Соблюдение законодательства в сфере персональных данных

В соответствии со статьей 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Поскольку каких-либо требований, предъявляемых к заполнению личного дела работника, законодательством не предусмотрено, к документам, предоставляемым работником и заполняемым сотрудником кадровой службы при приеме на работу, можно отнести:

— анкету, автобиографию, резюме;

— личное заявление о приеме на работу; копии документов об образовании;

— рекомендации и характеристики; медицинские справки, если они необходимы для заключения трудового договора;

— трудовой договор;

— выписка из приказа о приеме на работу;

— личная карточка.

Личная карточка (унифицированная форма № Т-2) утверждена Постановлением Госкомстата России от 5 января 2004 г. № 1.

Все перечисленные документы содержат персональные данные субъекта, обработка которых должна осуществляться с соблюдением требований законодательства Российской Федерации в сфере персональных данных.

Согласно части 4 и части 5 статьи 5 Закона о персональных данных обработке подлежат только те персональные данные, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

В соответствии с частью 1 статьи 86 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ обработка персональных данных работника может осуществляться исключительно в целях:

— обеспечения соблюдения законов и иных нормативных правовых актов; содействие работникам в трудоустройстве;

— получения образования и продвижение по службе;

— обеспечения личной безопасности работников;

— контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Следовательно, объем обрабатываемых персональных данных не должен превышать установленные перечни и соответствовать целям обработки, предусмотренным Трудовым законодательством Российской Федерации.

Согласно части 4 статьи 21 Закона о персональных данных в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если:

— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных;

— оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

Согласно пункту 1 части 1 статьи 6 Закона о персональных данных обработка персональных данных допускается с согласия субъекта персональных данных на обработку его персональных данных.

Случаи, при которых оператор вправе осуществлять обработку персональных данных без согласия субъекта, установлены в пунктах 2 — 11 части 1 статьи 6 Закона о персональных данных.

Таким образом, обработка персональных данных субъекта допускается при соблюдении условий, установленных статьей 6 Закона о персональных данных.

Уничтожение персональных данных в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, осуществляется в случае, если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.

Например: если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, оператор вправе осуществлять обработку без согласия субъекта персональных данных (пункт 2 часть 1 статьи 6 Закона о персональных данных).

Ольга Шахматова, заместитель руководителя Управления Роскомнадзора по ДФО

20.12.2018    Соблюдение законодательства в сфере персональных данных