Принцип защиты личных данных работников — это основополагающее положение, которое предполагает обеспечение конфиденциальности и безопасности личной информации сотрудников, полученной при трудоустройстве или в процессе исполнения ими трудовых обязанностей. Как справедливо отмечают исследователи, в современных условиях необходимо говорить о придании праву на неприкосновенность частной жизни статуса одного из основополагающих начал трудового права [1]. Это обусловлено вызовами цифровизации: нарушением конфиденциальности, неограниченным сбором данных посредством электронного мониторинга и использованием систем искусственного интеллекта.

Сущность данного принципа заключается в установлении законодателем пределов вмешательства работодателя в частную сферу работника и возложении на работодателя обязанности обеспечить сохранность и конфиденциальность доверенной ему информации.

Для более точного и полного раскрытия этого принципа необходимо раскрыть понятие персональные данные.

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу [2].

Правовую основу этого принципа, в первую очередь, составляет Конституция РФ, в которой ст. 23 и ст. 24 закрепляют право на неприкосновенность частной жизни и запрет на сбор, хранение, обработку, распространение информации о частной жизни лица без его согласия [3].

Значительную часть правового регулирования составляет глава 14 Трудового Кодекса РФ и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [4]. Федеральный закон устанавливает общие правила работы с информацией, а Трудовой Кодекс конкретизирует их применительно к трудовым отношениям.

На основании ст. 7 Федерального закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Принцип защиты личных данных работников имеет свои особенности, которые отличают его от общих положений законодательства о персональных данных.

Первой ключевой особенностью является двойственная правовая природа данного принципа. С одной стороны, он выступает субъективным правом работника, предоставляя ему возможность требовать от работодателя соблюдения конфиденциальности, доступа к своим данным, их уточнения или блокирования. С другой стороны, этот принцип представляет собой императивное обязывание для работодателя, которое не может быть изменено или отменено по соглашению сторон. Работодатель не просто вправе, а обязан обеспечить защиту информации, и эта обязанность носит абсолютный характер [5]. Статья 86 Трудового кодекса РФ прямо указывает, что защита персональных данных работника от неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом. Это означает, что финансовое бремя по созданию системы защиты (будь то приобретение специального программного обеспечения, шифрование данных или обучение сотрудников) ложится исключительно на работодателя, и он не вправе перекладывать эти расходы на работников.

Второй особенностью является необходимость постоянного поиска баланса между двумя конкурирующими интересами. Работодатель имеет законный интерес в контроле за трудовым процессом, эффективностью использования рабочего времени, сохранностью имущества. Для реализации этого интереса современные работодатели активно внедряют системы видеонаблюдения, контроля геолокации, учета рабочего времени с использованием биометрических данных, а также программные комплексы для мониторинга активности на рабочем месте. Однако этот интерес сталкивается с правом работника на приватность, на личное пространство даже в рабочее время. Как подчеркивает В. О. Боровченкова, внедрение любых технических средств контроля требует особого юридического оформления: работодатель обязан не только издать локальный нормативный акт, но и доказать, что выбранный способ контроля является соразмерным, не избыточным, не вторгается в сферы, не связанные с трудовой функцией, и служит для конкретных целей [6].

В подтверждение можно привести Определение Третьего кассационного суда общей юрисдикции от 03.07.2023 N 88–14171/2023, где сказано, что установка камер на рабочих местах, в производственных помещениях, на территории организации для целей, связанных с исполнением должностных обязанностей законна. Но размещение камер в помещении для отдыха не соответствует закону, нарушает права сотрудников на неприкосновенность частной жизни [7].

Третья особенность касается процедурного аспекта — исключительной роли письменной формы согласия работника. В то время как в гражданско-правовых отношениях согласие на обработку данных может быть дано в различных формах, включая конклюдентные действия, в трудовом праве действует более строгий стандарт. Статья 88 ТК РФ устанавливает, что передача персональных данных работника третьей стороне допускается только при наличии письменного согласия работника. Причем, как показали изменения законодательства, вступившие в силу с 1 сентября 2025 года, такое согласие должно быть не только письменным, но и выделенным в отдельный документ, не смешанным с текстом трудового договора или правил внутреннего распорядка. Более того, отдельно выделяется согласие на распространение данных и на трансграничную передачу. Молчание или бездействие работника, как подчеркивает закон, не может считаться согласием.

