Вопрос: Надо ли запрашивать отдельное согласие работника на передачу его персональных данных, указанных в договоре об оказании услуг, третьим лицам (с указанием контрагента)? Вправе ли контрагент передавать его данные работникам своей организации?

style="max-height: 50vh;">

Надо ли запрашивать отдельное согласие работника на передачу его персональных данных, указанных в договоре об оказании услуг, третьим лицам (с указанием контрагента)? Вправе ли контрагент передавать его данные работникам своей организации?


Работодателю надо запросить отдельное письменное согласие работника на передачу его персональных данных третьему лицу (с указанием конкретного контрагента по договору оказания услуг).
Контрагент вправе передавать персональные данные работникам своей организации при соблюдении установленного порядка.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
Таким образом, передача персональных данных является обработкой персональных данных.
По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных. Отдельного согласия потребует обработка персональных данных, разрешенных субъектом персональных данных для распространения (п. 1 ч. 1 ст. 6, ст. 10.1 Закона N 152-ФЗ).
Не требуется согласия субъекта персональных данных в случаях, перечисленных в п. п. 2 - 11 ч. 1 ст. 6 Закона N 152-ФЗ, в том числе когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Необходимость согласия работника на передачу контрагенту его персональных данных
В рассматриваемой ситуации работник, чьи персональные данные указаны в договоре оказания услуг между организациями, не является ни стороной этого договора, ни выгодоприобретателем (поручителем) по нему.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ (ч. 3 ст. 6 Закона N 152-ФЗ).
При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных (ч. 4 ст. 6 Закона N 152-ФЗ).
Работодатель вправе передавать данные о работнике без его согласия третьим лицам при угрозе жизни и здоровью человека, а также в иных случаях, установленных законом. Во всех остальных случаях сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ).
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом N 152-ФЗ (ст. 7 Закона N 152-ФЗ).
Таким образом, в рассматриваемом случае заключение договора оказания услуг между организациями преследует коммерческие цели, поэтому работодатель не вправе передавать персональные данные работников без их согласия третьим лицам.
Согласие работника на передачу персональных данных на обработку конкретному третьему лицу - документ, необходимость получения которого возникает, если работодатель передает персональные данные работника третьим лицам, в том числе поручает обработку персональных данных работника другим лицам, в частности при заключении гражданско-правовых договоров с контрагентами (абз. 2, 3 ст. 88 ТК РФ, ч. 3 ст. 6 Закона N 152-ФЗ).
В частности, при привлечении сторонних организаций (на основании заключенных с ними договоров) для выполнения каких-либо услуг, которые будут затрагивать обработку персональных данных работника, работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона N 152-ФЗ, в том числе получить согласие работников на передачу их персональных данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ).
В общем случае на каждую передачу персональных данных работника третьим лицам работодателю необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст. 6 Закона N 152-ФЗ). Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.
Также работодатель может в установленном порядке получить от работника согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения. В таком случае работодателю не нужно будет каждый раз получать от работника отдельное согласие (ст. 10.1 Закона N 152-ФЗ).
В согласии работника на обработку его персональных данных конкретным третьим лицом нужно указать, в частности: наименование контрагента, осуществляющего обработку персональных данных (также рекомендуется указать его ИНН, ОГРН), перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, на совершение которых дается согласие, цель их обработки, срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва (ч. 4 ст. 9 Закона N 152-ФЗ).
При оформлении согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в нем, помимо прочего, должны быть указаны: сведения об операторе-организации (операторе-гражданине, являющемся ИП), а также сведения об информационных ресурсах работодателя (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере, и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными работника (Требования, утв. Приказом Роскомнадзора от 24.02.2021 N 18).
С 1 июля 2021 г. на сайте Роскомнадзора функционирует интернет-сервис для операторов персональных данных. С помощью данного сервиса в формате конструктора оператору будет достаточно заполнить необходимые поля, после чего шаблон будет рассмотрен специалистами Роскомнадзора и при необходимости оператору будут даны рекомендации по его доработке. В дальнейшем оператор сможет использовать сформированную форму согласия в своей работе (Информация Роскомнадзора "Роскомнадзор разработал сервис для операторов персональных данных").

Порядок использования данных работника контрагентом работодателя
В случае, когда работодатель передает персональные данные работника контрагенту без поручения на обработку персональных данных (например, когда от имени работодателя оказывать услуги контрагенту будет указанный работник), возможно прийти к выводу, что контрагент приобретает статус оператора и должен получить письменное согласие субъекта персональных данных (работника) на такую обработку. Поэтому работодателю следует передать своему контрагенту письменное согласие работника (п. п. 2, 3 ст. 3, п. 1 ч. 1 ст. 6 Закона N 152-ФЗ, абз. 3 ст. 88 ТК РФ).
В случае когда с согласия работника работодатель поручает обработку персональных данных третьему лицу, ответственность перед работником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 3, 5 ст. 6 Закона N 152-ФЗ).
Работодатель обязан предупредить своего контрагента, получающего персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этого лица подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности) (абз. 4 ст. 88 ТК РФ).
Контрагент, получивший персональные данные о физическом лице по договору оказания услуг, обязан принять меры для обеспечения выполнения обязанностей оператора, предусмотренных Законом N 152-ФЗ, а также меры по обеспечению безопасности таких персональных данных, в частности (п. п. 1, 2, 3 ч. 1 ст. 18.1, ч. 1, п. 8 ч. 2 ст. 19, ч. 1, п. 1 ч. 4 ст. 22.1 Закона N 152-ФЗ):
• издать приказ о назначении лица, ответственного за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
• установить правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных; обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• утвердить локальный акт по вопросам обработки персональных данных. В рассматриваемом случае таким документом может быть положение о порядке обработки персональных данных контрагентов и иных лиц, не являющихся работниками данной организации, в котором должны быть описаны все действия, связанные с обработкой персональных данных физических лиц - представителей других компаний, а также указаны ответственные работники за обработку таких персональных данных.

Обратите внимание! За нарушение законодательства в области персональных данных предусмотрена административная и уголовная ответственность (ст. 13.11 КоАП РФ, ст. 137 УК РФ).

Подготовлено на основе материала
Е.В. Орловой,
начальника отдела аудита
ООО "ПАРТИ"



См. также:
• Какие действия должен предпринять работодатель, если работник отказался от обработки персональных данных?
• Каков порядок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку?
• Обязана ли организация-работодатель, обрабатывая персональные данные работников, пройти регистрацию в реестре Роскомнадзора?