Правовое регулирование оборота персональных данных работника
Нормативное оформление института персональных данных, и в частности, персональных данных работников, имеет достаточно долгую историю. Первые научные исследования в области оборота информации и защиты отдельных ее видов от несанкционированного использования появились в западных странах в 60 — 70-е гг. прошлого века и были обусловлены появлением первой компьютерной техники и ее применением при… Читать ещё >
Правовое регулирование оборота персональных данных работника (реферат, курсовая, диплом, контрольная)
- Введение
- 1. Общие положения о персональных данных работников
- 1.1 Становление законодательства о защите персональных данных работников
- 1.2 Понятие и виды персональных данных работников
- 1.3 Правовое регулирование защиты персональных данных
- 2. Особенности защиты персональных данных
- 2.1 Субъект и объект защиты персональных данных работников
- 2.2 Порядок деятельности работодателя по обработке персональных данных работников
- 3. Особенности ответственности за нарушение законодательства о защите персональных данных
- 3.1 Дисциплинарная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников
- 3.2 Материальная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников
- Заключение
- Список использованных источников
Правовое регулирование оборота персональных данных работника является одной из актуальных проблем современной науки трудового права, а также правоприменительной деятельности. Специфика ее заключается в необходимости создания оптимального правового механизма оборота и защиты персональных данных, учитывающего в равной степени интерес работодателя и интерес индивида. Решению этой проблемы должны послужить как глубокие теоретические исследования, в том числе сравнительно-правовые, так и анализ накопленной правоприменительной практики, что невозможно также без мониторинга состояния рынка информационных технологий, продуктов и услуг и отслеживания общих тенденций развития информационного общества.
Каждый раз, вступая в трудовые правоотношения, человек должен сообщать о себе персональные данные с тем, чтобы его как личность можно было идентифицировать. Некоторые из этих данных сообщаются им в обязательном порядке, о предоставлении других закон предоставляет человеку право решать самостоятельно, принимая во внимание те возможности, которые откроются перед ним в связи с предоставлением или непредоставлением данных о себе, реализации им предоставленных ему прав и исполнении возложенных обязанностей.
Большое количество персональных данных необходимо представить лицу, претендующему на поступление на работу, уже при приеме, заполняя анкеты и другие документы, в которых содержатся разделы, затрагивающие различные стороны человека, в том числе и аспекты его частной жизни.
Работодатель заинтересован в получении максимальной информации о работнике, однако, четкий критерий разграничения информации персонального характера, которая должна быть востребована работодателем и которая не имеет отношения для будущих трудовых правоотношений отсутствует, что является «камнем преткновения», поскольку отсутствие этого критерия не позволяет определить степень возможного вмешательства и пределы вторжения в частную жизнь работника. Такое положение вещей ведет к ситуации, когда невозможно реализовать положения закона, определяющие порядок и условия сбора, хранения, использования и распространения соответствующей информации в трудовой сфере.
Трудовым кодексом РФ в отдельной главе работодателю разрешено получать, хранить, обрабатывать, использовать персональные данные нанятого им работника. Законодатель установил общие требования к обработке персональных данных работника и определил гарантии их защиты.
Таким образом, в современных социально-экономических условиях в связи с формированием в стране рыночной экономики и обострением социальных проблем роль защиты персональных данных работника значительно возрастает. В литературе по трудовому праву вопросы охраны персональных данных работника уже подвергались научному анализу, однако в настоящее время все еще остается потребность в системном изучении этого института отечественного трудового права, что свидетельствует в пользу актуальности темы настоящего исследования.
Объектом исследования являются правоотношения, возникающие по поводу использования и защиты персональных данных работника, а также соответствующие правовые отношения, складывающиеся между работником и работодателем, третьими лицами.
Предметом курсовой работы являются нормы отечественного и зарубежного права, регламентирующие использование и защиту персональных данных работника, нормативно-правовые акты о защите персональных данных работников, а также локальные правовые акты отдельных организаций, практика их применения.
Целью настоящего исследования является комплексное изучение отношений по использованию и защите персональных данных работника, применения норм соответствующего института трудового права, внесение предложений по их совершенствованию.
Поставленная цель достигается путем решения ряда взаимосвязанных задач, наиболее существенными из которых являются:
Ш Рассмотреть процесс становления законодательства о защите персональных данных работников;
Ш Проанализировать понятие и охарактеризовать виды персональных данных работников;
Ш Установить порядок правового регулирования защиты персональных данных;
Ш Дать характеристику субъекту и объекту защиты персональных данных работников;
Ш Определить порядок деятельности работодателя по обработке персональных данных работников;
Ш Выявить особенности дисциплинарной ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работников;
Ш Охарактеризовать порядок применения к лицу норм законодательства о привлечении лица к материальной ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работников.
Методологическую основу исследования составили диалектический метод познания, системный и функциональный подходы, а также частнонаучные методы юридической науки: формально-юридический, историко-правовой, сравнительно-правовой и ряд других.
Структурно курсовая работа состоит из настоящего введения, трех глав, заключения, содержащего выводы относительно проведенного исследования, и списка использованных источников.
персональный работник законодательство защита
1. Общие положения о персональных данных работников
1.1 Становление законодательства о защите персональных данных работников
Нормативное оформление института персональных данных, и в частности, персональных данных работников, имеет достаточно долгую историю. Первые научные исследования в области оборота информации и защиты отдельных ее видов от несанкционированного использования появились в западных странах в 60 — 70-е гг. прошлого века и были обусловлены появлением первой компьютерной техники и ее применением при обработке информацииПетрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. М.: Статут, 2011. 134 с. Примерно тогда же, т. е. в 60 — 70-е гг., стало формироваться и первое зарубежное национальное законодательство в этой области. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию». Положения Декларации получили свое дальнейшее развитие в других международно-правовых документах.
