В статье автор ставит на разрешение на следующие вопросы: есть ли взаимосвязь между правом работника на личную жизнь, защитой персональных данных и мониторингом трудового процесса со стороны работодателя; что из опыта правоприменительной практики зарубежных стран может быть использовано и адаптировано для российского правового регулирования, применительно к вопросу ответственности за нарушение законодательства в области обработки персональных данных работников, а также что может быть использовано для улучшения правового регулирования проведения контроля и организации систем обработки персональных данных работников.
Выводы: в условиях цифровой экономики и постоянного ускоряющегося развития информационных технологий и технических средств мониторинга которые позволяют осуществлять постоянный контроль деятельности работников, отсутствие законодательных пределов их использования, а также отсутствие стандартов организации систем обработки персональных данных, приводит к существенному нарушению прав работников, кроме того, этому способствует отсутствие адекватных норм, предусматривающих ответственность за нарушение законодательства о персональных данных.
Ключевые слова: персональные данные, мониторинг деятельности работников, использование биометрических персональных данных, система организации обработки персональных данных.
В последнее в время в нашем обществе технологии совершенствуются каждый день, молниеносного изменяясь, а потоки ценной информации, в особенности персональных данных работников, которые представляют собой огромную ценность для тех, кто сможет ими воспользоваться остаются без надлежащей правовой защиты.
Однако, мы не можем не следовать за прогрессом и должны своевременно и эффективно отвечать на те вызовы, которые представляют нововведения, которые коснулись всех сфер человеческой жизни, в особенности трудовых, и иных связанных с ними отношений.
В наш век, когда технологии окружают все и всех на каждом шагу в распоряжении работодателя, имеется огромный инструментарий для отслеживания эффективной деятельности его работников, к таким инструментам можно отнести и видеонаблюдение рабочего процесса, и контроль звонков офиса, переписка и иная деятельность работников, которая осуществляется с корпоративных устройств, тщательное отслеживание всего что касается посещения интернет-страниц в рабочее время.
Многие работодатели предпринимают попытки оптимизировать и автоматизировать все процессы, связанные с персоналом. Все это привело к созданию огромного количества баз данных, которые содержат в себе личные дела каждого из работников, которые в свою содержат различную информацию и персональные данные сотрудников.
Повсеместное использование информационных технологий и преимуществ, которые предоставляет возможность практически беспрепятственного доступа к любой информации обеспечивают обществу реализацию права на свободу информации, однако при этом серьезно повышают риск несанкционированного доступа к личной информации.
Предоставление личной информации должно быть правом каждого человека и зависит исключительно от его воли. Однако, зачастую возникают ситуации, когда представление такой информации необходимо, например при трудоустройстве, поскольку каждый соискатель обязан донести до работодателя персональную информацию исходя из положений, закрепленных Трудовым кодексом Российской Федерации.
В процессе трудоустройства гражданин представляет документы и заполняет анкеты, содержащие разделы, связанные не только с профессиональной деятельностью, но и с аспектами личной жизни человека.
Каждый работодатель имеет непосредственное желание получить различную информацию о потенциальном работнике, которая может повлиять на его решение и не разграничивает информацию о личной жизни человека и информацию, которая непосредственно характеризует человека как работника, оценивая его профессиональные качества, уровень его компетенции или качества его образования.
Трудности с определением допустимой степени вмешательства и пределов посягательств на частную жизнь работника затрудняют применение правил, регулирующих правила обработки и распространения информации в сфере труда, и нередко приводят к совершению правонарушений или уголовно наказуемых преступлений.
Персональные данные, которые обрабатываются работодателями, прежде всего, призваны идентифицировать человека в качестве работника, и служат работодателем для определения требуемых ему компетенций, кроме того такие данные, необходимы работодателем для исполнения иных функций, например уплата обязательных платежей возмещение льгот и гарантий со стороны государства, таким образом любой из работников предполагает в некоторой степени вмешательство в его частую жизнь отношении той информации, которая находится в распоряжении работодателя как оператора персональных данных работника.
При этом современное правовое регулирование требует от работодателя, как оператора персональных данных, неукоснительно соблюдать требования, установленные действующим законодательством РФ с целью безопасной обработки и сохранности личных данных работника. Важность правового регулирования обработки персональных данных работников определяется тем, что, данном этапе развития трудовых отношений, работодателю необходимо предоставить не только гарантию неразглашения от других сотрудников своей организации в адрес третьих лиц информации, связанной с трудовой деятельностью, а также обеспечить качественную программную техническую и физическую защиту прав работников на безопасность своих персональных данных.
