для определения того, подходит ли работник для конкретной работы; b) выполнения требований медицинской профилактики; и c) для определения права на социальные выплаты. Схожая норма имеется в п. 6.7 Кодекса практики МОТ. Положения о получении и обработке медицинских данных есть в Законе о персональных данных (п. 3 и 4 ч. 2 ст. 10). Медицинские данные могут обрабатываться без согласия субъекта данных только в случаях, если данные относятся к состоянию здоровья субъекта данных и их обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов самого субъекта или иных лиц. Важно, что ограничения, содержащиеся в Рекомендации СЕ и Кодексе практики МОТ, не зависят от факта согласия работника на получение и обработку данных. Аналогичных ограничений в ТК РФ нет.
Согласно п. 6.8 Кодекса практики МОТ, если работнику задаются вопросы, несовместимые с принципами Кодекса практики, за неточные или неполные ответы он не может быть уволен или подвергнут иным дисциплинарным санкциям. Аналогичных положений в российском законодательстве нет.
Интересно положение, закрепленное в п. 6.9 Кодекса практики МОТ: персональные данные, выходящие за пределы тех сведений, которые были запрошены работодателем, и предоставленные работником вследствие его неправильного понимания запроса работодателя, не должны обрабатываться. Аналогичных положений в российском законодательстве нет.
В п. 6.10 Кодекса практики МОТ указывается на недопустимость использования полиграфов, оборудования для проверки правды или иных сходных процедур. А тесты, оценивающие личность, и иные схожие системы тестирования могут использоваться только с соблюдением положений Кодекса практики, с оговоркой о том, что работник имеет право возражать против такого тестирования (п. 6.11). Соответствующая норма есть и в Рекомендации СЕ. В российском законодательстве аналогичных положений нет.
П. 6.12 Кодекса практики МОТ предусматривает, что генетическое исследование должно быть запрещено или ограничено случаями, прямо предусмотренными национальным законодательством. Специальный, акт, в котором говорится о защите биологических данных человека, был принят в 2005 г. в рамках ЮНЕСКО: это Всеобщая декларация о биоэтике и правах человека*(8). В ТК РФ соответствующих ограничений нет, а в Законе о персональных данных указывается, что биометрические персональные данные (в т.ч. генетические) могут обрабатываться только с согласия субъекта данных, кроме случаев, связанных с уголовным судопроизводством и в некоторых других предусмотренных законом случаях.
Тестирование в отношении наркотиков, как указывается в п. 6.13 Кодекса практики МОТ, должно проводиться только в соответствии с национальным законодательством, практикой и международными стандартами. Таких норм, касающихся трудовых отношений, в России нет. В МОТ в 1993 г. по этому вопросу были приняты специальные Руководящие принципы и в 1996 г. - Кодекс практики*(9).
В п. 6.14 Кодекса практики МОТ указывается, что если в отношении работников ведется мониторинг, работники должны информироваться заранее о том, в какое время он ведется, об используемой методике и технических средствах, а также о собираемых данных. При этом работодатель должен минимизировать вмешательство в личную жизнь работников. Секретное наблюдение может осуществляться только:
а) если это соответствует национальному законодательству;
b) если существует разумно обоснованное подозрение о криминальной деятельности или иных серьезных правонарушениях.
Постоянный мониторинг допустим только в случаях, когда это необходимо для обеспечения безопасности и гигиены труда либо для защиты собственности. Схожие нормы закреплены в п. 3.1 и 3.2 Рекомендации СЕ. В российском законодательстве аналогичных положений нет.