28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данныхКонвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28. 01.1981) // СПС «Консультант Плюс». (далее — Конвенция о защите физических лиц) и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных.
Нормативное регулирование в рассматриваемой области в западных странах, в частности в странах ЕС, значительно опережало российскую нормотворческую практику как в полноте регулирования, так и в его качестве. Законы о защите персональных данных были приняты в большинстве европейских стран, причем в настоящее время во многих странах эти законы действуют в уже обновленных редакциях. Первый закон о защите персональных данных был принят в 1970 г. в Германии, в земле Гессен. До этого подобных законов нигде в мире не былоГорелихина О.А., Шлиньков А. А. Правовая защита персональных данных в Германии // Вопросы экономики и права. 2012. № 3. .
У нас в стране проблемы оборота информации и ее защиты впервые попали в фокус общественного внимания в 80-х гг. XX в. Конечно, соответствующие исследования велись и раньше, однако это были единичные работы специалистов в области теории информации, информационной безопасности, компьютерного права. Их разработки помогли отечественной науке информационного права сформироваться как таковой.
Более позднее развитие науки информационного права было обусловлено особенностями развития нашего государства: во-первых, значительно более поздним распространением компьютерной техники; во-вторых, отсутствием сильных демократических традиций, относительно недавним избавлением от цензуры и обретением свободы СМИ.
В России впервые основные права и свободы человека и гражданина, в том числе права и свободы в области информации, были закреплены в Конституции РФ 1993 г.20 февраля 1995 г. был принят Федеральный закон N 24-ФЗ «Об информации, информатизации и защите информации» Документ утратил силу., непосредственно регулирующий права граждан в сфере информации, а 4 июля 1996 г. Федеральный закон N 85-ФЗ «Об участии в международном информационном обмене» Документ утратил силу. .
Эти нормативные акты заложили основы правового регулирования оборота информации и подготовили базу для разработки специализированного законодательства.
Первоначально в российской системе права этот правовой институт складывался стихийно лишь постольку, поскольку являлся частью каких-либо иных общественных отношений, ставших предметом правового регулирования. Вопросы защиты персональных данных фрагментарно регулировались в основном отраслевым законодательством, например в рассматриваемом настоящим дипломным исследованием аспекте в отношении персональных данных работников — Трудовым кодексом РФТрудовой кодекс Российской Федерации от 30. 12.2001 N 197-ФЗ (ред. от 02. 04.2014) // Собрание законодательства РФ, 07. 01.2002, N 1 (ч. 1), ст. 3. .
Поэтому не было, как уже отмечалось, ни единого термина, обозначающего данный институт, ни определения, раскрывающего его суть, ни единого согласованного подхода к данной проблеме вообще. Однако, как известно, и для нормотворческой, и для правоприменительной практики такой подход чрезвычайно важен. В отсутствие единого законодательного акта, регулирующего общие принципы оборота и защиты персональных данных, правовое регулирование в этой сфере было неполным и не отличалось согласованностью Туркиашвили А. М. Защита персональных данных личности как информационная функция современного государства // Современный юрист. 2013. N 4 (Октябрь-Декабрь).С. 110 — 123. .
К моменту подготовки российского законопроекта в странах ЕС уже давно действовали соответствующие законы и был накоплен определенный нормотворческий опыт, который частично был учтен российскими законодателями.
В результате был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» Федеральный закон от 27. 07.2006 N 152-ФЗ (ред. от 23. 07.2013) «О персональных данных» // Собрание законодательства РФ, 31. 07.2006, N 31 (1 ч.), ст. 3451., вступивший в силу 26 января 2007 г.
Закон о персональных данных состоит из шести глав и 25 статей. В Законе даны определения таких понятий, как «персональные данные», «оператор», «обработка персональных данных», «конфиденциальность персональных данных» и др.; закреплен достаточно эффективный механизм противодействия нарушениям прав физических лиц в сфере оборота персональных данных. Закон обеспечивает правовую защищенность личности в условиях информационного общества и создает предпосылки для укрепления внешнеполитических позиций нашего государства; способствует решению таких задач, как эффективное управление информационными ресурсами и информационное обеспечение государственных органов и органов местного самоуправления. На базе этого Закона к настоящему времени принято немало подзаконных актов.
Вместе с тем Закон имеет и недостатки. Так, нельзя не отметить, что основное внимание в нем уделено технологическим вопросам обработки персональных данных и порядку деятельности операторов. Значительно хуже разработаны исходные общетеоретические положения о целях и задачах Закона, о статусе персональных данных как таковых, об общих принципах оборота персональных данных в Российской Федерации.
Несколько слов об истории развития законодательства, регламентирующего защиту персональных данных работников.
В советском трудовом законодательстве правовой регламентации подвергались отдельные аспекты защиты персональных данных работника.
Трудовое законодательство советского периода (КЗоТ РСФСР и соответствующие кодексы союзных республик) не содержали специальной правовой регламентации персональных прав работников. Однако устанавливалось положение, согласно которому при приеме на работу запрещалось требовать иные документы, кроме как установленные законом.
Институт защиты персональных данных работника, базирующийся на главе 14 ТК РФ, является новым и перспективным направлением в трудовом законодательстве.
1.2 Понятие и виды персональных данных работников
Согласно определению, содержащемуся в ст. 2 Конвенции о защите физических лиц «персональные данные» — это информация, касающаяся конкретного или могущего быть идентифицированным лица" .
Несмотря на широту данной формулировки, смысл ее достаточно точен. Согласно этому определению к персональным данным относится как любая информация о конкретном лице, так и информация, с помощью которой лицо можно идентифицировать, т. е. установить.
Согласно ст. 3 Закона о персональных данных «персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Итак, персональными данными является любая информация, с помощью которой лицо можно определить (идентифицировать). Далее в определении уточняется, что к информации о лице относится фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация.