Прежде всего, рассматривая вопрос об организации обработки персональных данных работников, необходимо рассмотреть определение персональных данных с целью определить, что может представлять собой персональные данные и как их определить в общем массиве информации имеющей отношение к работнику. В соответствии со статьёй 3 152-ФЗ персональные данные определены в качестве любой информации, которая относится прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [2].
Также отдельно в законодательстве выделяют биометрические персональные данные. К ним законодатель относит те данные, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Согласно разъяснениям Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) [5] к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.
Однако в законодательстве, отсутствует четкое разграничение того, что можно определить как персональные данные, а что нет. При наличии такой неопределенности существуют проблемы отнесения к ним той или иной информации или совокупности набора отдельных данных, хранящихся у работодателя. На текущий момент представляется необходимым разработка четких критериев отнесения информации к персональным данным, которыми могли бы руководствоваться как работодатели-операторы, так и контролирующий орган (Роскомнадзор).
В первую очередь для обеспечения прав баланса прав работников как субъектов персональных данных и работодателей как операторов необходимо детально рассмотреть вопрос ответственности за нарушение законодательства об обработке персональных данных и определить достаточны ли санкции, установленные законом и соотносимы ли, они с последствиями нарушения.
Согласно ст. 2.4 КоАП РФ под должностными лицами следует понимать, в частности, совершившие административные правонарушения в связи с исполнением организационно-административных и хозяйственных функций руководителей и других сотрудников организаций.
Размер ответственности варьируется в зависимости от конкретного правонарушения и варьируется:
– для чиновников-от 3 до 20 тысяч рублей.;
– для индивидуальных предпринимателей-от 5 до 20 тысяч рублей;
– для юридических лиц-от 15 до 75 тысяч рублей.
Материальная ответственность. Работодатель обязан возместить работнику моральный вред, возникший в результате незаконного распространения информации о персональных данных работника.
Однако работодатель может впоследствии возместить работнику, ответственному за распространение персональных данных, прямой и действительный ущерб, причиненный ему.
Если в результате нарушения правил, регулирующих хранение, обработку и использование персональных данных работника, ему причинен материальный или моральный ущерб, он подлежит денежной компенсации в соответствии с положениями Гражданского кодекса РФ.
Например, суд взыскал с работодателя в пользу работника компенсацию морального вреда за размещение ксерокопии паспорта работника на стене комнаты проходной организации. Сумма взысканной компенсации составляет 2 тысячи рублей (первоначальные требования-200 тысяч рублей, первая инстанция взыскала 5 тысяч рублей).
Представляется что столь малые суммы штрафа и компенсаций за нарушения прав работников не стимулируют операторов-работодателей к созданию условий для сохранности персональных данных работников.
В странах европейского союза сегодня действует регламент 2016/679 от 27.04.2016 [1], General Data Protection Regulation сокращенно «GDPR») [6].
Штрафные санкции за нарушение законодательства в области персональных данных, согласно регламенту, могут достигать 20 млн евро. В сравнении, например с европейским законодательством, представляется, что у операторов гораздо больший стимул к соблюдению установленных требований обеспечения безопасности при обработке персональных данных, поскольку сумма штрафных санкций во много раз превышает расходы на создание адекватной системы обработки персональных данных. Предполагаем, что необходимо увеличить штрафные санкции, предусмотренные статьей 13.11, КОАП РФ ст. в 10–15 раз.
Важным остаётся вопрос квалификации лица, ответственного за организацию систем защиты и обработки персональных данных в организации.
Так, например, в Соединённых штатах Америки для обеспечения сохранности персональных данных было утверждена Специальная публикация National Institute of Standards and Technology (NIST) № 800–122 «Руководство по защите конфиденциальности персональной идентифицируемой информации (PII)» [7].
В данном руководстве изложены как меры технического характера, так и меры касающегося юридического и организационного характера.
Прежде всего в важно отметить, важное место занимает обучение сотрудников правилам работы с персональными данным и системами, которые осуществляют их обработку и защиту различными способами.
Таким образом сотрудники должны быть обучены следующим крайне важным навыкам:
– определение того, что является персональными данными, их вычленение из общего объема информации;
– умение использовать законодательные акты для организации комплексной системы защиты персональных данных cцелью обеспечения прав субъектов персональных данных;
– досконально знать существующие ограничения на обработку отдельных категорий персональных данных, правила их обезличивания и уничтожения;
– уметь действовать при обнаружении нарушений доступа к персональным данным, их кражи, а также нарушений правил их обработки.
К мерам защиты согласно документу относят:
– подготовку и проведение внутреннего и внешнего аудита с целью проверки правильности обработки персональных данных
– организации управления доступом сотрудников к информационным системам, содержащим персональные данные;
– определения правил многоступенчатой аутентификации и идентификации для доступа в системы для лиц, ответственных за обработку персональных данных;
– подготовку работы с материальными носителями информации, с физическими носителями информации, правила их оборота внутри организации-оператора.
