Проблемы защиты персональных данных работников на современном этапе
В статье рассматриваются отдельные проблемы защиты персональных данных работников, в частности, связанные с их получением, хранением, передачей третьим лицам, обработкой биометрических персональных данных работников. Также анализируется актуальная судебная практика по индивидуальным трудовым спорам, связанная с обработкой персональных данных работников.
Ключевые слова: персональные данные работников, биометрические персональные данные, обработка персональных данных работников, обязанности работодателей, судебная практика, профсоюзы.
The article discusses some problems of protecting employees' personal data, in particular, related to their receipt, storage, transfer to third parties, and processing of biometric personal data of employees. The current judicial practice on individual labor disputes related to the processing of personal data of employees is also analyzed.
Key words: personal data of employees, biometric personal data, processing of personal data of employees, obligations of employers, judicial practice; trade unions.
В современном информационном обществе вопросы защиты персональных данных приобретают особую значимость, эти вопросы имеют междисциплинарный характер. В условиях цифровизации экономики, внедрения электронного кадрового документооборота, автоматизированной обработки информации (в том числе с использованием технологий искусственного интеллекта), передачи многими работодателями отдельных процессов на аутсорсинг (например, передача ведения бухгалтерского учета третьим лицам) обостряется необходимость защиты персональных данных работников. Такая информация, особенно в больших объемах, представляет существенную ценность для лиц, желающих использовать ее в корыстных целях.
По некоторым оценкам, в 2023 г. в России в 40 раз увеличилось количество утечек персональных данных с 2021 г. <1> Причем порядка 80% случаев утечки персональных данных связаны с действиями работников <2>. Также случаются кражи баз данных, содержащих персональные данные, при помощи так называемых хакерских атак, в том числе в ситуациях, когда операторы персональных данных не обеспечили адекватную защиту персональных данных, которые обрабатывались с использованием средств автоматизации, хранились на электронных носителях.
--------------------------------
<1> Утечка персональных данных: громкие скандалы, кого оштрафовали в прошлом году и как будут наказывать в 2024?
<2> Утечки персональных данных сотрудников: законы, штрафы, изменения 2024 // РБК.
Преследуя цель борьбы с утечками персональных данных, защищая право граждан на неприкосновенность частной жизни, личную и семейную тайну, в последние годы неоднократно вносились изменения в законодательство, ужесточающие требования обработки персональных данных и возлагающие на работодателей новые обязанности. В частности, с 1 сентября 2022 г. вступили в силу изменения в ст. 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - ФЗ "О персональных данных"): утратила силу норма, позволявшая работодателям не уведомлять уполномоченный орган - Роскомнадзор - о начале обработки персональных данных работников. При этом такое уведомление должно подаваться не в свободной форме, а его направлению должен предшествовать целый ряд действий со стороны работодателя (например, необходимо назначить ответственного за организацию обработки персональных данных, описать конкретные меры по обеспечению безопасности персональных данных при их обработке и др.). Также работодатели, осуществляющие распространение персональных данных работников, т.е. действия, в результате совершения которых к персональным данным работника может получить доступ неограниченный круг лиц (например, размещение информации о работниках организации на ее сайте в сети Интернет), обязаны оформлять отдельное согласие работника. Неоднократно вносились изменения и в ст. 13.11 КоАП РФ, предусматривающую административную ответственность за нарушение законодательства в области персональных данных: появились новые составы правонарушений, ужесточена ответственность за них.
Однако опыт показывает, что по-прежнему значительное количество работодателей не соблюдает требования законодательства в части обработки персональных данных работников в должной мере, многие относятся к этим требованиям лишь формально: принимают шаблонные локальные нормативные акты, имеющие мало общего с реально складывающимися отношениями, оформляют типовые формы согласий работников на обработку персональных данных, содержащих в себе крайне мало конкретной информации. В большинстве случаев такие недоработки остаются без внимания соответствующих контролирующих органов.
