Вправе ли контрагент передавать данные о физическом лице - представителе другим работникам?
Вопрос: Договором оказания услуг между организациями предусмотрено назначение работника для оперативного взаимодействия с контрагентом при оказании услуг (решать технические вопросы, отвечать на вопросы, предоставлять необходимую информацию и т.п.). В договоре указаны фамилия, имя, отчество, должность работника, корпоративные адрес электронной почты, номер мобильного телефона. Со всеми работниками организации подписано согласие на обработку персональных данных с возможностью передачи третьим лицам.
Надо ли запрашивать отдельное согласие работника на передачу данных третьим лицам (с указанием контрагента) и представлять его контрагенту?
Вправе ли контрагент передавать данные о физическом лице - представителе другим работникам своей организации? Если да, то как это оформить?
Ответ: Да, работодателю надо запросить отдельное письменное согласие работника на передачу данных третьему лицу (с указанием конкретного контрагента по договору оказания услуг) и представить его этому контрагенту.
Контрагент вправе передавать персональные данные о физическом лице - представителе другим работникам своей организации при выполнении следующих действий:
- издании приказа о назначении лица, ответственного за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
- установлении правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных; обеспечении регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- утверждении положения о порядке обработки персональных данных контрагентов и иных лиц, не являющихся работниками данной организации, в котором должны быть описаны все действия, связанные с обработкой персональных данных физических лиц - представителей других компаний, а также указаны ответственные работники за обработку таких персональных данных.
Обоснование: Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
Таким образом, передача персональных данных является обработкой персональных данных.
По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ). Для обработки персональных данных не требуется согласия субъекта персональных данных в случаях, перечисленных в п. п. 2 - 11 ч. 1 ст. 6 Закона N 152-ФЗ, в том числе когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). В рассматриваемой ситуации назначенный работник, чьи персональные данные указаны в договоре оказания услуг между организациями, не является ни стороной этого договора, ни выгодоприобретателем (поручителем) по нему.
Согласно ч. 3 ст. 6 Закона N 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных (ч. 4 ст. 6 Закона N 152-ФЗ).
Правила передачи персональных данных работника регламентированы ст. 88 Трудового кодекса РФ.
Работодатель вправе передавать данные о работнике без его согласия третьим лицам при угрозе жизни и здоровью человека, а также в иных случаях, установленных законом. Во всех остальных случаях сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ). В рассматриваемом случае заключение договора оказания услуг между организациями преследует коммерческие цели, поэтому к персональным данным работника, указанного в этом договоре, должна применяться названная норма.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона N 152-ФЗ).
Таким образом, работодатель не вправе передавать персональные данные работников без их согласия третьим лицам, за исключением случаев, установленных законом.
Согласие работника на передачу персональных данных на обработку конкретному третьему лицу - документ, необходимость получения которого возникает, если работодатель поручает обработку персональных данных работника другим лицам, в частности при заключении гражданско-правовых договоров с контрагентами (абз. 2, 3 ст. 88 ТК РФ, ч. 3 ст. 6 Закона N 152-ФЗ).
При привлечении сторонних организаций (на основании заключенных с ними договоров) для выполнения каких-либо услуг, которые будут затрагивать обработку персональных данных работника, работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона N 152-ФЗ, в том числе получить согласие работников на передачу их персональных данных (абз. 2 п. 5 Разъяснений Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" (далее - Разъяснения Роскомнадзора)).
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ).
Поэтому на каждую передачу персональных данных работника третьим лицам необходимо составлять отдельное письменное согласие на передачу персональных данных на обработку конкретному третьему лицу (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст. 6 Закона N 152-ФЗ, абз. 2 п. 5 Разъяснений Роскомнадзора). Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных на обработку любым третьим лицам, с которыми у работодателя может быть заключен договор.
В согласии работника на передачу персональных данных на обработку конкретному третьему лицу нужно указать, в частности, наименование, ИНН, ОГРН контрагента, которому передаются персональные данные для обработки, перечень передаваемых персональных данных, цель их передачи и обработки, срок действия согласия.
В рассматриваемом случае контрагент по договору оказания услуг, осуществляющий какое-либо из действий, признаваемых обработкой персональных данных, приобретает статус оператора, который должен осуществлять обработку персональных данных работника, указанного в договоре оказания услуг, с соблюдением принципов и правил, предусмотренных Законом N 152-ФЗ, в частности с учетом общего правила о том, что обработка персональных данных осуществляется с согласия субъекта персональных данных на такую обработку (п. п. 2, 3 ст. 3, п. п. 1, 11 ч. 1 ст. 6 Закона N 152-ФЗ, абз. 3 ст. 88 ТК РФ). Поэтому работодателю нужно передать своему контрагенту письменное согласие работника.
В случае когда с согласия работника работодатель поручает обработку персональных данных третьему лицу, ответственность перед работником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 3, 5 ст. 6 Закона N 152-ФЗ).
Работодатель обязан предупредить своего контрагента, получающего персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этого лица подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности) (абз. 4 ст. 88 ТК РФ).
Контрагент, получивший персональные данные о физическом лице - представителе по договору оказания услуг, обязан принять меры для обеспечения выполнения обязанностей оператора, предусмотренных Законом N 152-ФЗ, а также меры по обеспечению безопасности таких персональных данных, в частности (п. п. 1, 2, 3 ч. 1 ст. 18.1, ч. 1, п. 8 ч. 2 ст. 19, ч. 1, п. 1 ч. 4 ст. 22.1 Закона N 152-ФЗ):
- издать приказ о назначении лица, ответственного за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
- установить правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных; обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- утвердить локальный акт по вопросам обработки персональных данных. В рассматриваемом случае таким документом может быть положение о порядке обработки персональных данных контрагентов и иных лиц, не являющихся работниками данной организации, в котором должны быть описаны все действия, связанные с обработкой персональных данных физических лиц - представителей других компаний, а также указаны ответственные работники за обработку таких персональных данных.
Задать вопрос можно тут
Написать или позвонить можно WhatsApp +79287768843
С уважением к вашему бизнесу,
Подписывайтесь на нас:
ВК Facebook Дзен Одноклассники Teletype Телеграмм
Список всех публикаций блога вы найдёте на главной странице канала
Материал подготовлен с использованием системы КонсультантПлюс
ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ
В какой валюте можно заключать договор займа?
Суды указали, что нельзя заключить договор уступки, имея в виду юридические услуги
Как рассчитать госпошлину при обращении в суд, если ее размер нефиксированный?