Цифровой профиль работника: проблемы защиты персональных данных
Исследуется содержание понятия "профиль работника". Выявлены проблемные вопросы, не решенные в законодательстве, недостатки в практике обработки персональных данных работников. Отсутствие правовой регламентации, сдерживающих факторов приводит к нарушениям прав и интересов работников, вторжению в сферу личной жизни. Сформулированы предложения по внесению изменений в законодательство с целью повышения степени защищенности работников при использовании цифровых технологий.
Ключевые слова: профилирование, частная жизнь, риски нарушения прав, обработка, безопасность данных.
The content of the concept of "employee profile" is investigated. Problematic issues were identified, unresolved in the legislation, shortcomings in the practice of processing personal data of employees. The lack of legal regulation, restraining factors leads to violations of the rights and interactions of workers, invasion of the sphere of personal life. Proposals are formulated to amend the legislation in order to increase the level of protection of employees when using digital technologies.
Key words: profiling, privacy, risks of violation of rights, processing, data security.
Распространение цифрового профилирования актуализирует проблемы с обработкой персональных данных граждан. Цифровой профиль определяется Министерством цифрового развития, связи и коммуникаций Российской Федерации как "все цифровые записи о гражданине в государственных информационных системах (ГИС), при этом инфраструктура цифрового профиля выполнена на базе единой системы идентификации и аутентификации (ЕСИА)" <1>. Работодатели участвуют в формировании инфраструктуры цифрового профиля на добровольных началах при направлении им сведений и документов в целях трудоустройства и (или) исполнения сторонами условий трудового договора <2>.
--------------------------------
<1> Методические рекомендации по интеграции с REST API Цифрового профиля // Министерство цифрового развития, связи и коммуникаций.
<2> Постановление Правительства РФ от 3 июня 2019 г. N 710 "О проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах".
Профилирование работников до недавнего времени находилось в неправовом поле. Термин "профилирование граждан, ищущих работу, безработных граждан" появился в Федеральном законе от 12 декабря 2023 г. N 565-ФЗ "О занятости населения в Российской Федерации" <3> (далее - Федеральный закон N 565-ФЗ). Под термином "профилирование" в упомянутом Законе понимается "распределение граждан, ищущих работу, безработных граждан на группы с учетом сферы их предыдущей профессиональной деятельности, опыта работы, социально-демографических и других характеристик в целях предоставления им мер государственной поддержки в сфере занятости населения" (п. 7 ч. 1 ст. 2). Речь идет о государственных службах занятости и мерах государственной поддержки лиц, ищущих работу. Государственные структуры (МВД, ФНС, СФР, ФОМС и т.д.) имеются в виду и в определении, данном Министерством цифрового развития, связи и коммуникаций Российской Федерации, что позволяет надеяться на более тщательное соблюдение гарантий защиты персональных данных.
--------------------------------
<3> Официальный интернет-портал правовой информации.
Что касается работодателей (коммерческих и некоммерческих организаций), то такой уверенности в защите персональных данных нет. Усиливает сомнения отсутствие правового регулирования некоторых аспектов трудовых отношений, не успевающих за стремительным развитием технологий. В литературе отмечается, что необходимой и совершенной системы защиты законы не обеспечивают, цифровое пространство распространяется нерегулируемо <4>. Свободные ниши быстро занимаются работодателями и неясности в законе толкуются ими в своих интересах <5>. Возрастают риски нарушения прав работников при создании цифрового профиля.
--------------------------------
<4> См.: Селюк А.С. Защита персональных данных в цифровом пространстве // Вестник Университета имени О.Е. Кутафина. 2023. N 2. С. 110 - 119.
<5> См.: Филипова И.А. Влияние цифровых технологий на труд: ориентиры для трудового права. Нижний Новгород, 2021. С. 87 - 88.
