Требуется ли согласие работника при передаче его персональных данных в случае его командирования

Работников каждой организации можно разделить на две категории: первые в рамках трудовых обязанностей взаимодействуют с третьими лицами, а вторые (преимущественно back-office) не осуществляют внешних контактов. При этом внешнее взаимодействие подразумевает как минимум обмен сведениями об имени и адресе получателя и отправителя, используемом способе коммуникации, а также о содержании или метаданных отправленных сообщений. Все эти сведения , за редким исключением , можно квалифицировать как персональные данные.

Согласно пп.3 ст.3 ФЗ «О персональных данных», передача является одним из способов обработки персональных данных. Согласно ст.86 ТК РФ, «обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества». Но данная норма не даёт ответа, как и на каких основаниях допускается обработка персональных данных работника в целях выполнения трудовых обязанностей. Более того, закрытый перечень целей обработки персональных данных работников бескомпромиссно запрещает их обработку в иных целях.

Но есть и хорошая новость. ФЗ «О персональных данных» жестко не регламентирует определение, наименование и классификацию целей обработки, и каждый оператор вправе самостоятельно определять актуальные для него цели. Вероятно, передачу персональных данных контрагентам в рамках исполнения трудовых обязанностей можно отнести к цели «контроля количества и качества выполняемой работы». Обезличенная коммуникация может и не содержать персональных данных, а без персональных идентификаторов работодатель не сможет проверить количество и качество работы, поскольку не сможет отнести имеющиеся сведения к субъекту персональных данных.

Также перед работодателями встают вопросы о правовых основаниях передачи персональных данных работника, и, в частности, о том, достаточно ли наличия в должностной инструкции обязанности по коммуникации с третьими лицами. Ст.88 ТК РФ запрещает сообщать персональные данные работника третьей стороне без письменного согласия работника за редкими исключениями, к которым не относится выполнение трудовых обязанностей. Также данная норма запрещает сообщать персональные данные работника в коммерческих целях без его письменного согласия, но, по всей видимости, эта норма подразумевает запрет извлечения выгоды из самого факта передачи персональных данных, а не запрет передачи контактных данных для заключения коммерческих сделок.

И другое важное ограничение, которое часто бывает незаслуженно забыто — обязанность предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Уведомление потенциального или действующего контрагента о необходимости использования персональных данных в целях, в которых они сообщены, не вызывает вопросов. Но требование подтверждения соблюдения этого правила сформулировано не как право, а как обязанность работодателя. При этом закон н е содержит требований к форме и содержанию такого подтверждения, оставляя выбор за работодателем.

Отзыв согласия на обработку персональных данных // как избавиться от спама и мошенников?

Теоретически, контрагент может обрабатывать персональные данные работников оператора вне рамок поручения, действуя как самостоятельный оператор. В таком случае контрагент должен определить правовое основание обработки из перечня в ст.6 ФЗ «О персональных данных». Это может быть и простое (не письменное) согласие, получение которого можно реализовать на практике, в том числе с помощью электронной почты. Также с определённой опаской основанием такой обработки может служить законный интерес оператора. Обработка в целях заключения или исполнения договора в данном случае не может считаться законным основанием, поскольку работник оператора не является стороной договора между контрагентом и оператором.

Поскольку передача персональных данных работника потенциальному или действующему контрагенту может иметь место как при использовании поручения на обработку, так и без него, вопрос о письменном согласии работника на передачу данных третьему лицу остаётся открытым. Ч.4 ст.9 ФЗ «О персональных данных» не требует указывать в согласии перечень получателей персональных данных, если они не обрабатывают данные по поручению оператора. Следуя такой трактовке закона, оператор может освободить себя от бремени получения согласия для передачи персональных данных каждому новому получателю в рамках одной цели, однако отношении контролирующих органов к такой точке зрения является непредсказуемым .

В качестве решения обозначенных выше проблем операторы могут использовать обезличивание персональных данных работников при их передаче контрагентам. В частности, работники могут использовать вымышленные имена или другие идентификаторы, которые не позволят установить относимость персональных данных к конкретному субъекту, и тем самым контрагент получит минимально необходимый набор данных, что очевидно будет способствовать защите интересов субъектов персональных данных. Для многих типов сделок такой подход является допустимым, поскольку при заключении договора с юридическим лицом имя конкретного исполнителя имеет глубоко вторичное значение, в отличие от предмета сделки.

Ст. 88 ТК РФ: официальный текст

Представление о персональных данных человека и основные правила работы с ними содержатся в законе РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Любые сведения, относящиеся к конкретному лицу, являются его персональными данными, на получение и использование которых необходимо получить согласие этого лица.

Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:

• паспортом или иным удостоверением личности;

Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.

• трудовой книжкой;
• свидетельством ПФР;
• документами об обучении;
• документами воинского учета;
• дополнительными справками, удостоверяющими какие-либо необходимые для трудоустройства обстоятельства.

Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (СФР, ИФНС, банкам, органам внутренних дел, судам).

Какие требования содержатся в ст. 88 ТК РФ?

