Фрагмент для ознакомления
2
1. Теоретические основы правовой защиты персональных данных
1.1. Понятие и правовая база защиты персональных данных
Вопросы защиты персональных данных приобретают особую значимость в современном обществе, характеризующемся стремительным ростом информационных технологий и расширением масштабов цифрового пространства. Обеспечение конфиденциальности личной информации становится одним из ключевых направлений правового регулирования, учитывая возросшие угрозы злоупотреблений и нарушений частных прав граждан.
Основная задача настоящего раздела заключается в изучении сущности и структуры института защиты персональных данных, раскрытии основных принципов и методов их защиты, предусмотренных российским законодательством. Особое внимание уделено рассмотрению Федерального закона № 152-ФЗ «О персональных данных» [2], являющегося центральным актом в рассматриваемом направлении.
Также важно подчеркнуть взаимосвязь международного опыта и национального законодательства в области защиты персональных данных, что позволит сформировать целостное представление о функционировании соответствующей правовой инфраструктуры в Российской Федерации.
Понятие персональных данных охватывает широкий спектр информации, которая относится к конкретной личности или группе лиц и может использоваться для идентификации конкретного физического лица. Данное определение регулируется отечественным законодательством, главным образом Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» [2]. Рассмотрим подробнее ключевые моменты и классификации персональных данных.
Согласно российскому законодательству, персональные данные определяются как любые сведения, прямо или косвенно относящиеся к установленному или устанавливаемому физическому лицу (субъекту персональных данных). Под прямыми признаками подразумеваются сведения, позволяющие однозначно установить субъекта данных (ФИО, паспортные данные, ИНН); косвенными признаются характеристики, способные привести к идентификации, но сами по себе не раскрывающие идентичность (номер телефона, электронная почта, IP-адрес).
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации в документационном обеспечения. По мнению Е.А. Степанова: «интеграция Российской Федерации в мировое сообщество, глобализация экономических и социальных процессов, появление новых угроз обусловили активизацию международного информационного обмена, в том числе, и обмена персональными данными населения» [8].
Закон различает два вида информации относительно характера её содержания и важности для защиты:
Общедоступные персональные данные — это сведения, которые свободно предоставляются самим лицом, публично известны и легко доступны третьим лицам. Их распространение разрешено самим субъектом данных и не влечет дополнительной защиты. Однако, несмотря на доступность, субъекты вправе требовать удаления или прекращения распространения данных, если это нарушает их права и свободы [5].
Как отмечает М.А. Лапина: «информационное право есть комплексная отрасль права, имеющая свой особый предмет правового регулирования – информационные отношения и использующая весь набор традиционных методов правового регулирования в пределах одной предметной отрасли» [7].
Специальные категории персональных данных — включают особо чувствительную информацию, такую как расовая или этническая принадлежность, здоровье, интимная жизнь, биометрия, политическая ориентация, философские и религиозные убеждения. Эти данные обладают повышенной степенью чувствительности и требуют специальной защиты вследствие потенциального ущерба, вызванного нарушением конфиденциальности.
Биометрические персональные данные — данные, полученные путём измерений физиологических характеристик тела человека (отпечатки пальцев, радужная оболочка глаза, голос и ДНК-образцы). Такие данные часто используются для аутентификации личности и относятся к числу наиболее защищаемых категорий информации.
Особый интерес вызывают специальные категории персональных данных, обработка которых должна осуществляться с соблюдением строгих условий. Закон запрещает обработку таких данных без согласия субъекта, кроме случаев, оговорённых специальными основаниями, такими как судебные решения, медицинские показания или профессиональная обязанность работодателя.
Конституционная норма о праве на тайну частной жизни, охраняемую государством, подчеркнута статьей 23 Конституции РФ [1], а соответствующая гарантия предусмотрена статьей 24 той же Конституции [1]. Таким образом, специальный характер обработки персональных данных тесно увязан с защитой основополагающих гражданских прав и свобод.
Важно отметить, что российское законодательство учитывает международный опыт в области защиты персональных данных. Европейская Директива ЕС 95/46/ЕС, принятая в 1995 году, послужила примером при разработке отечественного законодательства, гарантирующего высокий уровень защиты индивидуальных прав граждан.
Классификация персональных данных важна не только для понимания существа вопроса, но и для правильной оценки рисков при их обработке. Различие между общедоступными и специальными данными влияет на объем обязанностей оператора, степень защищенности данных и возможные санкции за несоблюдение законодательства.
По словам обвиняемого И.А. Бачило, «все мы, осуществляя использование своего права как субъекты-граждане в отношениях с государством, становимся субъектами персональных данных, вследствие чего вопрос принятия юридических мер защиты нашей частной жизни, касающейся указанных сведений, становится актуальным ввиду незаконного использования этих персональных данных» [10].