Г. Хранение. В п. 7 Кодекса практики МОТ говорится о том, что работодатели должны обеспечивать защиту персональных данных от их утери, нелегального доступа, использования, изменения или разглашения с помощью необходимых систем безопасности, которые разумно использовать в зависимости от обстоятельств. Схожая норма имеется в п. 13.1 Рекомендации СЕ; кроме того, в п. 13.2 Рекомендации указывается, что уполномоченный для этого персонал, а также все иные лица, участвующие в обработке данных, должны знать и соблюдать соответствующие меры. В ст. 87 ТК РФ говорится только о том, что порядок хранения и использования персональных данных устанавливается в соответствии с ТК РФ и другими федеральными законами. Меры по обеспечению безопасности персональных данных, которые обязан принимать оператор данных, перечислены в ст. 19 Закона о персональных данных.
И в Рекомендации СЕ (п. 5.1), и в Кодексе практики МОТ (п. 8.1) есть положения о том, что хранение персональных данных должно быть ограничено теми данными, которые соответствуют принципам в отношении получения данных, а само хранение должно быть обусловлено целями трудовых отношений. Кроме того, согласно п. 8.5 Кодекса практики МОТ, данные должны храниться лишь столько времени, сколько необходимо для целей, с которыми они были получены, за исключением случаев, когда:
а) работник хочет быть в списке кандидатов на работу в течение определенного периода;
б) персональные данные должны храниться в соответствии с требованиями национального законодательства;
в) данные требуются работнику или работодателю для доказывания обстоятельств, связанных с существующими или существовавшими трудовыми отношениями.
В ТК РФ соответствующих норм нет. В ч. 2 ст. 5 Закона о персональных данных указывается, что хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, и не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. В п. 4 и 5 ст. 21 Закона указывается, что в случае достижения целей обработки данные должны уничтожаться в течение трех дней.
В п. 8.2 Кодекса практики МОТ и п. 10.4 и 10.5 Рекомендации СЕ содержатся ограничения, касающиеся хранения данных, на которые распространяется режим медицинской тайны. В ТК РФ (ст. 88) есть лишь общее положение о том, что лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности.
В п. 8.3 Кодекса практики МОТ говорится о том, что работодатели должны регулярно предоставлять общую и обновляемую информацию, касающуюся видов хранимых персональных данных работников и обработки этих данных. В ч. 1 ст. 89 ТК РФ есть похожая, но не идентичная норма: работники имеют право на полную информацию о своих персональных данных и об их обработке. Однако для реализации этого права работники должны о нем знать, в то время как Кодекс практики предусматривает обязанность работодателя по собственной инициативе регулярно информировать работников. Кроме того, каждый отдельный работник, согласно п. 11.1 и 11.2 Рекомендации СЕ и п. 11.1 Кодекса практики МОТ должен обладать правом постоянно быть в курсе относительно содержания имеющихся в его отношении персональных данных и об обработке этих данных. Это право воспроизводится в ч. 1 ст. 89 ТК РФ.
Согласно п. 8.4 Кодекса практики МОТ и п. 5.2 Рекомендации СЕ, работодатели должны периодически удостоверяться в корректности, актуальности и полноте персональных данных. Аналогичных норм во внутреннем законодательстве нет.
В п. 5.2 Рекомендации СЕ говорится о том, что данные не должны храниться или кодироваться таким образом, чтобы это могло нарушить право работника не быть охарактеризованным или оцененным без его ведома. Близкая по идее, но отличающаяся по формулировке норма содержится в п. 8.6 Кодекса практики МОТ: персональные данные должны храниться и кодироваться таким способом, чтобы:
а) работник мог их понять;
б) данные не присваивали работнику таких характеристик, которые могли бы привести к его дискриминации.
В ТК РФ аналогичных норм нет. Согласно ч. 2 ст. 14 Закона о персональных данных, сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Д. Использование и передача. Согласно п. 9 Кодекса практики МОТ, персональные данные должны использоваться в соответствии с принципами, применимыми к получению, передаче и хранению. Существует только норма ст. 87 ТК РФ (см. "сохранность данных" выше).
