Держатель персональных данныхвыполняет функцию владения этими данными и обладает полномочиями распоряжаться ими в пределах, установленных законодательством.
Права и обязанности работодателя в трудовых отношениях осуществляются: физическим лицом, являющимся работодателем; органами управления юридического лица (организации) или уполномоченными им лицами в порядке, установленном законами, иными нормативными правовыми актами, учредительными документами юридического лица (организации) и локальными нормативными актами.
Видимо, можно утверждать, что именно первый руководитель организации обладает правами и выполняет обязанности работодателя. Его представителями, которым делегируются указанные права и обязанности, могут быть нижестоящие руководители - заместители первого руководителя, руководители функциональных структурных подразделений организации, работа которых связана с обработкой персональных данных.
Работодатель обязан выполнить все предусмотренные законодательством действия по правомерному использованию и сохранению переданных ему работником во владение сведений в целостности и достоверности, обеспечить их конфиденциальность. Работодатель и работник обязаны также регулярно актуализировать персональные данные для решения обоюдополезных задач, связанных с выполнением условий коллективного договора, соглашений, трудового договора и правил внутреннего трудового распорядка организации.
Потребителями {пользователями)персональных данных являются юридические и физические лица, обращающиеся к держателю персональных данных за получением необходимых им сведений и пользующиеся ими без нрава передачи, разглашения.
К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры - органы статистики, налоговые инспекции, правоохранительные органы, страховые агентства, туристические и гостиничные фирмы, подразделения муниципальных органов управления и др.
Внутри организации - сотрудников функциональных структурных подразделений, которым эти данные необходимы для выполнения должностных обязанностей (службы кадров, бухгалтерии, планово-финансового отдела, службы безопасности и др.). В профсоюзных и иных общественных организациях формируются автономные базы персональных данных, создаваемые на основе тех сведений, которые члены этих организаций передают им во владение.
Персональные данные добровольно передаются работником непосредственно держателю этих данных или его представителям и потребителям внутри организации (далее - работодателю) исключительно для обработки и использования в работе.
Обработка персональных данных включает в себя их получение, хранение, комбинирование, передачу, а также актуализацию, блокирование, защиту, уничтожение. Под блокированием персональных данных понимается временное прекращение операций по их обработке по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действиях в отношении его данных. Способы обработки, документирования, хранения и защиты персональных данных работников определятся первым руководителем организации и его представителями с соблюдением требований Законодательства Украины и на базе современных информационных технологий.
Не допускаются сбор, передача, использование и уничтожение данных для причинения материального ущерба и (или) морального вреда работникам, а также в целях, препятствующих реализации ими установленных Законодательством Украины прав и свобод. Работа с персональными данными в организации должна вестись с соблюдением мер обеспечения их конфиденциальности.
Работодатель при обработке персональных данных работника обязан соблюдать следующие общие требования:
• обработка персональных данных работника может осуществляться работодателем исключительно в целях обеспечения соблюдения законов, иных нормативных правовых
актов, содействия гражданам в трудоустройстве, обучении и продвижении работников
по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой ими работы и обеспечения сохранности имущества, соблюдения конфиденциальности (секретности) ценной информации;
• при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться требованиями Законодательства Украины.
• все персональные данные следует получать у самого работника;
• если персональные данные работника можно получить только у третьей стороны (например, другого гражданина, работника, руководителя другой организации или структурного подразделения), то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения этих данных, а также характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
• работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни; однако в случаях, непосредственно связанных с вопросами трудовых отношений, трудоустройства, в соответствии Законодательством Украины работодатель вправе получать и обрабатывать данные о частной жизни работника, но только с его письменного согласия;
• работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством;
• при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или способах их электронного получения;
• защита персональных данных работника от неправомерного использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом;
• работодатель обязан документально регламентировать порядок доступа и работы
пользователей (руководителей всех рангов, сотрудников функциональных подразделений) с персональными данными работников организации, определить круг лиц, несущих юридическую ответственность за сохранность персональных данных, их конфиденциальность;
• работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также их правами и обязанностями в этой области;
• работодатель обязан сообщать субъекту по его требованию информацию о наличии
персональных данных о нем и предоставить ему сами персональные данные;
• работодатель, работники и их представители должны совместно вырабатывать меры
защиты персональных данных работников.
В свою очередь, работник обязан передавать работодателю или его представителю комплекс достоверных и, как правило, документированных персональных данных, состав которых установлен КЗоТ, своевременно сообщать о необходимости внесения изменений в свои персональные данные. Работники не должны отказываться от своих прав на сохранение и защиту своей личной и семейной тайны.
Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных. Работодатель обязан потребовать от потребителя подтверждения того, что это правило соблюдено.
При передаче персональных данных работника потребителям (в том числе в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом. Сведения передаются в письменной форме и должны иметь гриф конфиденциальности. За пределы организации персональные данные целесообразно в большинстве случаев передавать в обезличенной форме, исключающей возможность идентификации субъекта этих данных, При обезличивании режим конфиденциальности данных снимается.
Передача персональных данных работника внутри одной организации должна быть ограничена случаями, о которых известно работнику, и осуществляться в соответствии с локальным нормативным актом организации (положением, инструкцией), с которым работник должен быть ознакомлен под подпись. Работодатель вправе разрешать доступ к персональным данным работников только специально уполномоченным лицам (сотрудникам кадровой службы, руководителям структурных подразделений и другим лицам).
При этом разрешение о доступе этих лиц к кадровой информации должно быть четко персонифицированным. Работа потребителей персональных данных должна осуществляться в целях, по перечням доступа и в сроки, которые необходимы для выполнения задач, стоящих перед потребителем (пользователем) этих данных. Потребители персональных данных должны подписать обязательство о неразглашении персональных данных работников.