Еще одной важной чертой является императивность требований к локальному нормотворчеству. Работодатель обязан принять локальный нормативный акт, устанавливающий порядок хранения и использования персональных данных. Однако содержание этого акта не является произвольным: пункт 10 статьи 86 ТК РФ предписывает, что такие решения могут приниматься с участием представительного органа работников (профсоюза), если он создан. Это привносит в отношения элемент социального партнерства и коллективно-договорного регулирования, что характерно именно для трудового, а не для гражданского права.

В трудовых отношениях работодатель неизбежно сталкивается с необходимостью обработки специальных категорий данных. Закон устанавливает, что обработка таких данных допускается лишь в исключительных случаях: если это необходимо для установления права работника на пенсию, социальные пособия, или если работник дал отдельное письменное согласие. В Определении Судебной коллегии по гражданским делам Седьмого кассационного суда общей юрисдикции от 25 июля 2023 г. по делу № 8Г-8738/2023 [88–10266/2023 сказано, что отказ работника от дачи согласия на обработку биометрических персональных данных не может быть основанием ни для привлечения такого работника к дисциплинарной ответственности, ни для расторжения трудового договора [8].

Несмотря на детальное регулирование принципа, у него есть своя проблематика. Компании все чаще используют облачные хранилища, системы управления данными, платформы для обработки больших данных и искусственный интеллект для анализа информации. Такие инновации влекут за собой значительные угрозы для безопасности персональных данных работников, клиентов и партнеров. В условиях активного использования цифровых технологий возрастают риски утечки данных, неправомерного их использования и нарушения прав субъектов персональных данных.

Удаленная работа и использование облачных технологий также увеличивают уязвимость систем. Многие компании перешли на гибридные и удаленные модели работы, что привело к увеличению числа устройств, подключенных к корпоративным сетям из различных местоположений. Это создает дополнительные точки уязвимости, если не используются надежные системы защиты. В соответствии с Федеральным законом Российской Федерации «О персональных данных» № 152-ФЗ, операторы персональных данных обязаны принимать меры по защите информации, включая организационные и технические меры безопасности, однако, А. А. Миняев считает, что даже при соблюдении всех нормативных требований остаются риски, связанные с человеческим фактором и недостаточной цифровой грамотностью пользователей [9].

Таким образом, сущность данного принципа сводится к установлению справедливого баланса между реализацией законных интересов работодателя и соблюдением конституционного права работника на приватность. Особенность его правовой конструкции выражается в двойственной природе: одновременно как субъективного права работника и как императивной обязанности работодателя, исполнение которой обеспечивается его организационными и финансовыми ресурсами, и требует от работодателей не только формального соблюдения процедурных требований, но и внедрения современных технологических мер защиты информации.

Литература:

1. Рымашевская Д. Защита персональных данных работника в России и в Польше // Современные проблемы юридической науки: Материалы XVI Международной научно-практической конференции молодых исследователей, Челябинск, 24–25 апреля 2020 года / Министерство науки и высшего образования Российской Федерации Южно-Уральский государственный университет Юридический институт. Том Часть II. Челябинск: Издательский центр ЮУрГУ, 2020. С. 149–151.
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // СЗ РФ. — 2006. — № 31. — ст. 3451.
3. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993 г.). Российская газета, 25 декабря 1993 г. Любое издание с 4 октября 2022 г. // Официальный интернет-портал правовой информации http://www.pravo.gov.ru, 04.07.2020.
4. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ // СЗ РФ. — 2002. — № 1. — Ст. 3.
5. Бычкова О. В. Защита персональных данных наемных работников // Актуальные проблемы государственного и муниципального управления: теоретико-методологические и прикладные аспекты: Материалы Всероссийского научно-практического круглого стола, Донецк, 21 мая 2024 года. Донецк: Донецкий государственный университет, 2024. С. 16–18.
6. Боровченкова В. О. Реализация работодательской власти через осуществление контроля посредством технических средств: правовые аспекты // Вестник Московского университета. Серия 11. Право. 2024. № 4. URL: https://cyberleninka.ru/article/n/realizatsiya-rabotodatelskoy-vlasti-cherez-osuschestvlenie-kontrolya-posredstvom-tehnicheskih-sredstv-pravovye-aspekty (дата обращения: 06.04.2026).
7. Определение Третьего кассационного суда общей юрисдикции от 03.07.2023 N 88–14171/2023 // СПС «КонсультантПлюс».
8. Определение Седьмого кассационного суда общей юрисдикции от 07.07.2023 по делу N 88–10223/2023 // СПС «КонсультантПлюс».
9. Миняев А. А. Метод оценки эффективности системы защиты информации территориально-распределенных информационных систем персональных данных // Вестник Санкт-Петербургского государственного университета технологии и дизайна. 2020. № 1. С. 29–33.