Согласно статье 3 Федерального закона от 27.07.2006 №152-ФЗ "О
персональных данных" (Закон о персональных данных) персональными данными
является любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы и т.д.
Согласно статье 85 Трудового кодекса (ТК) под персональными данными
работника понимается информация, необходимая работодателю в связи с
трудовыми отношениями и касающаяся конкретного работника.
Получение персональных данных от работника
Согласно п. 3 статьи 86 ТК все персональные данные работника следует
получать у него лично. Работодатель должен сообщить работнику о целях,
предполагаемых источниках и способах получения персональных данных, а
также о характере подлежащих получению данных и последствиях отказа
работника дать письменное согласие на их получение.
Согласно п. 1 статьи 9 Закона о персональных данных субъект персональных
данных принимает решение о предоставлении своих данных и дает согласие
на их обработку своей волей и в своем интересе. Работодатель обязан
представить доказательство получения согласия на обработку персональных
данных, а в случае обработки общедоступных данных - обязанность
доказать, что эти данные являлись общедоступными. Согласия субъекта
персональных данных не требуется, когда обработка таких данных
осуществляется в целях исполнения договора, одной из сторон которого
является субъект персональных данных (статья 9 Закона о персональных
данных). Поскольку работник является стороной трудового договора, то
письменное согласие на получение его персональных данных не нужно.
Согласно п. 3 статьи 86 ТК если персональные данные работника возможно
получить только у третьей стороны, то работник должен быть уведомлен об
этом заранее и от него должно быть получено письменное согласие.
Работодатель должен сообщить работнику о целях, предполагаемых
источниках и способах получения персональных данных, а также о характере
таких данных и последствиях отказа работника дать письменное согласие
на их получение. При отказе работника от ознакомления с уведомлением о
предполагаемом получении его персональных данных у иного лица
составляется акт, который должен быть подписан лицами, предъявившими
работнику соответствующее уведомление.
В уведомлении необходимо указать цели получения персональных данных
работника у иного лица, предполагаемые источники информации, способы
получения данных. Целями получения персональных данных работника у
третьего лица в соответствии с п. 1 статьи 86 ТК являются исключительно
соблюдение законов и иных нормативных правовых актов, содействие
работникам в трудоустройстве, обучении и продвижении по службе,
обеспечение их личной безопасности, контроля количества и качества
выполняемой работы и сохранности имущества.
Обработка персональных данных
В соответствии со статьей 6 Закона о персональных данных персональные
данные должны обрабатываться с согласия субъектов персональных данных.
Такого согласия не требуется, если обработка этих данных осуществляется в
целях исполнения договора, одной из сторон которого является субъект
персональных данных.
Соискатели работы не состоят с потенциальным работодателем в договорных
отношениях, персональные данные этих лиц должны обрабатываться с их
согласия.
В соответствии со п. 4 статьи 9 Закона о персональных данных письменное
согласие субъекта персональных данных на обработку своих данных должно
содержать:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер
основного документа, удостоверяющего его личность, сведения о дате
выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки;
- перечень данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение
которых дается согласие, общее описание используемых оператором способов
обработки;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Для обработки персональных данных соискателя, содержащихся в письменном
согласии лица на такую обработку, дополнительного согласия не требуется.
При недееспособности субъекта персональных данных письменное согласие на
обработку его данных дает его законный представитель. В случае смерти
субъекта персональных данных такое согласие оформляют его наследники,
если оно не было получено от самого субъекта при жизни.
Согласно п. 3 статьи 4 Закона о персональных данных порядок обработки
персональных данных, осуществляемой без использования средств
автоматизации, может устанавливаться федеральными законами и иными
нормативными правовыми актами РФ.
В настоящее время действует Положение об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации, утвержденное Постановлением Правительства РФ от
15.09.2008 №687 (Положение).
Персональные данные при такой обработке должны быть обособлены от иной
информации, в частности путем фиксации их на отдельных материальных
носителях.
Согласно п. 6 Положения лица, осуществляющие обработку персональных
данных без использования средств автоматизации (в т.ч. сотрудники
организации-оператора или лица, осуществляющие такую обработку по
договору с оператором), должны быть проинформированы о факте такой
обработки, категориях обрабатываемых данных, а также об особенностях и
правилах такой обработки, установленных нормативными правовыми актами
федеральных органов исполнительной власти, органов исполнительной власти
субъектов РФ, а также локальными правовыми актами организации (при их
наличии).
Пункт 7 Положения содержит условия, которые необходимо соблюдать при
использовании типовых форм документов, предполагающих или допускающих
включение в них персональных данных, например унифицированных форм
первичной учетной документации по учету труда и его оплаты, утвержденных
Постановлением Госкомстата РФ от 05.01.2004 N 1.
Согласно п. 7 Положения типовая форма или связанные с ней документы
(инструкция по ее заполнению, карточки, реестры и журналы) должны
содержать:
- сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;
- фамилию, имя, отчество и адрес оператора;
- фамилию, имя, отчество и адрес субъекта персональных данных;
- источник получения данных; сроки их обработки;
- перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
- общее описание используемых оператором способов обработки персональных данных.
Типовая форма должна содержать поле, в котором субъект персональных
данных может проставить отметку о согласии на обработку персональных
данных, осуществляемую без использования средств автоматизации, - при
необходимости получения такого согласия. При этом форма должна быть
составлена таким образом, чтобы каждый из субъектов персональных данных,
содержащихся в документе, имел возможность ознакомиться со своими
данными, не нарушая прав и законных интересов иных субъектов
персональных данных. Типовая форма должна исключать объединение полей,
предназначенных для внесения персональных данных, цели обработки которых
заведомо не совместимы (п. 7 Положения).
Согласно п. 1 Положения под автоматизированной обработкой персональных
данных понимаются действия, которые выполняются без участия человека,
т.е. полностью автоматически. Согласно п. 2 Положения обработка
персональных данных не может быть признана осуществляемой с
использованием средств автоматизации только на том основании, что эти
данные содержались в информационной системе персональных данных либо
были извлечены из нее.
http://www.subschet.ru/subschet.nsf/Docs/E64B3B5CD3CF7097C32577EB0048011C.html |