В настоящей статье постараемся со ссылками на актуальную судебную практику рассмотреть отдельные проблемы, возникающие при обработке персональных данных работников.
1. Сбор персональных данных работников.
Одной из острых проблем в настоящее время видится возможность получения работодателями персональных данных от третьих лиц с нарушением установленного законом порядка. Например, известно, что в некоторых организациях функционируют так называемые службы безопасности, которые могут тайно осуществлять сбор сведений о кандидатах в приеме на работу. Причем по своему объему и содержанию они выходят за рамки тех персональных данных, которые необходимы работодателю для оценки деловых качеств кандидата. Известны также случаи, когда при приеме на работу работодатели пользуются специальными сервисами "проверки соискателя", т.е. получают персональные данные соискателя от третьих лиц (и даже из закрытых источников) без его согласия и уведомления <3>. Такие действия могут приводить как к скрытой дискриминации, так и к неправомерному использованию полученных персональных данных.
--------------------------------
<3> Беляев О.Г., Сапрыкин А.С., Тангин М.А. Некоторые вопросы обработки персональных данных лиц, поступающих на работу // Трудовое право в России и за рубежом. 2021. N 1. С. 38 - 42.
На практике встречаются случаи, когда работодатели используют персональные данные в своих целях даже тогда, когда субъекты персональных данных не являются работниками данного работодателя. В частности, для создания видимости трудовой занятости пенсионеров и, вероятно, получения выплат работодателям, создающим рабочие места для пенсионеров, работодатель внес в сведения о трудовой деятельности запись о приеме на работу пенсионера, чьи персональные данные у него каким-то образом оказались. Пенсионер узнал об этом фактически случайно, поскольку пенсионные органы произвели в отношении его перерасчет пенсии с применением понижающего коэффициента индексации (для работающих пенсионеров). Пенсионер был вынужден обратиться в суд с иском о признании трудового договора незаключенным и взыскании компенсации морального вреда (решение Бабушкинского районного суда города Москвы от 30 июня 2021 г. по делу N 2-1542/2021).
2. Достаточность персональных данных по отношению к целям их обработки.
Согласно ч. 5 ст. 5 ФЗ "О персональных данных" обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Как известно, в трудовых отношениях работники передают работодателям в первую очередь те персональные данные, которые связаны с деловыми качествами работников и предусмотрены законодательством (прежде всего ст. 65 ТК РФ). Однако на практике в большинстве случаев работодатели обрабатывают персональные данные работников в большем объеме, чем это прямо предусмотрено законодательством. Например, многие работники предоставляют своим работодателям свои контактные данные, адрес места проживания, предоставляют биометрические персональные данные, персональные данные членов своей семьи и т.д. Если обработка таких персональных данных имеет законную цель и разумное объяснение, она является допустимой.
В последнее время обращает на себя внимание складывающаяся в судебной практике тенденция, подталкивающая работодателей вникать в подробности личной жизни своих работников, чуть ли не нарушая границы частной жизни. Так, вызывает интерес дело, в котором работницей оспаривался отказ работодателя предоставить отпуск по уходу за ребенком. Отказ был мотивирован тем, что женщина не является матерью или опекуном ребенка, отцом которого является ее супруг. В соответствии со ст. 256 ТК РФ такое право предоставляется одному из родителей или иному родственнику ребенка, при этом, разумеется, факт родства должен быть подтвержден документально. Само собой, что даже если бы такой отпуск при всем желании работодателя и был бы предоставлен, это повлекло бы за собой неизбежные "разбирательства" с Социальным фондом, так как предоставление отпуска по уходу за ребенком предполагает выплату соответствующего пособия. Разрешая указанный спор, суд указал, что при решении вопроса о предоставлении отпуска по уходу за ребенком необходимо учитывать, с кем в действительности постоянно проживает ребенок и кто фактически занимается его воспитанием (Определение Восьмого кассационного суда общей юрисдикции от 28 сентября 2023 г. по делу N 88-19888/2023). Таким образом, по мнению суда, работодателю надлежало истребовать от работницы дополнительные сведения - персональные данные работницы и членов ее семьи, - которые не относятся в соответствии с действующим законодательством к персональным данным, предоставляемым работниками своим работодателям. Кроме того, не до конца понятно, как работодатель мог бы проверить подлинность таких сведений и дать им надлежащую оценку. Складывается впечатление, что подобная практика фактически вынуждает работодателей обрабатывать излишние персональные данные работников.
