Статьей 86 Трудового кодекса РФ предусмотрены основные обязанности работодателя при обработке персональных данных работника и гарантии их защиты.
Подробный порядок организации работы с персональными данными содержатся в Федеральном законе «О персональных данных» № 152-ФЗ от 27.07.2006.
Обработка персональных данных работника может осуществляться исключительно в целях:
Пункт 10 статьи 86 ТК РФ предусматривает, что работодатель вправе издавать локальные нормативные акты о защите персональных данных работников и, в частности, предусматривать меры защиты такой информации в коллективном договоре.
Пункт 7 статьи 86 ТК РФ предусматривает также, что защита персональных данных от неправомерного использования или утраты должна обеспечиваться работодателем за счет его средств.
Все персональные данные работника по общему правилу запрашиваются у него лично.
Письменное согласие работника на обработку персональных данных обязательно в большинстве случаев, если его персональные данные возможно получить только у третьей стороны.
Работник, кроме того, должен быть извещен о целях, предполагаемых источниках и способах получения персональных данных, а также о характере получаемых персональных данных и последствиях отказа работника дать письменное согласие на получение персональных данных.
Персональные данные работника о его политических, религиозных и иных убеждениях, его членстве в общественных объединениях или его профсоюзной деятельности, а также о его частной жизни неприкосновенны и не подлежат обработке работодателем.
Персональные данные работника содержат три группы сведений:
Сбор и обработка персональных данных, в соответствии с законодательством, осуществляются двумя способами: автоматизированным и неавтоматизированным.
Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение.
В соответствии с пунктом первым Положения «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного Постановлением Правительства РФ № 687, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.
Автоматизированная защита персональных данных представляет собой в первую очередь внедрение у работодателя специальной системы защиты конфиденциальной информации.
Создание системы защиты персональных данных — это комбинация целого ряда организационно-распорядительной документации и технических средств защиты.
Таким образом, осуществлять данные мероприятия могут только организации имеющие лицензию на деятельность по технической защите конфиденциальной информации, полученную в соответствии с Постановлением Правительства РФ от 03.02.2012 № 79.
Для этого способа работы с конфиденциальной информацией издано отдельное Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
К анкетным данным относятся:
Кроме того, анкета соискателя должна содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней.
Статья 87 ТК РФ предусматривает, что хранение персональных данных работника осуществляется в соответствии с порядком, который определяется работодателем.
Документы кадрового учета, которые содержат персональные данные:
Приведенные документы с информацией о работниках, как правило, хранятся в кадровой службе организации.
В соответствии с ч. 7 ст. 5 Федерального закона «О персональных данных» хранение персональных данных, получаемых в связи с их обработкой с использованием средств автоматизации или без использования таких средств, должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Работодателю следует помнить о регламентных сроках хранения некоторой документации. Например, личное дело работника должно храниться 75 лет (Приказ Минкультуры РФ от 25.08.2010 N 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»).
Статья 88 ТК РФ устанавливает требования к работодателям, которые они должны соблюдать при передаче персональных данных работника.
Прежде всего, работодатель при передаче персональных данных работника не должен сообщать эти данные третьей стороне без письменного согласия работника (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других случаях, установленных федеральным законом), а также не должен сообщать их в коммерческих целях без согласия работника.
Одним из примеров ситуации, когда получение работодателем согласия на обработку персональных данных не требуется, служит особый режим обработки персональных данных медицинских работников
Согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.