Можно ли удалить персональные данные из учетных документов кадровой службы по требованию работника?

Работник обратился с требованием удалить его персональные данные из учетных документов кадровой службы. Как поступить в такой ситуации?

Рекомендуем считать требование работника об удалении его персональных данных осуществленным в соответствии с пунктами 5 и 6 части 2 статьи 8 Закона Украины «О защите персональных данных» от 1 июня 2010 года № 2297-VI, согласно которым субъект персональных данных имеет право:

предъявлять мотивируемое требование владельцу персональных данных с возражением против обработки своих персональных данных;
предъявлять мотивируемое требование об изменении или уничтожении своих персональных данных каким-либо владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными.

Считаем, что основанием для обработки персональных данных в рамках ведения учетных документов кадровой службы предприятия (учреждения) является необходимость в исполнении обязанности владельца персональных данных, которая предусмотрена законом. Обязанности предприятия по учету данных о работниках определены законами Украины, в частности: КЗоТ, Законом Украины «О государственной статистике» от 17 сентября 1992 года № 2614-XII, Гражданским и Хозяйственным кодексами Украины.

Для осуществления мероприятий по подготовке и заключению трудового договора с работником проводилась обработка его персональных данных, а для собственно выполнения условий трудового договора также нужны определенные персональные данные. В таком случае основанием для обработки персональных данных можно считать заключение и выполнение сделки, стороной которой является субъект персональных данных или которая заключена в интересах субъекта персональных данных либо для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных.

В любом случае рекомендуем при обращении работника или бывшего работника уничтожить его персональные данные в учетных документах предприятия провести анализ (внутренний аудит) всех учетных документов, где хранятся сведения о работнике, с привлечением подразделений предприятия или ответственных лиц предприятия по организации работы по защите персональных данных (или отдельного ответственного лица) и определить:

есть ли основания обрабатывать те или иные персональные данные работника;
обрабатываются ли персональные данные исключительно в целях, определенных соответствующими законами Украины и трудовым договором;
являются ли персональные данные работника точными, достоверными и обновлены ли они в меру потребности, определенной целью их обработки;
является ли состав и содержание персональных данных адекватными определенной законодательством цели их обработки;
не истекли ли сроки обработки персональных данных, определенные соответствующими законами или трудовым договором?

По результатам анализа (внутреннего аудита) считаем целесообразным уничтожить персональные данные работника, которые обрабатываются без законных оснований, не в соответствии с установленными целями или являются устаревшими или неточными.

Персональные данные в учетных документах кадровой службы, которые обрабатываются в четком соответствии с необходимостью в исполнении обязанности владельца персональных данных, которая предусмотрена законом, удалять нет оснований. Об этом следует уведомить работника.

Стоит принять во внимание, что обработка персональных данных работника в части использования его имени с целью освещения деятельности данного работника или деятельности организации, в которой он работает или учится, что основывается на соответствующих документах (отчетах, стенограммах, протоколах, аудио-, видеозаписях, архивных материалах и т. д.), допускается без его согласия (ч. 3 ст. 296 Гражданского кодекса Украины). Такие персональные данные обрабатываются в соответствии с разрешением, предоставленным законом, и предприятие не обязано их удалять по запросу физического лица.

Следовательно, заявителю можно дать ответ с обоснованием положений законодательства, касающихся данных, которые предприятие обязано обрабатывать в соответствии с законом или имеет право обрабатывать без согласия работника. В случае удаления персональных данных, основания для обработки которых отсутствуют, необходимо уведомить об этом работника.

Владимир Козак