Статья 86 ТК РФ. Общие требования при обработке персональных данных работника и гарантии их защиты


В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.


Комментарии к ст. 86 ТК РФ

Текст комментария: Отв. ред. Ю.П. Орловский "КОММЕНТАРИЙ К ТРУДОВОМУ КОДЕКСУ РОССИЙСКОЙ ФЕДЕРАЦИИ", изд.6-е
Авторы: Орловский Ю.П., Чиканова Л.А., Нуртдинова А.Ф., Коршунова Т.Ю., Серегина Л.В., Гаврилина А.К., Бочарникова М.А., Виноградова З.Д.
Издание: 2014 год

1. Согласно ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Приведенные положения соответствуют важнейшим международным актам о защите прав и свобод человека:

- Международному пакту о гражданских и политических правах (1996 г.), ст. 17 которого предусматривает, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.

Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств;

- Конвенции о защите прав человека и основных свобод (1950 г.), ст. 8 которой устанавливает, что каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.

Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц;

- Конвенции Содружества Независимых Государств о правах и основных свободах человека (1995 г.), ст. 9 которой определяет, что каждый человек имеет право на уважение его личной и семейной жизни, на неприкосновенность жилища и тайну переписки.

Не должно быть никакого вмешательства со стороны государственных органов в пользовании этим правом, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах государственной и общественной безопасности, общественного порядка, охраны здоровья и нравственности населения или защиты прав и свобод других лиц.

2. 19.12.2005 Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 с поправками, одобренными Комитетом министров Совета Европы 15.06.1999, подписанную от имени Российской Федерации в г. Страсбурге 07.11.2001.

Целью Конвенции является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных (защита данных).

Для целей данной Конвенции термин "персональные данные" означает информацию, касающуюся конкретного или могущего быть идентифицированным лица (субъекта данных); термин "автоматизированная база данных" означает любой набор данных, к которым применяется автоматическая обработка; автоматическая обработка персональных данных включает в себя операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и/или арифметических операций с такими данными, их изменение, стирание, восстановление или распространение; контролер базы данных есть физическое или юридическое лицо, государственный орган, ведомство или любая другая организация, которая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться.

3. На 14-м пленарном заседании Межпарламентской Ассамблеи государств - участников СНГ (Постановление от 16.10.1999 N 14-19) принят Модельный закон о персональных данных, который определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным договорам.

Целью Закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.

В соответствии с этим Законом персональные данные - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.

Материальные носители - материальные объекты (в т.ч. физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.

Субъект персональных данных (субъект) - человек, к которому относятся соответствующие персональные данные.

Держатель персональных данных (держатель) - органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.

Действия (операции) держателя с персональными данными - сбор, хранение, уточнение, передача, блокирование, обезличивание и уничтожение персональных данных.

Сбор персональных данных - документально оформленная процедура получения держателем персональных данных от субъектов этих данных.

Передача персональных данных - предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами.

Трансграничная передача персональных данных - передача держателем персональных данных этих данных держателям, которые находятся под юрисдикцией другого государства.

Уточнение персональных данных - оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством.

Блокирование персональных данных - временное прекращение передачи, уточнения и уничтожения персональных данных.

Уничтожение персональных данных - действия держателя персональных данных по приведению последних в состояние, не позволяющее восстановить их содержание.

Обезличивание персональных данных - изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

База персональных данных - упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.

Как видим, нормы комментируемой главы о защите персональных данных работника полностью соответствуют международным нормам и приняты в соответствии с обязательствами Российской Федерации.

4. Режим защиты информации устанавливается:

- в отношении сведений, отнесенных к государственной тайне - уполномоченными органами на основании Закона о государственной тайне;

- в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом;

- в отношении персональных данных - Законом о персональных данных, ТК и иными нормативными правовыми актами.

5. В соответствии с указанным Законом о персональных данных персональные данные есть любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных):

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

6. В комментируемой статье законодатель определяет общие требования при обработке персональных данных работника и гарантии их защиты со стороны работодателя и его представителей в целях обеспечения прав и свобод человека и гражданина.

В п. 1 этой статьи сформулированы цели, для осуществления которых возможна обработка персональных данных - обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.

В иных целях обработка указанных данных не допускается.

7. Исходя из названных целей, предусматривается, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК и иными федеральными законами.

К иным федеральным законам, о которых упоминается в ст. 86, относится прежде всего Закон о персональных данных, который регулирует отношения, связанные с обработкой персональных данных. Далее следует назвать Закон о государственной гражданской службе, где названы документы, представляемые гражданином при поступлении на государственную службу (ст. 26), и порядок ведения личных дел государственных служащих (ст. 42).

В соответствии с указанным Законом издан Указ Президента РФ от 30.05.2005 N 609, которым утверждено Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.

В этом Положении определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации (далее - гражданский служащий), а также ведения его личного дела в соответствии со ст. 42 Закона о государственной гражданской службе.

Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с вышеупомянутым Положением.

