Статья 85 <<--- --->> Статья 87
ЧАСТЬ III. РАЗДЕЛ III.
ТРУДОВОЙ ДОГОВОР
Глава
14.
ЗАЩИТА
ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
Статья
86. Общие
требования при обработке персональных данных работника и гарантии их защиты
В целях обеспечения прав и свобод человека и гражданина
работодатель и его представители при обработке персональных
данных работника
обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться
исключительно в целях обеспечения соблюдения законов и иных
нормативных правовых актов, содействия работникам в
трудоустройстве, обучении и продвижении по службе, обеспечения
личной безопасности работников, контроля количества и качества
выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых
персональных данных работника работодатель должен
руководствоваться Конституцией Российской Федерации, настоящим
Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него
самого.
Если персональные данные работника возможно получить только у
третьей стороны, то работник должен быть уведомлен об этом
заранее и от него должно быть получено письменное согласие.
Работодатель должен сообщить работнику о целях, предполагаемых
источниках и способах получения персональных данных, а также о
характере подлежащих получению персональных данных и
последствиях отказа работника дать письменное согласие на их
получение;
4) работодатель не имеет права получать и обрабатывать
персональные данные работника о его политических, религиозных и
иных убеждениях и частной жизни. В случаях, непосредственно
связанных с вопросами трудовых отношений, в соответствии со
статьей 24 Конституции Российской Федерации работодатель вправе
получать и обрабатывать данные о частной жизни работника только
с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать
персональные данные работника о его членстве в общественных
объединениях или его профсоюзной деятельности, за исключением
случаев, предусмотренных настоящим Кодексом или иными
федеральными законами;
6) при принятии решений, затрагивающих интересы работника,
работодатель не имеет права основываться на персональных данных
работника, полученных исключительно в результате их
автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их
использования или утраты должна быть обеспечена работодателем за
счет его средств в порядке, установленном настоящим Кодексом или
иными федеральными законами;
8) работники и их представители должны быть ознакомлены под
роспись с документами работодателя, устанавливающими порядок
обработки персональных данных работников, а также об их правах и
обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение
и защиту тайны;
10) работодатели, работники и их представители должны совместно
вырабатывать меры защиты персональных данных работников.
Комментарий.
1. Общие требования при обработке персональных данных работника
и гарантии их защиты, предусмотренные комментируемой статьей, в
целом корреспондируются с иными актами законодательства РФ,
содержащими нормы, регулирующие смежные правоотношения. При
работе с персональными данными работодателю следует
ориентироваться на положения федеральных законов от 27.07.2006 №
149-ФЗ “Об информации, информационных технологиях и о защите
информации” и от 27.07.2006 № 152-ФЗ “О персональных данных”. В
определенных случаях необходимо учитывать и положения Конвенции
Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных от 28.01.1981, хотя субъектом
правоотношений в рамках данной Конвенции выступает, скорее,
государство как регулятор в соответствующей сфере. При этом все
законодательные и иные нормативные правовые акты РФ по данному
вопросу базируются на положениях Конституции РФ, ст. 23 которой
закреплено, что каждый имеет право на неприкосновенность частной
жизни, личную и семейную тайну, защиту своей чести и доброго
имени, а ст. 24 содержит даже более конкретную норму,
устанавливающую, что сбор, хранение, использование и
распространение информации о частной жизни лица без его согласия
не допускаются.
2. Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ
любое юридическое и физическое лицо, организующее и (или)
осуществляющее обработку персональных данных, а также
определяющее цели и содержание обработки персональных данных,
является оператором применительно к сфере действия указанного
Федерального закона. И хотя работодатель в соответствии со ст.
22 указанного Федерального закона как лицо, осуществляющее
обработку персональных данных в отношении субъектов (граждан),
которых связывают с ним трудовые правоотношения, освобожден от
необходимости предварительного уведомления уполномоченного
органа по защите прав субъектов персональных данных (в настоящее
время таким органом является Федеральная служба по надзору в
сфере связи) о своем намерении осуществить обработку
персональных данных, все остальные условия и требования
указанного Федерального закона для работодателя (как оператора)
при обработке персональных данных являются обязательными.
