Вопрос: Организация-подрядчик обслуживает инфраструктуру организации-заказчика, при этом работники подрядчика ездят по объектам и предъявляют охране на проходных объектах пропуск и паспорт. Заказчик направил письмо подрядчику о необходимости представить ксерокопии паспортов работников (в количестве, равном числу обслуживаемых объектов). Соответствует ли требованиям законодательства представление паспортных данных работников не работодателю? Является ли это разглашением персональных данных? Как поступить работодателю, если некоторые работники откажутся представить копии паспортов?
Ответ: Представление ксерокопий паспортов работников сторонней организации (организации-заказчику) должно осуществляться в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ). Полагаем, что работодатель не вправе передавать организации-заказчику копии паспортов работников без согласия последних.
В случае отказа некоторых работников от представления копий паспортов работодатель может перевести таких работников (с их согласия) на другую работу или оплатить им время простоя.
Обоснование: В соответствии со ст. 88 Трудового кодекса РФ при передаче персональных данных работника работодатель должен соблюдать, в частности, следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами.
Согласно п. 1 ст. 3 Закона N 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с п. 7 ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом N 152-ФЗ. Обработка персональных данных допускается в том числе в случае, если она необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Учитывая, что организация охраны объектов является правом организации-заказчика (третьего лица), обработка персональных данных работников может осуществляться без их согласия.
Вместе с тем согласно ч. 5 ст. 5 Закона N 152-ФЗ одним из принципов обработки персональных данных является то, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Паспортные данные содержат дополнительную информацию о человеке: о месте рождения, семейном положении, месте регистрации и так далее. Такая информация, на наш взгляд, является излишней для целей, указанных организацией-заказчиком (организация пропускного режима).
В соответствии с пп. 5.1.1.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228, Роскомнадзор осуществляет полномочия в том числе за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
В соответствии с разъяснениями Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве, получение работодателем согласия на обработку персональных данных не требуется в случае обработки персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 ТК РФ.
Однако в случае если обработка персональных данных будет производиться другой организацией (организацией-заказчиком), то работодатель обязан соблюдать требования, установленные в ч. 3 ст. 6 Закона N 152-ФЗ и ст. 88 ТК РФ, в том числе получить согласие работников на передачу их персональных данных.
Содержание согласия работника должно быть конкретным и информированным, то есть содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.
Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона N 152-ФЗ.
Учитывая вышеуказанное разъяснение, а также то, что копии паспортов работников содержат информацию, которая не может быть использована с целью организации пропускного режима на территорию организации-заказчика и является излишней, полагаем, что работодатель не вправе уволить работников, отказавшихся от передачи копий паспортов организации-заказчику.
Таким образом, в рассматриваемой ситуации работодатель может перевести таких работников с их письменного согласия на другую работу в соответствии со ст. 72.1 ТК РФ либо оплатить им время простоя в соответствии со ст. 157 ТК РФ.
С.А.Терентьев
Министерство труда и
социальной защиты
Российской Федерации
05.07.2016
