Важно отметить, что при передаче персональных данных работник не просто сообщает их работодателю. Он подтверждает их достоверность посредством предъявления соответствующих документов с необходимыми реквизитами.
Часть 4 ст. 86 ТК РФ содержит перечень тех сведений, предоставление которых работодатель не вправе требовать от работника: данные о политических, религиозных и иных убеждениях и частной жизни. Данная норма не позволяет сделать вывод о том, относится ли к частной жизни этническое и расовое происхождение, сексуальная ориентация, национальная принадлежность. В зарубежном законодательстве сведения такого рода обозначаются общим термином «sensitivedata», который разные ученые переводят на русский язык как «деликатная» или «уязвимая» информация.
Содержание требований к обработке персональных данных составляют права и обязанности работника и работодателя. Поэтому общие и элементарные нормы трудового законодательства о порядке получения, хранения, комбинирования, передачи и иного использования персональных данных работника необходимо рассматривать в контексте прав и обязанностей работника и работодателя.
С регулированием трудовой деятельности некоторых категорий работников связаны повышенные требования к объему и содержанию персональных данных. Эти особенности объективно обусловлены специфической сущностью трудовых отношений. В определенных законом случаях расширение содержания предоставляемой работником информации не может рассматриваться как дискриминация.
В целях идентификации личности собирается дактилоскопическая информация. Федеральный закон «О государственной дактилоскопической регистрации в РФ» устанавливает обязательность дактилоскопической регистрации для работников военизированных и иных видов государственной службы, а также для персонала некоторых организаций (органов внутренних дел, органов федеральной службы безопасности, органах внешней разведки и др.). Перечень должностей, которые обусловливают обязательную дактилоскопическую регистрацию, определен Правительством РФ.
На государственных и муниципальных служащих распространяется законодательство о труде с учетом тех особенностей, которые предусмотрены для прохождения службы. При применении положений ТК РФ об охране персональных данных необходимо учитывать специфику публичной службы.
1.2.3 Локальные нормативно-правовые акты о защите личных прав
и персональных данных работников
В соответствии с ч. 1 ст. 5 ТК РФ локальные нормативные акты, содержащие нормы трудового права, регулируют трудовые и иные непосредственно связанные с ними отношения. Как правило, локальные нормы устанавливаются как результат соглашения участников социально-трудовых отношений. Именно в этом и состоит специфика правового регулирования отношений наемного труда на уровне организации[77]. Потребность регулирования трудовых отношений на уровне организации является объективной. Чем больше будет учтена специфика предприятия, тем большей адекватности в регулировании отношений, складывающихся там, можно достичь.
В любой организации существует определенная совокупность процедур и правил использования информации. Она отражает отдельные этапы получения, хранения, комбинирования, передачи и иного использования информации. Соблюдение указанного алгоритма обработки информации гарантирует информационное обеспечение достижения поставленных работодателем целей. Часть этого технологического процесса составляет обработка конфиденциальной информации, в состав которой входят персональные данные работника. Отношения по соблюдению порядка информационного оборота регламентируются в нормативных документах – локальных актах организации. Эти акты отражают особенности организации, связанные с использованием информации. В настоящее время производственное и технологическое развитие организации во многом зависит от уровня организованности локальной нормоустановительной деятельности[78]. «В дальнейшем, с развитием производственных отношений, усложнением технологических процессов, становлением гражданского общества в России роль локальных (местных) нормативно-правовых актов в сфере регулирования трудовых и тесно примыкающих к ним отношений, входящих в предмет трудового права, будет возрастать. Это объективный процесс, который вызван реальными потребностями жизнедеятельности каждой организации»[79].
Согласно п. 2 ст. 86 ТК РФ объем и содержание обрабатываемых персональных данных определяются ТК РФ и иными федеральными законами.
Делопроизводство документов конфиденциального характера, в том числе и содержащих персональные данные работника, регламентируется не только текстовыми документами, но и схематическими, графическими актами. В качестве примеров можно назвать оперограммы движения документации по личному составу в организации, схемы передачи кадровой документации в иные подразделения, структуры делопроизводственных подразделений организации.
