К персональным данным — конфиденциальной информации, разглашать которую работодатели (представители работодателя не вправе), в частности, отнесены биографические и иные сведения о работнике, в том числе адрес места жительства, домашний телефон, состав семьи, место работы или учебы членов семьи и родственников, подлинники и копии приказов по личному составу (включая приказы о дисциплинарных взысканиях, сведения, содержащиеся в личных карточках (форма Т-2), результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей, сведения о наличии судимости и т.п. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
В то же время персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных включает в себя получение, хранение, комбинирование, передачу или любое другое использование персональных данных работника (ст. 85 ТК РФ). Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников (ст. 86 ТК РФ).
Собственником персональных данных признается любой гражданин, к личности которого относятся соответствующие персональные данные и который вступил (стал работником) или изъявил желание вступить в трудовые отношения с работодателем.
Держателем персональных данных является работодатель, которому сотрудник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
Потребителями (пользователями) персональных данных считаются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.
Надзорные функции в данном случае отнесены к полномочиям Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Основания, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, если персональные данные работника обрабатываются в соответствии с трудовым законодательством. Обрабатывать такие данные можно исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (ст. 86 ТК РФ).
Обратите внимание: направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству. Но есть одна особенность. Например, если работодатель планирует в рамках зарплатного проекта с банком выплачивать зарплату работнику на банковскую карту или оформить работнику договор добровольного медицинского страхования, такие отношения выходят за рамки трудового законодательства. И в Роскомнадзор необходимо отправить уведомление установленного образца. Форма уведомления утверждена приказом Роскомнадзора от 19.08.2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».
Все персональные данные работника следует получать у него самого. Если персональные данные можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. При этом работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения и характере персональных данных.