Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
- организующее и (или) осуществляющее обработку п/д;
- определяющее цели такой обработки и действия, совершаемые с этими данными.
Под обработкой п/д понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Согласно ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке п/д работника обязаны соблюдать следующие общие требования.
Требование № 1. Обработка данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Требование № 2. При определении объема и содержания обрабатываемых данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
Требование № 3. Все п/д работника следует получать у него самого. Если их можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить сотруднику о целях, предполагаемых источниках и способах получения данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.
Требование № 4. Работодатель не имеет права получать и обрабатывать данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Требование № 5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
Требование № 6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Требование № 7. Защита п/д от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.
Требование № 8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Организации следует разработать ряд локальных документов, которые регулируют работу с получаемыми п/д и ответственность лиц, их получающих. Например:
- положение о персональных данных;
- приказы об утверждении списков лиц, имеющих доступ к данным работников;
- обязательства о неразглашении данных указанными лицами;
- порядок хранения данных.
Работники, которые получают доступ к п/д для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под подпись.
Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должностной инструкции каждого сотрудника, получившего к ним доступ.