Особо в гражданском обороте выделяются права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В связи с этим В.П. Тресков указывает, что «обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Подобный оборот персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
Например, обработка биометрических данных требует гораздо большего объема мероприятий по защите, включая техническую и организационную подготовку, наличие сертифицированных систем безопасности и ограниченный доступ к данным только для квалифицированного персонала.
Итак, понимание природы персональных данных и их классификация позволяют разработать эффективные меры защиты и предотвратить злоупотребления информацией, гарантируя гражданам юридически обоснованную защиту их прав и законных интересов.
Формирование современного законодательства о защите персональных данных прошло долгий путь, начиная с первых попыток урегулирования информационных процессов на международном уровне и заканчивая принятием национальных законов и адаптацией зарубежного опыта [6].
Первые предпосылки зарождения законодательства о защите персональных данных возникли в Европе вскоре после окончания Второй мировой войны, когда широкое внедрение компьютеров привело к осознанию потенциальных угроз конфиденциальности информации. Одним из первых шагов стала разработка международной Хартии Организации Объединённых Наций по праву на уважение личной жизни и семейной тайны, принятая Генеральной Ассамблеей ООН в декабре 1948 года.
Однако реальная потребность в формировании специализированного законодательства возникла позже, в эпоху массового компьютеризированного накопления и обработки данных. Важным международным документом стал Принцип общего подхода к защите данных, разработанный Организацией экономического сотрудничества и развития (OECD) в 1980 году. Этот документ предложил восемь базовых принципов защиты данных, ставших фундаментом многих последующих региональных инициатив.
Европейским сообществом было принято решение создать единый стандарт защиты данных. Первой важной международной акцией стало подписание Конвенции Совета Европы № 108 «О защите лиц в связи с автоматической обработкой персональных данных» в январе 1981 года. Эта конвенция обязывала государства-участники внедрить национальные законы, направленные на защиту информации о людях, собираемой государственными органами и коммерческими компаниями.
Со временем большинство стран Западной Европы приняли собственные законы о защите данных, среди которых выделялись Германия, Франция и Великобритания. Позднее сформировался общий европейский регулятор — Общий регламент по защите данных (GDPR), вступивший в силу в мае 2018 года, ставший образцом передовой практики для всего мира.
Что касается Российской Федерации, то первые попытки регулировать сферу защиты персональных данных начались значительно позднее. До конца XX века сфера защиты данных регулировалась отдельными положениями Гражданского кодекса РФ и отдельных отраслевых законов. Основополагающим событием стало принятие в июле 2006 года Федерального закона № 152-ФЗ «О персональных данных» [2], установившего четкую правовую рамку для регулирования защиты персональных данных граждан России.
Этот федеральный закон стал первым серьезным шагом к созданию полноценной правовой базы для защиты личной информации россиян. Новый акт установил рамки и порядок обработки персональных данных, вводя чёткое разделение типов данных, процедуры предоставления согласий на обработку и принципы безопасности при работе с ними [4].
Вместе с тем, дальнейшее развитие законодательства продолжалось с учётом глобализации и усложнения технологических процессов. Последующие поправки вносились для адаптации к новым реалиям и усиления прав граждан на защиту своей личной информации. Постепенно стали формироваться специальные институты и службы, занимающиеся контролем и мониторингом ситуации в области персональных данных.
Сегодня законодательство о защите персональных данных продолжает развиваться в динамичном ключе, принимая во внимание потребности общества и развитие технологий. Несмотря на отдельные недостатки и пробелы, действующая система демонстрирует стремление государства обеспечить высокий уровень защиты личных данных граждан, создавая надёжную правовую основу для устойчивого функционирования общества в условиях цифровой эпохи.
Современная правовая база в сфере защиты персональных данных в России характеризуется развитостью, многокомпонентностью и наличием целого ряда значимых федеральных законов и нормативных актов, направленных на создание эффективной системы защиты индивидуальной информации граждан.
Центральным элементом всей правовой конструкции выступает Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» [2]. Данный закон закладывает основную терминологию, формирует ключевые принципы обработки персональных данных и детально описывает права и обязанности субъектов и операторов данных. Закон регулирует полный цикл оборота персональных данных: от момента их сбора до уничтожения или обезличивания.
Помимо федерального закона № 152-ФЗ [2], важнейшую роль играют положения Конституции Российской Федерации, в частности статьи 23 и 24 [1], провозглашающие право на охрану частной жизни и запрет на произвольное вмешательство в нее. Конституционные гарантии формируют фундаментальные принципы для последующей детализации в законодательстве.
