В ходе трудовой деятельности на постоянной основе осуществляется обработка персональных данных работника. Требования к этой процедуре устанавливает Закон «О персональных данных». Мероприятия по защите персональных данных работника устанавливает глава 14 Трудового кодекса РФ.
По сути, обработка персональных данных начинается еще на стадии до заключения трудового договора. Ведь чтобы его заключить работодатель должен, как минимум, знать фамилию, имя, отчество соискателя, паспортные данные, стаж работы и т.п.
Обработка персональных данных согласно ст. 3 Закона о персональных данных — любые действия с данными. Это и сбор, запись, систематизация, хранение, уточнение, передача и т.п. Документы, которые содержат данные и включаются в термин «обработка персональных данных работника», это и анкета соискателя, и паспорт, трудовая книжка, свидетельство о заключении брака, о рождении ребенка и т.п. Поэтому мы и рекомендуем согласие на обработку персональных данных получать даже от соискателя.
Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:
Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.
По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.
Работодатель организует обработку данных либо с использованием средств автоматизации, либо без использования таких средств.
В настоящее время действует Положение об особенностях обработки персональных данных без средств автоматизации. Постановление Правительства РФ № 687 от 15.09.2008 г. Такой порядок предполагает обработку данных при непосредственном участии человека.
Причем такие действия, как использование, уточнение, распространение, уничтожение. То есть даже если сотрудник кадров использует компьютер для хранения данных, то это все равно обработка без автоматизации. Важно, чтобы их хранение было обособлено от другой информации. Например, данных можно хранить на отдельных носителях. Причем если цели разные, то и носители должны быть разными. Как и место хранения этих носителей, которое должен организовать работодатель. Также он устанавливает перечень лиц, имеющих допуск к персональным данным.
Что касается обработки информации с использованием средств автоматизации, то это использование вычислительной техники. Здесь для использования пригодится Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Что ждет работодателя, если он нарушит правила обработки персональных данных работника? Во-первых, это административная ответственность. Штрафы трудовой инспекции за нарушение трудового законодательства (ст. 5.27. КоАП РФ) — не ознакомили работников с локальными актами. Во-вторых, ст. 13.11 КоАП РФ — это как раз про обработку персональных данных.
Если какой-то сотрудник распространил сведения о частной жизни работника, которые стали ему известны при обработке персональных данных работника, то может настать уголовная ответственность (ч. 2 ст. 137 УК РФ).
Задайте свой вопрос юристу