В качестве «другой» информации может выступать биометрическая информация о лице; данные о супруге, детях, других членах семьи; индивидуальные средства коммуникации (номер телефона, адрес электронной почты, ICQ, персональный сайт или иной личный ресурс в Интернете, например блог или страница в социальной сети); сведения о событиях и обстоятельствах жизни лица, позволяющие его идентифицировать, в том числе аудио — и видеофайлы, и т. д. Перечень сведений, которые могут быть отнесены к персональным данным, является открытымСоколова Г. А. Персональные данные работников // Кадровая служба и управление персоналом предприятия, 2007, N 7. .
Персональные данные исключительно разнообразны и разнородны. Их можно по-разному классифицировать, объединять в различные группы в зависимости от избранного критерия и цели классификации. При этом любая классификация будет достаточно условной, так как некоторые сведения могут в равной степени относиться сразу к нескольким группам. Поэтому правовое регулирование такого сложного института, как институт персональных данных, должно быть гибким и многовариантным.
Закон о персональных данных выделяет три вида персональных данных:
общедоступные персональные данные;
специальные категории персональных данных;
биометрические персональные данные.
В этой классификации персональные данные объединены в группы в зависимости от правового режима их оборота, определяемого различными методами правового регулирования.
В связи с тем что общественные отношения по защите персональных данных возникают и развиваются в различных сферах общественной жизни и, следовательно, регулируются различными отраслями права, то и применяемые методы правового регулирования также различны — используются и убеждение, и принуждение, а также дозволение, обязывание и запретТресков В. Персональные данные в новой обработке // ЭЖ-Юрист. 2014. N 4. С. 2. .
Таким образом, все персональные данные разделены законодателем на: персональные данные, сбор которых по общему правилу запрещен (специальные категории персональных данных); персональные данные, сбор которых осуществляется на основании предписания (обязывания) федеральных законов государственными и муниципальными органами (различные категории персональных данных, в том числе биометрические и специальные категории персональных данных); персональные данные, к сбору и обработке которых установлен дозволительный подход, т. е. они могут собираться с согласия субъекта персональных данных операторами и иными лицами (общедоступные персональные данные и другие персональные данные). Тем самым законодатель устанавливает различные правовые режимы для каждой категории персональных данных.
Рассмотрим подробнее каждую группу персональных данных и правовой режим их оборота.
Общедоступные персональные данные — это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности (п. 12 ст.3 Закона о персональных данных). Прежде всего отметим, что до настоящего времени федеральными законами такие требования не установлены. Далее, следуя логике данного определения, можно сказать, что общедоступными персональными данными с согласия субъекта могут стать любые персональные данные, в том числе биометрические и относящиеся к специальным категориям. Главным условием здесь является согласие (или волеизъявление) субъекта персональных данных. Действительно, каждый вправе издать собственный политический манифест или автобиографическую книгу с подробностями личной жизни. Это есть не что иное, как проявление свободы слова.
Дальнейшая правовая судьба персональных данных, ставших общедоступными, законодателем не регулируется. Согласно логике рассматриваемого Закона персональные данные, один раз раскрытые обладателем, автоматически становятся открытыми для любых видов дальнейшей обработкиАмелин Р.В., Богатырева Н. В., Волков Ю. В., Марченко Ю. А., Федосин А. С. Комментарий к Федеральному закону от 27. 07.2006 N 152-ФЗ «О персональных данных» (постатейный) // СПС КонсультантПлюс. 2013. .
Особую группу персональных данных представляют собой специальные категории персональных данных. Согласно ч.1 ст. 10 Закона о персональных данных к специальным категориям персональных данных относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Биометрические персональные данные представляют собой особую и весьма специфическую группу персональных данных, характеризующих физиологические особенности человека. К таким особенностям относятся особенности строения частей тела, отпечатки пальцев, ладони, сетчатка глаза, анализ ДНК и т. п.
Общедоступные персональные данные, специальные категории персональных данных и биометрические персональные данные объединены в группы исходя из особенностей их правового режима. Такая группировка проста по смыслу и удобна в применении, однако для правоприменительной практики ее все-таки вряд ли достаточно.
Разумеется, как на государственном уровне, так и в частной сфере оборот персональных данных происходит постоянно. В Законе нельзя учесть тысячи возможных ситуаций и случаев сбора персональных данных и закрепить перечни для каждого конкретного случая. Как мы уже отмечали, любая классификация персональных данных является в известной мере условной. Тем не менее дальнейшая теоретическая, а затем и практическая работа в этом направлении необходима. На основе различных классификаций персональных данных можно, в частности, установить дифференцированную систему мер ответственности за нарушение законодательства о персональных данных, о чем мы уже говорили, а также использовать их при разработке подзаконных нормативных актов. Такой подход, на наш взгляд, будет способствовать как развитию законодательства, так и эффективной защите прав субъектов персональных данных.
Наиболее логичной и ориентированной на правоприменителя представляется группировка персональных данных по признаку свободы оборота. Можно сказать, что на уровне обычая эта классификация уже частично сложилась и используется. Исходя из этого персональные данные можно разделить на:
свободно обращаемые;
ограниченно обращаемые;
обращаемые в специальных целях;
запрещенные к обороту Кухаренко Т. А. Комментарий к Федеральному закону от 27. 07.2006 N 152-ФЗ «О персональных данных» (постатейный) // СПС КонсультантПлюс. 2011. .
Свободно обращаемые персональные данные — это имя, фамилия, отчество и пол лица. В некоторых случаях к ним можно добавить возраст, образование, адрес места жительства, номер телефона, т. е. все те минимальные сведения, которые готов сообщить о себе субъект определенному кругу лиц и организаций, составляющих круг его каждодневного социального общения. Как правило, несанкционированное использование этих сведений не может причинить субъекту какого-либо существенного вреда, поэтому применение мер ответственности возможно только в том случае, если нарушен порядок сбора и обработки этой информации (в частности, должностным лицом).