В отношении передачи персональных данных формулировки и Рекомендации СЕ (п. 8.1 и п. 8.2 - касаются передачи данных государственным органам), и Кодекса практики МОТ достаточно категоричны. В п. 10.1 Кодекса практики указывается, что данные не должны передаваться третьим лицам без прямого согласия работника, за исключением случаев:
а) необходимости устранения серьезной и неминуемой угрозы жизни и здоровью;
б) предусмотренных законодательством;
в) необходимых для осуществления трудового отношения;
г) требуемых для отправления уголовного правосудия.
Норма Кодекса практики в сокращенном виде воспроизводится в ч. 1 ст. 88 ТК РФ.
В п. 9 Рекомендации СЕ особо оговаривается вопрос о трансграничной передаче персональных данных, которая может осуществляться только в соответствии с принципами хранения и передачи, закрепленными в Рекомендации. В Кодексе практики МОТ и в ТК РФ схожих норм нет. В ст. 12 Закона о персональных данных содержится более жесткое требование в этом отношении: перед осуществлением трансграничной передачи данных, оператор данных обязан убедиться в том, что другим государством обеспечивается адекватная защита персональных данных.
Согласно п. 10.2 Кодекса практики МОТ работодатель не должен передавать персональные данные для целей коммерции или маркетинга без письменного и информированного согласия работника. В ч. 1 ст. 88 ТК РФ это положение воспроизводится, но в ТК РФ не указывается на информированность согласия работников о целях передачи.
В п. 10.3 Кодекса практики МОТ указывается, что правила, касающиеся передачи третьим лицам, распространяются и на передачу персональных данных между работодателями в одной группе и между различными государственными структурами. Специальных данных в этом отношении в российском законодательстве нет. Работодатели, объединенные в одну структуру (холдинг), юридически являются отдельными работодателями. То же самое касается работодателей - различных государственных органов. В тех ситуациях, когда государственные органы не являются работодателями субъекта персональных данных, ограничений, аналогичных закрепленных в п. 10.3 Кодекса практики МОТ, во внутреннем российском законодательстве нет.
В соответствии с п. 10.4 Кодекса практики МОТ, работодатели должны инструктировать тех, кто получает персональные данные работников, чтобы данные использовались только для тех целей, для которых были переданы, и должны требовать подтверждения, что эти инструкции соблюдаются. Это не относится к обычным передачам, осуществляемым в соответствии с обязательствами по закону. Эта норма воспроизводится в ч. 1 ст. 88 ТК РФ.
П. 10.5 Кодекса практики предусматривает, что внутренние передачи данных (в пределах организации работодателя) должны быть ограничены теми данными, в отношении которых прямо уведомлен работник. В ч. 1 ст. 88 ТК РФ это положение воспроизводится неточно: передача в таких ситуациях осуществляется "...в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись". Т.е. по российскому законодательству работник должен быть ознакомлен лишь с процедурой передачи, а по Кодексу практики МОТ - с содержанием передающихся данных.
Как указывается в п. 10.6 Кодекса практики МОТ, персональные данные должны быть доступны только специально уполномоченным пользователям, которые должны иметь доступ только к тем данным работника, которые необходимы для выполнения их конкретных функций. Это положение воспроизводится в ч. 1 ст. 88 ТК РФ.
В п. 6.3 Рекомендации СЕ и п. 10.7 Кодекса практики МОТ говорится о том, что пересечение файлов, в которых хранятся данные работников, должно быть запрещено, за исключением случаев, когда оно осуществляется в строгом соответствии с требованиями Кодекса практики и Рекомендации. В ТК РФ соответствующего положения не содержится. В ст. 5 Закона о персональных данных, указывается на принцип "недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных".
П. 10.8 и 10.9 Кодекса практики МОТ предусматривает, что в случае медицинского освидетельствования работодатель должен быть проинформирован только в отношении заключения, касающегося возможности выполнять трудовую функцию. Это положение воспроизводится в ч. 1 ст. 88 ТК РФ.
