1. В статье установлены общие принципы, лежащие в основе обработки персональных данных работодателем или его представителем, определены цели обработки персональных данных работника: соблюдение законов, иных нормативных правовых актов, содействие в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.
Реализуя общие требования, предъявляемые к обработке персональных данных, закрепленные в ст. 86, работодатель основывается на принципах обработки персональных данных, закрепленных в ст. 5 Закона о персональных данных: законности целей и способов обработки персональных данных и добросовестности; соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора (применительно к трудовым отношениям под оператором следует понимать работодателя); соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Законом об индивидуальном учете предусмотрено, что целями индивидуального (персонифицированного) учета являются: создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица; обеспечение достоверности сведений о стаже и заработке (доходе), определяющих размер трудовой пенсии при ее назначении; создание информационной базы для реализации и совершенствования пенсионного законодательства РФ, а также для назначения трудовых пенсий на основе страхового стажа застрахованных лиц и их страховых взносов; развитие заинтересованности застрахованных лиц в уплате страховых взносов в Пенсионный фонд РФ; создание условий для контроля за уплатой страховых взносов застрахованными лицами; информационная поддержка прогнозирования расходов на выплату трудовых пенсий, определения тарифа страховых взносов в Пенсионный фонд РФ, расчета макроэкономических показателей, касающихся обязательного пенсионного страхования; упрощение порядка и ускорение процедуры назначения трудовых пенсий застрахованным лицам (ст. 3 Закона).
Закон о занятости закрепил обязанность работодателя при принятии решения о ликвидации организации, сокращении численности или штата работников организации и возможном расторжении трудовых договоров с работниками в письменной форме сообщить об этом в органы службы занятости не позднее чем за 2 месяца до начала проведения соответствующих мероприятий и указать должность, профессию, специальность и квалификационные требования к ним, условия оплаты труда каждого конкретного работника, а в случае, если решение о сокращении численности или штата работников организации может привести к массовому увольнению работников, — не позднее чем за 3 месяца до начала проведения соответствующих мероприятий (ст. 25 Закона).
Работодатель вправе подвергать обработке персональные данные работников с целью формирования кадрового резерва организации.
2. Персональные данные получают отражение в личном деле муниципального служащего.
На муниципального служащего заводится личное дело, к которому приобщаются документы, связанные с его поступлением на муниципальную службу, ее прохождением и увольнением с муниципальной службы. Личное дело муниципального служащего хранится в течение 10 лет. При увольнении муниципального служащего с муниципальной службы его личное дело хранится в архиве органа местного самоуправления, избирательной комиссии муниципального образования по последнему месту муниципальной службы. При ликвидации органа местного самоуправления, избирательной комиссии муниципального образования, в которых муниципальный служащий замещал должность муниципальной службы, его личное дело передается на хранение в орган местного самоуправления, избирательную комиссию муниципального образования, которым переданы функции ликвидированных органа местного самоуправления, избирательной комиссии муниципального образования, или их правопреемникам. Ведение личного дела муниципального служащего осуществляется в порядке, установленном для ведения личного дела государственного гражданского служащего (ст. 30 Закона о муниципальной службе).
В муниципальных образованиях в соответствии с муниципальными правовыми актами может создаваться кадровый резерв для замещения вакантных должностей муниципальной службы (ст. 33 Закона о муниципальной службе).
3. Статья закрепляет, что все персональные данные должны быть получены у самого работника. Так, лицо, претендующее на должность судьи, согласно ст. 5 Закона о статусе судей вправе обратиться в соответствующую квалификационную коллегию судей с заявлением о рекомендации его на вакантную должность судьи.
Помимо указанного заявления в квалификационную коллегию судей представляются: подлинник документа, удостоверяющего личность претендента как гражданина Российской Федерации, или его копия; анкета, содержащая биографические сведения о претенденте; подлинник документа, подтверждающего юридическое образование претендента, или его заверенная копия; подлинники трудовой книжки, иных документов, подтверждающих трудовую деятельность претендента, или их копии; документ об отсутствии у претендента заболеваний, препятствующих назначению на должность судьи; сведения о результатах сдачи квалификационного экзамена; характеристики с мест работы (службы) за последние 5 лет трудового (служебного) стажа, а в случае работы (службы) в течение указанного срока (полностью или частично) не по юридической специальности также с мест работы (службы) по юридической специальности за последние 5 лет такой работы (службы). Характеристика должна быть выдана претенденту на должность судьи в течение 7 дней со дня его обращения; сведения о доходах претендента, об имуществе, принадлежащем ему на праве собственности, и обязательствах имущественного характера претендента, а также сведения о доходах супруга (супруги) и несовершеннолетних детей претендента, об имуществе, принадлежащем им на праве собственности, и обязательствах имущественного характера супруга (супруги) и несовершеннолетних детей претендента по форме согласно приложениям 1 и 2 к Закону о статусе судей.