Цифровой профиль работника рассматривают как набор данных, содержащий сведения из портфолио/резюме специалиста, который на протяжении всего периода активной трудовой жизни наполняется сведениями о его трудовой деятельности <6>. Возникает вопрос о круге персональных данных, необходимых для формирования цифрового профиля работников. Перечня данных, предоставляемых при формировании профиля лица, ищущего работу, в Федеральном законе N 565-ФЗ не приводится. Из анализа норм ст. 2, 22, 26, 27, 68 данного Закона можно сделать некоторые выводы: учет сферы предыдущей профессиональной деятельности, опыта работы, образование (вид, уровень), профессия, специальность, направление подготовки, квалификация, социально-демографические и другие характеристики в целях предоставления мер государственной поддержки (например, ограничение трудоспособности).
--------------------------------
<6> См.: Афанасьев А.В. Цифровая трансформация в сфере трудовых отношений // Аграрное и земельное право. 2023. N 5 (221). С. 102.
Профилирование предполагает получение информации, которая служит основой для составления индивидуального плана содействия занятости с учетом профильной группы гражданина, подбора подходящей работы, перечня мер государственной поддержки, сроков предоставления мер и прочее. Если службы занятости связаны требованиями Федерального закона N 565-ФЗ, то применительно к кадровым службам работодателей представление о том, какие данные можно обрабатывать, а что будет являться избыточной информацией, четкостью не отличается. Закон ограничился запретом размещать информацию, содержащую сведения (требования) дискриминационного характера.
Статья 86 Трудового кодекса Российской Федерации не дает определения круга данных, собираемых работодателями. В результате наблюдаются нарушения норм законодательства, когда работодатели собирают информацию о работниках по соцсетям, мессенджерам, системам видеонаблюдения и т.д. На основе анализа полученных данных искусственный интеллект делает вывод о нелояльности работника, привычках, увлечениях и т.п. Повлиять на ситуацию можно было бы, сформулировав в законе примерный (минимальный) перечень данных, обрабатываемых работодателем. Необходимо также установить запрет принимать юридически значимые решения в отношении работников на основе автоматизированной обработки данных.
Неоднозначное отношение вызывает использование работодателями различных процедур контроля деятельности работников. Так, ст. 214.2 ТК РФ предоставляет работодателю право использовать приборы, устройства, комплексы приборов и прочее оборудование для организации дистанционной видео-, аудио- и иной фиксации процесса производства работ и обеспечивать хранение полученной информации с целью контроля за безопасностью производства. Предлог хороший, но это означает тотальный контроль за работниками. К информации имеет дистанционный доступ широкий круг лиц. Мониторинг действий работников позволяет судить о здоровье и даже настроении, эмоциях сотрудника и вряд ли создает комфортные условия для работы. Болезненно воспринимаются сенсоры, датчики, устанавливаемые на теле работника, что само по себе может вызвать повышение давления, учащение пульса и т.п. Под благовидным предлогом просматривается интерес работодателя, что особо и не скрывается. Для работников же растут психосоциальные и эргономические риски, кроется опасность вмешательства в частную жизнь и усугубления ситуации с психическим здоровьем. Допустимо ли обрабатывать такие данные, соответствует ли это законодательству о персональных данных - вопрос остается открытым.
Еще дальше пошли разработчики модуля прогнозной диагностики - программного обеспечения, позволяющего собирать сведения о состоянии здоровья работников, получать информацию о распределении численности работников предприятий по группам и факторам риска, контролю профилактических мероприятий и прогнозам развития здоровья. Собираются и социально-бытовые данные, и профессиональные. С помощью специальных алгоритмов совокупные данные анализируются и делаются выводы. Модуль, по мнению разработчиков, позволяет службам охраны здоровья и кадровым службам внедрить в своих организациях систему выявления рисков, связанных со здоровьем сотрудников, что приведет к повышению эффективности затрат предприятия на охрану здоровья <7>. Утверждается, что данные обезличены, но при этом предполагается подбор индивидуальных мер реагирования, углубленное обследование и наблюдение, страховые программы и прочее. Как совместить одно с другим - непонятно. Существует почва для споров. Стоит отметить, что применительно к государственной информационной системе в Законе сформулировано требование - составы персональных данных, полученные при обезличивании, формируются при условии, что последующая обработка этих данных не позволит определить принадлежность этих данных конкретному субъекту <8>. При разработке программного обеспечения нужно учитывать нормы закона.
