Обработка персональных данных

377

Вопрос

Как правильно оформить отношения со сторонними компаниями, оказывающими услуги нашей компании, чтобы соблюсти ФЗ О защите персональных данных.1). Раз в году в нашей компании проводит аудит аудиторская компания. Соответственно, мы предоставляем по требованию аудиторской компании необходимые документы для проверки, которые у нас запрашивают. Иногда запрашиваются трудовые договоры (там содержатся персональные данные наших работников), документы, в которых фигурируют персональные данные наших клиентов. Можем ли мы в согласие работника на обработку персональных данных, предоставляемое работодателю, указать наше право, как работодателя (оператора) передавать персональные данные аудиторской компании? Если так можно сделать, то какую цель передачи указать (ведь указывать цель передачи является обязательным, если я не ошибаюсь)? Как быть с нашими Клиентами? Имеем ли мы право включить в согласие клиента (физического лица, с которым не заключается договор) на обработку персональных данных, передаваемое нам как Оператору (Исполнителю) право на передачу их персональных данных нашей аудиторской компании, и какую цель передачи указывать в данном случае?2). Наша компания имеет договор с внешней компанией, оказывающей нам услуги по поддержке нашего программного обеспечения и, соответственно, имеет доступ все к тем же персональным данным наших работников и клиентов. Здесь вопросы аналогичные, что и в разделе 1). Можем ли мы прописывать в согласиях право на передачу персональных данных работников и клиентов данной организации и цели (в согласии для клиентов и работников).

Ответ

1. Да, вы можете в согласии работника на обработку персональных данных указать ваше право передавать персональные данные аудиторской компании. В согласии необходимо указать перечень персональных данных и цель их обработки (пп. 4 и пп. 5 п. 4 ст. 9 Закона № 152-ФЗ). Именно цель обработки является главным показателем, по которому определяют, нужно запрашивать согласие работника или нет. Можно указать, что целью обработки персональных данных является аудиторская проверка.

Да, в согласии можно указать право на передачу персональных данных Клиента аудиторам. Цель – аудиторская проверка Исполнителя.

2. Да, вы можете прописать в согласиях право на передачу персональных данных работников и клиентов данной организации. В любом случае, это право гражданина подписывать или нет вашу форму согласия. Цель – поддержка (обслуживание) ПО вашей организации.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором (п. 1 ст. 9 Закона).

Обоснование данной позиции приведено ниже в материалах «Системы Юрист».

Статья: Согласие на обработку персональных данных

«Каждый работодатель является оператором, обрабатывающим персональные данные работников (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ; далее — Закон № 152-ФЗ). Персональные данные — это ФИО работника и другие сведения, необходимые для оформления документов в рамках трудовых отношений. Под обработкой понимают сбор, накопление, хранение, уничтожение данных. Порядок подобных действий прописывают в локальном акте и знакомят с ним работника (ч. 3 ст. 68, ст. 87 ТК РФ).

А еще при заключении трудового договора работнику предлагают подписать согласие на обработку персональных данных. При этом в реальную необходимость получения такого согласия не вникают, хотя оно требуется не всегда. Разобраться в этом вопросе помогут разъяснения Роскомнадзора от 14.12.2012 (далее — Разъяснения), размещенные на сайте ведомства (http://rkn.gov.ru/news/rsoc/news17877.htm). Без согласия работника можно обрабатывать персональные данные для достижения работодателем целей и выполнения им обязанностей и полномочий, предусмотренных законом (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1 ст. 86 ТК РФ, абз. 1 Разъяснений). Причем это правило касается как обработки данных внутри компании, так и передачи их третьим лицам. Например, для заполнения личной карточки и трудового договора сведениями о работнике из документов, перечисленных в ст. 65 ТК РФ, письменного согласия не требуется. Оно не нужно и при взаимодействии с фондами по социальному страхованию работников. Эти действия выполняются в силу закона. В других случаях без письменного согласия работника на обработку персональных данных не обойтись.

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

А Форму согласия на обработку персональных данных работодатель разрабатывает сам. В нее включают информацию, перечисленную в ч. 4 ст. 9 Закона № 152-ФЗ. В бланке предусматривают графы для ФИО, адреса по месту регистрации и реквизитов паспорта. Кроме того, указывают название компании (ФИО для ИП), перечень действий с персональными данными, общее описание используемых работодателем способов их обработки и срок действия согласия.

Б В согласии необходимо указать перечень персональных данных и цель их обработки (п.п. 4 и 5 ч. 4 ст. 9 Закона № 152-ФЗ). Именно цель обработки является главным показателем, по которому определяют, нужно запрашивать согласие работника или нет. Как упоминалось, если работодатель обязан обрабатывать персональные данные в силу трудового законодательства, то оно не требуется.

Так, сведения о военнообязанном работнике нужно отправить в военкомат, не спрашивая его согласия (подп. «а» п. 32 Положения, утв. постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений). А если сотрудник семейный и имеет детей, то информацию о членах его семьи вносят в личную карточку на основании свидетельств (о браке, рождении). Вступать в переписку с родственниками работника и получать их согласие на обработку персональных данных не нужно (п. 2 Разъяснений). Правда, работник вправе отказаться сообщать такие данные, сославшись на необязательность подобной информации для трудоустройства. Это его право. Другое дело, если работодатель планирует поместить сведения о новичке на сайте компании. В подобной ситуации персональные данные становятся доступными для третьих лиц (остального коллектива) и такие действия не связаны с соблюдением требований законодательства. Значит, тут не обойтись без письменного согласия (абз. 2 ст. 88 ТК РФ, ст. 7 Закона № 152-ФЗ).

Персональные данные, включенные в согласие, целесообразно разбить на виды, чтобы работник напротив каждого пункта указал свое решение («согласен», «не согласен») и конкретные данные, например, личный мобильный телефон, электронную почту и ИНН.

В Перечень сторонних организаций, которым планируют передавать персональные данные, является открытым. При необходимости его дополняют, например, при прикреплении работников к системе ДМС или смене оператора корпоративной связи. В каждом случае нужно получить дополнительное согласие, а не вписывать в старый бланк новые сведения. Аналогично поступают, если персональные данные (дату найма, стаж работы, уровень его дохода) запрашивает третье лицо, например банк для одобрения кредита. Кроме письменного запроса с обоснованием, третье лицо после получения информации должно подтвердить использование переданных сведений в заявленных им целях (ст. 88 ТК РФ).

Г Подпись работника — обязательный элемент согласия (п. 9 ч. 4 ст. 9 Закона № 152- ФЗ). Поэтому заполнение бланка, например, специалистом отдела кадров со слов работника недопустимо. За нарушение правил обработки персональных данных компании выпишут штраф от 5 тыс. до 10 тыс. руб., а возможно, и взыщут компенсацию морального вреда (ст. 13.11 КоАП РФ, определение Иркутского областного суда от 16.01.2014 № 33–219/2014, решение Замоскворецкого районного суда г. Москвы от 25.09.2014 № 12–1826/2014). Сотрудника, который разгласил персональные данные других работников, ждет увольнение по подп. «в» п. 6 ст. 81 ТК РФ.

А

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

Б

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

В

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

Г

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

»

23.03.2016

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Попробуйте бесплатный доступ на 3 дня >>
Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Простите, что прерываем ваше чтение

      Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Вы продолжите читать статью через 1 минуту
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль