электронная
Бесплатно
печатная A5
258
12+
Персональные данные работников организации и их защита

Бесплатный фрагмент - Персональные данные работников организации и их защита

Учебное пособие

Объем:
88 стр.
Возрастное ограничение:
12+
ISBN:
978-5-4474-6183-6
электронная
Бесплатно
печатная A5
от 258
Купить по «цене читателя»

Скачать бесплатно:

Предисловие

В настоящее время вопрос обработки персональных данных находится в секторе внимания абсолютно любой организации. В текущих реалиях трудно найти организацию, которая не обрабатывала бы персональные данные своих сотрудников.

С момента заключения трудовых отношений хотя бы с одним гражданином, организация становится оператором персональных данных и, соответственно, принимает на себя обязанности по защите указанной информации, становится поднадзорной контролирующим органам, т.н. «регуляторам» (которых на сегодняшний день три).

В свою очередь, любой гражданин в процессе своей жизни вступает во взаимоотношения с различными физическими и юридическими лицами. В результате данного взаимодействия накапливаются данные о конкретном индивиде, начиная с простых (фамилии, имени, отчестве) и заканчивая специфическими (сведения о здоровье, сведения о судимости, биометрические данные). При этом, гражданин может не желать, чтобы эти сведения становились известными широкому кругу лиц. В целях защиты указанной информации используется специальный правовой режим персональных данных. Для обеспечения данного правового режима в 2006 году был принять отдельный Федеральный закон «О персональных данных». Периодически, в него вносятся поправки, касающиеся обработки персональных данных и принимаются новые подзаконные нормативно-правовые акты, направленные на конкретизацию его норм, так последние поправки вступили в силу в сентябре 2015 года.

Тем не менее, по прошествии уже почти 10 лет, у сотрудников служб информационной безопасности возникают трудности в применении действующих правовых норм, регулирующих данную сферу общественных отношений, в связи с чем и представляется целесообразным рассмотрение вопросов обработки персональных данных работников и их защиты.

Персональные данные как правовой институт

Понятие персональных данных: исторический и юридический аспект

Защита частной жизни имеет давнюю историю. Еще в дореволюционный период этот вопрос привлекал внимание ученых-юристов. Правовые нормы, являющиеся составной частью неприкосновенности частной жизни, относящиеся к неприкосновенности корреспонденции, уже имели место в Почтовом уставе 1857 г. и в Уставе о телеграфах 1876 г.

В советский период в Конституцию Союза ССР 1936 г. были включены нормы о неприкосновенности личности, жилища, переписки. Конституция СССР 1977 г. также содержала нормы о защите личной жизни граждан, о тайне переписки, телефонных переговоров и телеграфных сообщений. Однако правовые гарантии конституционного права граждан на неприкосновенность личной жизни были явно недостаточны, в порядке вещей было ограничение рассматриваемых прав [107].

Новый этап формирования института неприкосновенности частной жизни начался с принятой 22 ноября 1991 г. Декларации прав и свобод человека и гражданина (ст. 9), которая провозгласила право каждого на неприкосновенность частной жизни, тайну переписки, телефонных переговоров, телеграфных и иных сообщений. Принципиальным моментом было установление судебного порядка ограничения указанных прав.

Обозначенная линия неприкосновенности частной жизни прослеживается и в Конституции Российской Федерации 1993 г. (ст. ст. 23, 24). Статья 23 Конституции гарантирует каждому «право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Статья 24 установила запрет на «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия» [107].

Термин «персональные данные», тесно связанный с частной жизнью человека, появился в российском законодательстве в середине 1990-х, тогда же были определены основные черты правового режима персональных данных. Федеральным законом от 20 февраля 1995 г. №24-ФЗ «Об информации, информатизации и защите информации» (ныне утратил силу), персональные данные были отнесены к категории конфиденциальной информации, установлен запрет на сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

При этом содержание понятия «персональные данные» в указанном Федеральном законе не было раскрыто. Позже был издан Указ Президента Российской Федерации от 6 марта 1997 г. №188 (действующий на сегодняшний день), утвердивший Перечень сведений конфиденциального характера, согласно которому персональные данные «включают в себя сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность» [107].