Рекомендация СЕ и Кодекс практики МОТ по-разному подходят к вопросу возможности передачи персональных данных представителям работников. Согласно п. 10 Рекомендации, данные могут передаваться представителям работников в том объеме, насколько это необходимо для представления интересов работников. В п. 10.10 Кодекса практики МОТ содержится более жесткая норма о том, что такая передача должна происходить только в соответствии с национальным законодательством или коллективными соглашениями, согласно национальной практике, и должна быть ограничена только теми данными, которые необходимы для выполнения представителями их специфических функций. Норма Кодекса практики МОТ (за исключением ссылки на коллективные договоры и национальную практику) воспроизводится в ч. 1 ст. 88.
Как указывается в п. 10.11 Кодекса практики МОТ, работодатели должны устанавливать процедуры контроля за внутренним обращением персональных данных с целью обеспечения того, что такое обращение соответствует требованиям Кодекса практики. В ТК РФ специальной нормы в этом отношении нет, но эта обязанность следует из содержания других обязанностей работодателя, закрепленных в гл. 14 ТК РФ.
Е. Индивидуальные права работников. В соответствии с п. 12.1 Рекомендации СЕ и п. 11.2 Кодекса практики МОТ, работники должны иметь доступ к своим данным вне зависимости от того, обрабатываются ли они автоматическими системами, содержатся в специальном неавтоматическом хранилище либо любом ином месте. Кроме того, работники должны иметь возможность исправить или удалить те данные, которые хранятся в противоречие принципам обработки данных. Эти права воспроизводятся в ч. 1 ст. 89 ТК РФ и ч. 1 ст. 14 Закона о персональных данных.
Согласно п. 11.3 Кодекса практики МОТ, право работников на информацию о своих персональных данных включает право изучить и получить копию любых записей, постольку, поскольку такие данные включают персональные данные работника. Это правило воспроизводится в ч. 1 ст. 89 ТК РФ. В п. 11.4 Кодекса практики МОТ также уточняется, что доступ работников должен быть возможен в течение обычного рабочего времени. Если в это время обеспечить доступ невозможно, должны быть приняты другие нормы, учитывающие интересы работников и работодателя. Таких норм в российском законодательстве нет.
Согласно п. 10.6 Рекомендации СЕ, право допуска субъекта данных к информации о состоянии своего здоровья не должно ограничиваться, кроме случаев, когда такой допуск может причинить существенный вред субъекту данных. В последнем случае субъект данных может быть ознакомлен с такими данными с помощью врача, выбранного им самим. Это право по-иному сформулировано в п. 11.6 Кодексе практики МОТ: "Работники должны иметь право доступа к своим медицинским данным с помощью медицинского специалиста по своему усмотрению". Таким образом, в этих актах воспроизводятся схожие подходы к сложному вопросу медицинской этики относительно права пациента на информацию о своей болезни. В ч. 1 ст. 89 ТК РФ дословно воспроизводится формулировка Кодекса практики МОТ.
В п. 11.7 Кодекса практики МОТ говорится о том, что работодатели не должны брать денег с работников за доступ или снятие копий со своих данных. Это право также воспроизведено в ч. 1 ст. 89 ТК РФ. Исключение из этого правила делается для служебного расследования, на время которого работнику может быть отказано в доступе к данным (п. 12.2 Рекомендации СЕ и п. 11.8 Кодекса практики МОТ). Однако, согласно п. 11.8 Кодекса практики, решение в отношении трудовых отношений с работником не может быть принято до тех пор, пока работник не сможет ознакомиться со своими данными. Таких правил во внутреннем российском законодательстве не содержится.
