ЧАСТЬ III. РАЗДЕЛ III. ТРУДОВОЙ ДОГОВОР
Глава 14. ЗАЩИТА 
ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника
обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого.
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом или иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Комментарий.
1. Общие требования при обработке персональных данных работника и гарантии их защиты, предусмотренные комментируемой статьей, в целом корреспондируются с иными актами законодательства РФ, содержащими нормы, регулирующие смежные правоотношения. При работе с персональными данными работодателю следует ориентироваться на положения федеральных законов от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации” и от 27.07.2006 № 152-ФЗ “О персональных данных”. В определенных случаях необходимо учитывать и положения Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981, хотя субъектом правоотношений в рамках данной Конвенции выступает, скорее, государство как регулятор в соответствующей сфере. При этом все законодательные и иные нормативные правовые акты РФ по данному вопросу базируются на положениях Конституции РФ, ст. 23 которой закреплено, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а ст. 24 содержит даже более конкретную норму, устанавливающую, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2. Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ любое юридическое и физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных, является оператором применительно к сфере действия указанного Федерального закона. И хотя работодатель в соответствии со ст. 22 указанного Федерального закона как лицо, осуществляющее обработку персональных данных в отношении субъектов (граждан), которых связывают с ним трудовые правоотношения, освобожден от необходимости предварительного уведомления уполномоченного органа по защите прав субъектов персональных данных (в настоящее время таким органом является Федеральная служба по надзору в сфере связи) о своем намерении осуществить обработку персональных данных, все остальные условия и требования указанного Федерального закона для работодателя (как оператора) при обработке персональных данных являются обязательными.
Согласно ст. 5 данного Федерального закона обработка персональных данных должна осуществляться на основе принципов:
а) законности целей и способов обработки персональных данных и добросовестности;
б) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
в) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
д) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в т. ч. использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
3. Основным источником информации о работнике для работодателя является сам работник, предоставляющий о себе необходимые сведения, в первую очередь, при заключении трудового договора. Статья 65 ТК РФ содержит исчерпывающий перечень документов, которые лицо, поступающее на работу, предъявляет работодателю (см. ст. 65 ТК РФ и комментарий к ней). В отдельных случаях с учетом специфики работы Кодексом, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов. Так, ст. 26 Закона № 79-ФЗ содержит более широкий перечень документов, которые необходимо предъявить представителю нанимателя при поступлении на государственную гражданскую службу, являющуюся особым видом трудовой деятельности.
В отдельных случаях законодательством РФ устанавливается требование о передаче работодателю сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные). Примером таких требований могут служить положения законодательства Российской Федерации в отношении лиц, претендующих на замещение должностей (профессий), на которых предусматривается обязательная дактилоскопическая регистрация (см. Федеральный закон от 25.07.1998 № 128-ФЗ “О государственной дактилоскопической регистрации в Российской Федерации”). Перечень должностей, на которых проходят службу граждане Российской Федерации, подлежащие обязательной государственной дактилоскопической регистрации, утвержден постановлением Правительства РФ от 06.04.1999 № 386.
4. Комментируемая статья запрещает работодателю получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а также персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности. Аналогичные ограничения предусмотрены и Федеральным законом “О персональных данных”. Согласно ст. 10 указанного Федерального закона персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, относятся к специальной категории персональных данных, и их обработка не допускается за исключением случаев, когда субъект персональных данных (в комментируемом случае – работник) дал согласие в письменной форме на обработку своих персональных данных. При этом п. 5 ч. 2 этой же статьи Закона предусмотрено, что обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных. Применительно к трудовым отношениям это означает, что информацию о членстве работника, например, в профессиональном союзе вправе обрабатывать только сам профессиональный союз, но не работодатель.