Принципы и условия обработки персональных данных работников на территории рф. Принципы обработки персональных данных

В соответствии с ч. 2 ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения столичной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).

Согласно п. 3 ст. 3 Федерального закона «О персональных данных» обработка персональных данных — это действия (операции) с персонатьными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Следует иметь в виду, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения до уничтожения без каких-либо изъятий и исключений.

К принципам обработки персональных данных указанный Закон относит следующие:

  • законность целей и способов обработки и добросовестность;
  • соответствие целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
  • соответствие объема и характера обрабатываемых данных, способов обработки целям их обработки;
  • достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, не имеющих отношения к целям, заявленным при сборе данных;
  • недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Обработка персональных данных работника начинается с их получения. По общему правилу все персональные данные следует получать у самого работника. В исключительных случаях, когда персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ). Однако персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни работодатель не имеет права получать и обрабатывать (п. 4 ст. 86 ТК РФ). Также работодатель не может запрашивать информацию о состоянии здоровья работника, если это не относится к решению вопроса о возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Отдельные требования ТК РФ предъявляет к организации и технологии обработки персональных данных работодателем. Обязанность ознакомления работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, предполагает необходимость разработки и принятия соответствующего локального нормативного правового акта. Такой акт в зависимости от специфики деятельности и усмотрения работодателя может именоваться положением или инструкцией и, как правило, включает следующие разделы:

  • основные понятия и положения;
  • обработка персональных данных работника;
  • формирование персональных данных работника;
  • учет, хранение и передача персональных данных работника;
  • права и обязанности работника в области обработки и защиты его персональных данных.

Такой локальный нормативный правовой акт определяет режим конфиденциальности (ограниченного доступа) персональных данных работника у определенного работодателя. Сотрудники работодателя, получающие персональные данные работника, обязаны соблюдать этот режим, о чем необходимо указать не только в их должностных инструкциях, но и в заключаемых с ними трудовых договорах. Положение (инструкция) о защите персональных данных является основным документом, отражающим специфику обработки и передачи персональных данных работника в пределах конкретной организации, у определенного индивидуального предпринимателя. В случае наличия в рамках этой деятельности автоматизированной составляющей работодатель не имеет права принимать в отношении работника решения, основанные на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). Работодатель может не ограничиваться принятием положения о защите персональных данных работников в своей организации. Однако наличие этого локального акта является обязательным, а его отсутствие рассматривается государственной инспекцией труда как серьезное нарушение трудового законодательства.

За это и другие нарушения норм, регулирующих получение, обработку и работника, работодатель может привлекать виновных лиц к материальной, дисциплинарной ответственности, а соответствующие государственные органы — к гражданско-правовой, административной и уголовной.

Сейчас никакая деятельность не обходится без информации. В каждой организации хранятся сведения о работниках, партнерах, клиентах. Несанкционированный доступ к ним приводит к их потере или изменению, что отрицательно влияет на деятельность фирмы. Цели обработки персональных данных в организациях одинаковые, поскольку это закреплено законом. Об этом рассказано в статье.

Что означает обработка

Каждый человек может ознакомиться со сведениями о другом гражданине как при исполнении рабочих обязанностей, так и при нерабочем общении, при просмотре интернет-страниц, чтении газеты. Такой сбор информации не считается обработкой. Это просто ознакомление со сведениями.

Если же личная информация специально собирается для использования, хранения, то это будет обработка персональных данных. Этот процесс наблюдается в учебных заведениях, больницах. Сведения регистрируют, вносят в базы, классифицируют для использования в законных целях. Если информацию собирает писатель, журналист, то он может использовать ее для творческих целей.

Способы обработки

Личные сведения обрабатывают 2 способами:

  1. Автоматизированно.
  2. Неавтоматизированно.

Второй вариант предполагает обработку, выполняемую с участием гражданина. Если это происходит без средств автоматизации, то данные нужно отделять от остальных сведений. Это выполняется с помощью отметки, например, на полях бланков. Запрещено размещать на единый носитель личную информацию, если известно, что цели обработки персональных данных несовместимы.

Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты:

  1. Личные сведения, находящиеся в системе персональных данных, могут быть обработанными благодаря неавтоматизированному процессу, если их использование выполняется с личным присутствием человека.
  2. Нельзя утверждать, что данные обрабатываются автоматизированно, если учитывать, что они находятся в информационной системе персональной информации.

Автоматизированная обработка выполняется с использованием вычислительных средств. Обработкой называют все действия, которые выполняются с предоставленными данными. В этот процесс входит сбор, фиксирование, использование, уничтожение.