В п. 11.9 Кодекса практики МОТ указывается, что работники имеют право требовать, чтобы некорректные или неполные персональные данные, либо данные, обработанные с нарушением требований Кодекса практики, были исправлены или удалены. Причем, согласно п. 11.10 Кодекса практики, в случае исправления данных, работодатели должны проинформировать об этих исправлениях всех третьих лиц, которым были предоставлены неправильные данные, за исключением случаев, когда работник согласится с тем, что в этом нет необходимости. В том случае, если работодатель отказывается исправить персональные данные, работник имеет право сделать заявление на соответствующей записи с указанием причин своего несогласия. Любое последующее использование персональных данных должно включать информацию о том, что персональные данные оспариваются работником, и соответствующее заявление работника (п. 11.11 Кодекса практики МОТ). Если же речь идет об оценочных данных, работник должен иметь возможность дополнить данные собственной точкой зрения (п. 11.12 Кодекса практики МОТ). Эти положения воспроизводятся в ч. 1 ст. 89 ТК РФ.
Согласно п. 11.13 Кодекса практики МОТ, правовое регулирование обработки персональных данных должно содержать правила относительно возможности работника обжаловать соблюдение работодателем соответствующего акта. Процедуры должны быть сформулированы таким образом, чтобы любые жалобы работника получались, и в их отношении предоставлялся ответ. Процедура рассмотрения жалоб должна быть легко доступной для работника и проста в использовании. В ч. 1 ст. 89 ТК РФ указывается на само право работника обжаловать соответствующие неправомерные действия работодателя, однако какие-либо специальные нормы в этом отношении отсутствуют.
Ж. Коллективные права. В п. 12.1 Кодекса практики МОТ указывается, что все переговоры относительно обработки персональных данных не должны противоречить принципам Кодекса практики, защищающим индивидуальное право работника знать и принимать решения в отношении того, какие персональные данные, затрагивающие данного работника, должны использоваться, на каких условиях и для каких целей. Этого права во внутреннем российском законодательстве нет. Как следует из других норм, основные нормы, касающиеся обработки персональных данных работников, содержатся в законодательстве и локальных актах работодателя, а не закрепляются в коллективно-договорном порядке.
Согласно п. 3.1 Рекомендации СЕ и п. 12.2 Кодекса практики МОТ, в случае наличия представителей работников, они должны информироваться и с ними должны проводиться консультации в соответствии с национальным законодательством и практикой по поводу:
а) введения или модификации автоматических систем, обрабатывающих персональные данные работников;
б) введения любых электронных систем контроля за поведением работников на рабочем месте;
в) целей, содержания и способе обращения и интерпретации любых анкет и тестов, касающихся персональных данных работников.
Аналогичных, весьма важных, норм в российском законодательстве не существует.
Заключение
Подводя итог сравнению Рекомендации Совета Европы, Кодекса практики МОТ, российского Закона о персональных данных и ТК РФ, можно констатировать наличие существенного количества несоответствий между международными актами и российским законодательством. Поскольку речь идет о так называемом "мягком праве", т.е. рекомендательных нормах, применяться в данном случае будет внутреннее российское законодательство, а акты СЕ и МОТ представляют собой ориентир, обобщающий "лучшую практику". Тем не менее некоторые пробелы российских нормативных правовых актов достаточно серьезны, и можно было бы рекомендовать законодателю обратить внимание на необходимость их устранения, а добросовестным работодателям в добровольном порядке применять международные нормы. Среди таких несоответствий особо следует выделить положения, касающиеся сферы действия норм ТК РФ, оставляющие без защиты персональные данные бывших работников и кандидатов на трудоустройство; положения об электронном мониторинге, о запрете использования полиграфов, недопустимости привлечения работника к ответственности за ложные ответы на незаконно заданные вопросы, о порядке информирования работодателем работников о хранящихся персональных данных, о консультациях с представителями работников по поводу получения и обработки данных и др.
