§ 2. Обязанности работодателя в сфере обработки и хранения
персональных данных
Требования к обработке персональных данных работников работодателями сформулированы в ст. 86 ТК РФ и предусматривают, в частности, следующее:
- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1);
- все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3);
- работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами (п. 5);
- работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (п. 8), и др.
Закон о персональных данных различает автоматизированную и неавтоматизированную обработку персональных данных. Требования к разным видам обработки существенно отличаются.
Пункт 4 ст. 3 Закона о персональных данных определяет автоматизированную обработку персональных данных как обработку персональных данных с помощью средств вычислительной техники.
Однако не вся обработка с помощью вычислительной техники относится к автоматизированной. Использование ПЭВМ в работе кадровых служб не обязывает относить обработку персональных данных работников к автоматизированной обработке (п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687).
В ст. 87 ТК РФ определено, что порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Порядок передачи персональных данных регламентирован ст. 88 ТК РФ и включает в себя обязанность работодателя соблюдать ряд ограничений при передаче персональных данных работников, в том числе:
- не сообщать персональные данные работников третьим лицам без письменного согласия работника;
- предупреждать лиц, получающих персональные данные, об ответственности за разглашение персональных данных;
- разрешать доступ к персональным данным только ограниченному кругу лиц;
- осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись, и др.
Статья 89 ТК РФ определяет круг прав работников, предоставленных им в целях обеспечения защиты персональных данных, хранящихся у работодателя. К ним, в частности, относятся права работников:
- на полную информацию об их персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника.
Как видно из приведенных выше положений нормативных правовых актов, на работодателя возложена обязанность создать целую систему, определяющую порядок получения, обработки, хранения персональных данных работников. Эта система, в частности, включает в себя разработку и утверждение локальных актов, устанавливающих порядок обработки и передачи персональных данных работников у конкретного работодателя.
Обычно в этих целях работодатели разрабатывают локальный нормативный акт, именуемый положением о персональных данных работников. В это положение включают как общие вопросы регулирования обработки персональных данных работников, так и конкретные условия их обработки у данного работодателя:
- перечни лиц, ответственных за обработку персональных данных;
- перечни данных, которые могут быть переданы отдельным работникам работодателя;
- условия, место и порядок хранения персональных данных.
В приложении к положению целесообразно включить типовые формы согласий работников на обработку, передачу персональных данных, форму отзыва согласия на обработку персональных данных, обязательства работников, обрабатывающих персональные данные.