Ст. 88 ТК РФ, констатируя необходимость передачи персональных данных третьим лицам, устанавливает правила, с соблюдением которых она должна осуществляться работодателем:

• такая передача возможна при наличии письменного согласия работника, если только ситуация не требует такой информации в связи с угрозой его жизни или здоровью или если иное не предусмотрено законодательно;
• запрещается сбор информации о состоянии здоровья работника, за исключением той, которая необходима для оценки пригодности работника к выполнению его должностных обязанностей;
• доступ к персональным сведениям о человеке может иметь ограниченное число сотрудников работодателя, при этом каждый из них должен использовать только те сведения, которые ему необходимы для работы;
• правила обмена информацией между подразделениями работодателя следует закрепить во внутреннем нормативном акте, ознакомив с ними всех работников под расписку;

• при всех процедурах, связанных с персональной информацией, должен соблюдаться режим максимальной конфиденциальности, независимо от того, на каком этапе это происходит: при сборе данных, передаче подразделениям работодателя или третьим лицам;
• представителям работников персональная информация предоставляется в минимально необходимом для обозначенных целей объеме;
• передав сведения третьему лицу, работодатель обязан предупредить его об ограниченном применении этих сведений (только в тех целях, для которых они переданы) и проконтролировать соблюдение этого условия.

ВНИМАНИЕ! Согласие на обработку сведений, разрешенных для распространения, нужно оформлять отдельно от других подобных документов.

Как и когда оформить согласие работника на работу с его данными?

Подавляющее большинство действий, осуществляемых работодателем с персональными сведениями о человеке, требует наличия письменного согласия работника (п. 1 ст. 9 закона РФ от 27.07.2006 № 152-ФЗ). Такое согласие обычно берут уже в момент оформления на работу, учитывая, что сбор персональных данных начинается непосредственно с момента трудоустройства. Оно считается добровольным и допускает возможность отзыва его работником.

Установленной формы у этого документа нет, но есть перечень обязательной информации, установленной Роскомнадзором в приказе от 24.02.2021 № 18 (действует с 01.09.2021). Согласие должно содержать следующую информацию:

• Ф. И. О. субъекта персональных данных;
• контактную информацию субъекта: номер телефона, адрес электронной почты или почтовый адрес;
• сведения об операторе персданных;
  Для оператора — организации это наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН (если он известен субъекту персональных данных), для физлица — Ф. И. О., место жительства или место пребывания, для ИП — Ф. И. О., ИНН, ОГРН.
• сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
• цели обработки персданных;
• категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

• персональные данные (Ф. И. О.), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
• биометрические персональные данные;

Что нужно знать о биометрических персональных данных, см. здесь.

• категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
• условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;
• срок действия согласия.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы.

Получите бесплатный доступ к системе К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Скачать бланк и образец согласия на обработку персональных данных с 01.09.2021 можно бесплатно, кликнув по картинке ниже:

Когда работник является несовершеннолетним, соответствующее согласие оформляется лицом, имеющим право на законное представление его интересов (родителем, опекуном, усыновителем). Обязательная для этого документа информация при этом пополняется сведениями о законном представителе несовершеннолетнего (Ф.И.О., данные паспорта) и пояснениями о том, как эти 2 лица взаимосвязаны.

Подробнее об оформлении этих документов читайте в материалах:

• «Требования к содержанию согласия на обработку персональных данных с 01.09.2021»;
• «Согласие на обработку персональных данных несовершеннолетнего — образец».

Когда не требуется согласовывать с работником передачу данных о нем?

Существуют ситуации, когда персональные сведения о работнике передаются третьим лицам вне зависимости от того, есть его согласие на это или нет. Это делается по запросам:

• судебного пристава-исполнителя (п. 2 ст. 64 и п. 10 ст. 65 закона РФ «Об исполнительном производстве» от 02.10.2007 № 229-ФЗ, п. 2 ст. 12 и п. 2 ст. 14 закона РФ «О судебных приставах» от 21.07.1997 № 118-ФЗ);
• негосударственного пенсионного фонда (ст. 15 закона РФ «О негосударственных пенсионных фондах» от 07.05.1998 № 75-ФЗ);
• ПФР (ст. 9 и 11 закона РФ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 № 27-ФЗ);
• полиции (п. 4 ст. 13 закона РФ «О полиции» от 07.02.2011 № 3-ФЗ);
• прокуратуры (п. 2.1 ст. 4 закона РФ «О прокуратуре Российской Федерации» от 17.01.1992 № 2202-1);
• банка России (п. 3 ст. 32 закона РФ от 27.06.2011 № 161-ФЗ «О национальной платежной системе»);
• государственных органов, отвечающих за профилактику коррупции (ст. 4 закона РФ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам» от 03.12.2012 № 230-ФЗ).

Как наказывают работодателей за нарушения в работе с персональными данными

Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.

Роскомнадзор штрафует руководителя, если в компании не назначен сотрудник, ответственный за персональные данные. Переложить ответственность можно приказом о назначении или установить обязанность в должностной инструкции, трудовом договоре.

Вот популярные нарушения работодателей в работе с персданными.

Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно

Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.

Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.

Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.

Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях

Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.

А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 3. Получают данные для одной цели, а используют для другой

Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 4. Не публикуют политику обработки персональных данных

Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.

Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.

Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных

Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.

Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.

Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.

Нарушение № 6. Не уничтожают персональные данные работника по его требованию

Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См.

Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.

Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.

Нарушение № 7. Хранят данные в базах данных, находящихся не в России

Компания Twitter, Inc. отказалась хранить данные российских пользователей на территории РФ. Ее оштрафовали на 4 млн рублей. См. Постановление 2КСОЮ 16-3770/2020 от 07.07.2020.

