Ключевые правовые аспекты о персональных данных применительно к трудовым отношениям и правонарушения в этой сфере.
Нельзя обойти стороной обязательное международное право в сфере защиты информации о личности, включая персональные данные. Например, ст. 8 Европейской Конвенции о защите прав человека и основных свобод закреплен один из ключевых принципов уважения личной жизни, включая запрет на вмешательства, кроме действий в интересах безопасности и порядка и прочих указанных случаев.
Более того, Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных с рядом исключений по применению, установленным Россией в данном случае. Конвенция определяет персональные данные как любую информацию, касающуюся определенного или поддающегося определению физического лица ("субъект данных"); также ведено понятие "контролер файла" означает физическое или юридическое лицо, государственное ведомство, учреждение или любой другой орган, компетентный в соответствии с внутригосударственным правом решать, какова должна быть цель автоматизированного файла данных, какие категории персональных данных должны храниться или какие операции должны производиться с ними. Данная Конвенция применяется в государственном и частном секторах. Также указаны дополнительные гарантии и защита персональных данных.
В рамках ЕС, в который Россия еще не входит, существует как минимум одна директива, регулирующая рассматриваемый вопрос. В рамках международной межрегиональной организации СНГ также существует определенный порядок относительно защиты персональных данных в общем. В частности, Межпарламентской ассамблеей государств – участников СНГ 16 октября 1999г. принят всего лишь Модельный Закон «О персональных данных», который регулирует вопросы охраны персональных данных в широком смысле и неприменительно к трудовым правоотношениям. По закону «персональные данные» - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним.
Конституция России закрепляет принципы защиты и уважения прав человека (ст. 2), неприкосновенность частной жизни (ст. 23). Более того, ст. 24 Конституции РФ прямо устанавливает, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Основная часть норм, закрепляющих и детализирующих указанные принципы и разъясняющие ряд вопросов закреплены в Трудовом кодексе РФ. Например, трудовой договор может быть расторгнут по инициативе работодателя в связи с разглашением охраняемой законом тайны, включая разглашение персональных данных другого работника (п. в ст. 81 ТК РФ, далее - «ТК»). Под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 ТК). ФЗ «О персональных данных» детализирует персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу, включая его ФИО, дату рождения и место, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию.
Определение представляется неоднозначным в части соответствия вышестоящим источникам, так как место рождения, адрес, социальное и имущественное положение, доходы никак не влияют и не имеют отношение к трудоустройству, ведь факт приема на работу – это не аналогично действиям уполномоченных на то органов и лиц, и необходима именно так информации о работнике, которая может каким-либо образом затронуть деятельность компанииучреждения (при этом учитывая, что семья сотрудника может не знать о месте его работы в силу четкого понимания сотрудника его строго обязательства о неразглашении информации и соответствующей тайны). Более того, совершенно очевидно, что при поиске новой работы для работника важно повышение социального и имущественного уровня, на мой взгляд, наличие личного автомобиля, отдельного жилого помещения и другие социальные блага никак не относятся к выполнению трудовой функции работником и тем более, когда работник не ставит вопрос о предоставлении ему жилья и благ поверх обычной компенсации. Любой грамотный юрист будет применять в данном случае вышестоящий акт кодификации - ТК, а не последующий специальный закон, так как правило «последующий закон отменяет предыдущий относится к равнозначным по юридической силе правовым источникам» (и рассматривать любой кодифицированный источник как закон или его части как закон нельзя).
К сожалению, ТК использует понятие «работник» и распространяет действие положений об использовании и защите персональных данных на уже работника компании, что неверно и не полностью соответствует вышестоящим нормам права РФ (это должно касаться и кандидатов на прием на работу, и других лиц, чьи данные предоставлены или подлежат обработке, равно как и всей информации).