Цели

Цели обработки персональных данных в организации одинаковые. Сведения нужны для:

  1. Заключения, исполнения, прекращения договоров в случаях, предусмотренных законом и Уставом организации. Такие сделки могут происходить с гражданами, ИП, юридическими лицами.
  2. Кадрового учета предприятия, соблюдения норм закона, заключения и исполнения обязательств по соглашениям.
  3. помощи сотрудникам в трудоустройстве, обучении, использовании льгот.
  4. Исполнения норм налогового законодательства по поводу уплаты налогов и передачи в ПФР персональных данных.
  5. Заполнения статистических документов на основе норм закона.

Каждая цель обработки персональных данных в организации обязательна для исполнения, поскольку это закреплено законом. Именно поэтому во всех учреждениях необходимы сведения о работниках, клиентах, партнерах. Цели обработки персональных данных позволяют вести деятельность законным способом.

Правила и порядок

О своих сотрудниках руководитель должен получить следующую информацию:

  1. Образование.
  2. Опыт работы, прежняя должность.
  3. Данные о семье и их работе.
  4. Сведения о здоровье.

При обработке информации работников специалисты кадрового отдела должны следовать нескольким правилам:

  1. Обрабатывать сведения на основе норм закона, помогать в трудоустройстве, содействовать в обучении и повышении в карьере, контролировать качество выполняемых поручений.
  2. Личные сведения предоставляются сотрудником. Если по какой-то причине их нельзя получить от работника, а только от третьего лица, необходимо получить письменное согласие на разглашение информации.
  3. Кадровый сотрудник не может самостоятельно пользоваться сведениями о религиозной направленности или профсоюзной деятельности, если это не относится к работе. Если эта информация касается рабочих отношений, то нужно письменное разрешение.
  4. Контролирует сотрудников кадрового отдела, а также исполнение ими данных правил руководитель.
  5. Все работники должны расписаться, подтверждая, что ознакомлены с правилами регламента.

Цели обработки персональных данных по закону №152 обязательны для исполнения каждым работодателем. Исходя из ст. 22, руководитель может совершать действия с личными сведениями сотрудников без оповещения Роскомнадзора.

Принципы

Важно знать не только цели сбора и обработки персональных данных, но и принципы. Они указаны в ст. 5 гл. 2 ФЗ №152:

  1. Важно соблюдение законности и добросовестности целей и методов обработки.
  2. Соответствие целям, заявленным при сборе.
  3. Соответствие объема и характера обрабатываемой информации, методов целям.
  4. Достоверность сведений.
  5. Недопустимость объединения баз для несовместимых целей.
  6. Хранение в форме, которая позволяет определить субъекта данных, причем не дольше, чем этого требуют цели. Потом их уничтожают.

Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

  1. Выполнение обработки с разрешения субъектов.
  2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
  3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется. Это происходит тогда, когда:

  1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
  2. Все выполняется для исполнения договора.
  3. Требуется выполнение статистических и других научных целей.
  4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
  5. Выполняется доставка почтовых отправлений.
  6. Осуществляется профессиональная деятельность журналиста.
  7. Происходит обработка информации, подлежащей опубликованию на основе закона.

Согласие

Чтобы защитить человека от нежелательного использования сведений о нем, требуется его согласие на обработку персональных данных. Цель обработки должна быть законной, а в остальных случаях это делать запрещено. Согласие предоставляется с устройством на работу, оформлением банковского счета и при других важных сделках.

Единой формы разрешения нет. Его составляют в свободной форме на бланке, используемом предприятием. Срок, на протяжении которого разрешение действует, обозначается в самом документе. Там же указываются цели обработки персональных данных в организации.

Ответственность организации

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации. Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

  1. Руководители кадрового отдела.
  2. Кадровые инспекторы.
  3. Руководители по персоналу.
  4. Заместители руководителей по персоналу.
  5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

Передача и хранение

Хранение документации с личной информацией о работниках осуществляется в огнеупорных шкафах или сейфах. Ключи от них должны быть у директора кадрового отдела. Если он отсутствует, то этим заведует заместитель. При необходимости передачи личных сведений работника кадровый сотрудник должен помнить о следующих правилах:

  1. Запрещено передавать третьим лицам личные сведения без письменного разрешения. Исключением считаются случаи, когда данные требуются для предотвращения вреда здоровью и в ситуациях, закрепленных законом. Также запрещено разглашать информацию в коммерческих целях без согласия.
  2. Если нужно передавать данные работников, то необходимо оповестить тех, для кого применяется эта информация, что сведения можно использовать только для целей запроса.
  3. Кадровый сотрудник может использовать только ту информацию, которая необходима для исполнения рабочих обязанностей.
  4. У кадрового работника нет права выяснения сведений о состоянии здоровья сотрудника.