Штраф за нарушение до 6 млн рублей для компаний по ч. 8 ст. 13.11 КоАП РФ.

Как наказывают кадровиков за нарушения обработки персданных

Вот представьте: кадровик, ответственный за обработку персданных работников, сообщает кому-то по телефону или электронной почте о психическом заболевании работника, его частной жизни. Или айтишник допускает виновную утечку данных работников.

За такие нарушения сотрудников могут привлечь к уголовной ответственности. По ч. 2 ст. 137 УК РФ возможны штрафы до 300 тыс. рублей, лишение права заниматься определенной деятельностью и даже лишение свободы.

Должен ли работодатель уведомлять Роскомнадзор

По ч. 1 ст. 22 закона о персданных все компании обязаны уведомить Роскомнадзор о своем намерении обрабатывать данные.

Но работодатель может не уведомлять Роскомнадзор, если обрабатывает данные:

• в соответствие с трудовым законодательством;
• для однократного пропуска на территорию;
• на основании согласия работника на обработку данных, разрешенных им для распространения (не путайте с согласием на обработку);
• в иных случаях, указанных в ч. 2 ст. 22 того же закона.

Например, работодатель получает номер паспорта для приема на работу, может не уведомлять. Но должен уведомить Роскомнадзор, если запрашивает у работников справки о судимости. В первом случае работодатель собирает информацию «в соответствии с трудовым законодательством», во втором «на основании согласия на обработку данных» (но не согласия на обработку данных, разрешенных для распространения).

Автосалон не подал уведомление и ошибся

Один автосалон не отправлял уведомление в Роскомнадзор, считал, что подпадает под исключения из ч. 2 ст. 22 закона о персданных, поскольку:

• обрабатывает данные работников только в пределах трудового законодательства;
• получает данные клиентов только в рамках договоров купли — продажи машины;
• пропускает на территорию по разовым пропускам.

Роскомнадзор потребовал подать уведомление. Автосалон не учел следующее:

• Работники автосалона в программе передают дилерам свои персональные данные и данные покупателей.

На передачу данных нужно согласие и уведомление Роскомнадзора.

Онлайн-магазин не подавал уведомление и был прав

Еще пример. Онлайн-магазин подпадает под исключения ч. 2 ст. 22 закона 152-ФЗ, поскольку:

• использует резюме кандидатов, полученные от кадровых агентств, и обрабатывает персданные соискателей в пределах трудового законодательства;
• обрабатывает сведения о работниках, пусть и в информационной системе, но в пределах трудового законодательства;
• применяет программы для обработки данных клиентов при дистанционной продаже товаров;
• получает данные покупателей в рамках договоров купли-продажи;
• не рассылает покупателям рекламные рассылки.

Не нужно уведомлять Роскомнадзор.

Когда уведомлять Роскомнадзор и как

Уведомлять нужно до начала обработки данных. До получения первого резюме и до приема работников. На момент написания статьи штраф за несвоевременное уведомление невысокий — до 500 рублей для руководителя и до 5 тыс. рублей для компании по ст. 19.7 КоАП РФ.

Уведомление заполняют на сайте Роскомнадзора. Отправляют на бумаге или электронно. После получения уведомления Роскомнадзор включает компанию в реестр операторов. Правила уведомления описаны в методических рекомендациях, утвержденных приказом Роскомнадзора 94 от 30.05.2017.

Когда не нужны согласия на обработку персональных данных

По ч. 1 ст. 6, ст. 9 закона 152-ФЗ компании должны запрашивать у граждан согласие на обработку персданных, как только получают к ним доступ.

Но есть ситуации, когда компании работодателей могут не получать согласия работников на обработку персданных:

1. Обрабатывают данные для исполнения заключенного с работником трудового договора (пп. 5 ч. 1 ст. 6 закона 152-ФЗ). Без согласия кадровик внесет паспортные данные в трудовой договор, а бухгалтер сохранит номер карты для перечисления зарплаты. Но согласие потребуется, если компания сообщает данные работника в банк для открытия зарплатной карты.
2. Обрабатывают данные для исполнения возложенных на работодателя обязанностей, функций и полномочий (пп. 2 ч. 1 ст. 6 закона 152-ФЗ). Информацию о размере одежды сварщиков работодатель обрабатывает без согласия, потому что по требованиям охраны труда обязан выдавать им средства индивидуальной защиты. А если компания собирает размеры для выдачи рубашек корпоративного цвета, тогда нужно согласие работников. Без согласия работодатель передает данные работника в налоговую, Пенсионный фонд, ФСС, трудовую инспекцию и военный комиссариат. Но должен получить у работника письменное согласие для передачи данных водителя-работника своему контрагенту (ч. 2 ст. 88 ТК РФ).
3. Обработка сведений о состоянии здоровья работника связана с возможностью выполнения трудовой функции (п. 2.3 и 3 ч. 2 ст. 10 закона 152-ФЗ). Школа обрабатывает данные о психическом здоровье учителей без согласия, поскольку обязана это делать по ч. 2 ст. 331 ТК РФ. Кафе обрабатывает данные о медосмотрах поваров, поскольку иначе не может допустить их к работе. В остальных случаях нужно получить согласие работников.
4. Данные нужны по условиям коллективного договора, ПВТР или других локальных нормативных актов компании (абз. 2 п. 5 разъяснений Роскомнадзора). Завод обрабатывает данные работников для организации пропускного режима без согласия, если порядок организации предусмотрен ЛНА работодателя.
5. Обязанность по опубликованию данных в сети Интернет предусмотрена законом (п. 1 разъяснений Роскомнадзора). Больница без согласия врачей публикует на сайте данные об их образовании, потому что обязана это делать в силу закона. А вот кафе может рассказывать об образовании шеф-повара только с его согласия.
6. Обрабатываются данные близких родственников работника для заполнения карточки Т-2, оформления соцвыплат, получения алиментов (п. 2 разъяснений Роскомнадзора). Но нельзя без согласия работников собирать сведения о датах рождения детей для вручения подарков к Новому году. Нельзя без согласия разглашать сведения о доходах сотрудника, даже если об этом просит его бывшая супруга для взыскания алиментов.
7. Обрабатываются данные уволенных работников для выполнения требований налогового, бухгалтерского учета (п. 5 разъяснений Роскомнадзора). Работодатели без согласия хранят заявления уволенных работников о предоставлении налоговых вычетов с копиями свидетельств о рождении детей. Поскольку по ч. 3 ст. 24 НК РФ работодатели, как налоговые агенты, обязаны 5 лет хранить документы, необходимые для исчисления налогов.

