Работодатель не имеет права:
— сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
— сообщать персональные данные работника в коммерческих целях без его письменного согласия;
— запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
— передавать персональные данные работника представителям работников в ином порядке чем, установлен ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;
— получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
— при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Работодатель обязан:
— разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
— осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).
Законодательство о персональных данных не предусматривает необходимости подписания работниками оператора персональных данных какого-либо документа (соглашения, обязательства) об обеспечении конфиденциальности таких данных и, соответственно, не устанавливает санкций на случай уклонения работника от подписания подобного документа.
Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Работник имеет право на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Управление Роскомнадзора по Тюменской области