Ограниченно обращаемые персональные данные — это различные виды персональных данных, в том числе и данные регистрационных номеров документов, сообщаемые субъектом (с его согласия) различным организациям и органам с целью совершения каких-либо действий или получения каких-либо услуг. Разглашение или иное несанкционированное использование полученных персональных данных есть грубое нарушение неприкосновенности частной жизни субъекта персональных данных, способное причинить ему моральный и материальный ущерб. Субъектами мер ответственности в данном случае будут выступать преимущественно должностные лица, что может влиять на тяжесть применяемых мер ответственности.
Обращаемые в специальных целях — это те персональные данные, в том числе биометрические, которые собираются государственными, муниципальными и иными уполномоченными органами в рамках их полномочий в соответствии с законодательством. Согласие субъекта на сбор этих персональных данных требуется не всегда. К таким сведениям относится, например, информация об усыновлении. Разглашение и иное несанкционированное использование этих данных должно влечь за собой жесткие меры ответственности.
Запрещенные к обороту — это специальные категории персональных данных. За нарушения положений законодательства о защите специальных категорий 24 персональных данных должны устанавливаться наиболее жесткие меры ответственности, вплоть до уголовной ответственности.
Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Структурное выделение в ТК РФ персональных данных вызвано необходимостью упорядочения отношений по получению и использованию работодателем информации о работнике личного характера и установления правил защиты этой информации от неправомерного использования Научно-практический комментарий к Трудовому кодексу Российской Федерации (постатейный) / О. Н. Волкова, В. Л. Гейхман, И. К. Дмитриева и др.; отв. ред.В. Л. Гейхман. М.: Юрайт, 2012. 815 с. .
Следует обратить внимание на то, что определенные сведения о персональных данных работодатель имеет право требовать, а работник обязан их предоставить. Иные сведения можно получить только с согласия работника, что нередко важно для него самого в целях реализации прав (в том числе на льготы) и интересов; например, о членстве в профсоюзе, инвалидности, беременности. Работодатель не имеет права запрашивать информацию о состоянии здоровья работника за исключением тех сведений, которые относятся к возможности выполнения работником трудовой функции.
1.3 Правовое регулирование защиты персональных данных
В соответствии со ст. 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27. 07.2006 N 149-ФЗ (ред. от 28. 12.2013) «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ, 31. 07.2006, N 31 (1 ч.), ст. 3448, порядок доступа к персональным данным граждан устанавливается федеральным законом и запрещается требовать от гражданина предоставления информации о его частной жизни, а также получать такую информацию помимо его воли.
Таким образом, Конституцией РФ и федеральным законодательством информация о частной жизни отнесена к охраняемой законом информации, доступ к ней без согласия лица, к которому она относится, не допускается. Другими словами, информация о частной жизни лица, в том числе персональные данные, признается конфиденциальной.
Комплексное решение правового обеспечения защиты персональных данных должно учитывать двоякую природу этого понятия. С одной стороны, персональные данные являются составной частью понятия «частная жизнь» индивида, а неприкосновенность частной жизни, как известно, охраняется законом. С другой стороны, персональные данные есть необходимый элемент социализации индивида. Они представляют собой его своеобразную «визитную карточку» в обществе и являются юридической основой для реализации его право — и дееспособности, поэтому не всегда могут и должны быть конфиденциальными.
В силу вышеназванных причин правовое регулирование оборота персональных данных должно развиваться в трех основных направлениях.
Первое направление, самое общее, связано с защитой конфиденциальности персональных данных в процессе социальной жизни индивида (взаимоотношения с государственными органами, профессиональная деятельность, брачно-семейные отношения, финансовая сфера, здравоохранение и медицина, получение нотариальных, адвокатских услуг и т. п.), т. е. с обработкой персональных данных операторами информационных систем персональных данных.
Второе направление связано с обеспечением конфиденциальности персональных данных личности в условиях свободы СМИ.
Третье направление — это правовые изъятия из общего режима конфиденциальности персональных данных, действующие во время избирательных кампаний и в иных случаях.
Общие требования относительно правил работы с персональными данными работников операторов — юридических лиц устанавливаются подзаконными актами, например утвержденным Постановлением Правительства РФ от 17 ноября 2007 г. N 781 Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Документ утратил силу. .
Требования, содержащиеся в Положении и других подзаконных актах, нуждаются в конкретизации в нормах, устанавливаемых локальным нормативным регулированием. В частности, для регламентации особенностей трудовой функции работников, в чью компетенцию входит работа с персональными данными, можно использовать трудовой договор (а также различные соглашения) с этими работниками и другие локальные нормативные акты организации. Так, принимая на работу работников, в чью компетенцию будет входить работа с персональными данными, необходимо вносить в их трудовые договоры пункты о порядке работы с персональными данными, о соблюдении требований конфиденциальности, о прохождении работником соответствующего обучения и т. д. Работники должны быть ознакомлены под роспись со всеми должностными инструкциями и правилами, касающимися работы с конфиденциальными данными Куняев Н. Н. Конфиденциальное делопроизводство и защищенный электронный документооборот: учебник. Издательство: Логос, 2011. — 448 с.С. 73. .
Работодатель обязан проводить обучение и регулярный инструктаж этих работников по работе с автоматизированной информационной системой. В правилах внутреннего трудового распорядка или ином локальном нормативном акте (лучше всего — в специальном положении о персональных данных) должен быть закреплен порядок доступа сотрудников к конфиденциальным сведениям, порядок работы с ними и режим охраны этих сведений.
Словом, в локальном нормативном регулировании, касающемся прав и обязанностей как работника, так и работодателя, должен быть закреплен весь спектр мер, направленных на предупреждение возможности несанкционированного доступа, использования и разглашения персональных данных, а также дифференцированная система мер ответственности за нарушение соответствующих правил.
