Как передавать персональные данные третьим лицам

09.03.2023 11:37

Каждая компания сталкивается с тем, что документы, которые содержат персональные данные, необходимо куда-то отправить — в банк, налоговую, СФР или контрагенту. В статье разбираемся, каким образом передать персональные так, чтобы избежать штрафов.

По общему правилу, операторы обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия их субъекта (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных). Это правило касается персданных любых субъектов — сотрудников, клиентов, контрагентов и т. д. Из него есть ряд исключений, которые предусмотрены федеральными законами. Так, например, допустимо передавать персональные данные субъекта без его согласия:

  • по запросу нотариуса для совершения нотариальных действий (абз. 4 ст. 15 Основ законодательства РФ о нотариате от 11.02.1993 № 4462-I);
  • по запросу судебного пристава-исполнителя в рамках совершения исполнительных действий (п. 2 ч. 1 ст. 64 Федерального закона от 02.10.2007 № 229-ФЗ);
  • по запросу органов полиции и прокуратуры для выполнения своих обязанностей (п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ, п. 2.1 ст. 4 Федерального закона от 17.01.1992 № 2202-I);
  • по запросу Банка России в рамках его полномочий по осуществлению надзора в национальной платежной системе (ч. 3 ст. 32 Федерального закона от 27.06.2011 № 161-ФЗ);
  • в других случаях, предусмотренных законом.

В этих случаях запрос должен быть мотивирован. Это значит, что в нем указывают его цель и перечень запрашиваемых сведений, а также правовые основания, которые подтверждают полномочия органа, направившего запрос (п. 4 разъяснений Роскомнадзора от 14.12.2012).

В каких случаях можно передать персональные данные сотрудника

По общему правилу, чтобы передать персональные данные сотрудника, нужно получить его письменное согласие (абз. 2 ст. 88 ТК РФ). Оно потребуется, если работодатель планирует передавать персданные в коммерческих целях или третьим лицам, кроме случаев, которые предусматривает абз. 2 ст. 88 ТК РФ.

Представляется, что передача персональных данных сотрудника в коммерческих целях — частный случай передачи его данных третьим лицам. Например, когда работодатель оформляет на сотрудника доверенность с правом получения товарно-материальных ценностей (ТМЦ) у контрагента, он предоставляет данные сотрудника третьему лицу, но в то же время делает это для достижения коммерческой цели.

Таким образом, если сотрудник не предоставил письменное согласие на передачу его персональных данных третьим лицам, работодатель не вправе передавать их:

  • контрагентам — в том числе в тексте доверенности;
  • в составе заявки на участие в закупке;
  • организации-аутсорсеру — например, организации, которая осуществляет кадровый и бухгалтерский учет по поручению оператора-работодателя;
  • бывшей жене сотрудника, если она просит предоставить справку о сумме алиментов, которая удержана из его зарплаты;
  • акционерам общества, которые направили запрос о предоставлении им документов, без изъятия персональных данных (постановление Арбитражного суда Волго-Вятского округа от 18.11.2021 по делу № А82-19724/2020).

Обратите внимание, что оператор также обязан получить согласие соискателя, если направляет запрос его предыдущему работодателю. Исключение — случай, когда работодатель заключает трудовой договор с бывшим государственным или муниципальным служащим (п. 5 разъяснений Роскомнадзора от 14.12.2012).

В каких случаях можно не получать письменное согласие

Письменное согласие сотрудника можно не получать в случаях, которые предусмотрены федеральными законами (абз. 2 ст. 88 ТК РФ). О некоторых случаях мы упомянули выше. Помимо них передать персональные данные работника без его письменного согласия можно:

  • если это предусматривает ТК РФ (абз. 2 ст. 88 ТК РФ) — например, при подаче отчетности в СФР (п. 4 разъяснений Роскомнадзора от 14.12.2012);
  • если это нужно, чтобы предотвратить угрозу жизни и здоровью сотрудника (абз. 2 ст. 88 ТК РФ);
  • в случаях, когда сотрудник выполняет свои трудовые обязанности — например, когда его направляют в командировку (п. 4 разъяснений Роскомнадзора от 14.12.2012);
  • по мотивированному запросу государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства (п. 4 разъяснений Роскомнадзора от 14.12.2012);
  • в органы и организации, которые работодатель обязан уведомить о несчастном случае (абз. 5 ст. 228 ТК РФ);
  • в налоговые органы, военные комиссариаты, профсоюзные органы (п. 4 разъяснений Роскомнадзора от 14.12.2012).

