В 2005 г. Россия ратифицировала Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 г.). Это послужило разработке и принятию 27 июля 2006 г. Федерального закона ФЗ-№152 «О персональных данных», который в сущности повторяет указанную выше Конвенцию. 1 сентября 2015 г. вступил в силу Федеральный закон № 242-ФЗ, так называемый закон о локализации баз персональных данных, согласно которому предприятия, осуществляющие сбор персональных данных, обязаны хранить их в России. Буквально с этого времени словосочетание «обработка персональных данных» получило новую жизнь. Что же входит в это понятие?
Вообще, обработка персональных данных — это совершение определенных операций с личными сведениями гражданина. В их число входит сбор, систематизация, хранение, накопление, изменение, обновление, распространение, передача, иное использование, блокирование, уничтожение, обезличивание. Здесь следует учесть, что вне зависимости от числа предусмотренных в законодательстве операций нормативное регулирование должно распространяться на все этапы обработки персональных данных. Этим будет обеспечена надлежащая их защита.
В Трудовом кодексе РФ статьями 86 и 88 предусмотрены ограничения для работодателя при обработке персональных данных. Согласно пункту 4 ст. 86, работодатель не вправе запрашивать, собирать, хранить, использовать и совершать иные действия со сведениями, касающимися идеологических, политических, других убеждениях гражданина, его частной жизни. На основании статьи 88, работодатель не может требовать предоставления информации о состоянии здоровья сотрудника, если она не относится к решению вопроса, касающегося возможности исполнения им своих обязанностей.
До начала обработки персональных данных работодатель (оператор) по общему правилу обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. После получения такого уведомления уполномоченный орган вносит соответствующие сведения в реестр операторов (ч. 1 и 4 ст. 22 Закона № 152-ФЗ). Названным уполномоченным органом в настоящее время является Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства РФ от 16.03.2009 № 228).