2 вида согласий работников на обработку персданных

Выше мы выявили случаи, когда можно обрабатывать данные без согласия работников. Во всех остальных ситуациях согласие нужно.

Есть 2 вида согласий на обработку:

• Согласие на обработку персональных данных.
• Согласие на обработку персданных, разрешенных работником для распространения.

Согласие на обработку персональных данных

Это «то самое, основное» согласие, про которое многие знают. В текст включают перечень персональных данных и список действий работодателя, которые он может делать с данными. Тут важно упомянуть нужные и не написать лишние данные, которые работодателю не нужны. Поэтому текст согласия для работников отличается от согласий для клиентов компании.

В этом же документе при необходимости прописывают согласия на обработку специальных категорий персональных данных (о национальности, состоянии здоровья, религиозных взглядах), биометрических (отпечатки пальцев, фотографии, видеоизображения) и на трансграничную передачу данных (передача данных кандидата на согласование учредителю компании заграницей).

Текст согласия можно оформить в виде отдельного документа или включить в состав трудового договора, п. 5 разъяснений Роскомнадзора. Его составляют по правилам ст. 9 закона о персональных данных.

Когда нужно

Работодатель должен получить согласие на обработку в следующих случаях:

Запрашивает данных больше, чем ему нужно по трудовому законодательству. Сравните:

Нужно согласие Не нужно

Личный телефон работника для корпоративных визиток	ФИО и паспортные данные. Они нужны для оформления трудового договора
Фотография для пропуска	Номер диплома об образовании. Нужен для заполнения карточки Т-2
Личный электронный адрес для внутреннего справочника работодателя	Личный электронный адрес для выпуска неквалифицированной электронной подписи при кадровом ЭДО

Согласие на обработку персданных, разрешенных работником для распространения

Оно потребуется, если работодатель предоставляет данные работника неограниченному кругу лиц. Например, публикует фотографию работника на доске почета или на сайте компании.

Это самостоятельный документ, он оформляется отдельно от предыдущего согласия по требованиям ст. 10.1. закона о ПД и приказа Роскомнадзора 18 от 24.02.2021. Шаблон согласия можно составить онлайн, на сайте Роскомнадзора.

Когда нужно

Работодатель должен получить у работника согласие на обработку персональных данных, разрешенных работником для распространения, если раскрывает персональные данные работников неопределенному кругу лиц, п. 5 ст. 3 закона о ПД. И согласие не нужно, если распространение происходит по требованию закона.

Информация о дипломе на сайте компании

Нужно согласие работников на публикацию на сайте их ФИО, данных об образовании.

Без согласия врачей больница публикует ФИО медработников, их должности, даты выдачи диплома об образовании, специальности, квалификации, срока действия сертификата специалиста. Поскольку обязана это делать по подп. 7 ч. 1 ст. 79 закона 323-ФЗ от 21.11.2011 Об основах охраны здоровья граждан.

Без согласия учителей школа публикует на сайте ФИО, должность, преподаваемые предметы и информацию об образовании педагогического работника. Поскольку обязана это делать по п. 11 Правил, утв. Постановлением Правительства 1802 от 20.11.2021.

Публикация ФИО и телефона

Нужно согласие менеджера на публикацию его ФИО, электронной почты, телефона.

Но без согласия администрация города публикует ФИО и телефон должностного лица, которое обязано вести приемы граждан. Это предусмотрено пп. б ч. 1 ст. 13 закона 8-ФЗ от 09.02.2009 об обеспечении доступа к информации о деятельности госорганов и ОМСУ.

Предоставление персданных по запросу адвоката

Нужно согласие работника на передачу его данных третьим лицам, в том числе адвокату.

Но согласие не нужно, если адвокат действует по поручению работника. Например, по доверенности от этого работника, на основании соглашения об оказании юридической помощи с этим работником или ордера на оказание услуг этому работнику. См. п. 1 ст. 6.1 закона 63-ФЗ от 31.05.2002 «Об адвокатской деятельности и адвокатуре в РФ», Постановление Костромского областного суда 4А-97/2018 от 21.03.2018.

