Правовой режим персональных данных в предпринимательской деятельности.

Статья 24 Конституции РФ определяет основу регулирования правоотношений в области персональных данных, устанавливая, что без согласия лица не допускаются сбор, хранение, использование и распространение информации о его частной жизни.

Впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном законе от 20.02.1995 г. №24-ФЗ «Об информации, информатизации и защите информации». К таким данным относились сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как информация ограниченного доступа, персональные данные относились к категории конфиденциальных сведений, что определялось не только в ФЗ «Об информации, информатизации и защите информации», но и в Указе Президента РФ от 06.03.1997 №188, утвердившем Перечень сведений конфиденциального характера.

Институт персональных данных в российском праве формируется за счет норм об информации определенного вида, содержащихся в различных федеральных законах. Объем сведений, позволяющий идентифицировать лицо, определяется в них по-разному.

Федеральный закон от 07.08.2001 г. №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем» к персональным данным относит сведения о документе, удостоверяющем личность, адрес места жительства или пребывания личности. Аналогичные указания содержатся в Федеральном законе от 01.04.1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

Персональными данными, в соответствии с Федеральным законом от 15.11.1997 №143-Ф3 «Об актах гражданского состояния», считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния.

В ст. 387 Таможенного кодекса РФ предусмотрено право таможенных органов накапливать в отношении физических лиц персональные данные и данные о частоте перемещения ими товаров через границу.

Отдельные группы персональных данных могут приобретать правовой режим информации ограниченного доступа - государственной тайны, например, персональные данные государственных служащих, внесенные в личные дела и документы учета. Это указано в Федеральном законе от 27.05.2003 г. №58-ФЗ «О системе государственной службы в Российской Федерации».

Практически во всех законах, содержащих нормы о персональных данных, имеются общие положения об ответственности должностных и иных лиц, владеющих персональными данными, за нарушение режима ограниченного доступа и конфиденциальности в отношении такой информации. Гражданско-правовая ответственность за нарушение нематериальных благ (неприкосновенности частной жизни, личной и семейной тайны) предусмотрена в ст. 150 Гражданского кодекса РФ. Лицо, чьи неимущественные права нарушены, вправе требовать компенсации морального вреда и возмещения убытков.

Кодекс РФ об административных правонарушениях содержит состав правонарушения, предусматривающий ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Уголовное законодательство России не предусматривает специального состава преступления, объектом которого являются правоотношения по поводу персональных данных, однако соответствующие противоправные действия могут охватываться составами статей о преступлениях в сфере компьютерной информации либо составами должностных преступлений. Противоправные действия в отношении персональных данных могут также квалифицироваться как нарушение неприкосновенности частной жизни либо нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. Однако необходимость введения соответствующей специальной уголовной ответственности объективно существует.

Существенным явлением следует признать принятие Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее по тексту - Закон о персональных данных), который регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Действие Закона о персональных данных не распространяется на отношения, возникающие при:

1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3. обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Закон о персональных данных предназначен для широкой сферы регулирования, имеет межотраслевое значение и формулирует следующие основные понятия: оператор, обработка персональных данных; распространение персональных данных; использование персональных данных; блокирование персональных данных; уничтожение персональных данных; обезличивание персональных данных; информационная система персональных данных.

Трудовой кодекс РФ включает в себя главу XIV «Защита персональных данных работника». Статья 86 ТК РФ определяет под обработкой персональных данных получение, хранение, комбинирование, передачу или любое использование персональных данных работника. В связи с этим важно подчеркнуть то, что глава XIV Трудового кодекса РФ должна применяться с учетом Федерального закона «О персональных данных». Поэтому обратим внимание на его нормы и положения.

Отношения, связанные с персональными данными работника, в предмет трудового права не входят (ст. 1 ТК РФ). Далее, если законодатель не сочтет необходимым исключить главу XIV из Кодекса, следует решить ряд других конкретных вопросов. В этой связи не ясно, почему эта глава названа «Защита персональных данных работника»? Ведь из шести ее статей только три посвящены (и то в относительной мере) защите персональных данных работника. Так, ст. 86 ТК РФ в названии указывает на гарантии их защиты, а в ее содержании акцент сделан на общие требования при обработке персональных данных работника (из 10 пунктов данной статьи только 7-й и 10-й касаются вопросов защиты).

В пункте 9 ст. 86 ТК РФ допущена неточность - вместо «защиты персональных данных работника» указано: «сохранение и защиту тайны». Видимо, здесь не учтено, что персональные данные работника как правовая категория в данном контексте значительно шире категории «тайна» (государственная, служебная, коммерческая и др.). В принципиальном смысле содержание главы XIV ТК РФ в большей мере относится к обработке персональных данных работника. Следовательно, название главы, очевидно, должно предусматривать, прежде всего, не защиту персональных данных работника, а их обработку.

Важно определиться с целями правового регулирования. В соответствии со статьями 23-24 Конституции РФ и ст. 1 ТК РФ, а также статьей 86 Кодекса целесообразно и логично назвать статью 89 ТК РФ «Права работников», исключив слова «в целях обеспечения защиты персональных данных, хранящихся у работодателя».