Основы правового режима персональных данных, установленные в Федеральном законе «Об информации, информатизации и о защите информации», содержали ряд черт, характерных для европейской модели защиты персональных данных. Принципиальным различием, сохранившимся до настоящего времени, с европейской моделью правового регулирования является акцент на защиту информации персонального характера в отрыве от защиты прав субъектов персональных данных и их интересов. Указанный подход был реализован и в Федеральном законе от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») и принятых в его исполнение подзаконных актах.

В декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, взяв на себя тем самым обязательства привести национальное законодательство в соответствие с этой Конвенцией. В рамках данных обязательств были приняты упомянутый Федеральный закон «О персональных данных», который закрепляет общие принципы их охраны, а также ряд подзаконных актов. И хотя нормы названного Закона существенно не отличаются от норм Конвенции, подзаконными актами устанавливаются требования, которые не характерны для законодательства и практики других стран, подписавших Конвенцию [107].

Кроме того, следует учитывать, что европейское законодательство после принятия Конвенции активно развивалось и что страны Европейского союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями Директив 95/46/ЕС и 97/66/ЕС Европейского парламента и Совета Европы, согласно которым юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. Сбалансированность, в свою очередь, означает соразмерность, обоснованность и выполнимость этих требований. Именно этого недостает в ряде случаев российскому законодательству.

Понятие персональных данных содержалось ранее и в Трудовом кодексе РФ. Так, согласно ст. 85 ТК РФ персональные данные работника — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Данное определение конкретизировало общее понятие персональных данных применительно к сфере трудовых отношений и не противоречило ему.

В то же время, с принятием Федерального закона от 07.05.2013 №99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» ст. 85 ТК РФ утратила силу.

В действующей редакции Федерального закона «О персональных данных» (ст. 3) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение персональных данных появилось благодаря изменениям, внесенным в названный Закон 25 июля 2011 г. Первоначально под персональными данными понималась любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [108].

Таким образом, из определения исчезло лишь перечисление той информации, которая относится к персональным данным. Поскольку конструкция данной нормы представляла собой открытый перечень, то исключение этого перечня не повлекло особых изменений в существе понятия «персональные данные». Основной критерий остался прежним: относимость информации к конкретному лицу и возможность его идентификации.

По мнению ряда авторов (Амелин Р. В., Богатырева Н. В., Волков Ю. В., Марченко Ю. А., Федосин А. С.), конкретно указанные в законе атрибуты позволяли правоприменителям приходить к выводу, что простое сообщение фамилии, имени и отчества лица вне зависимости от контекста является распространением персональных данных. Новое же определение более точно соответствует положению ст. 2 Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108) (заключена в г. Страсбурге, 28 января 1981 г.), согласно которому персональной информацией признана любая информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных) [65].

Вместе с тем, по мнению Л. К. Терещенко, наличие такого перечня в первоначальной редакции Закона сыграло важную роль, поскольку давало представление о характере информации, отнесенной законодателем к персональным данным. Несмотря на то, что Федеральный закон «О персональных данных» содержит максимально широкое определение персональных данных, в практической деятельности нередко возникают проблемы с определением того, какая информация относится к персональным данным. Отсутствие перечня в отдельных случаях, в том числе и в судебной практике, позволяет по-разному толковать отнесение тех или иных категорий данных к персональным [108].

По мнению автора, широкое толкование и отсутствие перечня информации относящейся к персональным данным, порождают следующие два негативных момента: во-первых, непонимание операторов (организаций обрабатывающих персональные данные), что необходимо относить к персональным данным и, во-вторых, широкие возможности контролирующих органов по привлечению операторов к ответственности за непредоставление сведений об обработке персональных данных. Так в судебной практике имеются решения судов по спору между территориальными органами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и операторами персональных данных, в которых последним вменялось отсутствие в уведомлениях об обработке определенных категорий персональных данных. Представляется, что наличие умысла организаций на совершение указанных действий маловероятно.

Система законодательства о персональных данных

В теории права, система законодательства определяется как совокупность нормативно-правовых актов, находящихся в иерархическом и субординационном соотношениях друг с другом. Место каждого нормативного акта в данной системе зависит от его юридической силы, которая, в свою очередь, зависит от уровня органа, принявшего данный акт, и порядка его принятия.