Предоставление персданных по запросу полиции

Нужно согласие, если запрос полицейского не соответствует закону, не содержит нужных реквизитов, подписан неуполномоченным лицом.

Но без согласия работника работодатель обязан передать персональные данные полиции, если запрос корректно оформлен и поступил в связи с расследованием уголовных дел, административных правонарушений, проверкой зарегистрированных сообщений о преступлениях (ч. 1 ст. 13 закона о полиции 3-ФЗ от 07.02.2011).

Работодатели обязаны предоставлять персональные данные граждан по запросам госорганов в случаях, установленных федеральными законами (п. 2 ст. 88 ТК РФ).

Статья 88 ТК РФ. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Комментарий к Статье 88 ТК РФ

В статье 88 Трудового кодекса РФ содержится перечень правил для работодателя при передаче персональных данных работника. В частности, работодатель обязан разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

1. По общему правилу персональные данные работника не могут быть переданы третьей стороне. Исключением из данного правила являются: 1) выдача работником письменного согласия на передачу персональных данных третьей стороне; 2) передача персональных данных работника в целях предупреждения угрозы жизни и здоровью самого работника; 3) случаи, установленные федеральным законом.

2. При определении допустимости выдачи работником работодателю письменного согласия на передачу персональных данных третьей стороне следует руководствоваться установленным Конституцией РФ и п. 9 ст. 86 ТК РФ запретом на отказ со стороны работника от своего права на неприкосновенность частной жизни, личную и семейную тайну. О содержании такого согласия см. п. 3 комментария к ст. 86.

3. Получателями персональных данных работника на законном основании являются:

Фонд социального страхования Российской Федерации;

Пенсионный фонд Российской Федерации;

Федеральная инспекция труда;

иные органы государственного надзора и контроля за соблюдением законодательства о труде;

органы исполнительной власти, профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.

В соответствии со ст. 5 Федерального закона от 24 июля 1998 г. N 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» физические лица, выполняющие работу на основании трудового договора, подлежат обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний. Пункт 7 ст. 17 данного Закона обязывает работодателя собирать и представлять за свой счет страховщику в установленные страховщиком сроки документы, являющиеся основанием для начисления и уплаты страховых взносов, назначения обеспечения по страхованию, и иные сведения, необходимые для осуществления обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.

Работодатель обязан предоставить в соответствующий орган Пенсионного фонда РФ сведения обо всех лицах, работающих у него по трудовому договору. Эти сведения могут предоставляться как в виде документов в письменной форме, так и в электронной форме (на магнитных носителях или по каналам связи) при наличии гарантий их достоверности и защиты от несанкционированного доступа и искажений. Вопрос о возможности предоставления информации в электронной форме решается Пенсионным фондом РФ совместно с конкретными работодателями (ст. 8 Федерального закона от 1 апреля 1996 г. N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

Выступая в качестве налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых работникам, и перечисляющего в бюджет соответствующие налоги, работодатель обязан представлять в налоговый орган по месту своего учета документы, необходимые для осуществления контроля за правильностью исчисления, удержания и перечисления налогов (ст. 24 Налогового кодекса РФ).

В соответствии со ст. 357 ТК РФ государственные инспекторы труда при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников.

Информация о групповом несчастном случае на производстве, тяжелом несчастном случае на производстве, несчастном случае на производстве со смертельным исходом должна быть направлена работодателем в организации, поименованные в ст. 228.1 ТК РФ.

В соответствии с ч. 5 ст. 20 Федерального закона от 27 июля 2004 г. N 79-ФЗ «О государственной гражданской службе Российской Федерации» сведения о доходах, имуществе и обязательствах имущественного характера федеральных гражданских служащих, назначение на должность и освобождение от должности которых осуществляются Президентом РФ или Правительством РФ, предоставляются для опубликования общероссийским средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих, а сведения о доходах, имуществе и обязательствах имущественного характера соответствующих гражданских служащих субъекта РФ предоставляются для опубликования общероссийским и региональным средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих.

4. В современных условиях работодатель зачастую предоставляет своим потенциальным или действительным контрагентам информацию о занятых у него работниках с целью заключения нового или продления действия уже заключенного договора. Комментируемая статья допускает передачу персональных данных работника в коммерческих интересах работодателя, но ограничивает такую передачу исключительно теми случаями, когда работник дает письменное согласие на сообщение персональных данных конкретному третьему лицу в письменной форме. Выдача согласия на передачу персональных данных работника неопределенному кругу третьих лиц или без ограничения сроков такой передачи не порождает правовых последствий и не может служить основанием для передачи персональных данных работника.

5. Поскольку персональные данные относятся к категории конфиденциальной информации, любые лица, обладающие данной информацией, обязаны соблюдать специальный режим использования и защиты персональных данных работников. Так, лица, получившие персональные данные работника на законном основании, обязаны использовать их исключительно в целях, которые заявлялись при запросе соответствующей информации, а также не разглашать такую информацию.

Исключения из данного правила определяются только федеральными законами. Необходимость дальнейшей передачи персональных данных работников может, в частности, вытекать из законодательства об административных правонарушениях, уголовного процессуального законодательства. Например, протокол об административном правонарушении, в котором могут содержаться персональные данные работника, в том случае, когда лицо, его составившее, не имеет права рассматривать дело об административном правонарушении, передается соответствующему лицу, в течение суток с момента составления протокола (ст. 28.8 КоАП РФ).

