Ответ: Если персональные данные работников обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации. Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.
Обоснование: Согласно п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
К ним относятся: фамилия, имя, отчество; пол, возраст; изображение человека; образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; место жительства; семейное положение, наличие детей, родственные связи; факты биографии и предыдущая трудовая деятельность; финансовое положение; деловые и иные личные качества, которые носят оценочный характер, прочие сведения, которые могут идентифицировать человека.
Оператором персональных данных может быть государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).
Согласно ст. 7Закона N 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Работодатель признается оператором персональных данных.
Согласно ст. 3 Закона о персональных данных под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники. Обработка персональных данных считается осуществленной без применения средств автоматизации (неавтоматизированной), если такие действия с персональными данными (в отношении каждого субъекта), как использование, уточнение, распространение и уничтожение, осуществляются при непосредственном участии человека.
Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687).
Соответственно, если персональные данные работников обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения). Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.
Персональные данные при такой обработке должны быть обособлены от иной информации, в частности, путем фиксации их на отдельных материальных носителях. Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).
Подборка: Путеводитель по кадровым вопросам. Персональные данные работников,
