+7 (495) 640-17-55 +7 (495) 640-16-55
Your corporate or personal HR-adviser

Персональные данные работника: что можно делать без согласия работника, а что – нельзя?

Ирина Плотникова (Юрисконсульт)

Одной из обязанностей работодателя является обеспечение сохранности и конфиденциальности персональных данных работника, их обработка на законной и справедливой основе.

По общему правилу, обработка персональных данных работника должна осуществляться при наличии согласия работника на такую обработку. Однако в ряде случаев закон позволяет работодателю обрабатывать персональные данные работника без его согласия.

В связи с этим очень часто у работодателя возникают сложности с определением, какие сведения о работнике являются персональными данными, а какие нет, в каких случаях нужно получать согласие работника, а когда можно обойтись и без него. Учитывая ужесточение с 1 июля 2017 г. ответственности за нарушение законодательства в области персональных данных, предлагаем вам цикл статей, которые познакомят работодателя с основными требованиями, касающимися обработки персональных данных, и позволят избежать многих ошибок, совершаемыми при работе с такими данными.
 
Что понимается под персональными данными работника.
 
Согласно п. 1 ст. 3 Федерального закона от 27.07.2016 г. № 152-ФЗ «О персональных данных» (далее по тексту – Закон о персональных данных) персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные могут быть общими (фамилия, имя, паспортные данные, номер телефона, адрес), специальными (сведения о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни) и биометрическими (сведения, которые характеризуют физиологические и биологические особенности человека: (рост, вес), либо закрепляют совокупность этих сведений с помощью технологических средств: фотография, видеозапись). В рамках трудовых отношений работодатель получает доступ ко всем категориям персональных данных работника.
Осуществляя обработку персональных данных работника, работодатель выступает в качестве оператора персональных данных и несет ответственность за соблюдение требований закона при их обработке.
Обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Трудовой кодекс РФ наделяет работодателя и работника определенными правами и обязанностями при обработке персональных данных работника.

Работодатель обязан:

1) осуществлять обработку персональных данных работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) все персональные данные работника получать у него самого. Если данные возможно получить только у третьей стороны, то от работника должно быть получено письменное согласие;

3) обеспечивать защиту персональных данных работника от неправомерного их использования или утраты;

4) ознакомить работников под роспись с документами работодателя, устанавливающими порядок обработки персональных данных;

5) привлекать работников к совместной выработке мер защиты персональных данных;

6) при передаче персональных данных соблюдать следующие требования:

  • не сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • разрешать доступ к персональным данным только специально уполномоченным лицам, которые должны иметь право получать только те данные, которые необходимы для выполнения конкретных функций.

Работник имеет право:

1) получать полную информацию о своих персональных данных и их обработке;

2) получать свободный бесплатный доступ к своим персональным данным, за исключением случаев,
предусмотренных законом;

3) получать доступ к медицинской документации, отражающей состояние здоровья работника, с помощью медицинского работника по выбору работника;

4) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона;

5) обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке персональных данных работника.

Таким образом, в этой статье мы  постарались определить, какая информация о работнике относится к персональным данным, а также рассмотрели обязанности, которые законодатель возлагает на работодателя при работе с ними. Важно отметить, что сведения о работнике приобретают статус персональных данных лишь в своей совокупности, поскольку именно тогда они позволяют персонализировать конкретного работника. В результате, фамилия или имя сами по себе не могут идентифицировать работника как личность; персонализация работника возможна лишь при одновременном использовании нескольких данных о нем. Например, фамилия «Иванов» не позволяет нам идентифицировать работника и поэтому такие сведения не являются персональными данными, но «Иванов Иван Иванович, 1956 г.р.» вполне конкретно указывают на конкретного работника, и поэтому такая информация относится к персональным данным. В результате, представляется крайне важным правильно классифицировать ту информацию о работнике, которая имеется у Вас в организации, что бы верно определить сведения, относящиеся к персональным данным.

О нюансах в области обработки персональных данных работника, с которыми может столкнуться работодатель, мы поговорим в следующих статьях.

ЖУРНАЛ «ТРУДОВЫЕ СПОРЫ»

Чтобы оставлять отклики, вам необходимо авторизоваться