Представитель нанимателя в лице руководителя государственного органа либо его представителя, осуществляющих полномочия нанимателя от имени Российской Федерации или субъекта Российской Федерации (далее - представитель нанимателя), обеспечивает защиту персональных данных гражданских служащих, содержащихся в их личных делах, от неправомерного их использования или утраты.

Представитель нанимателя определяет лиц, как правило, из числа работников кадровой службы государственного органа, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных гражданских служащих в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

При получении, обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать следующие требования:

а) обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее - гражданская служба), в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей;

б) персональные данные следует получать лично у гражданского служащего. В случае возникновения необходимости получения персональных данных гражданского служащего у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить гражданскому служащему о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в т.ч. в профессиональных союзах;

г) при принятии решений, затрагивающих интересы гражданского служащего, запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных гражданского служащего от неправомерного их использования или утраты обеспечивается за счет средств государственного органа в порядке, установленном федеральными законами;

е) передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральным законом.

В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:

а) получать полную информацию о своих персональных данных и об обработке этих данных (в т.ч. автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных федеральным законом;

в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением вышеназванного Закона. Гражданский служащий при отказе представителя нанимателя или уполномоченного им лица исключить или исправить персональные данные гражданского служащего имеет право заявить в письменной форме представителю нанимателя или уполномоченному им лицу о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера гражданский служащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

г) требовать от представителя нанимателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные гражданского служащего, обо всех произведенных в них изменениях или исключениях из них;

д) обжаловать в суд любые неправомерные действия или бездействие представителя нанимателя или уполномоченного им лица при обработке и защите персональных данных гражданского служащего.

Гражданский служащий, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого гражданского служащего, несет ответственность в соответствии с настоящим Федеральным законом и другими федеральными законами.

8. Комментируемая статья предусматривает общий порядок получения персональных данных непосредственно от самого работника. Запрещены, как правило, получение и обработка персональных данных работника о его убеждениях (политических, религиозных и иных), частной жизни, членстве в общественных объединениях или профсоюзной деятельностью. При обработке персональных данных работника работодатель обязан следовать требованиям, установленным ст. 86 ТК, в частности:

- получать и обрабатывать персональные данные работников в соответствии с требованиями законов и других нормативных правовых актов и только для целей, установленных комментируемой статьей;

- получать персональные данные исключительно у работника. В том случае, если персональные данные работника могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и получить его письменное согласие.

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные законом права субъекта персональных данных;

5) источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных данных вышеуказанные сведения в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

9. Важной обязанностью работодателя является обязанность обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты. С этой целью работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством и принятыми в соответствии с ним нормативными правовыми актами. Работодатель самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законодательством и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения работодателем возложенных на него обязанностей;

6) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в т.ч. с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

10. Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и проч.) другому лицу. Однако это не освобождает его от ответственности перед работником (ч. 3 ст. 6 Закона о персональных данных). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).

11. Согласие работника на обработку персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес работника; реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;

2) при получении согласия от представителя работника - его фамилию, имя, отчество, адрес; реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе; реквизиты доверенности или иного документа, подтверждающего полномочия представителя;

3) наименование или фамилию, имя, отчество и адрес работодателя;

4) цель обработки персональных данных;

5) перечень персональных данных, которые подлежат обработке;

6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;

7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;

8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;

9) подпись работника.

12. Согласие на обработку персональных данных в некоторых случаях должно быть получено не только у работника, но и у лица, ищущего работу. На практике нередки случаи, когда от имени лица, ищущего работу, действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в сети Интернет, сделав его доступным неограниченному кругу лиц, тогда согласие на обработку его персональных данных не требуется.

Согласие не требуется и в тех случаях, когда:

- обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;

- это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК порядке;

- обязанность по обработке предусмотрена законодательством, в т.ч. для опубликования и размещения персональных данных работников в сети Интернет;

- обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции;

- обработка персональных данных специальных категорий проводится органами прокуратуры при проведении надзорных мероприятий;

- обработка персональных данных близких родственников работника проводится в объеме, предусмотренном личной карточкой, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;

- обработка персональных данных связана с выполнением работником своих трудовых обязанностей;

- обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений;

- персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами;

- обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета.

13. Обработка персональных данных может производиться без использования средств автоматизации. Порядок такой обработки персональных данных определяется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Обработка персональных данных, проводимая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются работодателем.

14. Законодательством предусмотрена возможность обработки персональных данных с использованием средств автоматизации. Закон о персональных данных определяет автоматизированную обработку персональных данных как обработку данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее.

Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации.

В равной мере ст. 86 ТК запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или от электронных носителей информации.

Наконец, комментируемая статья Кодекса предусматривает обязанность работодателя обеспечить защиту персональных данных от их неправомерного использования или утраты и устанавливает, что работники не должны отказываться от своих прав на сохранение и защиту тайны.

Положения ст. 86 получают дальнейшее развитие в последующих статьях этой главы.

Задайте вопрос юристу:
+7 (499) 703-46-71 - для жителей Москвы и Московской области
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области