Вопрос
При заключении договора оказания услуг (в соответствии с которым работники исполнителя оказывают услуги на территории заказчика) должна ли компания заказчика, обрабатывающая персональные данные сотрудников исполнителя (изготовление пропусков, Ф.И.О., инструктажи, выдача бейджей и т.д.), от всех сотрудников исполнителя получить персональное согласие на обработку персональных данных и приложить их к договору? Или достаточно тех, что они дали исполнителю при подписании трудового договора?
Ответ
Поскольку сотрудники исполнителя по договору не являются ни стороной этого договора, ни выгодоприобретателем (поручителем) по нему, то для правомерной обработки персональных данных заказчиком потребуется наличие согласий на обработку от каждого из них. Согласно закону, такие согласия должны быть получены работодателем данных лиц, т.е. исполнителем.
Далее допустимы два варианта: передача заказчику надлежащим образом оформленных письменных согласий сотрудников исполнителя либо оформление поручения на обработку персональных данных сотрудников в целях исполнения договора (в самом договоре возмездного оказания услуг или отдельным поручением). Поручение подписывается уполномоченным лицом организации-работодателя (как правило, генеральным директором).
При этом обязательно должно быть предусмотрено: какие именно персональные данные передаются, с какой целью, перечень допустимых действий с персональными данными, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение обязанностей, установленных законом по охране персональных данных, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
В договор могут включаться условия о том, что контрагент гарантирует законность получения персональных данных, наличие согласия сотрудников на передачу их персональных данных, а также обязательство заказчика обеспечивать конфиденциальность персональных данных, их защиту и уничтожение в соответствии с требованиями закона.
Цель обработки персональных данных в обоих случаях должна быть сформулирована максимально конкретно. В данной ситуации может быть указано, например, что персональные данные сотрудников исполнителя передаются в целях исполнения конкретного договора с конкретным заказчиком.
Обоснование
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных").
По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных").
При этом оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона (ч. 3 ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных").
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных (ч. 4 ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных").
Согласно статье 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать следующие требования: не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами; не сообщать персональные данные работника в коммерческих целях без его письменного согласия; предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, а также не сообщать персональные данные работника в коммерческих целях без его письменного согласия (ст. 7, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных").
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч 5 ст. 5, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных").
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. (ч. 6 ст. 5, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных").
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором (ч. 1 ст. 9, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных").
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности, 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных (ч. 4 ст. 9, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных"}