В России организационные и технические требования, предъявляемые к информационным системам персональных данных, закреплены в подзаконных актах Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности (ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора). Таким образом, организационное и техническое регулирование осуществляется не законодательными (более высокими по иерархии), а подзаконными актами. Такое подзаконное регулирование обширно, неустойчиво и противоречиво. Каждое ведомство «тянет одеяло на себя» и преследует прежде всего свой собственный интерес. Кроме того, система органов исполнительной власти постоянно находится в состоянии реформирования. Очевидно, что в условиях перманентной реорганизации ведомство не может эффективно работать. Все это говорит о том, что организационные и технические требования или хотя бы их некоторую часть целесообразнее было бы закрепить в законе, а не в подзаконном акте, как это сделано во многих европейских странахИванский В. П. Персональные данные как основной объект посягательств на неприкосновенность сферы частной жизни: законодательный опыт в зарубежных государствах // Административное право и процесс. 2012. N 8.С. 50 — 56. .
Статья 15 Закона о персональных данных регулирует вопрос о защите прав субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. По общему правилу прямые контакты с потенциальным потребителем — субъектом персональных данных с помощью средств электронной связи и с целью политагитации допускаются с предварительного согласия субъекта персональных данных. Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить обработку персональных данных субъекта по его требованию.
Согласно п. 7 ч.2 ст. 6 Закона о персональных данных от лиц, замещающих государственные должности, должности государственной гражданской службы, кандидатов на выборные государственные или муниципальные должности, не требуется согласия на опубликование их персональных данных в соответствии с федеральными законами.
Обобщая вышесказанное, нужно отметить, что в целом Закон о персональных данных установил лишь основные требования к порядку обеспечения конфиденциальности персональных данных. Однако некоторые важные вопросы, напрямую связанные с обеспечением конфиденциальности персональных данных, остались неурегулированными. К ним относятся вопрос вторичного использования персональных данных, проблема применения идентификаторов, вопрос о правилах работы закрытых информационных систем, вопрос об организационных основах деятельности операторов. В особом регулировании по-прежнему нуждается проблема обеспечения конфиденциальности (а также изъятий из нее) в условиях свободы СМИ.
2. Особенности защиты персональных данных
2.1 Субъект и объект защиты персональных данных работников
Начиная рассмотрение субъекта защиты персональных данных, сделаем небольшое уточняющее дополнение. Работник для целей настоящего исследования выступает как субъект персональных данных, который обладает определенными правами на защиту своих данных имеющихся у работодателя. В соответствии со ст. 89 ТК РФ работник имеет право на полную информацию о его персональных данных и обработке этих данных, на свободный бесплатный доступ к своим данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным закономМежуева Т. Личное дело сотрудника // Кадровый вопрос. 2011. N 7.С. 24 — 30. .
Субъектом защиты персональных данных работников выступает его работодатель, которому персональные данные работника вверяются в связи с исполнением последним трудовой функции, обусловленной трудовым договором, заключенным с работодателем.
Персональные данные субъектов персональных данных обрабатываются в различных целях, в том числе и в связи с трудовыми отношениями. В таком случае работодатель является оператором, осуществляющим обработку персональных данных работника.
Защите персональных данных работника в Трудовом кодексе РФ уделено незначительное внимание — всего лишь шесть статей. Однако существуют иные нормативные правовые акты, к которым работодателю следовало бы обращаться при осуществлении обработки персональных данных работника.
Государственные органы, осуществляющие контроль и надзор за соблюдением трудового законодательства и законодательства в сфере информационных технологий, все более усиливают контроль над соблюдением работодателями законодательства по защите прав субъектов персональных данных, в связи с чем их также можно включить в число субъектов защиты персональных данных работников.
Защита персональных данных представляет собой комплекс организационных, правовых, технических и иных мероприятий по предотвращению (пресечению) любых нелегитимных (в ряде источников также — противозаконных) действий с целью несанкционированного доступа к персональным данным либо их несанкционированного, в т. ч. случайного, уничтожения, изменения, блокирования, копирования, предоставления или распространения Михайлов Ю. Новые требования к организации работы по защите персональных данных // Налоговый вестник: комментарии к нормативным документам для бухгалтеров. 2013. N 3.С. 55 — 62.. Соответствующие мероприятия осуществляются органами (лицами), в установленном порядке уполномоченными производить обработку персональных данных, которые именуются в законе операторами.
Таким образом, при соответствии работодателя как субъекта защиты персональных данных указанным требованиям, то есть в случае, если им осуществляется обработка персональных данных, он является оператором персональных данных.
Рассмотрим данный признак работодателя как субъекта защиты персональных данных подробнее.
Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты — физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно-оператор.
Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.
Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестреоператоров персональных данных на сайте Роскомнадзора: http://www.rsoc.ru/p582/p585/ и указать цель обработки персональных данных.
Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.
Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч.2 ст. 22 Федерального закона «О персональных данных» .
В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.
Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).
Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.
При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации субъект защиты персональных данных является их оператором и ему необходимо отослать в Роскомнадзор уведомление установленного образца.
Персональные данные — это термин, используемый в европейском законодательстве, который обозначает одновременно группу правоотношений и объект защитыПетрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. М.: Статут, 2011. 134 с.. Таким образом, объектом защиты выступают сами персональные данные о понятии, содержании и видах которых было сказано выше.
В плане определения персональных данных как объекта защиты со стороны работодателя существует настоятельная необходимость в их четком установлении и детализации с тем, чтобы регламентировать возможность их обработки не иначе как с письменного согласия субъекта персональных данных и только в ряде исключительных случаев (ч.2 ст.10).
2.2 Порядок деятельности работодателя по обработке персональных данных работников
Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. В противном случае, как уже было сказано, работодатель становится оператором персональных данных со всеми вытекающими из данного факта последствиями.
Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами. Согласие работника не требуется при получении в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информацииИличенков А. Обработка персональных данных работников без их согласия // Кадровик. Кадровое делопроизводство. 2013. N 5.С. 159 — 165. .
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Работники не должны отказываться от своих прав на сохранение и защиту тайны.
Кроме того, следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами.
Доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
Следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональными данными и ответственность лиц, их получающих. Например:
ь положение о персональных данных;
ь приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
ь обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
ь порядок хранения персональных данных Семенихин В. В. Ответственность организаций и их руководителей. 2-е изд., перераб. и доп. М.: ГроссМедиа, РОСБУХ, 2014. 985 с. .
Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись. Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должностной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.
В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.
3. Особенности ответственности за нарушение законодательства о защите персональных данных
3.1 Дисциплинарная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников
Разглашение персональных данных работника — новое для трудового законодательства основание для увольнения, введенное в действие ФЗ от 30 июня 2006 г. Помимо Трудового кодекса, отношения по использованию персональных данных работника регулируются ФЗ от 27 июля 2006 г. «О персональных данных», а также ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и защите информации» .
Трудовым законодательством на работодателя накладывается обязанность соблюдать меры по защите персональных данных работника (ст. 86 ТК). Доступ к персональным данным работника разрешен только специально уполномоченным лицам работодателя (работникам отдела кадров, бухгалтерии и др.). Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Их действия по разглашению персональных данных работника можно считать аморальным проступком.
Законодатель не ставит расторжение трудового договора с лицом, разгласившим персональные данные работника, в зависимость от наступления неблагоприятных последствий для работника. Достаточно самого факта разглашения персональных данных работника Дворецкий А. В. Защита персональных данных работника по законодательству Российской Федерации: Автореф. дис… канд. юрид. наук. Томск, 2005. .
Так, Московский областной суд в своем определении установил, что работодателем была выявлена периодическая рассылка работником, занимавшим должность начальника отдела по работе с персоналом, писем, содержащих персональные данные работников компании на почтовый адрес с размещением информации на сервере mail.ru. Дав правовую оценку фактическим обстоятельствам дела в совокупности с представленными сторонами в обоснование своих доводов и возражений доказательствами, суд пришел к выводу о том, что размещенная в результате неправомерных действий работника информация, содержащая персональные данные работников компании, стала доступна третьему лицу — обществу с ограниченной ответственностью «Мэйл. Ру», в связи с чем дисциплинарное взыскание в виде увольнения по подп. «в» п. 6 ч.1 ст. 81 ТК было применено к работнику правомерноОпределение Московского областного суда от 16 сентября 2010 г. по делу N 33−18 051. Документ не публиковался. Доступ из СПС «Консультант Плюс». .
Однако, возникает вопрос об ответственности работодателя за разглашение специалистом отдела кадров персональных данных работников. В связи с этим отметим, что за разглашение работником отдела кадров персональных данных других работников работодатель может быть привлечен к административной ответственности по ст. 13.11 Кодекса РФ об административных правонарушенияхКодекс Российской Федерации об административных правонарушениях от 30. 12.2001 N 195-ФЗ (ред. от 02. 04.2014, с изм. от 08. 04.2014) // Собрание законодательства РФ, 07. 01.2002, N 1 (ч. 1), ст. 1., в случае если будет доказана его вина. Также на работодателя может быть возложена обязанность возмещения морального и материального вреда работникам, чьи персональные данные распространены, что будет рассмотрено в следующем разделе настоящего исследования.
Рассмотрим и обоснуем высказанную позицию
Из п. 7 ст.86 Трудового кодекса РФ следует, что защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств.
Статья 88 ТК РФ устанавливает общее правило о запрете передачи персональных данных работника третьим лицам без письменного согласия работника. Таким образом, на работодателя возложена обязанность обеспечить сохранность персональных данных работника.
Согласно ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
В связи с разглашением специалистом отдела кадров персональных данных работника работодатель может нести административную ответственность, предусмотренную ст. 13.11 КоАП РФ.
В соответствии со ст. 13.11 КоАП РФ установлена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Тот факт, что персональные данные разглашены специалистом отдела кадров, не освобождает работодателя-организацию от административной ответственности. Частью 2 ст. 2.1 КоАП РФ предусмотрено, что юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.
Вина работодателя — индивидуального предпринимателя определяется в форме умысла или неосторожности по правилам ст. 2.2 КоАП РФ. Если индивидуальный предприниматель ознакомил специалиста отдела кадров с порядком обработки персональных данных и разъяснил недопустимость разглашения персональных данных третьим лицам, то он может избежать административной ответственности в связи с отсутствием вины в совершении административного правонарушения.
3.2 Материальная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников
Персональные данные работника могут быть отнесены к сведениям, составляющим служебную тайну. За разглашение сведений, составляющих охраняемую законом служебную тайнуИщейнов В. Я. Ответственность за разглашение документов, содержащих конфиденциальную информацию // Делопроизводство. 2012. N 4.С. 101 — 105., в случаях, предусмотренных федеральными законами, возможно привлечение работника к полной материальной ответственности (п. 7 ч.1 ст. 243 ТК РФ). Только проблема заключается в том, что ни Федеральный закон «О персональных данных», ни какой-либо другой федеральный закон не предусматривают случаев полной материальной ответственности за разглашение персональных данных работника. Поскольку в этом случае материальная ответственность предусмотрена только Трудовым кодексом РФ, представляется, что привлечение к материальной ответственности возможно только на общих основаниях, установленных Трудовым кодексом РФ Азаров Г. П. Материальная ответственность по трудовому праву // СПС КонсультантПлюс. 2011. .
Материальная ответственность работника наступает, если соблюдены следующие условия, изложенные в ст. 233 ТК РФ:
Имеется прямой действительный ущерб, подтвержденный соответствующими документами (доказательствами).