Далее идут отраслевые нормативные акты, уточняющие или детализирующие правила обработки персональных данных в конкретных сферах деятельности. Так, например, трудовое законодательство в лице Трудового кодекса РФ [3] регулирует работу с персональными данными сотрудников, а банковское законодательство (Федеральный закон № 395-1 «О банках и банковской деятельности») регламентирует обращение с персональными данными клиентов кредитных учреждений.
Немаловажную роль играют постановления правительства Российской Федерации, разъяснения Федеральной антимонопольной службы и судебной практики Верховного суда РФ, разъясняющие нюансы применения действующих законов и восполняющие пробелы правового регулирования.
Одной из главных тенденций последних лет стало усиление санкций за нарушение режима обработки персональных данных. Сегодня штрафы за несоблюдение законодательства существенно выросли, повышая мотивацию компаний соблюдать предписанные нормы и предпринимать повышенные меры предосторожности при обращении с персональной информацией.
Необходимо упомянуть о контроле за исполнением законодательства. Функциями надзора и мониторинга занимаются государственные органы, включая Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), выполняющую функции регулятора в области защиты персональных данных [7].
Участниками правоотношений в области защиты персональных данных являются различные субъекты, каждый из которых занимает определенную позицию и наделён особыми обязанностями и полномочиями в соответствии с федеральным законодательством.
1. Субъект персональных данных
2. Оператор персональных данных
3. Государственный контроль и надзор
4. Судебная власть
Таким образом, защита персональных данных является сложной многоуровневой системой, включающей как международное, так и национальное законодательство. Основная цель законодателя — обеспечить баланс между правами граждан на личную жизнь и необходимость использования информации в интересах государства и бизнеса. Дальнейшее развитие законодательства должно учитывать современные технологические вызовы и обеспечивать адекватную реакцию на новые угрозы информационной безопасности.
1.2. Особенности обработки персональных данных в трудовом делопроизводстве
Проблематика обработки персональных данных приобретает всё большую актуальность в современном мире, особенно в условиях цифровизации экономических и социальных процессов. Особую остроту эта проблема приобретает в сфере трудовых отношений, где происходят постоянные потоки данных о персонале, требующих тщательной правовой регламентации и защиты.
Особенности трудового делопроизводства обусловлены постоянным взаимодействием работодателя и сотрудника, возникновением ситуаций, связанных с передачей информации, необходимой для расчета зарплаты, начисления пособий, медицинских осмотров и иных видов взаимодействия. Следовательно, правильное построение процессов обработки и защиты персональных данных является необходимым условием эффективного функционирования кадрового аппарата организации.
Трудовое делопроизводство — область профессиональной деятельности, где особое внимание уделяется процессу обработки и учёта персональных данных сотрудников. В отличие от обычного коммерческого оборота, здесь затрагиваются особые категории информации, обладающей повышенной чувствительностью, и требуются специфические меры защиты. Настоящий раздел посвящен особенностям обработки персональных данных в трудовых отношениях и процедурам, связанным с организацией документооборота в кадровой службе организации [5].
Трудовое делопроизводство представляет собой особый сектор делопроизводства, отличающийся целым рядом признаков и особенностей, которые выделяют его среди других сфер обработки информации. Прежде всего, главной чертой является тесная связь делопроизводства с трудоустройством, занятостью и социально-экономическими правами граждан. Деятельность кадровой службы направлена на фиксацию и сохранение множества данных о сотрудниках, каждая единица которых может иметь юридическое значение и влиять на дальнейший карьерный рост, материальное вознаграждение и социальную поддержку.
Одной из ярких особенностей трудового делопроизводства является постоянство потока информации. Каждый рабочий день сопровождается оформлением многочисленных документов, содержащими сведения о принятии на работу, перемещении, изменении должности, начислении заработной платы, отпусках, дисциплинарных взысканиях и увольнениях. Постоянная циркуляция документов создаёт необходимость регулярного обновления информации и поддержания её в актуальном состоянии.
Стоит отдельно остановиться на длительности хранения документации. Многие документы, формируемые в кадровом делопроизводстве, имеют длительный срок хранения, исчисляющийся десятилетиями. Например, личные дела сотрудников сохраняются даже после ухода сотрудника из организации, обеспечивая сохранность записей о занятости и профессиональных качествах гражданина [7].
Наконец, важной частью трудового делопроизводства является обязательное соблюдение норм трудового законодательства. Кадровый аппарат действует в строгом соответствии с требованиями Трудового кодекса РФ [3], Инструкции по заполнению трудовых книжек и другими нормативными актами, что накладывает дополнительную нагрузку на подразделения, занятые кадровым обслуживанием.