Согласно ст. 5 данного Федерального закона обработка
персональных данных должна осуществляться на основе принципов:
а) законности целей и способов обработки персональных данных и
добросовестности;
б) соответствия целей обработки персональных данных целям,
заранее определенным и заявленным при сборе персональных данных,
а также полномочиям оператора;
в) соответствия объема и характера обрабатываемых персональных
данных, способов обработки персональных данных целям обработки
персональных данных;
г) достоверности персональных данных, их достаточности для целей
обработки, недопустимости обработки персональных данных,
избыточных по отношению к целям, заявленным при сборе
персональных данных;
д) недопустимости объединения созданных для несовместимых между
собой целей баз данных информационных систем персональных
данных.
Оператор при обработке персональных данных обязан принимать
необходимые организационные и технические меры, в т. ч.
использовать шифровальные (криптографические) средства, для
защиты персональных данных от неправомерного или случайного
доступа к ним, уничтожения, изменения, блокирования,
копирования, распространения персональных данных, а также от
иных неправомерных действий.
3. Основным источником информации о работнике для работодателя
является сам работник, предоставляющий о себе необходимые
сведения, в первую очередь, при заключении трудового договора.
Статья 65 ТК РФ содержит исчерпывающий перечень документов,
которые лицо, поступающее на работу, предъявляет работодателю
(см. ст. 65 ТК РФ и комментарий к ней). В отдельных случаях с
учетом специфики работы Кодексом, иными федеральными законами,
указами Президента РФ и постановлениями Правительства РФ может
предусматриваться необходимость предъявления при заключении
трудового договора дополнительных документов. Так, ст. 26 Закона
№ 79-ФЗ содержит более широкий перечень документов, которые
необходимо предъявить представителю нанимателя при поступлении
на государственную гражданскую службу, являющуюся особым видом
трудовой деятельности.
В отдельных случаях законодательством РФ устанавливается
требование о передаче работодателю сведений, которые
характеризуют физиологические особенности человека и на основе
которых можно установить его личность (биометрические
персональные данные). Примером таких требований могут служить
положения законодательства Российской Федерации в отношении лиц,
претендующих на замещение должностей (профессий), на которых
предусматривается обязательная дактилоскопическая регистрация
(см. Федеральный закон от 25.07.1998 № 128-ФЗ “О государственной
дактилоскопической регистрации в Российской Федерации”).
Перечень должностей, на которых проходят службу граждане
Российской Федерации, подлежащие обязательной государственной
дактилоскопической регистрации, утвержден постановлением
Правительства РФ от 06.04.1999 № 386.
4. Комментируемая статья запрещает работодателю получать и
обрабатывать персональные данные работника о его политических, религиозных и
иных убеждениях и частной жизни, а также персональные данные работника о его
членстве в общественных объединениях или его профсоюзной деятельности.
Аналогичные ограничения предусмотрены и Федеральным законом “О персональных
данных”. Согласно ст. 10 указанного Федерального закона персональные данные,
касающиеся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья, интимной жизни,
относятся к специальной категории персональных данных, и их обработка не
допускается за исключением случаев, когда субъект персональных данных (в
комментируемом случае – работник) дал согласие в письменной форме на
обработку своих персональных данных. При этом п. 5 ч. 2 этой же статьи
Закона предусмотрено, что обработка персональных данных членов (участников)
общественного объединения или религиозной организации осуществляется
соответствующим общественным объединением или религиозной организацией,
действующими в соответствии с законодательством РФ, для достижения законных
целей, предусмотренных их учредительными документами, при условии, что
персональные данные не будут распространяться без согласия в письменной
форме субъектов персональных данных. Применительно к трудовым отношениям это
означает, что информацию о членстве работника, например, в профессиональном
союзе вправе обрабатывать только сам профессиональный союз, но не
работодатель.