В юридической литературе не существует единого мнения о видах и содержании локальных актов, регулирующих отношения по охране персональных данных работников. В литературе предлагают различные основания классификации документов. Так, Е.А. Степанов отмечает, что «наиболее концентрированное и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации (документации по личному составу)»[80]. В целях определения основных направлений охраны персональных актов он выделяет две большие группы документации: а) документация по организации работы отдела кадров и б) документация, образующаяся в процессе основной деятельности отдела и содержащая документы в единичном или сводном виде. Е.А. Степанов делает акцент на деятельности отдела кадров, справедливо отмечая, что это основной функциональный орган любой организации, обрабатывающий персональные данные. Приведенная классификация с юридической точки зрения позволяет различать такие акты как нормативные и индивидуальные. Пози-ция Е.А. Степанова не охватывает всех локальных нормативных актов и поэтому имеет значение, ограниченное вопросами деятельности кадровой службы. Персональные данные работника поступают в распоряжение не только кадровых служб, но и других подразделений организации. Регламентация их деятельности находит отражение в локальных нормативных актах. Поэтому не следует ограничивать состав локальных нормативных актов, содержащих нормы об охране персональных данных работника, лишь документами кадровой службы.
В литературе существуют разные мнения о составе документов, регулирующих отношения по защите персональных данных работника: от закрепления требований в одном акте до выполнения указанной функции всей совокупностью документов организации. Эти позиции выражают крайние точки зрения на изучаемый вопрос. Компромиссное решение заключается в объединении в систему тех нормативных актов, которые содержат нормы об охране персональных данных работников. Эти нормы регулируют указанные отношения прямо или опосредованно.
Классификация локальных нормативных правовых актов, содержащих нормы об охране персональных данных работника, позволяет адекватно оценить их значение и роль в обеспечении права работников на неприкосновенность частной жизни.
В литературе высказывалась позиция, в соответствии с которой все внутренние (локальные) нормативные правовые акты могут быть общего и специального характера. Критерием в данном случае является круг лиц, на которых распространяется действие акта. Локальные нормативные правовые акты общего характера воздействуют на поведение всех или большинства работников организации, а под действие специальных актов попадают только определенные категории должностных лиц. К документам первого вида относятся коллективный договор, правила внутреннего трудового распорядка, положение о подразделении организации. Специальными локальными правовыми актами являются инструкция по делопроизводству, положение о защите информации, положение о персонале организации, положения о функциональных органах, должностные инструкции.
Классификацию локальных нормативных правовых актов также можно провести и по содержанию норм трудового законодательства об охране персональных данных работника. Все нормативные акты организации о персональных данных работника можно условно разделить на две группы. Первую группу документов составляют акты, регламентирующие порядок создания, цели, задачи, основные направления деятельности и компетенцию подразделений организации, связанных с доступом к персональным данным работников, а также деятельность соответствующих должностных лиц. Нормы этих актов не связаны с регулированием вопросов передачи и иного использования информации. Они характеризуют «статику» отношений по обработке персональных данных. Вторая группа актов содержит нормы, связанные с передачей сведений от одного субъекта другому и представляет собой динамическую характеристику регулирования указанных отношений.
К первой группе относятся документы об отдельных подразделениях организации и об обязанностях должностных лиц. Точное наименование подразделения зависит от особенностей поставленных перед ним задач и может отличаться от названия аналогичного органа в иной организации. Это положения об отделе кадров (об отделе по работе с персоналом, о кадровой службе предприятия, о подразделении кадровой политики, об отделе управления персоналом, о службе корпоративного управления и развития и др.), об отделе бухгалтерского учета (о службе бухгалтерского учета и статистики, о бухгалтерском отделе, о службе финансовой, налоговой и бухгалтерской политики и др.), об отделе оплаты труда (об отделе труда и заработной платы, о службе оплаты труда и др.), об архивном отделе (об архиве, о службе хранения и др.), о службе безопасности (о службе вневедомственной охраны, об охранной службе, об отделе контроля и безопасности и др.). В некоторых случаях обработка персональных данных попадает в сферу действия юридического отдела, отдела по охране труда, службы правовой безопасности, что отражается в соответствующих документах. К этой группе документов относятся должностные инструкции работников перечисленных подразделений. Как правило, в положении о структурном подразделении предусматривается компетенция руководителя, в которую входит распределение обязанностей между его заместителями. Должностные инструкции исполнителей содержат отдельные нормы в отношении обработки и защиты персональных данных.