Комплексный правовой режим защиты персональных данных

Статья 86 Трудового кодекса Российской Федерации (далее - ТК РФ) регламентирует, что в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

- обработка  персональных данных работника  может осуществляться исключительно  в целях обеспечения соблюдения  законов и иных нормативных  правовых актов, содействия работникам  в трудоустройстве, обучении и  продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- при определении  объема и содержания обрабатываемых  персональных данных работника  работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами;

- все персональные данные  работника следует получать у  него самого. Если персональные  данные работника возможно получить  только у третьей стороны, то  работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

- работодатель не имеет  права получать и обрабатывать  персональные данные работника  о его политических, религиозных  и иных убеждениях и частной  жизни. В случаях, непосредственно  связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

- работодатель не имеет  права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;

- при принятии решений,  затрагивающих интересы работника,  работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

- защита персональных  данных работника от неправомерного  их использования или утраты  должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;

- работники и их представители  должны быть ознакомлены под  роспись с документами работодателя, устанавливающими порядок обработки  персональных данных работников, а также об их правах и обязанностях в этой области (например, Постановление ФАС Московского округа от 27 ноября 2006 г. по делу N КА-А40/11424-06⁶);

- работники не должны  отказываться от своих прав  на сохранение и защиту тайны;

- работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

При передаче персональных данных работника работодатель должен соблюдать следующие требования, закрепленные в ст. 88 ТК РФ:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (обязательно смотрите Постановление ФАС Московского округа от 14 января 2010 г. N КА-А40/14463-09 по делу N А40-38438/09-17-269⁷);

- не сообщать персональные  данные работника в коммерческих  целях без его письменного  согласия;

- предупредить лиц, получающих  персональные данные работника,  о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Отметим, что данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;

- осуществлять передачу  персональных данных работника  в пределах одной организации,  у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

- разрешать доступ к  персональным данным работников  только специально уполномоченным  лицам, при этом указанные лица  должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию  о состоянии здоровья работника,  за исключением тех сведений, которые относятся к вопросу  о возможности выполнения работником трудовой функции;

- передавать персональные  данные работника представителям  работников в порядке, установленном  ТК РФ и иными федеральными  законами, и ограничивать эту  информацию только теми персональными  данными работника, которые необходимы  для выполнения указанными представителями их функций.

Права работников в целях  обеспечения защиты персональных данных, хранящихся у работодателя, регламентированы ст. 89 ТК РФ.

Так, в целях обеспечения  защиты персональных данных, хранящихся у работодателя, работники имеют право на:

- полную информацию об  их персональных данных и обработке  этих данных;

- свободный  бесплатный доступ к своим  персональным данным, включая право  на получение копий любой записи, содержащей персональные данные  работника, за исключением случаев,  предусмотренных федеральным законом;

- определение  своих представителей для защиты  своих персональных данных;

- доступ к  относящимся к ним медицинским  данным с помощью медицинского  специалиста по их выбору;

- требование  об исключении или исправлении  неверных либо неполных персональных  данных, а также данных, обработанных  с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование  об извещении работодателем всех  лиц, которым ранее были сообщены  неверные или неполные персональные  данные работника, обо всех  произведенных в них исключениях, исправлениях или дополнениях;

- обжалование  в суд любых неправомерных  действий или бездействия работодателя  при обработке и защите их  персональных данных.

Статья 24 Закона N 152-ФЗ устанавливает, что лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его  прав, нарушения правил обработки  персональных данных, установленных данным Законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу ст. 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (смотрите ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, ст. 137 Уголовного кодекса Российской Федерации).

 

3. Обработка персональных данных не работодателем

 

Оператором  может выступать государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Глава 2 Закона "О персональных данных" носит  название "Принципы и условия  обработки персональных данных".

Согласно ст. 5  Закона обработка персональных данных должна осуществляться на законной и справедливой основе.

Она должна ограничиваться достижением конкретных, заранее  определенных и законных целей. Не допускается  обработка персональных данных, несовместимая  с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Обработке подлежат только персональные данные, которые  отвечают целям их обработки.

Содержание  и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке  персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных либо неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Статья 6 Закона "О персональных данных" регламентирует условия обработки персональных данных.

Обработка персональных данных должна осуществляться с соблюдением  принципов и правил, предусмотренных Законом. Обработка персональных данных допускается в следующих случаях:

- обработка  персональных данных осуществляется  с согласия субъекта персональных  данных на обработку его персональных  данных;

- обработка  персональных данных необходима  для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка  персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка  персональных данных необходима  для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

- обработка  персональных данных необходима  для исполнения договора, стороной  которого либо выгодоприобретателем  или поручителем по которому  является субъект персональных  данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка  персональных данных необходима  для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка  персональных данных необходима  для осуществления прав и законных  интересов оператора или третьих  лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка  персональных данных необходима  для осуществления профессиональной  деятельности журналиста и (или)  законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

- обработка  персональных данных осуществляется  в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Закона "О персональных данных" ("Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации"), при условии обязательного обезличивания персональных данных;