Начиная с 90-х гг. прошлого века, в трудовых отношениях, для контроля выполнения работником его трудовой функции, начали использоваться контрольные механизмы, которые осуществляются не представителем работодателя, а при помощи информационно-телекоммуникационных сетей (в т. ч. при помощи Интернет, использования мобильного телефона, средств аудио и видеонаблюдения). Основной причиной использования информационных технологий для осуществления контрольной функции работодателя стало появление дистанционного труда и необходимость контроля осуществления трудовой функции работниками, которые работают удаленно. В научной литературе такой контроль получил название «информационного» («informational») [4].
В Кодексе практики МОТ по защите персональных данных работников отмечается, что проблемы, связанные с использованием более сложных методов мониторинга, является схожими с проблемами, возникающими при использовании таких традиционных методов наблюдения, как например, прослушивание телефонных переговоров или осуществление видеонаблюдения. Системы мониторинга, установленные для других целей, как например, учет, запись и анализ трудового процесса, позволяют собирать персональные данные, которые можно легко преобразовать в материалы мониторинга (п. 6.13).
В этой связи представляется необходимым создать единый документ, утвержденный постановлением правительства, который бы установил общие правила по организации и проведению аудита инцидентов информационной безопасности; правила и документы (включая типовые формы) необходимые для:
– организации управления доступом сотрудников к информационным системам, содержащим персональные данные;
– определения правил многоступенчатой аутентификации и идентификации для доступа в системы для лиц, ответственных за обработку персональных данных
– подготовку работы с материальными носителями информации, с физическими носителями информации, правила их оборота внутри организации-оператора, использование криптографических средств защиты и правила работы и хранения биометрических персональных данных.
– организации системы мониторинг работоспособности информационной системы защиты персональных данных и отслеживания соблюдения работодателем законности в использовании персональных данных работников (специально сертифицированные или аттестованные организации и введение законодательных требований о наличии аттестации систем защиты персональных данных).
– введение квалификационных требований для лиц, ответственных за обработку персональных требований и необходимость прохождения специального обучения по правильной организации систем защиты персональных данных [3].
Подводя итоги вышесказанному, можно отметить следующее:
– даже если в трудовом законодательстве отсутствуют специальные нормы, посвященные отдельным видам мониторинга деятельности работников, следует учитывать, что такой мониторинг представляет собой обработку персональных данных работников;
– в условиях цифровой экономики и современных информационных технологий, которые позволяют осуществлять мониторинг деятельности работников, без установления законодательных пределов их использования, можно ожидать существенного ограничения трудовых прав работников,
– в связи с этим необходимо внесение изменений в российское законодательство, направленных на обеспечение соблюдения баланса интересов работника и работодателя при проведении мер мониторинга (и осуществление такой проверки судами), обеспечение защиты персональных данных работников. В частности, необходимо установить запрет постоянного непрерывного мониторинга, а также предусмотреть необходимость учета мнения профсоюза при введении того или иного вида мониторинга.
На текущий момент для развития законодательства о защите персональных данных прежде всего, необходимо принятие стандартов организации систем защиты персональных данных, которые вводили бы не только общее описание и требования к техническим и физическим мерам защиты, но и в том числе, общие требования к квалификации сотрудников, ответственных за обработку персональных данных у работодателей, а также требования по реакции сотрудников на обнаружение нарушений доступа к персональным данным, их кражи, а также нарушений правил их обработки.
Литература:
1. Савельев А. И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». — М.: Статут, 2017.
2. Солдатова В. И. Защита персональных данных в условиях применения цифровых технологий. Lex russica (Русский закон). 2020;1(2):33–43. URL: https://doi.org/10.17803/1729–5920.2020.159.2.033–043, дата обращения 15.11.2020]
3. Талапина Э. В. Защита персональных данных в цифровую эпоху. Российское право в европейском контексте //Труды Института государства и права РАН. — 2018. — Т. 13. — № 5.
4. Чесалина О. В. Защита персональных данных занятых лиц в условия цифровой экономики: сравнительно-правовой анализ законодательства и судебной практики федеративной республики германия и российской федерации //Вестник СГЮА. 2020. № 3 (134). URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-zanyatyh-lits-v-usloviya-tsifrovoy-ekonomiki-sravnitelno-pravovoy-analiz-zakonodatelstva-i-sudebnoy (дата обращения: 17.11.2020).
5. Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»
6. Общий регламент защиты персональных данных (GDPR) Европейского союза. Перевод С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич [https://gdpr-text.com/ru/, дата обращения 17.11.2020]
7. NIST SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf, дата обращения 17.11.2020]