3. Обработка биометрических персональных данных работников.
Многие работодатели осуществляют обработку биометрических персональных данных работников для установления их личности при установлении в организации пропускного режима. Как правило, к таким биометрическим персональным данным относится фотография работника, однако в последнее время все чаще можно встретить применение работодателями систем идентификации работников на основании отпечатков пальцев и даже радужной оболочки глаза (биометрические системы контроля и управления доступом). Если к необходимости предоставить работодателю свою фотографию работники уже в основном привыкли, то подобные нововведения встречают у них неоднозначную реакцию.
Возникает вопрос: вправе ли работодатель вводить подобный пропускной режим, является ли такая обработка биометрических персональных данных обоснованной? Например, при трудоустройстве работника ознакомили с локальными нормативными актами, предполагающими проход в организацию по персональному пропуску - магнитной карте, содержащей персональные данные работника: Ф.И.О., должность, фотографию. Впоследствии всех работников уведомляют об изменении пропускного режима: отныне проход в организацию будет осуществляться по отпечаткам пальцев работников. Некоторые работники не согласились предоставить работодателю названные биометрические персональные данные, указав, что, по их мнению, такая обработка является избыточной. Как указал суд, рассматривая возникший спор, если такие изменения пропускного режима будут оформлены надлежащим образом, с внесением изменений в локальные нормативные акты (а это право работодателя) и заблаговременным ознакомлением с ними работников, то соответствующие требования становятся для работника обязательными (Определение Седьмого кассационного суда общей юрисдикции от 6 сентября 2022 г. по делу N 88-13416/2022). Полагаем такой подход суда справедливым. В свою очередь, работники, отказывающиеся выполнять требования локального нормативного акта, могут быть привлечены к дисциплинарной ответственности.
Также на практике нередко возникают вопросы относительно законности обработки работодателями биометрических персональных данных работников посредством установления камер видеонаблюдения. Некоторые работники полагают, что такие действия работодатель может совершать только с их письменного согласия, в противном же случае это может расцениваться как вторжение в их личную жизнь.
Однако в подобных спорах суды, как правило, занимают позицию работодателя. В п. 1 ч. 1 ст. 86 ТК РФ указаны такие цели обработки персональных данных, как обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества. В этой связи работодатель вправе осуществлять видеозапись трудового процесса без согласия работников при условии, что она производится открыто, а работники об этом уведомлены под подпись. В частности, право работодателя осуществлять видеозапись трудового процесса должно быть указано в локальном нормативном акте, регулирующем порядок обработки персональных данных работников, а непосредственно в помещении, где трудятся работники и осуществляется видеозапись, должно быть размещено соответствующее уведомление (Определение Третьего кассационного суда общей юрисдикции от 3 июля 2023 г. N 88-14171/2023). Однако распространять персональные данные работника, полученные посредством видеозаписи трудового процесса, работодатель вправе только при наличии соответствующего согласия работника (Определение Третьего кассационного суда общей юрисдикции от 19 апреля 2023 г. N 88-7070/2023 по делу N 2-5325/2022).
В этой связи следует согласиться с С.В. Шуралевой в том, что наблюдение за работником следует рассматривать как неотъемлемую часть работодательского контроля, который используется с целью повышения производительности труда, защиты здоровья и безопасности, предотвращения "утечки" конфиденциальной информации и т.д. <4> Полагаем, что аналогичный подход может применяться работодателями при осуществлении аудиозаписи и последующего прослушивания разговоров работников в рабочее время по телефонам, предоставленным работникам для исполнения своих трудовых обязанностей, а также при контроле за работниками при осуществлении ими электронной переписки с предоставленного работодателем почтового адреса (корпоративной электронной почты). При этом сам по себе такой контроль не должен осуществляться втайне от работника.