Указаны гарантии обработки персональных данных и их защиты, например, возможность получения персональных данных о работнике у третьих лиц только с письменного согласия работника, использование и обработка данных может осуществляться только в целях обеспечения законов и безопасности работников, защита этих данных и передача также с согласия работника и в исключительных случаях зачастую соответствующим лицам, запрет вмешательства и сбора данных о частной жизни работника и его убеждениях, взглядах и пр. ТК предоставляет работнику ряд прав в части обеспечения защиты его персональных данных (ст. 89 ТК), таких, как полное ознакомление и обработку данных, бесплатный доступ, требование об исключении и исправлении неполных иили неверных данных, обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Регулирование персональных данных также осуществлено в рамках Воздушного кодекса РФ в части данных пассажиров, государственных и муниципальных служащих в рамках соответствующего законодательства (данные вопросы могут быть рассмотрены отдельно, так как не относятся к контексту ответа теста).
Из относительных новшеств законодательства можно выделить следующее. 9 августа 2006 года вступил в силу новый ФЗ «Об информации, информационных технологиях и о защите информации» (далее - «ФЗ о защите информации»). Указанный закон затрагивает вопрос защиты информации вне зависимости от ее фиксации на материальном носителе и устанавливает возможность применения мер дисциплинарной, гражданско-правовой, административной или уголовной ответственности за нарушение норм об обороте информации. Закон не указывает на понятие персональных данных, тем не менее, регулирует вопросы оборота информации, включая ее поступления через телекоммуникационные сети и интернет, включая доступ к информации, к которой может относиться и личная информация и персональные данные. К информации относится сведения вне зависимости от формы предоставления, так, это могут быть и персональные данные, и факты прохождения интервью потенциальным работником, и его оценка другими лицами и так далее (разглашение и подобной на первый взгляд незначительной информации также может повлечь негативные ии крайне негативные последствия в частной и трудовой жизни лица).
26 января 2007 года вступил в силу ФЗ «О персональных данных» (далее - «ФЗ о персональных данных»). Устанавливаются новые требования к обработке персональных данных, их защите, предоставлению их субъектам специальными субъектами- операторами (государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных (т. е. производящих любые операции с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, распространение, блокирование, уничтожение).
При этом в целях обеспечения контроля за деятельностью операторов, предусматривается создание уполномоченного органа по защите прав субъектов персональных данных, который, будет вести реестр операторов, предпринимать меры по обеспечению соответствия обработки операторами персональных данных требованиям Закона о персональных данных. В отношении тех операторов, осуществляющих обработку данных до вступления в силу указанного закона в случае, если они будут продолжать осуществлять такую обработку после его вступления в силу, компании обязаны будут направить в уполномоченный орган уведомление об осуществлении такой деятельности не позднее 1 января 2008 года (за исключением случаев, прямо предусмотренных законом).
Закон также дополняет уже существующие нормы гарантиями конфиденциальности персональных данных, и возможностью создания общедоступных источников персональных данных (исключаются по требованию субъекта, по рению суда, иных уполномоченных органов).
Также существует ряд нижестоящих источников российского права, таких, как Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Правила ведения Единого государственного реестра индивидуальных предпринимателей и предоставления содержащихся в нем сведений, Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, и пр.
Ответственность. ТК и ФЗ «О персональных данных» предусматривает ответственность за нарушение норм об обработке и защите персональных данных работника как дисциплинарную и материальную, а также гражданско-правовую, административную, уголовную в законном порядке. Так, согласно ст. 391 ТК в судах рассматриваются индивидуальные трудовые споры о неправомерных действиях работодателя при обработке и защите персональных данных работника; а трудовой договор иили локальный нормативный акт может устанавливать детально дисциплинарную и материальную ответственность.
Что касается административной ответственности, то предусмотрено 3 административных состава:
ст. 13.11 КОАП определяет такой состав, как нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которое влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей; ст. 13.12 КОАП устанавливает ответственность за нарушение правил защиты информации (штрафы от 5 до 100 МРОТ в большинстве случаев) в отношении лиц, обладающих специальной лицензией на действия с данными, а также ответственность за незаконную деятельность в сфере защиты информации (ст. 13.13 КОАП). Уголовный кодекс определяет ответственность за нарушение неприкосновенности частной жизни, тайны переписки или иных сообщений в ст. 137, 138 УК, например. Международная Конвенция не предусматривает международной ответственности и отсылает к внутреннему национальному праву государств-участников, нормы которого об ответственности вышеизложены кратко, включая ответственность в сфере нарушений Конституции РФ.