Квалификационная коллегия судей организует проверку достоверности указанных документов и сведений. При этом квалификационная коллегия судей вправе обратиться с требованием о проверке достоверности представленных ей документов и сведений в соответствующие органы, которые обязаны сообщить о результатах проверки в установленный коллегией срок, но не позднее чем через 2 месяца со дня поступления указанного требования.
4. Закон о персональных данных выделяет специальную категорию персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, обработка которых не допускается, за исключением случаев, если: 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; 2) персональные данные являются общедоступными; 3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, получение согласия субъекта персональных данных невозможно; 4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну, и в других случаях (см. ст. 10).
5. Данные о частной жизни работника (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений), связанные с вопросами трудовых отношений, могут быть получены и обработаны работодателем только с письменного согласия работника. Например, является ли женщина одинокой матерью, имеет ли ребенка-инвалида в возрасте до 18 лет.
При приеме на работу, заключении трудового договора, заполнении анкетных данных работодатель не вправе получать и обобщать информацию о религиозных убеждениях работника, членстве в общественных объединениях, профсоюзной организации.
Решение ряда вопросов в соответствии с положениями ТК (например, ст. 82) требует учета работодателем мотивированного мнения выборного органа первичной профсоюзной организации при расторжении трудового договора с членом профсоюза в случаях сокращения численности или штата работников (п. 2 ч. 1 ст. 81 ТК), несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации (п. 3 ч. 1 ст. 81 ТК), неоднократного неисполнения работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание (п. 5 ч. 1 ст. 81 ТК). Из этого следует, что работодатель вправе располагать информацией о членстве работника в профессиональном союзе, поскольку его увольнение по вышеназванным основаниям требует выполнения определенного порядка.
6. Принятие работодателем решений с учетом персональных данных работника не может быть основано только на использовании информации, полученной при их автоматизированной обработке или посредством электронного получения. Работодатель учитывает деловые качества работника, его добросовестный и эффективный труд.
О том, что понимается под деловыми качествами работника, см. коммент. к ст. 64.
7. На основании ст. 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (СЗ РФ. 2006. N 31 (ч. I). Ст. 3448) защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. Обладатель информации, которым является работодатель, обязан обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации.
8. Закон о персональных данных, устанавливая меры по обеспечению безопасности персональных данных при их обработке, указывает, что оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в т.ч. использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (ст. 19).
9. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17 ноября 2007 г. N 781 (СЗ РФ. 2007. N 48 (ч. II). Ст. 6001) (далее — Положение от 17 ноября 2007 г. N 781), устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах (п. 1 Положения от 17 ноября 2007 г. N 781).
Безопасность персональных данных достигается путем исключения несанкционированного, в т.ч. случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в т.ч. шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе (п. 2 Положения от 17 ноября 2007 г. N 781).
Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора (п. 3 Положения от 17 ноября 2007 г. N 781).
Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства (п. 6 Положения от 17 ноября 2007 г. N 781).
Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств (п. 7 Положения от 17 ноября 2007 г. N 781).
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц (п. 8 Положения от 17 ноября 2007 г. N 781).
Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий (п. 9 Положения от 17 ноября 2007 г. N 781).
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее — уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе (п. 10 Положения от 17 ноября 2007 г. N 781).
При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных (п. 11 Положения от 17 ноября 2007 г. N 781).
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или к другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты персональных данных (п. 12 Положения от 17 ноября 2007 г. N 781).
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных (п. 13 Положения от 17 ноября 2007 г. N 781).
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом (п. 14 Положения от 17 ноября 2007 г. N 781).
Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных выше, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица (п. 15 Положения от 17 ноября 2007 г. N 781).
При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин (п. 16 Положения от 17 ноября 2007 г. N 781).
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий (п. 19 Положения от 17 ноября 2007 г. N 781).
10. К мерам по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, относятся:
обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (п. 13 Положения от 15 сентября 2008 г. N 687);
необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях (п. 14 Положения от 15 сентября 2008 г. N 687);
при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором (п. 15 Положения от 15 сентября 2008 г. N 687).
