Вопрос:
Работодатель (Оператор по обработке персональных данных) заключает договор с контрагентом (3-м лицом) по оказанию услуг технической поддержки и обслуживания программного обеспечения. По данному договору работодатель передает персональные данные своих работников. В рамках ФЗ №152 О персональных данных" обязан ли работодатель (Оператор по обработке ПДн) взять согласие на обработку (передачу) его (работников) ПДн контрагентам (3-им лицом), предоставляющим услуги обслуживания программного обеспечения?
Ответ:
Работодатель вправе передавать данные о работнике без его согласия третьим лицам только в установленных законом случаях, например, при угрозе жизни и здоровью человека. Во всех остальных случаях передавать персональные данные работников третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ).
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом N 152-ФЗ (ст. 7 Закона N 152-ФЗ).
Таким образом, работодатель вправе осуществлять передачу персональных данных работников третьим лицам (контрагенту) только с их предварительного письменного согласия (абз. 2, 3 ч. 1 ст. 88 ТК РФ; ст. 7 Закона N 152-ФЗ).
Обоснование:
Необходимость согласия работника на передачу контрагенту его персональных данных
В рассматриваемой ситуации работник, чьи персональные данные указаны в договоре оказания услуг между организациями, не является ни стороной этого договора, ни выгодоприобретателем (поручителем) по нему.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18 Закона N 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона N 152-ФЗ (ч. 3 ст. 6 Закона N 152-ФЗ).
При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных (ч. 4 ст. 6 Закона N 152-ФЗ).
Работодатель вправе передавать данные о работнике без его согласия третьим лицам при угрозе жизни и здоровью человека, а также в иных случаях, установленных законом. Во всех остальных случаях сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ).
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом N 152-ФЗ (ст. 7 Закона N 152-ФЗ).
Таким образом, в рассматриваемом случае заключение договора оказания услуг между организациями преследует коммерческие цели, поэтому работодатель не вправе передавать персональные данные работников без их согласия третьим лицам.
Согласие работника на передачу персональных данных на обработку конкретному третьему лицу - документ, необходимость получения которого возникает, если работодатель передает персональные данные работника третьим лицам, в том числе поручает обработку персональных данных работника другим лицам, в частности при заключении гражданско-правовых договоров с контрагентами (абз. 2, 3 ст. 88 ТК РФ, ч. 3 ст. 6 Закона N 152-ФЗ).
В частности, при привлечении сторонних организаций (на основании заключенных с ними договоров) для выполнения каких-либо услуг, которые будут затрагивать обработку персональных данных работника, работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона N 152-ФЗ, в том числе получить согласие работников на передачу их персональных данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ).
В общем случае на каждую передачу персональных данных работника третьим лицам работодателю необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст. 6 Закона N 152-ФЗ). Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.
Также работодатель может в установленном порядке получить от работника согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения. В таком случае работодателю не нужно будет каждый раз получать от работника отдельное согласие (ст. 10.1 Закона N 152-ФЗ).
В согласии работника на обработку его персональных данных конкретным третьим лицом нужно указать, в частности: наименование контрагента, осуществляющего обработку персональных данных (также рекомендуется указать его ИНН, ОГРН), перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, на совершение которых дается согласие, цель их обработки, срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва (ч. 4 ст. 9 Закона N 152-ФЗ).
При оформлении согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в нем, помимо прочего, должны быть указаны: сведения об операторе-организации (операторе-гражданине, являющемся ИП), а также сведения об информационных ресурсах работодателя (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере, и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными работника (Требования, утв. Приказом Роскомнадзора от 24.02.2021 N 18).
На сайте Роскомнадзора функционирует интернет-сервис для операторов персональных данных. С помощью данного сервиса в формате конструктора оператору будет достаточно заполнить необходимые поля, после чего шаблон будет рассмотрен специалистами Роскомнадзора и при необходимости оператору будут даны рекомендации по его доработке. В дальнейшем оператор сможет использовать сформированную форму согласия в своей работе (Информация Роскомнадзора "Роскомнадзор разработал сервис для операторов персональных данных").
Вопрос: Надо ли запрашивать отдельное согласие работника на передачу его персональных данных, указанных в договоре об оказании услуг, третьим лицам (с указанием контрагента)? Вправе ли контрагент передавать его данные своим работникам?
Дополнительная информация:
Путеводитель по кадровым вопросам. Персональные данные работников
Ответ подготовлен с использованием материалов СПС «КонсультантПлюс».
Представленная информация носит справочный характер, окончательное решение принимается самостоятельно.