В сфере обработки персональных данных существует следующая регулирующая данные правоотношения система нормативных правовых актов:

1. Конституция Российской Федерации и нормы международного права:

Конституция РФ принята на всенародном голосовании 12 декабря 1993 г. и является Основным Законом Российской Федерации. Конституция имеет высшую юридическую силу, прямое действие и применяется на всей территории РФ. Законы и иные правовые акты, принимаемые в РФ, не должны противоречить Конституции. Применительно к институту персональных данных Конституция РФ выступает основным гарантом реализации правовых норм его составляющих и соблюдения прав граждан в процессе их реализации.

Международные договоры Российской Федерации согласно ст. 5 Федерального закона от 15.07.1995 №101-ФЗ «О международных договорах Российской Федерации» наряду с общепризнанными принципами и нормами международного права являются составной частью правовой системы Российской Федерации.

Положения официально опубликованных международных договоров Российской Федерации, не требующие издания внутригосударственных актов для применения, действуют в Российской Федерации непосредственно. Для осуществления иных положений международных договоров Российской Федерации принимаются соответствующие правовые акты [65].

Часть 4 ст. 4 Федерального закона «О персональных данных» устанавливает приоритет международных договоров Российской Федерации в области регулирования отношений по обработке персональных данных, а именно: если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены российским законодательством, применяются правила международного договора. Указанная норма дублирует ч. 2 ст. 5 Федерального закона от 15.07.1995 №101-ФЗ.

Основными международными актами в области защиты персональных данных являются следующие:

— Всеобщая декларация прав человека, принятая на третьей сессии Генеральной Ассамблеи ООН Резолюцией 217А (III) от 10.12.1948, которая провозглашает, что никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств (ст. 12);

— Международный пакт о гражданских и политических правах (Нью-Йорк, 19.12.1966);

— Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108) (заключена в г. Страсбурге, 28 января 1981 г.).

В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Данная Конвенция была ратифицирована Федеральным законом от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» с отдельными заявлениями, а именно Российская Федерация заявила, что не будет применять Конвенцию к персональным данным [65]:

а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;

б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;

в) которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации.

Кроме того, Российская Федерация оставила за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

2. Собственно законодательство Российской Федерации в области обработки персональных данных включает в себя следующие нормативные правовые акты в порядке приоритета:

1) Федеральный закон «О персональных данных», осуществляющий непосредственное прямое регулирование правоотношений в области обработки персональных данных;

2) иные федеральные законы, определяющие случаи и особенности обработки персональных данных, а именно:

— Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федеральный закон от 03.04.1995 №40-ФЗ «О федеральной службе безопасности»;

— Федеральный закон от 07.07.2003 №126-ФЗ «О связи»;

— Федеральный закон от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»;

— Закон РФ от 21.07.1993 N 5485—1 «О государственной тайне»;

— Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

— Федеральный закон от 25.01.2002 №8-ФЗ «О Всероссийской переписи населения»;

— Федеральный закон от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

— Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;

— иные федеральные законы.

Часть норм, определяющих отдельные случаи регулирования обработки персональных данных, содержится в кодексах, которые также являются федеральными законами. Так, Семейный кодекс РФ содержит перечень персональных данных, подлежащих установлению в отношении лиц, желающих усыновить ребенка, установить в отношении него опеку (попечительство), либо взять ребенка в приемную семью (ст. 123 СК РФ). Глава 14 Трудового кодекса РФ (далее — ТК РФ) регулирует защиту персональных данных работника [65].

Ряд норм, содержащихся в Кодексе об административных правонарушениях РФ (КоАП РФ), Уголовном кодексе РФ (УК РФ), устанавливает ответственность за нарушение законодательства в области обработки персональных данных.

3. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам, касающимся обработки персональных данных. Указанные нормативные правовые акты по своей юридической силе являются подзаконными. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. Среди данной категории нормативных правовых актов, регулирующих отношения по обработки персональных данных, можно выделить [65]:

1) указы и распоряжения Президента Российской Федерации:

— Указ Президента РФ от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера»;

— Указ Президента РФ от 30.05.2005 №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;

— Указ Президента РФ от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

— распоряжение Президента РФ от 10.07.2001 №366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»;

2) акты Правительства Российской Федерации:

— Постановление Правительства РФ от 03.11.1994 №1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;

— Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

— Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— распоряжение Правительства РФ от 15.08.2007 №1055-р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»;

— Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Постановление Правительства РФ от 21.03.2012 №211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

3) нормативные правовые акты федеральных органов исполнительной власти:

— Приказ Министерства связи и массовых коммуникаций от 21.12.2011 №346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;

— Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 20.06.2012 №621 «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных»;

— Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 03.12.2012 №1255 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»;

— Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

— Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Приказ ФСБ России от 10 июля 2014 г. №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности».