--------------------------------
<7> См.: Российские работодатели смогут получать данные о здоровье сотрудников.
<8> Федеральный закон от 8 августа 2024 г. N 233-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" // Официальный интернет-портал правовой информации.
Надо иметь в виду, что сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, о прогнозе заболевания, методах лечения, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну (ст. 13 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" <9>). Информация о состоянии здоровья относится к специальной категории персональных данных, сбор которых не допускается, кроме случаев, предусмотренных в ч. 2 и 2.1 ст. 10 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <10>. Согласно абз. 7 ст. 88 ТК РФ работодатель не вправе запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции. На это обращено внимание в письме Роструда от 16 января 2023 г. N ПГ/32857-6-1. В ТК РФ не установлено требование к работникам об информировании работодателя о наличии заболеваний из перечня, утвержденного Постановлением Правительства Российской Федерации от 1 декабря 2004 г. N 715 <11>. Требования к состоянию здоровья (отсутствию заболеваний) установлены законом для отдельных категорий работников. Например, для педагогических работников такие требования установлены ч. 2 ст. 331 ТК РФ; работников, обеспечивающих транспортную безопасность, - ч. 1 ст. 10 Федерального закона от 9 февраля 2007 г. N 16-ФЗ "О транспортной безопасности"; работников, контактирующих с пищевыми продуктами, - п. 2 ст. 23 Федерального закона от 2 января 2000 г. N 29-ФЗ "О качестве и безопасности пищевых продуктов". Именно в этих случаях работодатель может запросить информацию о состоянии здоровья сотрудника. Только при четко сформулированных требованиях закона работник предоставляет о себе такие сведения. Более удачным является правило, предусмотренное применительно к обработке биометрических данных: отсутствие согласия лица не позволяет отказать в предоставлении государственной, муниципальной или иной услуги, продаже товаров, выполнении работ или воздействовать на него каким-либо образом <12>. Сдача биометрических данных (изображение лица и запись голоса) остается добровольной.
--------------------------------
<9> Официальный интернет-портал правовой информации.
<10> Российская газета. 2006. 29 июля.
<11> Письмо Федеральной службы по труду и занятости от 16 января 2023 г. N ПГ/32857-6-1 "О требовании к работнику сообщать о признаках одного из заболеваний, предусмотренных Постановлением Правительства РФ от 1 декабря 2004 года N 715"; Постановление Правительства РФ от 1 декабря 2004 г. N 715 "Об утверждении перечня социально значимых заболеваний и перечня заболеваний, представляющих опасность для окружающих" // СЗ РФ. 2004. N 49. Ст. 4916.
<12> Федеральный закон от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" // Официальный интернет-портал правовой информации.
Право гражданина отказаться от данного им согласия на обработку персональных данных является одним из элементов механизма защиты персональных данных, оно не ограничено сроком - отказ возможен в любое время. Если ранее операторы сами решали, как поступать в этом случае с данными, то теперь Роскомнадзор определил, что прекращение обработки персональных данных сопровождается составлением акта (при ручной обработке) или выгрузкой из журнала регистрации событий в информационной системе персональных данных (при автоматизированной обработке) <13>. Это подтверждение факта уничтожения персональных данных (правило применяется с 1 марта 2023 г). То же самое применяется и в других случаях прекращения обработки данных (при достижении цели обработки, неправомерной обработке и т.д.). Акт об уничтожении персональных данных и выгрузка из журнала должны храниться в течение 3 лет с момента уничтожения персональных данных.
--------------------------------
<13> Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных" // Официальный интернет-портал правовой информации.
