В соответствии со статьей 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Поскольку каких-либо требований, предъявляемых к заполнению личного дела работника, законодательством не предусмотрено, к документам, предоставляемым работником и заполняемым сотрудником кадровой службы при приеме на работу, можно отнести:
— анкету, автобиографию, резюме;
— личное заявление о приеме на работу; копии документов об образовании;
— рекомендации и характеристики; медицинские справки, если они необходимы для заключения трудового договора;
— трудовой договор;
— выписка из приказа о приеме на работу;
— личная карточка.
Личная карточка (унифицированная форма № Т-2) утверждена Постановлением Госкомстата России от 5 января 2004 г. № 1.
Все перечисленные документы содержат персональные данные субъекта, обработка которых должна осуществляться с соблюдением требований законодательства Российской Федерации в сфере персональных данных.
Согласно части 4 и части 5 статьи 5 Закона о персональных данных обработке подлежат только те персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
В соответствии с частью 1 статьи 86 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ обработка персональных данных работника может осуществляться исключительно в целях:
— обеспечения соблюдения законов и иных нормативных правовых актов; содействие работникам в трудоустройстве;
— получения образования и продвижение по службе;
— обеспечения личной безопасности работников;
— контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Следовательно, объем обрабатываемых персональных данных не должен превышать установленные перечни и соответствовать целям обработки, предусмотренным Трудовым законодательством Российской Федерации.
Согласно части 4 статьи 21 Закона о персональных данных в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных;
— оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
Согласно пункту 1 части 1 статьи 6 Закона о персональных данных обработка персональных данных допускается с согласия субъекта персональных данных на обработку его персональных данных.
Случаи, при которых оператор вправе осуществлять обработку персональных данных без согласия субъекта, установлены в пунктах 2 — 11 части 1 статьи 6 Закона о персональных данных.
Таким образом, обработка персональных данных субъекта допускается при соблюдении условий, установленных статьей 6 Закона о персональных данных.
Уничтожение персональных данных в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, осуществляется в случае, если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.
Например: если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, оператор вправе осуществлять обработку без согласия субъекта персональных данных (пункт 2 часть 1 статьи 6 Закона о персональных данных).
Ольга Шахматова, заместитель руководителя Управления Роскомнадзора по ДФО
20.12.2018 Соблюдение законодательства в сфере персональных данных