Работодатель, передающий персональные данные работника третьим лицам, вправе потребовать от этих лиц строго целевого использования этих данных и представления доказательств соблюдения данного правила. Форма такого требования определяется работодателем самостоятельно, а форма представления доказательств исполнения третьим лицом своей обязанности по сохранению конфиденциальности персональных данных — по соглашению сторон.

6. В деятельности любого работодателя неизбежно возникает необходимость периодической передачи персональных данных работника от одного структурного подразделения (работника) к другому. Так, информация о новом работнике или об изменении персональных данных передается кадровой службой в бухгалтерию или в службу безопасности. Такая передача осуществляется в порядке, установленном локальным нормативным актом. Установление обязанности ознакомить работника с таким актом под роспись способствует прозрачности работы по обработке персональных данных и способствует более полной реализации права человека на охрану неприкосновенности его личной жизни.

О локальных нормативных актах см. подробнее ст. 8 ТК РФ и комментарий к ней.

7. Доступ к персональным данным работников в процессе их обработки ограничивается кругом лиц, для которых обработка соответствующих данных является одной из должностных обязанностей (сотрудники кадровых, бухгалтерских и иных служб). Право доступа к персональным данным работников предоставлено также лицам, осуществляющим функции надзора и контроля за соблюдением работодателями законодательства о труде, а также лицам, контролирующим правильность исполнения работодателем обязанностей как налогового агента работника или страхователя в системе обязательного государственного страхования. Подробнее о лицах, осуществляющих функции надзора и контроля за соблюдением работодателями законодательства о труде, см. ст. ст. 357, 366 — 369 ТК РФ и комментарий к ним.

Следует отметить, что установленное комментируемой статьей правило о получении данными лицами только тех персональных данных, которые им необходимы для выполнения конкретных функций, трудно реализуемы на практике. Персональные данные работника собираются в его личном деле, не подлежат дроблению и в принципе доступны для ознакомления лицом, осуществляющим надзорно-контрольные функции в полном объеме. Исполнить требования закона возможно при четкой работе с лицами, осуществляющими функции надзора и контроля за соблюдением законодательства о труде, теми работниками, занятыми у конкретного работодателя, трудовой функцией которых является работа с персональными данными.

При передаче персональных данных внутри организации в соответствующее структурное подразделение (работнику) должна передаваться часть персональных данных, необходимая конкретному структурному подразделению (работнику) для исполнения своих функций.

8. Информация о состоянии здоровья гражданина составляет врачебную тайну. В соответствии со ст. 61 Основ законодательства об охране здоровья граждан от 22 июля 1993 г. передача сведений, составляющих врачебную тайну, работодателю допускается с согласия гражданина или его законного представителя.

Исключение составляют случаи, когда информация о состоянии здоровья работника передается работодателю при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений или при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий. Информация о состоянии психического здоровья гражданина может передаваться работодателю лишь в случаях, установленных федеральными законами (ст. 8 Закона РФ от 2 июля 1992 г. N 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании»).

Комментируемая статья ограничивает право работодателя на получение информации о состоянии здоровья работника теми данными, на основании которых решается вопрос о возможности выполнения работником конкретной трудовой функции. Хотя комментируемая статья позволяет работодателю получать информацию о состоянии здоровья работника (т.е. лица, уже вступившего в трудовые отношения с работодателем), необходимо отметить, что информация о состоянии здоровья гражданина необходима работодателю уже на стадии принятия решения о заключении трудового договора. Такая информация получается работодателем в результате медицинского освидетельствования при заключении трудового договора. Об этом подробнее см. ст. 69 ТК РФ и комментарий к ней.

При реализации работодателем права на привлечение работников к сверхурочной работе, работе в выходные и нерабочие праздничные дни работодатель должен обладать информацией о допустимости привлечения к ним по медицинским показаниям инвалидов, женщин, имеющих детей в возрасте до трех лет (ст. ст. 99, 113 ТК РФ).

В целях определения пригодности работника к выполнению поручаемой работы и предупреждения профессиональных заболеваний работодатель обязан обладать информацией о состоянии здоровья работников, занятых на тяжелых работах, на работах с вредными и (или) опасными условиями труда, на работах, связанных с движением транспорта. В целях охраны здоровья населения работодатель должен иметь информацию о состоянии здоровья работников, занятых в организациях пищевой промышленности, общественного питания и торговли, водопроводных сооружений, лечебно-профилактических и детских учреждениях. Подробнее об этом см. ст. ст. 65, 69, 213 ТК РФ и комментарий к ним.

9. Представители работников применительно к получению персональных данных работника являются третьими лицами. Передача данной информации представителям работников осуществляется в соответствии с ограничениями и правилами, установленными комментируемой статьей. Представители работников обязаны соблюдать режим секретности полученных ими персональных данных работника.

О представителях работников см. ст. ст. 29 — 31 ТК РФ и комментарий к ним.

Круг информации о работнике, передаваемой представителям работников, определяется функциями данных представителей. Универсальной функцией любого представителя работников в сфере трудовых отношений является функция участия в коллективных переговорах по заключению коллективного договора, соглашения. Универсальной информацией, которая должна быть передана представителям работников, выступает информация, необходимая для ведения коллективных переговоров.