При обсуждении форм защиты персональных данных обращается внимание главным образом на необходимость совершенствования технических решений обеспечения конфиденциальности и ужесточение наказаний <14>. Не подлежит сомнению разработка технологий, обеспечивающих защиту информации. Законодатель идет по пути ужесточения требований, усиления административной ответственности, расширения возможностей Роскомнадзора. В связи с этим можно отметить изменение законодательства в отношении работодателей - с 1 сентября 2022 г. они рассматриваются как операторы персональных данных и обязаны подавать уведомление о намерении обрабатывать персональные данные, как все иные операторы. Так называемые утечки данных нередко происходят по вине сотрудников соответствующих организаций. В трудовых правоотношениях есть возможность дисциплинарного наказания сотрудника, в том числе увольнения за разглашение охраняемой законом тайны, что недостаточно. По-видимому, в подобных случаях работодатели должны передавать материалы для привлечения лиц к административной ответственности. Стоит обратить внимание на пользователей информации, добытой незаконным путем. Теневой рынок процветает, расценки на личные данные растут <15>. Следовало бы привлекать к ответственности и тех, кто воспользовался незаконно полученными сведениями.
--------------------------------
<14> См.: Марданова Г.А. Защита персональных данных - обеспечение конституционных прав и свобод граждан // Журнал юридических исследований. 2023. Том 8. N 1. С. 27 - 28.
<15> См.: Гиматов И. Нелегальный сбор данных о россиянах подорожал почти в три раза.
Таблица. Трудовые споры, связанные с защитой персональных данных работников <*>
|
Год |
Рассмотрено дел |
Удовлетворено |
Отказано |
Взысканная сумма (тыс. руб.) |
Средняя сумма (тыс. руб.) |
|
2019 |
23 |
14 |
9 |
1 229 |
87 |
|
2020 |
20 |
8 |
12 |
558 |
70 |
|
2021 |
37 |
22 |
15 |
796 |
36 |
|
2022 |
32 |
16 |
16 |
8 |
0 |
|
2023 |
34 |
14 |
20 |
63 |
5 |
--------------------------------
<*> Составлено на основе: Судебная статистика РФ.
Защита прав в суде традиционно рассматривается как действенная форма, но категорию споров в связи с нарушением правил обработки персональных данных статистика не отражает. Они могут скрываться под данными о защите чести и достоинства, защите неимущественных благ граждан. Однако в сфере трудовых правоотношений споры по поводу защиты персональных данных работников встречаются, они представлены в таблице.
Как видно, работники пытаются использовать такой способ защиты, как взыскание компенсации морального вреда. Роскомнадзор сформулировал требования к оценке потенциального вреда трех степеней (высокая, средняя, низкая), причиняемого при нарушении законодательства о персональных данных <16>. Результаты оценки вреда оператор оформляет актом. По тяжести потенциальных последствий к самой серьезной группе отнесена обработка с нарушением требований специальной категории персональных данных и (или) биометрических персональных данных <17>. Появление трудовых споров о защите персональных данных говорит о большей активности работников в части защиты своих прав и интересов, но все-таки работники и в целом граждане недооценивают значение конфиденциальности данных, не в полной мере осознают возможные негативные последствия утраты их конфиденциальности. К сожалению, граждане беспечны. Нередко согласие на обработку данных дается, не вникая в содержание документа (о цели обработки, сроке и т.п.). Пользовательские соглашения читаются не всегда, о правовых последствиях, неблаговидных целях, с которыми могут быть использованы их персональные данные, не задумываются. Необходимо уделять больше внимания разъяснению важности сохранения конфиденциальности данных, возможности отзыва согласия, доводить до широкого круга лиц отрицательные примеры использования чужих персональных данных, в частности, при совершении уголовных преступлений. Предупреждение об опасностях, правовых последствиях является общей задачей операторов, обрабатывающих данные, самих граждан и государства. Таким образом, создание правовых механизмов защиты персональных данных остается актуальной проблемой.
--------------------------------
<16> Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" // Официальный интернет-портал правовой информации.
<17> Постановление Правительства РФ от 29 июня 2021 г. N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" // Официальный интернет-портал правовой информации.
