Образ ответа можно посмотреть в телеграм.
В соответствии с ч. 2 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
Согласно пункту 12.4 Типового регламента внутренней организации федеральных органов исполнительной власти, утвержденного постановлением Правительства Российской Федерации от 28.07.2005 № 452, разъяснение законодательства Российской Федерации, практики его применения, а также толкование норм, терминов и понятий осуществляются федеральными органами исполнительной власти по обращениям граждан и организаций в случаях, если на них возложена соответствующая обязанность или если это необходимо для обоснования решения, принятого по обращению гражданина.
Условия обработки персональных данных определены ч. 1 ст. 6 Закона. Так, обработка персональных данных осуществляется с согласия субъекта, при этом пунктами 2-11 ч. 1 ст. 6 Закона предусмотрены случаи обработки персональных данных, когда согласие субъекта персональных данных не требуется. Согласно ч. 2 ст. 5 Закона обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Согласно п. 2 ч. 1 ст. 6 Закона согласие субъекта персональных данных не требуется, если обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. Правовым основанием обработки персональных данных работников организации является Трудовой кодекс Российской Федерации. В соответствии с ст. 88 Трудового кодекса Российской Федерации при передаче персональных данных работника работодатель должен соблюдать следующие требования:
1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
3. Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;
4. Осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
7. Передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Согласно п. 3 ст. 3 Закона обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