В некоторых случаях внутренние российские нормы, наоборот, избыточно жестки в отношении работодателя: например, предусмотренный п. 4 ст. 86 ТК РФ запрет получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни вне зависимости от значимости этой информации для трудовых отношений, может приводить к серьезным злоупотреблениям со стороны работников. Эта норма ставит вопрос и о внутренних противоречиях в тексте ТК РФ: в п. 8 ч. 1 ст. 81 Кодекса предусматривается возможность расторжения работодателем трудового договора в случае совершения работником, выполняющим воспитательные функции, аморального проступка. В п. 46 Постановления Пленума Верховного Суда РФ N 2 от 17 марта 2004 г. разъясняется, что в этой ситуации неважно, совершен этот аморальный проступок на работе или в быту. Однако если работодатель безусловно не может получать данные о частной жизни работника по п. 4 ст. 86, работник в суде может сослаться на то, что данные о его аморальном проступке относятся к его частной жизни и, следовательно, получены незаконно, а, значит, и увольнение было незаконным.
Несколько улучшает ситуацию с пробелами ТК РФ факт существования принятого в 2006 г. Закона о персональных данных, в котором явно были в большем объеме использованы акты СЕ и МОТ. Однако этот закон либо должен быть расширен за счет включения в него специальных норм, отражающих специфику правоотношений в сфере труда (и тогда глава 14 ТК РФ должна быть исключена из ТК РФ), либо, наоборот, глава 14 должна быть существенно дополнена и с учетом Закона о персональных данных, и международных актов.
Н.Л. Лютов,
к.ю.н., доцент МГЮА им. О.Е. Кутафина
"Трудовое право", N 8, август 2010 г.
-------------------------------------------------------------------------
*(1) См. об этом подробнее: Лушников А.М. Защита персональных данных: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ // Трудовое право, N 9, 2009. С. 93-101; Черняева Д.В. Правовое регулирование персональных данных работников: опыт Европы и США // Вопросы трудового права. 2007. N 3. С. 33-35.
*(2) ФЗ "О ратификации Конвенции Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных" от 19 декабря 2005 г. N 160-ФЗ.
*(3) OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980. http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00.h tml.
*(4) СЗ РФ от 31.07.2006 г. N 31(1 ч.), ст. 3451.
*(5) Council of Europe Committee of Ministers. Recommendation No. R (89) 2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes, 1989. http://www.coe.int/t/dg3/healthbioethic/texts_and_documents/Rec(89)2E.pdf . Помимо сферы труда, Совет Европы принял ряд рекомендаций об охране персональных данных в других областях: Рекомендацию 1986 г. N R (86) 1 о защите персональных данных в области социального обеспечения, а также рекомендации, касающиеся охраны персональных данных в Интернете, при осуществлении телекоммуникационных и телефонных услуг, для целей статистики и научных исследований, страхования, медицинских данных, при осуществлении платежей, при прямом маркетинге, в деятельности полиции и государственных органов. См. перечень соответствующих рекомендаций на сайте Совета Европы: "http://www.coe.int/t/e/legal_affairs/legal_co-operation/data_protection/ documents/international%20legal%20instruments/12Recommendations%20and%20r esolutions%20of%20the%20Committee%20of%20Ministers.asp#TopOfPage".
*(6) Protection of workers' personal data. An ILO code of practice Geneva, International Labour Office, 1997. http://www.ilo.org/public/english/protection/condtrav/pdf/wc-code-97.pdf.
*(7) П. 4.1 Рекомендации СЕ, п. 6.2 Кодекса практики МОТ, п. 3. ч. 1 ст. 86 ТК РФ.
*(8) Всеобщая декларация о биоэтике и правах человека 2005 г. http://unesdoc.unesco.org/images/0014/001428/142825r.pdf#page=90.
*(9) Guiding principles on drug and alcohol testing in the workplace. ILO, Geneva, 1993; Management of alcohol- and drug-relatedissues in the workplace: An ILO code of practice. ILO, Geneva, 1996.
*(10) Бюллетень Верховного Суда РФ, N 3, март, 2007.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Защита персональных данных: международные стандарты и внутреннее российское законодательство
Автор
Н.Л. Лютов - к.ю.н., доцент МГЮА им. О.Е. Кутафина
"Трудовое право", 2010, N 8