Процесс обработки персональных данных в трудовых отношениях регулируется сразу несколькими важными правовыми инструментами, в том числе Трудовым кодексом Российской Федерации [3] и Федеральным законом № 152-ФЗ «О персональных данных» [2]. Оба акта содержат положения, устанавливающие обязательства работодателя и сотрудника в отношении обработки персональных данных.
Прежде всего, ключевым моментом является необходимость наличия достаточных оснований для обработки данных. Основным таким основанием является волеизъявление самого сотрудника, выражаемое в форме письменного согласия на обработку персональных данных. Такое согласие оформляется в виде отдельного документа или включается в коллективный договор, личный контракт или иной нормативный акт организации.
Однако помимо согласия существует ряд исключений, позволяющих обрабатывать данные без предварительного одобрения. Например, в соответствии с Трудовым кодексом РФ [3], некоторые данные могут быть собраны и использованы без согласия сотрудника в следующих случаях:
- Необходимость внесения изменений в трудовую книжку или оформление страхового свидетельства.
- Осуществление выплат работникам, производимых на основании государственных обязательств (пенсии, пособия, компенсации).
- Оценка профессиональной пригодности и проведение аттестации.
- Выполнение поручений правоохранительных органов или налоговых служб.
Сам процесс обработки данных строится вокруг этапов, последовательно проходящих стадии сбора, хранения, передачи и уничтожения данных. Основными этапами являются:
1. Сбор данных — первый шаг, связанный с получением информации от сотрудника или третьих лиц. Важно соблюсти установленные законом сроки и объём запрашиваемой информации.
2. Хранение данных — следующий важный элемент, состоящий в обеспечении сохранности информации, установлении порядка доступа к ней и определении продолжительности хранения данных. Документация должна быть надежно защищена от несанкционированного доступа и разрушения.
3. Передача данных — процесс отправки информации другим организациям или государственным органам. Этот этап требует особого внимания, так как передача возможна только в строго ограниченных случаях и с применением необходимых защитных мер.
4. Использование данных — непосредственное использование полученной информации для целей кадрового делопроизводства, расчетов зарплаты, начисления льгот и компенсаций.
5. Уничтожение данных — финальный этап, завершающийся ликвидацией данных, когда необходимость в их хранении исчезает. Процесс уничтожения проводится в установленном порядке и подлежит контролю [4].
Первым шагом к защите персональных данных является формирование надежных организационных барьеров. Руководство организации утверждает внутренние нормативные акты, определяющие порядок обработки и защиты данных.
Специальные категории персональных данных отличаются повышенным уровнем чувствительности и защищены законодательством на национальном и международном уровнях особым образом. Обработка таких данных подчиняется дополнительным требованиям и процедурам, призванным минимизировать риски нарушения прав и свобод граждан.
К специальным категориям персональных данных относятся сведения, содержащие информацию о расовой принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, сексуальной ориентации и другие аналогичные данные. Данные категории данных характеризуются высокой степенью влияния на социальное положение и репутацию индивидов, что объясняет повышенное внимание к их защите.
Процедура обработки специальных категорий персональных данных включает несколько последовательных этапов [6]:
1. Получение согласия;
2. Определение целей обработки;
3. Выбор метода обработки;
4. Обеспечение безопасности;
5. Контроль за выполнением требований.
Существуют редкие случаи, когда обработка специальных данных возможна без согласия сотрудника. Сюда входит необходимость защиты здоровья граждан, расследование правонарушений, исполнение судебного решения или обеспечение безопасности общества. Каждая такая ситуация требует отдельной аргументации и документального подтверждения.
Организациям рекомендуется устанавливать прозрачный порядок обработки специальных данных, ознакомляя сотрудников с процедурой и привлекая юристов для консультаций. Желательно провести предварительное обсуждение с профсоюзами или представителями коллектива, а также организовать ежегодное обновление внутренней документации.
Хотя российское законодательство предъявляет высокие требования к защите персональных данных, существуют значительные трудности в практической реализации норм. Одной из проблем является недостаток технической оснащённости малых и средних предприятий, отсутствие подготовленных кадров и высокая загруженность кадровых служб.
Одним из перспективных направлений является переход на цифровые технологии, внедрение электронного документооборота и повышение квалификации сотрудников кадровых подразделений. Это позволит повысить качество обработки данных, сократить временные затраты и уменьшить вероятность ошибок.
Дополнительно предлагается усилить образовательные программы для подготовки специалистов по управлению персоналом, включить курсы по информационной безопасности и этическим нормам обработки персональных данных.
Таким образом, проблема защиты персональных данных в трудовых отношениях остаётся актуальной и нуждается в дальнейшем совершенствовании законодательства и практических мер защиты.