Профсоюз как представитель работников может исполнять и особые социальные функции, определяемые его уставом. Для исполнения этих функций профсоюз должен обладать, в частности, информацией о круге иждивенцев работника, о необходимости специализированного лечения работника и т.п. Поскольку предоставление такой информации, в отличие от информации, необходимой для ведения коллективных переговоров, не обусловлено конкретным федеральным законом, она представляется с письменного согласия работника.

Изменения в правилах обработки персональных данных с 1 сентября 2022 г.

C 1 сентября 2022 г. работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников, даже если обрабатывают их в целях трудового законодательства. Все работодатели должны проверить, есть ли они в реестре Роскомнадзора.

Организациям, еще не включенным в реестр операторов персональных данных, необходимо направить уведомление об обработке персональных данных. Это можно сделать на сайте Роскомнадзора.

Организациям, кто уже включен в реестр операторов, не позднее 15 сентября 2022 г. рекомендуется уведомить Роскомнадзор о новой цели обработки персональных данных — обработке в рамках трудовых отношений (ст. 22 Закона N 152-ФЗ в редакции, действующей с 01.09.2022). Уведомление нужно подать разово, чтобы данные работодателя попали в реестр. Если данные из уведомления поменяются, нужно подать об этом информационное письмо.

Были изменены требования к содержанию уведомления о необходимости получить персональные данные от третьих лиц. Теперь дополнительно в уведомлении нужно указывать категории персональных данных сотрудника, которые будете запрашивать (п. 2.1 ч. 3 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ).

В дальнейшем работодателю также нужно будет сообщать в Роскомнадзор о случаях утечки, либо неправомерной передаче персональных данных сотрудников третьим лицам.

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Конкретный перечень документов, регламентирующих порядок обработки персональных данных работников, законом не установлен. При этом есть обязательный минимум документов, которые должны быть у всех работодателей.

Положение о персональных данных

Как правило, организации издают положение о персональных данных или иной локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. Важно утвердить положение приказом руководителя и ознакомить с ним работников под подпись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).

Форму положения утверждает сама организация. Определите в документе для каждой цели обработки:

• категории и перечень персональных данных;
• категории субъектов персональных данных;
• способы и сроки обработки и хранения данных;
• порядок уничтожения персональных данных, когда достигли цели их обработки или наступили иные законные основания.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, работодателю достаточно:

1. обезопасить от неконтролируемого проникновения помещения, в которых размещена информационная система;
2. обеспечить сохранность носителей персональных данных;
3. защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
4. издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Политика обработки персональных данных

Если клиенты регистрируются на сайте организации и оставляют свои персональные данные, то в таком случае политика обработки персональных данных становится обязательным документом. Потребуется разработать и опубликовать на сайте организации документ, который определяет политику в отношении защиты и обработки персональных данных.

Организация должна обеспечить доступ через интернет к сведениям о том, какие меры принимает, чтобы защитить персональные данные (ч. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

В политику обработки персональных данных в том числе включают:

• основные понятия, которые используют в документе;
• сведения о цели обработки персональных данных;
• основания обработки данных;
• категории обрабатываемых данных и их субъектов;
• порядок и условия обработки данных;
• права и обязанности субъектов данных и прочее.

Положение о защите персональных данных

С 1 сентября 2022 г. каждый работодатель обязан разработать и утвердить локальный акт, который определит процедуры по предотвращению, выявлению и устранению последствий нарушения закона о персональных данных.

Меры защиты, которые принимаются, чтобы предотвратить, выявить и устранить нарушения закона о персональных данных, нужно установить в локальном акте организации. Например, в положении о защите персональных данных.

К таким мерам можно отнести, например, установку антивирусных программ или назначение ответственных за защиту персональных данных в компании. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персональные данные – вручную или через компьютерные программы.

Приказ о назначении ответственного за обработку персональных данных

Работодатель обязан назначить сотрудника, который будет отвечать за обработку персональных данных (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Чаще всего для этой роли выбирают сотрудника кадровой службы организации. Для этого необходимо издать соответствующий приказ. Скачайте образец приказа.

При этом ответственным за обработку персональных данных в компании может быть только один человек. Будет считаться нарушением назначение ответственным за персональные данные сотрудников кадрового специалиста, а за данные клиентов компании, например, начальника отдела продаж. Организация за такое нарушение будет оштрафована. Информацию об ответственном нужно не забыть подать в реестр Роскомнадзора.

Приказ о назначении ответственного за обработку персональных данных составляется по форме, которую разрабатывает организация и отдается ему на подпись. В приказе необходимо прописать обязанности лица, ответственного за организацию обработки персональных данных:

• проведение внутреннего контроля за тем, как работодатель и другие сотрудники соблюдают закон о персональных данных, в том числе требования к их защите;
• доведение до сведения сотрудников организации положения закона о персональных данных, локальных актов по вопросам обработки данных, требований к их защите;
• организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей, контроль приема и обработки таких обращений и запросов.

В законе предусмотрена возможность работодателя поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести сам работодатель. Лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (ч. 3, 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы ответственный мог выполнять свои обязанности, работодатель обязан передать ему необходимые сведения. К ним относятся:

• наименование, адрес работодателя;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатывают;
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание способов обработки данных;
• описание мер по обработке данных, в том числе сведения о шифровальных средствах и др.