4) акты органов местного самоуправления в пределах их полномочий (различные политики в области обработки персональных данных).

4. Локальные нормативные акты, регламентирующие порядок обработки персональных данных и их защиты в конкретной организации.

Таким образом, можно говорить о том, что институт персональных данных регламентирован достаточно большим набором нормативных актов. При этом, действующий на сегодняшний день Федеральный закон «О персональных данных» включает в себя достаточно большое количество положений закрепленных в нормах международного права.

Место института персональных данных в системе права РФ

Система права — совокупность правовых форм, внутренне упорядоченная по отношениям, обеспечивающим относительную самостоятельность и единство этой совокупности, которое выражается в ее интегральных, обеспечительных и координационных свойствах и функциях. Это определение, сформулированное А. Б. Ипатовым, охватывает существенные признаки, как системы права, так и ее подсистем: отраслей, подотраслей, институтов.

Структурными элементами системы права (подсистемами) являются: отрасль, подотрасль, институт, субинститут и норма права.

Вопрос о том, какое место в системе права занимает институт персональных данных, является на сегодняшний день наименее изученным. Несмотря на важность данного института с практической точки зрения, сегодняшняя юридическая наука практически не имеет научных работ, посвященных его изучению.

Возможными причинами этого является то, что, во-первых, защита персональных данных многими понимается скорее как чисто техническая задача — защита от утечки, защита от несанкционированного доступа, от кражи и так далее. При таком понимании происходит смещение акцентов в чисто техническую область. Между тем защита персональных данных — это защита субъекта данных, то есть того лица, которое предоставляет свои персональные данные государственному органу либо частной организации, защита его прав [62].

Другой возможной причиной этого является то, что нормы регулирующие обработку персональных данных принято считать частью института неприкосновенности частной жизни.

Одна из основных идей, которая имеет место во многих исследовательских работах, такова: права субъекта персональных данных — это юридическая конструкция, производная от прав человека, сконцентрированная в источниках международного права.

По мнению автора, необходимо различать два понятия — персональные данные и тайну частной жизни. Тайна частной жизни (личная и семейная тайна) — достаточно широкое понятие, не получившее точного нормативного закрепления и, в ряде случаев, охватывающее персональные данные. Тем не менее, отдельно взятые факты о лице, такие как фамилия, имя, отчество, место работы, адрес и т.п., а также сведения о большинстве повседневных событий, связанных с этим лицом, не всегда могут считаться тайной, поскольку по своему характеру эти сведения являются общедоступными и могут быть непроизвольно получены любым случайным лицом.

В понятие «частная жизнь» включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер. В противовес этому, персональные данные, как правило, являются своего рода идентификатором субъекта в человеческом обществе.

Институт тайны частной жизни защищает от умышленного вмешательства в личную жизнь, которое, как правило, выражается в нарушении тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, о чем прямо указано в Конституции Российской Федерации (ст. 23). Термин персональные данные, в свою очередь, тесно связан с понятием обработка. Обработка персональных данных начинается тогда, когда гражданин «свободно, своей волей и в своем интересе» (на что прямо указано в ч. 1 ст. 9 Федерального закона «О персональных данных») передает свои данные оператору для выполнения каких либо функций (например, заключение трудового договора) или делает их общедоступными (например, регистрируясь в социальных сетях).

В статье 5 Федерального закона «О персональных данных» указано, что целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Исходя из формулировки следует, что институт частной жизни является составной частью института персональных данных, причем тоже в некоторой его части.

В свете изложенного, представляется, что необходимо отграничивать институт персональных данных от института неприкосновенности частной жизни. Указанная точка зрения совпадает с точкой зрения таких ученых правоведов занимавшихся изучением института персональных данных как: Амелин Р. В., Богатырева Н. В., Волков Ю. В., Марченко Ю. А., Федосин А. С.

В теории права не сложилось однозначного подхода к определению критериев выделения структурных элементов системы права. В данном вопросе можно согласиться с теми авторами, которые допускают выделение наряду с главными основаниями деления (предмет и метод регулирования) еще и дополнительные (отраслевые принципы, функции регулирования и др.). Этот подход учитывает объективность влияния на систему права общественных отношений, от которых право как средство социального регулирования не может не зависеть [89; 111].

