Вопрос: Организация передает данные о работниках для оценки их деловых качеств третьим лицам - специализированной организации, производящей оценку персонала. В частности, передаются специально разработанные анкеты, содержащие фамилию, имя, отчество, год, месяц, дату и место рождения, адрес работника. Согласия на передачу персональных данных у работника не получено. Каким образом возможно передать сведения третьему лицу, не нарушая законодательство о защите персональных данных?
Ответ: В случае если согласия работника на передачу третьим лицам персональных данных не получено, организация может передать сведения в обезличенном виде. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (ред. от 23.07.2013)) (далее - Закон N 152-ФЗ).
Обоснование: В соответствии со ст. 3 Закона N 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 6 Закона N 152-ФЗ. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (ст. 6 Закона N 152-ФЗ).
Согласно ст. 88 Трудового кодекса РФ при передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Закон N 152-ФЗ допускает обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (ст. 3 Закона N 152-ФЗ).
Приказом Роскомнадзора от 05.09.2013 N 996 утверждены Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
Е.В.Шестакова
Генеральный директор
ООО "Актуальный менеджмент"
02.02.2015