11. Закон о персональных данных, определяя обязанности оператора, устанавливает, что он вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных (на основании ст. 23 Закона таким органом является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) обработку персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения (ст. 22).
12. Основные принципы защиты данных личного характера получили закрепление в Конвенции Совета Европы N 108 «О защите частных лиц в отношении автоматизированной обработки данных личного характера». (Страсбург, 28 января 1981 г.) (Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М., 1998. С. 106 — 114).
Эти принципы отражают требования, предъявляемые к:
качеству данных (получены и обработаны законным путем, зарегистрированы с определенной и законной целью и не используются вразрез с этой целью и др.);
особым категориям данных (данные личного характера, отражающие расовое происхождение, политические убеждения, религиозные верования или другие принципы, а также относящиеся к здоровью или сексуальной жизни, подлежат автоматизированной обработке только в том случае, если законодательство предоставляет надлежащие гарантии; аналогичное правило применяется относительно данных личного характера, связанных с уголовным осуждением);
безопасности данных (приняты надлежащие меры безопасности для защиты данных личного характера, зарегистрированных в автоматизированных картотеках, от случайного или неразрешенного разрушения или от случайной утери, а также от неразрешенных доступа к ним, изменения или распространения);
дополнительным гарантиям для лица (любое лицо должно иметь возможность: узнать о существовании автоматизированной картотеки данных личного характера, ее цели; получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме; требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений законодательства, и т.д.).
Россия ратифицировала Конвенцию (Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» (СЗ РФ. 2005. N 52. Ч. I. Ст. 5573)) со следующими заявлениями:
1) Российская Федерация заявляет, что не будет применять Конвенцию к персональным данным: а) обрабатываемым физическими лицами исключительно для личных и семейных нужд; б) отнесенным к государственной тайне в порядке, установленном законодательством РФ о государственной тайне;
2) Российская Федерация заявляет, что будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
3) Российская Федерация заявляет, что оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
13. Защите персональных данных работников посвящен Кодекс практики по защите личных данных о работнике, разработанный экспертами МОТ и официально одобренный Административным советом в 1996 г. (см.: Киселев И.Я. Сравнительное и международное трудовое право. М., 1999. С. 510 — 513). Отметим, что основные положения названного Кодекса получили отражение в ст. ст. 86, 88, 89 ТК. Вместе с тем ряд положений Кодекса, не получивших непосредственного текстуального закрепления в ТК, также подлежит использованию работодателем, что обеспечивает действенную гарантию защиты персональных данных работника. К ним относятся: сбор личных данных работника не должен вести к его дискриминации; личные данные работника не должны использоваться для контроля за его поведением; все лица, имеющие доступ к личным данным, обязаны хранить тайну информации; полиграфы и иное оборудование для определения правдивости ответов не должны применяться; в случае медицинского обследования работника работодатель должен быть информирован только о тех выводах, которые относятся к вопросу о возможности выполнения работником возложенной на него трудовой функции, выводы не должны содержать информацию медицинского характера, за исключением указаний на пригодность или медицинских противопоказаний к предлагаемой работе, и др.
Персональные данные работника относятся к конфиденциальной информации. На работодателя возлагается обязанность обеспечить их защиту от неправомерного использования или утраты.
14. На работодателя возлагается обязанность при приеме на работу до заключения трудового договора знакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, коллективным договором (ч. 3 ст. 68 ТК). Таким образом, до заключения трудового договора работнику становятся известными правила, определяющие порядок обработки персональных данных работников у данного работодателя, права и обязанности работодателя при обработке персональных данных, права работников, обеспечивающих защиту персональных данных, и др.
15. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании паспорта, свидетельств о рождении, о браке, о расторжении брака и других документов. При необходимости изменяются данные об образовании, профессии, специальности. Если работнику в период работы присваивается новый разряд (класс, категория и т.п.), то об этом производится соответствующая запись в трудовой книжке.
При утрате страхового свидетельства государственного пенсионного страхования работник в течение месяца со дня утраты обязан обратиться к работодателю для его восстановления (ст. 7 Закона об индивидуальном учете).
16. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального ущерба.
О материальной ответственности работодателя перед работником см. коммент. к гл. 38.
17. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители вырабатывают совместные меры защиты персональных данных работников, которые получают отражение в локальных нормативных актах организации — коллективном договоре, правилах внутреннего трудового распорядка (например, недопустимость хранения определенной информации о работниках на компьютерах, к которым имеется свободный доступ).