В связи с приведенными ключевыми положениями о защите персональных данных можно привести следующие примеры и детально опишу ответственность. Например, сохранение чужих паролей, нарушение правил доступа к персональным данным другим сотрудником компании, разглашение личной информации.
Ответственность за это возможна в форме предупреждения или наложения административного штрафа на граждан в размере от трехсот до пятисот рублей; на юридических лиц (к примеру, когда компания в лице ее исполнительного органа раскрывает подобную информацию) - от пяти тысяч до десяти тысяч рублей (ст. 13.11 КОАП); а также такие действия могут рассматриваться как Занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), и влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой (ст. 13.13 КОАП).
Также это будет дисциплинарная и материальная ответственность, установленная трудовым договором или локальным нормативным актом компании (ст. 90 ТК).
Более того, подобные деяния повлекут уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия в виде штрафа в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев; при использовании служебного положения - в виде штрафа от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев. В случае, если нарушения повлекли нарушение тайны переписки, переговоров и иных сообщений, то они повлекут наказание в виде штрафа в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, при использовании служебного положения или специальных технических средств – в виде штрафа в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от двух до четырех месяцев.
Так, ответственность может быть реализована путем подачи иска в суд и возбуждении производства по делу в гражданском и уголовном порядке. При этом возможен и конституционный порядок ответственности по вышеприведенным ст. 2, 23, 24 Конституции России. После прохождения внутреннего порядка и при соблюдении конвенционных условий возможно обращение в ЕСППЧ (Европейский Суд по правам человека) в связи с нарушениями ст. 8 Европейской Конвенции.
Следует отметить и негативные фактические последствия разглашения личной информации сотрудника или кандидата на должность, что может и всегда влияет напрямую на его работу и ее оценку, влечет вмешательства в его частную жизнь и трудовую деятельность (как я уже указала выше, частная личная информация работника никоим образом не затрагивает его работу и осуществление трудовой функции, однако правовой нигилизм и вседозволенность, неоднозначность законодательных формулировок позволяет действовать и нарушать права доверчивых и добросовестных сотрудников и лиц, влекут зачастую неверное понимание и клевету, нарушения чести, достоинства и деловой репутации).
Более того, можно привести и настоящие примеры среди подобных нарушений. Так, в последнее время на “черном” рынке информации персонального характера увеличилось количество баз данных частных структур. В 2003 г. в продаже появилась база данных абонентов одного из лидеров российского рынка операторов сотовой связи "Мобильных ТелеСистем". Система поиска позволяет за несколько секунд получить полный список абонентов МТС, являющихся работниками того или иного предприятия. Абонентами МТС являются более 5 млн. человек. При этом информация о появлении данного диска на черном рынке в течении нескольких недель распространялась через Интернет. Соответствующие органы среагировать не успели или не смогли, однако журналисты одной российской газеты спокойно приобрели указанные диски в метро за 450 рублей.
Практически одновременно стало известно о самой масштабной утечке конфиденциальной информации. В Санкт-Петербурге в продажу поступила комбинированная база данных об абонентах крупнейших телефонных компаний города, в которой содержатся личные данные миллионов петербуржцев: адреса, номера паспортов, сотовых и домашних телефонов. Кроме того, на трех дисках содержится информация по состоянию на конец 2002 года обо всех абонентах Северо-Западного филиала ОАО "Мегафон" (1,3 млн записей), "Телекома XXI" (контролируется "Мобильными телесистемами" и работает под этой торговой маркой; 500 тыс.), "Дельты Телеком" (120 тыс. записей), FORA Communications (15 тыс. записей), а также "Северо-Западного Телекома" и "Петерстара" ( 2,5 млн. записей). Стоимость указанной базы данных составляет всего 1650 рублей.21
В офисах пострадавших компаний считают, что информация была украдена централизованно, через одну из правоохранительных структур. Как правило, связаться с лицами, реализующие базы данных, содержащих персональные данные, можно с помощью контактного телефона или e-mail. Данные примеры и другие можно посмотреть на сайте http://www.crime.vl.ru/index.php?p=1115&more=1&c=1&tb=1&pb=1.
Надеюсь, данная работа понравится всем и этот объект интеллекутальной деятельности отвечает реалиям любого рынка и права.
Любое копирование и цитирование в той или иной форме запрещены, подлежит последующей публикации.
