Право работодателя на осуществление использования личных сведений своего сотрудника регулирует положение об обработке персональных данных, а также в некоторой степени Трудовой кодекс. Кроме особых условий для реализации любых действий с ПД (персональные данные), он также объясняет принципы и условия обработки сведений о субъекте, меры по безопасности при их обработке, ответственность за несанкционированное использование и многие другие моменты, что касаются защиты ПД.
Согласно закону, любое использование данных сотрудника может осуществляться только в таких случаях:
К примеру, работодатель может передать ПД о своем сотруднике в банк для открытия (или привязки) счета и кредитной карты на имя работника с целью оплаты труда на этот счет. В этом случае оператор информации вполне законно обрабатывал (а конкретней — передавал) информацию о субъекте.
Работодатель, или лицо, представляющее его (например, администратор персонала или директор) также обязан информировать сотрудника о целях получения личной информации. Собственно, после проведения разъяснительных работ — о том, зачем и как будут использованы сведения, их владелец должен будет пописать документ-разрешения использования ПД.
Данный документ обязательно должен быть подписан сотрудником учреждения при использовании его частной информации. Однако, актуальная статья Закона о ПД уточняет, что подобное письменное разрешение не требуется, если обработка данных требуется для исполнения какого-либо договора, подписанного владельцем этих данных.
Таким образом, при рассмотрении наведенного выше примера (передача данных работодателя банку для личного привязки счета к компании и выплате заработной платы), оказывается, что подобная обработка данных может осуществляться без письменного согласия работника, ведь оплата труда — это прямая реализация одного из пунктов трудового договора.
В любом учреждении в обязательном порядке должно быть лицо, ответственное за процесс сбора и использования личной информации штата. Это может быть как сам работодатель-владелец организации, так и представляющий его человек (директор, заместитель, администратор).
В обязанности ответственного должны входить такие функции, как сбор ПД (только от прямого владельца), разъяснительные работы о законодательстве РФ, касающегося обработки информации, приказ обработке персональных данных, прием и ответ на запросы об использовании ПД и так далее.
В законе о защите персональной информации предусмотрена административная ответственность должностного лица, отвечающего за сбор и обработку ПД.
Таким образом, человек, принимающий на работу специалистов различного направления, должен помнить основное правило использования частных сведений о штате: если обработка любого характера должна быть осуществлена в связи с реализацией трудового договора, то ее можно провести без письменного согласия сотрудника. В любых других ситуациях следует проинформировать о необходимости обработки ПД и получить на то разрешение.