Обязательство о неразглашении персональных данных

Работодатель должен обеспечить защиту персональных данных сотрудников от их неправомерного использования или утраты. С сотрудниками, которые имеют доступ к персональным данным, нужно оформить обязательство об их неразглашении.

При этом привлечь к ответственности за неразглашение таких данных можно в случае, если они стали известны им в связи с исполнением трудовых обязанностей и работники обязались не разглашать такие сведения (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2). Условие о неразглашении закрепляется в дополнительном соглашении к трудовому договору.

Документы внутреннего контроля

При возможной проверке инспекторы могут поинтересоваться, есть ли у организации документы внутреннего контроля. Поэтому нужно заранее озаботиться разработкой документов внутреннего контроля обработки персональных данных. Например, это могут быть протоколы, планы внутреннего аудита, правила внутреннего контроля, а также материалы проверочных мероприятий.

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Обязанности работодателя по противоэпидемическим мероприятиям: как передавать персональные данные работников

Е. М. Тараненко
автор статьи, консультант Аскон по юридическим вопросам В соответствии с Постановлением Правительства Санкт-Петербурга от 13.03.2020 N 121 (ред. от 19.06.2021) на работодателе лежит обязанность по актуализации информации о работниках, переведенных на дистанционный режим работы (с соблюдением требований законодательства о персональных данных), путем направления информации через личный кабинет на сайте СПб ГБУ «Центр развития и поддержки предпринимательства». В соответствующей форме, размещенной в личном кабинете, содержится таблица, которую необходимо заполнить в том числе номерами телефонов работников. Но возникает вопрос. Учитывая положения законодательства о персональных данных, вправе ли работодатель без получения согласия работника направить через личный кабинет данные о его номере телефона ?

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных).

Как разъясняет Минкомсвязи, абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится прямо или косвенно к определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.

Закон о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. При этом предусмотрены случаи, когда допускается обработка персональных данных без согласия субъекта персональных данных. В частности, допускается обработка персональных данных, которая необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. Из судебной практики следует, что номер мобильного телефона относится к персональным данным даже без указания иных данных, позволяющих идентифицировать физическое лицо. Как установлено в статье 88 ТК РФ, при передаче персональных данных работника работодатель должен соблюдать требования о запрете сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.

Обязанности работодателя при режиме повышенной готовности

Но при этом надо учитывать особенности режима повышенной готовности. Органы управления и силы единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций функционируют в режиме повышенной готовности — при угрозе возникновения чрезвычайной ситуации.

В случае угрозы возникновения и распространения инфекционных заболеваний предусмотрено введение ограничительных мероприятий (карантина) на территории Российской Федерации, территории соответствующего субъекта Российской Федерации, муниципального образования, в организациях и на объектах хозяйственной и иной деятельности К ограничительным мероприятиям (карантину) относятся административные, медико-санитарные, ветеринарные и иные меры, направленные на предотвращение распространения инфекционных заболеваний и предусматривающие особый режим хозяйственной и иной деятельности, ограничение передвижения населения, транспортных средств, грузов, товаров и животных. Правительство Санкт-Петербурга имеет право устанавливать обязательные для исполнения гражданами и организациями правила поведения при введении режима повышенной готовности или чрезвычайной ситуации.

Эти правила поведения (санитарно-противоэпидемические мероприятия) должны соответствовать нормам законодательства о санитарно-эпидемиологическом благополучии населения. Точного их перечня не существует, уполномоченные органы их разрабатывают, исходя из ситуации.

При этом, под санитарно-противоэпидемическими (профилактическими) мероприятиями понимаются организационные, административные, инженерно-технические, медико-санитарные, ветеринарные и иные меры, направленные на устранение или уменьшение вредного воздействия на человека факторов среды обитания, предотвращение возникновения и распространения инфекционных заболеваний и массовых неинфекционных заболеваний (отравлений) и их ликвидацию. Постановление Правительства Санкт-Петербурга от 13.03.2020 N 121 (ред. от 19.06.2021) издано во исполнение указанных прав и в соответствии с законодательством о защите граждан от чрезвычайных ситуаций природного и техногенного характера.

В соответствии с пунктом 2-41, 2-52 Постановления Правительства Санкт-Петербурга от 13.03.2020 N 121 (ред. от 13.06.2021) организациям (индивидуальным предпринимателям) предписано обеспечить направление списка телефонных номеров работников (исполнителей по гражданско-правовым договорам), указанных в абзаце первом пункта 2-42 постановления, не переведенных на дистанционный режим работы, а также актуализировать информацию, в случае изменения количества работников (исполнителей по гражданско-правовым договорам), не переведенных на дистанционный режим работы, в течение трех дней со дня указанного изменения. Таким образом, номера телефонов, зарегистрированные на сотрудников, являются персональными данными и, по общему правилу, работодателю необходимо согласие на их обработку. Однако, поскольку передача таких персональных данных в Центр развития предпринимательства предусмотрена постановлением Правительства Санкт-Петербурга, принятым во исполнение Федерального закона «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера», то можно сделать вывод, что в приведенной ситуации согласия работников не требуется. При этом каких-либо официальных разъяснений или судебной практики по соответствующим случаям нет.

Е. М. Тараненко
автор статьи, консультант Аскон по юридическим вопросам

#Юрист #Специалист по кадрам #Бюджетник #Бизнес vs Коронавирус #Персональные данные В избранное Поделиться PDF 91 92