Обработка персональных данных представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Федеральный закон «О персональных данных» обязывает лицо (оператора – по тексту закона) до начала обработки персональных данных уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.
Работодатель также является лицом осуществляющим обработку персональных данных работников и иных лиц. Насколько эта обязанность по уведомлению Роскомнадзора распространяется на работодателя?
Статьей 22 Федерального закона «О персональных данных» предусмотрены случаи, когда работодатель вправе осуществлять без уведомления Роскомнадзора обработку персональных данных.
К таким случаям относятся:
- обработка персональных данных в соответствии с трудовым законодательством;
- при получении работодателем персональных данных в связи с заключением договора, стороной которого является работник, или иное лицо, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия работника (иного лица) и используются работодателем исключительно для исполнения указанного договора и заключения договоров с работником или иным лицом, не состоящим в трудовых отношениях с работодателем;
- необходимых в целях однократного пропуска, например, соискателя работы, на территорию, на которой находится работодатель, или в иных аналогичных целях;
- обработка персональных данных без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
Для понимания правил взаимоотношений работодателя и Роскомнадзора следует более подробно остановиться на каждом из случаев.
При обработке персональных данных в соответствии с трудовым законодательством, необходимо понимать, что речь должна идти о случаях, когда обработка таких данных прямо предусмотрена трудовым законодательством. К таким случаям также можно отнести случаи обработки и передачи персональных данных, указанные в трудовом договоре, и при согласии работника.
А в иных случаях, т.е. о которых не идет речь в трудовом законодательстве, необходимо предварительно уведомить Роскомнадзор, если это не относится к вышеперечисленным случаям, указанным в пунктах 2,3 и 4.
Примером договорных отношений может быть заключение договора подряда, оказания услуг с работником или иным лицом, не состоящим в трудовых отношениях с работодателем.
Касательно вопроса обработки персональных данных без использования средств автоматизации, то уведомлять Роскомнадзор нет необходимости и в тех случаях, если обработка персональных данных вне рамок прямо регламентируемых трудовым законодательством. Во всех остальных случаях, которые не относятся к вышеперечисленным исключениям работодателю необходимо уведомить Роскомнадзор.