Исключением считаются обстоятельства, имеющие отношение к вопросу выполнения работниками своих обязанностей.

Ответственность

Если работниками нарушен порядок сбора, обработки, выдачи сведений, то они несут дисциплинарную и уголовную ответственность по закону. В ст. 5 ФЗ сказано, что личная информация, собираемая для обработки автоматизированными принципами или другими средствами, должна производиться в таком виде, чтобы можно было установить субъекта данных.

Определение субъекта не может быть длительнее, чем это требуется для обработки. Если она выполнена, то некоторое время персональные данные уничтожать нельзя. Персональные данные сотрудников хранятся в учреждении 75 лет. Таким образом, на каждом предприятии должны соблюдать правила хранения и обработки информации.

Основные принципы обработки персональных данных перечислены в статье 5 ФЗ №152. Помимо общеправовых принципов законности и справедливости, на федеральном уровне закреплена необходимость целевого подхода к обработке персональных данных и недопустимость обработки, несовместимой с целями сбора персональных данных. Законодатель также отмечает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, а обрабатываемые персональные данные не могут быть избыточными.

Статья 86 ТК РФ содержит закрытый перечень целей обработки персональных данных работника:

  • · обеспечение соблюдения законов и иных нормативных правовых актов;
  • · содействия работников в трудоустройстве;
  • · получение образования и продвижения по службе;
  • · обеспечение личной безопасности работников;
  • · контроль количества и качества выполняемой работы;
  • · обеспечение сохранности имущества.

Соответственно, обработка персональных данных, выходящая за рамки обозначенных целей, не допустима. Использование такого механизма в трудовых отношениях обеспечивает защиту персональных данных работника от произвольного сбора и обработки.

Пункт 3 статьи 5 Закона о персональных данных устанавливает запрет на объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Анализируя этот принцип, можно прийти к выводу, что работодатель обязан сортировать персональные данные работников и организовать хранение их таким образом, чтобы при обработке определенной категории доступ осуществлялся к персональным данным, соответствующим цели.

Следующим из закрепленных ФЗ №152 является принцип точности, достаточности и актуальности персональных данных по отношению к целям их обработки. Достаточными сведения можно считать, если их объем и содержание позволяют достигнуть целей обработки. Актуальность персональных данных означает, что в момент обработки персональных данных последние являются своевременными, достоверными и значимыми для достижения поставленной цели обработки персональных данных. Причем в пункте 6 статьи 5 ФЗ №152 прямо установлена обязанность оператора принимать необходимые меры по удалению или уточнению неполных или неточных данных.

Очевидно, что персональные данные работника в процессе трудовых отношений могут меняться, к примеру, работник может поменять фамилию или получить дополнительное образование. Согласно постановлению Минтруда РФ от 10.10.2003 N 69 "Об утверждении Инструкции по заполнению трудовых книжек" изменения записей в трудовых книжках о фамилии, имени, отчестве производятся на основании паспорта, свидетельств о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их номер и дату. Таким образом, работодателю необходимо своевременно узнавать об изменениях в полученных документах работника.

Однако, действующее законодательство не предоставляет работодателю право требовать у работника сведений об изменениях его персональных данных. Некоторые ученые предлагают в этой связи закрепить в статье 22 ТК РФ право работодателя на получение от работника информации, связанной с осуществлением работником его трудовой функции. По нашему мнению наделение работодателя таким правом является нарушением конституционного принципа неприкосновенности частной жизни. К тому же, работодатель вправе, воспользовавшись нормой статьи 8 ТК РФ, установить обязанность работника предоставлять сведения об изменениях персональных данных в целях их уточнения и актуализации. Причем такое требование может действовать только в отношении информации, которая уже имеется в распоряжении работодателя.

В связи с тем, что обработка персональных данных осуществляется для достижения определенной цели, логично, что вопрос дальнейшего хранения обработанной информации носит срочный характер. Так, возникает принцип срочного хранения персональных данных. Как сказано в пункте 7 статьи 5 ФЗ № 152 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. В трудовых отношениях сроки хранения персональных данных работников устанавливает работодатель с соблюдением требований ТК РФ и иных федеральных законов.

Обрабатывая персональные данные, важно выполнять условия, закрепленные в Законе о персональных данных, статья 6 которого содержит перечень случаев, когда такая обработка будет считается законной. В частности, пункт 1 указанной статьи устанавливает возможность обработки персональных данных с согласия субъекта персональных данных, а пункт 5 допускает обработку персональных данных в случае, когда она необходима для исполнения договора, стороной которого является субъект персональных данных. В связи с тем, что трудовые отношения осуществляются на основании договора между работником и работодателем, можно сделать вывод, что согласие работника для обработки персональных данных в ходе трудовых отношений не требуется.