Имеется вина работника в причинении работодателю такого ущерба. Под виной здесь понимаются умысел или неосторожность в действиях сотрудника, которые привели к возникновению ущерба у работодателя. Умысел состоит в том, что работник знал (предполагал) о том, что в результате его действий работодателю будет нанесен прямой действительный ущерб. Неосторожность заключается в том, что сотрудник мог предполагать вероятность ущерба, но самонадеянно рассчитывал на предотвращение таких последствий либо вовсе не предвидел вреда.
Установлен факт совершения работником неправомерных действий (или бездействия), т. е. нарушающих нормы законодательства.
Существует причинная связь между действиями работника и возникшим у работодателя ущербом.
Возмещение ущерба производится независимо от привлечения работника к дисциплинарной, административной или уголовной ответственности (ч.6 ст. 248 ТК РФ). Закон позволяет конкретизировать материальную ответственность трудовым договором или заключаемыми в письменной форме соглашениями, прилагаемыми к нему. Но в таком случае договорная ответственность сотрудника перед работодателем не может быть выше, чем это предусмотрено ТК РФ и федеральными законами (ст. 232 ТК РФ).
Работодатель имеет право отказаться от взыскания причиненного ущерба как полностью, так и частично — такое право предоставлено ему ст. 241 ТК РФ. Тем не менее собственник имущества организации может ограничить такое право в установленных законодательством случаях. Показательный пример — Федеральный закон от 14.11.2002 № 161-ФЗ «О государственных и муниципальных унитарных предприятиях» Федеральный закон от 14. 11.2002 № 161-ФЗ (ред. от 28. 12.2013) «О государственных и муниципальных унитарных предприятиях» // Собрание законодательства РФ, 02. 12.2002, N 48, ст. 4746., в соответствии с пп.11 п. 1 ст.20 которого собственник имущества осуществляет контроль за использованием по назначению и сохранностью принадлежащего унитарному предприятию имущества.
Орган по рассмотрению трудовых споров вправе снизить размер взыскания во всех случаях, за исключением вреда, причиненного преступлением, совершенным в корыстных целях (ст. 250 ТК РФ). Согласно п. 16 Постановления Пленума ВС РФ от 16.11.2006 № 52 Постановление Пленума Верховного Суда РФ от 16. 11.2006 № 52 (ред. от 28. 09.2010) «О применении судами законодательства, регулирующего материальную ответственность работников за ущерб, причиненный работодателю» // Бюллетень Верховного Суда РФ, N 1, 2007. сумму возмещения могут уменьшить с учетом степени и формы вины, материального положения работника (заработной платы, иных основных и дополнительных доходов), его семейного статуса (количества членов семьи, наличия иждивенцев, удержания по исполнительным документам) и других обстоятельств.
Срок обращения работодателя с требованием о взыскании ограничен одним годом со дня обнаружения причиненного ущерба (ст. 392 ТК РФ). Если между сторонами имеется соглашение о добровольном возмещении, то срок отсчитывается с момента, когда работник должен был компенсировать ущерб либо внести очередной платеж по графику.
Работник и работодатель могут заключить соглашение о размере и порядке компенсации материального вреда работнику.
Кроме того, согласно ст. 238 ТК РФ работник, разгласивший персональные данные, обязан возместить работодателю причиненный прямой действительный ущерб. Под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Таким образом, если вред работнику был допущен по вине работника отдела кадров, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с п. 7 ч.1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
При наличии спора работник вправе обратиться с иском к работодателю в суд.
Заключение
Более позднее развитие науки информационного права было обусловлено особенностями развития нашего государства: во-первых, значительно более поздним распространением компьютерной техники; во-вторых, отсутствием сильных демократических традиций, относительно недавним избавлением от цензуры и обретением свободы СМИ.
Первоначально в российской системе права правовой институт защиты персональных данных складывался стихийно лишь постольку, поскольку являлся частью каких-либо иных общественных отношений, ставших предметом правового регулирования. Вопросы защиты персональных данных фрагментарно регулировались в основном отраслевым законодательством, например в рассматриваемом настоящим дипломным исследованием аспекте в отношении персональных данных работников — Трудовым кодексом РФ.
Персональными данными является любая информация, с помощью которой лицо можно определить (идентифицировать). Все персональные данные разделены законодателем на: персональные данные, сбор которых по общему правилу запрещен (специальные категории персональных данных); персональные данные, сбор которых осуществляется на основании предписания (обязывания) федеральных законов государственными и муниципальными органами (различные категории персональных данных, в том числе биометрические и специальные категории персональных данных); персональные данные, к сбору и обработке которых установлен дозволительный подход, т. е. они могут собираться с согласия субъекта персональных данных операторами и иными лицами (общедоступные персональные данные и другие персональные данные). Тем самым законодатель устанавливает различные правовые режимы для каждой категории персональных данных.
Между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, о которых говорилось выше, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность представить такую информацию, которая должна быть полной и достоверной.
Правовое регулирование оборота персональных данных должно развиваться в трех основных направлениях.
Первое направление, самое общее, связано с защитой конфиденциальности персональных данных в процессе социальной жизни индивида (взаимоотношения с государственными органами, профессиональная деятельность, брачно-семейные отношения, финансовая сфера, здравоохранение и медицина, получение нотариальных, адвокатских услуг и т. п.), т. е. с обработкой персональных данных операторами информационных систем персональных данных.
Второе направление связано с обеспечением конфиденциальности персональных данных личности в условиях свободы СМИ.
Третье направление — это правовые изъятия из общего режима конфиденциальности персональных данных, действующие во время избирательных кампаний и в иных случаях.
Субъектом защиты персональных данных работников выступает его работодатель, которому персональные данные работника вверяются в связи с исполнением последним трудовой функции, обусловленной трудовым договором, заключенным с работодателем.