--------------------------------
<4> Шуралева С.В. Право на неприкосновенность частной жизни в трудовом правоотношении: теоретические проблемы правового регулирования // Вестник Пермского университета. Юридические науки. 2022.
4. Передача персональных данных работника третьим лицам.
Статья 88 ТК РФ предусматривает особенности передачи работодателем персональных данных работника третьим лицам. Как известно, по общему правилу такая передача допускается с согласия работника. Исключение возможно лишь в прямо предусмотренных законом случаях, а также с целью предупреждения угрозы жизни и здоровью работника. Однако в правоприменительной практике встречаются примеры, когда суды трактуют положения ст. 88 ТК РФ несколько шире.
Так, в одном деле, руководствуясь необходимостью обеспечения доступа работников на рабочие места, к заболевшему работнику домой отправили группу его коллег с тем, чтобы они забрали у него ключи от кабинета. Поскольку адрес места жительства заболевшего работника был сообщен работодателем, заболевший работник посчитал, что его персональные данные были переданы третьим лицам без его согласия. Однако суд признал правоту работодателя и не усмотрел нарушения законодательства об обработке персональных данных (Определение Второго кассационного суда общей юрисдикции от 29 ноября 2022 г. N 88-26835/2022).
Следует подчеркнуть, что на практике имеются и иные проблемы защиты персональных данных, в том числе связанные с пробелами действующего законодательства. Например, по мнению Н.М. Саликовой и Ю.А. Кучиной, одна из проблем, с которой столкнулись работодатели по вопросу обработки персональных данных, - хранение копий документов, которые содержат персональные данные работника, в том числе хранение их после достижения целей обработки <5>. Известно, что сроки хранения отдельных кадровых документов установлены Приказом Росархива от 20 декабря 2019 г. N 236. Однако в Перечне документов, утвержденных данным Приказом, предусмотрены не все документы, содержащие персональные данные работников, которые могут вести работодатели. В отношении остальных документов сроки хранения должны быть определены в локальном нормативном акте работодателя (ст. 87 ТК РФ). В этой связи имеется возможность для злоупотребления со стороны работодателя и хранения им отдельных персональных данных работников в течение длительного периода времени в отсутствие реальной необходимости.
--------------------------------
<5> Саликова Н.М., Кучина Ю.А. Об ответственности работодателя за обработку персональных данных работника // Трудовое право в России и за рубежом. 2018. N 4. С. 31 - 34.
Также С.В. Шуралева справедливо обращает внимание, что действующее законодательство фактически не регламентирует ситуации, когда сведения о частной жизни (персональные данные) работодателя - физического лица могут стать известными работнику <6>. Несмотря на то что обязанность по неразглашению таким работником информации, составляющей личную и (или) семейную тайну работодателя - физического лица, может быть указана в трудовом договоре, представляется, на практике могут быть сложности в квалификации деяния работника. В этой связи также возникает риск использования работником персональных данных работодателя - физического лица в корыстных целях.
--------------------------------
<6> Шуралева С.В. Указ. соч.
Ввиду того что государственный контроль за соблюдением законодательства о защите персональных данных работников не может охватить деятельность всех работодателей, особенно в период действия моратория на его осуществление, возрастает необходимость осуществления оператором персональных данных (работодателем) внутреннего контроля и (или) аудита обработки персональных данных, тем более что такая обязанность установлена в ч. 4 ст. 18.1 ФЗ "О персональных данных". Поскольку представители работников должны принимать участие в выработке мер защиты персональных данных (п. 10 ч. 1 ст. 86 ТК РФ), полагаем, что профсоюзы должны не только принимать участие в таком внутреннем контроле и (или) аудите, но и быть его инициаторами.
