Обработка персональных данных

140

Вопрос

Как правильно оформить отношения со сторонними компаниями, оказывающими услуги нашей компании, чтобы соблюсти ФЗ О защите персональных данных.1). Раз в году в нашей компании проводит аудит аудиторская компания. Соответственно, мы предоставляем по требованию аудиторской компании необходимые документы для проверки, которые у нас запрашивают. Иногда запрашиваются трудовые договоры (там содержатся персональные данные наших работников), документы, в которых фигурируют персональные данные наших клиентов. Можем ли мы в согласие работника на обработку персональных данных, предоставляемое работодателю, указать наше право, как работодателя (оператора) передавать персональные данные аудиторской компании? Если так можно сделать, то какую цель передачи указать (ведь указывать цель передачи является обязательным, если я не ошибаюсь)? Как быть с нашими Клиентами? Имеем ли мы право включить в согласие клиента (физического лица, с которым не заключается договор) на обработку персональных данных, передаваемое нам как Оператору (Исполнителю) право на передачу их персональных данных нашей аудиторской компании, и какую цель передачи указывать в данном случае?2). Наша компания имеет договор с внешней компанией, оказывающей нам услуги по поддержке нашего программного обеспечения и, соответственно, имеет доступ все к тем же персональным данным наших работников и клиентов. Здесь вопросы аналогичные, что и в разделе 1). Можем ли мы прописывать в согласиях право на передачу персональных данных работников и клиентов данной организации и цели (в согласии для клиентов и работников).

Ответ

1. Да, вы можете в согласии работника на обработку персональных данных указать ваше право передавать персональные данные аудиторской компании. В согласии необходимо указать перечень персональных данных и цель их обработки (пп. 4 и пп. 5 п. 4 ст. 9 Закона № 152-ФЗ). Именно цель обработки является главным показателем, по которому определяют, нужно запрашивать согласие работника или нет. Можно указать, что целью обработки персональных данных является аудиторская проверка.

Да, в согласии можно указать право на передачу персональных данных Клиента аудиторам. Цель – аудиторская проверка Исполнителя.

2. Да, вы можете прописать в согласиях право на передачу персональных данных работников и клиентов данной организации. В любом случае, это право гражданина подписывать или нет вашу форму согласия. Цель – поддержка (обслуживание) ПО вашей организации.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором (п. 1 ст. 9 Закона).

Обоснование данной позиции приведено ниже в материалах «Системы Юрист».

Статья: Согласие на обработку персональных данных

«Каждый работодатель является оператором, обрабатывающим персональные данные работников (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ; далее — Закон № 152-ФЗ). Персональные данные — это ФИО работника и другие сведения, необходимые для оформления документов в рамках трудовых отношений. Под обработкой понимают сбор, накопление, хранение, уничтожение данных. Порядок подобных действий прописывают в локальном акте и знакомят с ним работника (ч. 3 ст. 68, ст. 87 ТК РФ).

А еще при заключении трудового договора работнику предлагают подписать согласие на обработку персональных данных. При этом в реальную необходимость получения такого согласия не вникают, хотя оно требуется не всегда. Разобраться в этом вопросе помогут разъяснения Роскомнадзора от 14.12.2012 (далее — Разъяснения), размещенные на сайте ведомства (http://rkn.gov.ru/news/rsoc/news17877.htm). Без согласия работника можно обрабатывать персональные данные для достижения работодателем целей и выполнения им обязанностей и полномочий, предусмотренных законом (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1 ст. 86 ТК РФ, абз. 1 Разъяснений). Причем это правило касается как обработки данных внутри компании, так и передачи их третьим лицам. Например, для заполнения личной карточки и трудового договора сведениями о работнике из документов, перечисленных в ст. 65 ТК РФ, письменного согласия не требуется. Оно не нужно и при взаимодействии с фондами по социальному страхованию работников. Эти действия выполняются в силу закона. В других случаях без письменного согласия работника на обработку персональных данных не обойтись.

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

А Форму согласия на обработку персональных данных работодатель разрабатывает сам. В нее включают информацию, перечисленную в ч. 4 ст. 9 Закона № 152-ФЗ. В бланке предусматривают графы для ФИО, адреса по месту регистрации и реквизитов паспорта. Кроме того, указывают название компании (ФИО для ИП), перечень действий с персональными данными, общее описание используемых работодателем способов их обработки и срок действия согласия.

Б В согласии необходимо указать перечень персональных данных и цель их обработки (п.п. 4 и 5 ч. 4 ст. 9 Закона № 152-ФЗ). Именно цель обработки является главным показателем, по которому определяют, нужно запрашивать согласие работника или нет. Как упоминалось, если работодатель обязан обрабатывать персональные данные в силу трудового законодательства, то оно не требуется.

Так, сведения о военнообязанном работнике нужно отправить в военкомат, не спрашивая его согласия (подп. «а» п. 32 Положения, утв. постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений). А если сотрудник семейный и имеет детей, то информацию о членах его семьи вносят в личную карточку на основании свидетельств (о браке, рождении). Вступать в переписку с родственниками работника и получать их согласие на обработку персональных данных не нужно (п. 2 Разъяснений). Правда, работник вправе отказаться сообщать такие данные, сославшись на необязательность подобной информации для трудоустройства. Это его право. Другое дело, если работодатель планирует поместить сведения о новичке на сайте компании. В подобной ситуации персональные данные становятся доступными для третьих лиц (остального коллектива) и такие действия не связаны с соблюдением требований законодательства. Значит, тут не обойтись без письменного согласия (абз. 2 ст. 88 ТК РФ, ст. 7 Закона № 152-ФЗ).

Персональные данные, включенные в согласие, целесообразно разбить на виды, чтобы работник напротив каждого пункта указал свое решение («согласен», «не согласен») и конкретные данные, например, личный мобильный телефон, электронную почту и ИНН.

В Перечень сторонних организаций, которым планируют передавать персональные данные, является открытым. При необходимости его дополняют, например, при прикреплении работников к системе ДМС или смене оператора корпоративной связи. В каждом случае нужно получить дополнительное согласие, а не вписывать в старый бланк новые сведения. Аналогично поступают, если персональные данные (дату найма, стаж работы, уровень его дохода) запрашивает третье лицо, например банк для одобрения кредита. Кроме письменного запроса с обоснованием, третье лицо после получения информации должно подтвердить использование переданных сведений в заявленных им целях (ст. 88 ТК РФ).

Г Подпись работника — обязательный элемент согласия (п. 9 ч. 4 ст. 9 Закона № 152- ФЗ). Поэтому заполнение бланка, например, специалистом отдела кадров со слов работника недопустимо. За нарушение правил обработки персональных данных компании выпишут штраф от 5 тыс. до 10 тыс. руб., а возможно, и взыщут компенсацию морального вреда (ст. 13.11 КоАП РФ, определение Иркутского областного суда от 16.01.2014 № 33–219/2014, решение Замоскворецкого районного суда г. Москвы от 25.09.2014 № 12–1826/2014). Сотрудника, который разгласил персональные данные других работников, ждет увольнение по подп. «в» п. 6 ст. 81 ТК РФ.

А

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

Б

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

В

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

Г

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

»

23.03.2016



Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

Опрос

Вы когда-нибудь меняли предмет или основание иска?

  • Да, все прошло хорошо 30.3%
  • Нет, никогда 30.3%
  • Да, но были сложности 39.39%
Другие опросы

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.