К признакам института права С. С. Алексеев относит: самостоятельность регулятивного воздействия на определенные общественные отношения; юридическую однородность норм, выраженную в специфической группе понятий, общих положений, терминов; своеобразие юридической конструкции, которое выражается в следующем: наличие комплекса «равноправных» нормативных предписаний, юридическая разнородность предписаний, наличие устойчивых закономерных связей, создающих из отдельных предписаний специфическую юридическую конструкцию [63].

Е. А. Киримова называет следующие признаки правового института как структурного элемента системы права: относительная самостоятельность; специфичность способа правового регулирования; наличие или принципиальная возможность формирования общих понятий в рамках видовых явлений [83].

Опираясь на теорию права можно провести анализ института персональных данных.

Так, предметом указанного института являются общественные отношения, связанные с обработкой персональных данных осуществляемой государственными и муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации (средств вычислительной техники), в том числе в информационно-телекоммуникационных сетях, или без использования средств автоматизации, а также их защитой от неправомерного доступа, уничтожения или блокирования (конфиденциальность, целостность и доступность информации).

Указанный институт содержит разветвленный понятийный аппарат. Так, в частности, статья 3 Федерального закона «О персональных данных» содержит в себе такие дефиниции как: «персональные данные», «оператор», «обработка персональных данных», «автоматизированная обработка персональных данных», «обезличивание персональных данных», «информационная система персональных данных», «трансграничная передача персональных данных» и т. п.

Кроме того, указанная сфера жизнедеятельности на сегодняшний день является относительно обособленной и имеет целый арсенал источников, содержащих в себе как нормы материального права (федеральные законы) так и нормы процессуального права (подзаконные нормативные акты) предписывающие процедуры, которые обязан провести оператор персональных данных по защите обрабатываемой им информации.

Статья 5 Федерального закона «О персональных данных» содержит принципы и условия обработки персональных данных. Анализ указанных принципов и иных норм, содержащихся в указанном Федеральном законе и изданных в соответствии с ним подзаконных нормативных актов позволяет сделать вывод о том, что для данного института характерен преимущественно императивный метод правового регулирования.

Таким образом, очевидно, что рассмотренная выше совокупность правовых норм, регулирующих общественные отношения, связанные с обработкой персональных данных и их защитой имеет все присущие самостоятельному правовому институту отличительные черты.

Для определения места данного института в системе права Российской Федерации следует обратиться к классификации. Как известно, существует деление права на частное и публичное, материальное и процессуальное.

Проведенный выше анализ показывает, что институт персональных данных относится к публичной отрасли права. В то же время, нормы данного института находят свое отражение и в такой традиционно отнесенной к частному праву отрасли как трудовое (главе 14 ТК РФ).

Таким образом, очевидно, что указанный правовой институт регулирует общественные отношения, относящиеся к нескольким отраслям права, т.е. находящиеся на стыке отраслей, поэтому, по мнению автора, указанный правовой институт следует рассматривать как межотраслевой.

С практической точки зрения, важность института персональных данных заключается в том, что:

Во-первых, любое физическое лицо является носителем (субъектом) персональных данных, интересы которого связаны с тем, что «принадлежащие» ему персональные данные не должны распространяться произвольным образом и должна обеспечиваться их защита.

Во-вторых, любое юридическое лицо с момента вступления в трудовые отношения хотя бы с одним работником становится оператором персональных данных, на которого возлагается обязанность по обеспечению конфиденциальности, целостности и доступности указанных данных, а также ответственность за нарушения законодательства о персональных данных.

С учетом изложенного, представляется, что особенности обработки персональных данных необходимо рассматривать в разрезе обработки персональных данных работников и их защиты. Рассмотрению указанной проблематики и будут посвященные следующие 2 главы.

Нормативно-правовое обеспечение защиты персональных данных работника

Общие условия обработки персональных данных работников

В соответствии со ст. 3 Федерального закона «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ст. 5 Федерального закона «О персональных данных» при обработке персональных данных должны соблюдаться следующие принципы:

1) обработка должна осуществляться на законной и справедливой основе;

2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только те персональные данные, которые отвечают целям обработки;

5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;

6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях — актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться действующим законодательством;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

Бесплатный фрагмент закончился.
Купите книгу, чтобы продолжить чтение.
электронная
Бесплатно
печатная A5
от 258
Купить по «цене читателя»

Скачать бесплатно: