Анонсы
Программа повышения квалификации "О контрактной системе в сфере закупок" (44-ФЗ)"

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Новости и аналитика Правовые консультации Трудовое право Согласие на обработку персональных данных при необходимости их передачи нескольким операторам

Согласие на обработку персональных данных при необходимости их передачи нескольким операторам

Обязательно ли соблюдение требований к обработке персональных данных при необходимости обеспечения передачи персональных данных работников оператора, являющегося исполнителем, заказчику по договору, а также вышестоящей организации заказчика, на территорию которой должен быть обеспечен доступ, в целях исполнения условий договора? Допустимо ли включение в согласие на обработку персональных данных нескольких операторов персональных данных? Кому из указанных операторов (исполнителю, заказчику или вышестоящей организации) необходимо обеспечить наличие согласия на обработку персональных данных?

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, является их обработкой.

Обработка персональных данных должна осуществляться при наличии условий, предусмотренных ч. 1 ст. 6 Закона N 152-ФЗ. По общему правилу обработка персональных данных возможна при наличии согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ), либо в иных прямо предусмотренных пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ случаях.

Заключение договора является основанием для возникновения гражданских прав и обязанностей сторон (ст. 420, 432 ГК РФ).

Действующий принцип свободы договора (п. 1 ст. 421 ГК РФ) предполагает добросовестность действий сторон, разумность и справедливость его условий (п. 2.3 постановления Конституционного Суда РФ от 21.12.2018 N 47-П, решение Верховного Суда РФ от 21.05.2014 N АКПИ14-331). Кроме того, свобода договора предполагает, что стороны действуют по отношению друг к другу на началах равенства и автономии воли и определяют условия договора самостоятельно в своих интересах (определение Верховного Суда РФ от 09.06.2016 N 305-ЭС16-5635).

Однако работники организации-исполнителя не состоят в договорных отношениях ни с организацией-заказчиком, ни с вышестоящей организацией заказчика, равно как и не являются стороной договора, закюченного между юридическими лицами.

Следовательно, передача организацией-исполнителем сведений о своих работниках контрагенту в целях исполнения условий договора означает раскрытие персональных данных работников третьей стороне, что требует письменного согласия работников (ст. 88 ТК РФ, ст. 7 Закона N 152-ФЗ).

Соответственно, организации-исполнителю предварительно необходимо определить категории персональных данных своих работников, отвечающие целям их обработки (передачи) и необходимые для исполнения условий договора (ст. 5 Закона N 152-ФЗ).

Поскольку именно организация-исполнитель по договору является работодателем, на которого в силу ТК РФ возложена обязанность соблюдения установленных требований при передаче персональных данных своих работников, то именно работодатель обязан обеспечить получение согласий работников на передачу персональных данных в объеме, необходимом для исполнения условий договора (смотрите ч. 3 ст. 9 Закона N 152-ФЗ, решение Арбитражного суда г. Москвы от 31.01.2022 по делу N А40-242632/2020).

Полагаем, что соблюдение конфиденциальности персональных данных работников организации-исполнителя другими операторами не зависит от того, будет ли это условие прописано в договоре между юридическими лицами или нет, т.к. данная обязанность прямо установлена Законом N 152-ФЗ.

Что касается содержания согласия на обработку персональных данных, то требования к письменной форме установлены ч. 4 ст. 9 Закона N 152-ФЗ. Роскомнадзор полагает, что правовая конструкция, предусмотренная Законом N 152-ФЗ, не допускает указания в одном согласии нескольких операторов, за исключением прямо предусмотренных законодательством РФ случаев (смотрите материал: Вебинар Роскомнадзора "Защита персональных данных", 27.07.2023. https://vk.com/video-76229642_456239470). То есть, исходя из позиции Роскомнадзора, работодатель должен заручиться отдельными письменными согласиями работников: на передачу организации-заказчику и вышестоящей организации заказчика.

Однако, на наш взгляд, прямо такого запрета Закон N 152-ФЗ не содержит. Более того, в п. 2 ст. 3 Закона N 152 прописано, что на стороне оператора персональных данных может выступать множественность лиц. На это указывает формулировка о возможности организации и (или) осуществления обработки персональных данных, а также определения ее целей и иных существенных аспектов обработки "самостоятельно или с другими лицами".

Поэтому мы не видим препятствий для включения двух операторов (организацию-заказчика и вышестоящую организацию заказчика) в одно письменное согласие, т.к. обработка персональных данных работников организации-исполнителя подчинена общей цели, а именно исполнение договора, заключенного между юридическими лицами.

При этом каждый оператор самостоятельно обеспечивает безопасность персонифицированной информации при ее обработке, а также соблюдает требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ.

К сведению:

Обработка персональных данных работников организации-исполнителя вышестоящей организацией заказчика может осуществляться без их согласия, если это необходимо для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона N 152-ФЗ). Под данное исключение подпадает, например, организация пропускного режима на территорию организации, что может быть обусловлено целями обеспечения безопасности оператора, то есть его законными интересами. При этом порядок пропуска на территорию организации должен быть регламентирован соответствующим локальным актом оператора (п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ, п. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Беликова Татьяна

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Амирова Лариса

27 мая 2024 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
Получить доступ
РЕКЛАМА erid 4CQwVszH9pWwojUA9Q3