Роскомндзор в своем Разъяснении по поводу обработки персональных данных работников отмечает, что обработка персональных данных работника не требует получения согласия, при условии, что объем обрабатываемых работодателем персональных данных соответствует целям обработки, предусмотренным трудовым законодательством, и не превышает установленные перечни. Далее по тексту приводятся примеры ситуаций, когда работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника:

  • · в случаях, предусмотренных коллективным договором, правилами внутреннего трудового распорядка, соглашением, локально-нормативными актами работодателя, принятыми в порядке, установленном статьей 372 Трудового кодекса. По правилу статьи 68 ТК РФ работник должен быть ознакомлен с локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, и коллективным договором до подписания трудового договора;
  • · обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством РФ. Так, медицинские организации обязаны информировать граждан в доступной форме, в том числе с использованием сети "Интернет", о работающих в ней медицинских работниках, а также об их уровне образования и об их квалификации;
  • · обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой работника, либо в установленных законодательством случаях, например, оформление допуска к государственной тайне или оформление социальных выплат;
  • · обработка специальных категорий персональных данных работника в рамках трудового законодательства, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции;
  • · обработка персональных данных работника при осуществлении пропускного режима на территорию работодателя, если организация пропускного режима осуществляется работодателем самостоятельно либо соответствует порядку, предусмотренному коллективным договором, локально-нормативным актом работодателя.

Кроме того, не требует согласие работника обработка персональных данных, необходимая для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве, что подтверждается судебной практикой. Так, анализируя нормы действующего законодательства, суд пришел к выводу о правомерности действий работодателя по предоставлению сведений об истце без его согласия адвокату, представлявшему интересы потерпевшей стороны в рамках уголовного дела на основании адвокатского запроса, поскольку названные сведения были переданы суду в связи с осуществлением правосудия.

Трудовой кодекс содержит указание о необходимости получения письменного согласия работника в случае, если его персональные данные возможно получить только у третьей стороны. Причем работник должен быть уведомлен об этом заранее (пункт 3 статьи 86 ТК РФ). В таком уведомлении необходимо указать:

  • - цели получения персональных данных работника у третьего лица;
  • - предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • - способы получения данных, их характер;
  • - возможные последствия отказа работодателю в получении персональных данных работника у третьего лица.

Информацию, не имеющую отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.

В части первой статьи 88 установлен запрет на передачу персональных данных работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, и в других случаях, предусмотренных ТК РФ или иными федеральными законами. Под «другими случаями» в указанной статье понимается передача персональных данных в ФФОМС и ФСС России - это связано с тем, что работодатель, согласно статье 22 Трудового кодекса, обязан осуществлять обязательное социальное страхование работников. Кроме того, работодатель вправе без согласия работника передавать его персональные данные в Пенсионный фонд РФ; налоговые органы; в военные комиссариаты; при получении мотивированных запросов от прокуратуры, правоохранительных органов, профсоюзов о его членах, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, а также в случаях, связанных с выполнением работником должностных обязанностей, в том числе, при его командировании. При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) -- его родственников. В данной ситуации согласия работника на передачу его персональных данных также не требуется (статья 228 ТК РФ).

Таким образом, в распоряжении работодателя находится большой массив персональных данных работника, которые он вправе обрабатывать без согласия работника для обеспечения своей деятельности.

Однако, в ходе трудовых отношений встречаются случаи, не предусмотренные законодательством и поэтому требующие согласия работника, например, трансграничная передача персональных данных. Такое согласие может быть оформлено письменно как в виде отдельного документа, так и закреплено в качестве одного из условий непосредственно в трудовой договор. Кроме того, необходимо соблюдать требования, предъявляемые к его содержанию статьей 9 Закона о персональных данных, в частности согласие должно быть конкретным, информированным и сознательным, а также предоставляться по воле и в интересах их субъекта. К обязательным реквизитам письменного согласия на обработку персональных данных относятся:

  • 1) фамилия, имя, отчество, адрес, сведения о документе, удостоверяющем личность работника;
  • 2) фамилия, имя, отчество, адрес сведения о документах, удостоверяющих личность представителя работника, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя работника);
  • 3) наименование работодателя;
  • 4) цель обработки персональных данных;
  • 5) перечень персональных данных, на обработку которых дается согласие;
  • 6) наименование третьего лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • 7) перечень действий с передаваемыми персональными данными, общее описание используемых способов их обработки;
  • 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • 9) подпись субъекта персональных данных.

О персональных данных 26

Статья 5. Принципы обработки персональных данн ых

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.