Если работодатель передает персданные сотрудника его представителям — например, в профсоюз — он должен соблюдать все правила, которые устанавливают ТК РФ и законодательство в сфере персональных данных. Можно передавать не все персданные, а только те, которые необходимы представителям для выполнения их функций. Например, профсоюз вправе запрашивать у работодателя сведения об исполнении коллективного договора — в том числе сведения о заработной плате, времени труда и отдыха. Такую информацию он может запрашивать как в отношении членов профсоюза, так и в отношении других сотрудников. Работодатель обязан предоставить эти сведения без специального согласия сотрудников, так как функцией профсоюза является контроль за соблюдением трудового законодательства, коллективных договоров и соглашений (п. 9 Обзора судебной практики ВС РФ за третий квартал 2012 г., утв. Президиумом ВС РФ 26.12.2012, п. 4 разъяснений Роскомнадзора от 14.12.2012).

Можно не получать согласие сотрудника, если работодатель планирует передавать его персональные данные в банк, который открывает и обслуживает платежные карты (п. 4 разъяснений Роскомнадзора от 14.12.2012). Это возможно в следующих случаях:

  • банк заключил с сотрудником договор на выпуск банковской карты, в котором предусмотрены положения, позволяющие работодателю передать персданные сотрудника в банк;
  • у работодателя есть доверенность и он вправе представлять интересы сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее обслуживании;
  • коллективный договор предусматривает соответствующую форму и систему оплаты труда (ст. 41 ТК РФ).

Как оформить согласие на передачу персональных данных

Требования к согласию на передачу персданных различаются в зависимости от вида передачи. Передача персональных данных включает в себя распространение и предоставление таких данных третьим лицам, а также доступ к ним третьих лиц (п. 3 ст. 3 Закона о персональных данных). Оператор:

  • распространяет персданные, когда раскрывает их неопределенному кругу лиц — например, публикует сведения о субъекте на своем официальном сайте;
  • предоставляет персданные, когда раскрывает их определенному кругу лиц — например, оформляет доверенность на работника для получения ТМЦ у контрагента по договору поставки.

Если оператор получает согласие на предоставление персданных конкретному лицу, нужно руководствоваться общими требованиями к согласию (ч. 4 ст. 9 Закона о персональных данных). Специальные требования отсутствуют.

Если оператор планирует распространять персональные данные лицам, которые заранее неизвестны, нужно оформить согласие на их распространение. Такое согласие оформляют отдельно от других согласий. Требования к нему установлены в ст. 10.1 Закона о персональных данных.

Подробнее о том, как составить, читайте в статье «Как оформить согласие на распространение персональных данных».

На что обратить внимание работодателю при передаче персональных данных сотрудников

Если работодатель намерен передавать персданные сотрудника третьему лицу, он обязан (абз. 4 ст. 88 ТК РФ):

  • предупредить такое лицо, что оно вправе использовать персональные данные в целях, для которых они сообщены;
  • требовать от него подтверждения, что он соблюдает это правило.

Это правило касается всех третьих лиц. Есть два случая, на которые это правило не распространяется:

  • обмен персональными данными сотрудников осуществляют в порядке, который устанавливает ТК РФ и иные федеральные законы (абз. 4 ст. 88 ТК РФ);
  • работодатель передает персданные по запросу уполномоченных органов (п. 4 разъяснений Роскомнадзора от 14.12.2012).

Можно предусмотреть такое правило в поручении оператора, если он передает персональные данные обработчику, и в обязательстве о неразглашении персональных данных работников, если с персональными данными сотрудников сталкиваются другие сотрудники при исполнении своих трудовых обязанностей.

О том, как составить поручение на обработку персданных, читайте в статье «Как поручить обработку персональных данных третьим лицам».

Если же персональные данные сотрудника передают внутри организации, то работодатель обязан:

  • передавать персданные сотрудника в соответствии с ЛНА, с которым сотрудник был ознакомлен под подпись;
  • разрешать к ним доступ только тем лицам, которых он уполномочил на это;
  • разрешать доступ этим лицам только к тем персональным данным, которые требуются для выполнения ими конкретных функций.

Кроме того, работодатель не вправе запрашивать информацию о состоянии здоровья работника, если эта информация не относится к его трудовой функции.