Защита персональных данных представляет собой комплекс организационных, правовых, технических и иных мероприятий по предотвращению (пресечению) любых нелегитимных (в ряде источников также — противозаконных) действий с целью несанкционированного доступа к персональным данным либо их несанкционированного, в т. ч. случайного, уничтожения, изменения, блокирования, копирования, предоставления или распространения. Соответствующие мероприятия осуществляются органами (лицами), в установленном порядке уполномоченными производить обработку персональных данных, которые именуются в законе операторами.
Таким образом, при соответствии работодателя как субъекта защиты персональных данных указанным требованиям, то есть в случае, если им осуществляется обработка персональных данных, он является оператором персональных данных.
В плане определения персональных данных как объекта защиты со стороны работодателя существует настоятельная необходимость в их четком установлении и детализации с тем, чтобы регламентировать возможность их обработки не иначе как с письменного согласия субъекта персональных данных и только в ряде исключительных случаев.
За нарушение действующего законодательства в сфере использования и обработки персональных данных лица могут быть привлечены к гражданско-правовой, административной и уголовной ответственности. В трудовых правоотношениях особое значение отдано дисциплинарной и материальной ответственности.
На работодателя возложена обязанность обеспечить сохранность персональных данных работника. В связи с разглашением специалистом отдела кадров персональных данных работника работодатель может нести административную ответственность, предусмотренную ст. 13.11 КоАП РФ.
Список использованных источников
1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ) // Собрание законодательства РФ, 14.04.2014, N 15, ст. 1691.
2. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981) // СПС «Консультант Плюс» .
3. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ // Собрание законодательства РФ, 07.01.2002, N 1 (ч.1), ст. 3.
4. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 02.04.2014, с изм. от 08.04.2014) // Собрание законодательства РФ, 07.01.2002, N 1 (ч.1), ст. 1.
5. О персональных данных: Федеральный закон от 27.07.2006 N 152-ФЗ // Собрание законодательства РФ, 31.07.2006, N 31 (1 ч.), ст. 3451.
6. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 N 149-ФЗ // Собрание законодательства РФ, 31.07.2006, N 31 (1 ч.), ст. 3448.
7. О государственной дактилоскопической регистрации в Российской Федерации: Федеральный закон от 25.07.1998 N 128-ФЗ // Собрание законодательства РФ, 03.08.1998, N 31, ст. 3806.
8. О государственных и муниципальных унитарных предприятиях: Федеральный закон от 14.11.2002 № 161-ФЗ // Собрание законодательства РФ, 02.12.2002, N 48, ст. 4746.
9. Постановление Пленума Верховного Суда РФ от 16.11.2006 № 52 (ред. от 28.09.2010)" О применении судами законодательства, регулирующего материальную ответственность работников за ущерб, причиненный работодателю" // Бюллетень Верховного Суда РФ, N 1, 2007.
10. Определение Московского областного суда от 16 сентября 2010 г. по делу N 33−18 051. Документ не публиковался. Доступ из СПС «Консультант Плюс» .
11. Азаров Г. П. Материальная ответственность по трудовому праву // СПС КонсультантПлюс. 2011.
12. Амелин Р. В., Богатырева Н. В., Волков Ю. В., Марченко Ю. А., Федосин А. С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» (постатейный) // СПС КонсультантПлюс. 2013.
13. Бондаренко Э. Н., Иванов Д. В. Конфиденциальная информация в трудовых отношениях. — СПб.: Издательство «Юридический центр-Пресс», 2011. — 160 с.
14. Дворецкий А. В. Защита персональных данных работника по законодательству Российской Федерации: Автореф. дис. канд. юрид. наук. Томск, 2005.
15. Иванский В. П. Персональные данные как основной объект посягательств на неприкосновенность сферы частной жизни: законодательный опыт в зарубежных государствах // Административное право и процесс. 2012. N 8. С. 50 — 56.
16. Иличенков А. Обработка персональных данных работников без их согласия // Кадровик. Кадровое делопроизводство. 2013. N 5. С. 159 — 165.
17. Ищейнов В. Я. Ответственность за разглашение документов, содержащих конфиденциальную информацию // Делопроизводство. 2012. N 4. С. 101 — 105.
18. Киселев И. Я. Новый облик трудового права стран Запада (прорыв в постиндустриальное общество). М., 2003.
19. Куняев Н. Н. Конфиденциальное делопроизводство и защищенный электронный документооборот: учебник. Издательство: Логос, 2011. — 448 с.
20. Кухаренко Т. А. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» (постатейный) // СПС КонсультантПлюс. 2011.
21. Межуева Т. Личное дело сотрудника // Кадровый вопрос. 2011. N 7. С. 24 — 30.
22. Михайлов Ю. Новые требования к организации работы по защите персональных данных // Налоговый вестник: комментарии к нормативным документам для бухгалтеров. 2013. N 3. С. 55 — 62.
23. Научно-практический комментарий к Трудовому кодексу Российской Федерации (постатейный) / О. Н. Волкова, В. Л. Гейхман, И. К. Дмитриева и др.; отв. ред.В. Л. Гейхман. М.: Юрайт, 2012.815 с.
24. Петрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. М.: Статут, 2011.134 с.
25. Семенихин В. В. Ответственность организаций и их руководителей.2-е изд., перераб. и доп. М.: ГроссМедиа, РОСБУХ, 2014.985 с.
26. Соколова Г. А. Персональные данные работников // Кадровая служба и управление персоналом предприятия, 2007, N 7.
27. Тресков В. Персональные данные в новой обработке // ЭЖ-Юрист. 2014. N 4. С. 2.
28. Туркиашвили А. М. Защита персональных данных личности как информационная функция современного государства // Современный юрист. 2013. N 4 (Октябрь-Декабрь). С. 110 — 123.
29. Материалы официального сайта Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Электронный ресурс. URL: http://www.rsoc.ru/personal-data/portal/. Дата обращения 01.12.2014.