Для обработки персональных данных физических лиц необходимо получить их письменное согласие, за исключением случаев, предусмотренных законом. В связи с этим возникает вопрос о том, нужно ли брать согласие на обработку персональных данных у работников организации-контрагента, с которой заключается договор на выполнение работ или оказание услуг с участием ее работников?
Рекомендации
Получать согласие на обработку персональных данных работников организации-контрагента не требуется, если данные передаются контрагентом в рамках исполнения договора, и контрагент получил от своих работников согласие на передачу их персональных данных третьим лицам. Обоснование следующее.
По общему правилу, обработка персональных данных допускается только с письменного согласия субъекта персональных данных (п. 1 ч. 1 ст. 6, ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ , далее – Закон № 152-ФЗ).
В исключительных случаях обработка персональных данных без согласия возможна, если она необходима для исполнения договора, стороной которого является субъект таких данных (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ). Однако работники контрагента редко являются стороной или выгодоприобретателем по договору между организацией и ее контрагентом, поэтому основанием для передачи персональных данных является согласие, полученное контрагентом от своих работников.
Согласно ст. 88 ТК РФ, работодатель (контрагент) не должен передавать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо для выполнения трудовых обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ) или предусмотрено иными федеральными законами, а также сообщать данные в коммерческих целях без согласия работника. Работодатель-контрагент обязан получить согласие своих работников на передачу их персональных данных третьим лицам для исполнения договора.
Как следует из приведенной выше нормы, обязанность брать согласие на передачу персональных данных работника лежит непосредственно на его работодателе. Таким образом, именно работодатель-контрагент обязан получить такое согласие у своих работников, прежде чем передавать их персональные данные третьему лицу.
Оформлять это в виде отдельного согласия на обработку персональных данных не обязательно: согласие на передачу персональных данных третьим лицам может быть включено в основное согласие на обработку персональных данных, которое работодатель обычно берет у своих работников.
Перечислять конкретные организации и предпринимателей в таком согласии не требуется, но общая формулировка должна позволять идентифицировать круг получателей. Это соответствует принципу конкретности обработки персональных данных, установленному ст. 5 Закона № 152-ФЗ.
Пример формулировки
Даю согласие на обработку моих персональных данных, включая передачу этих данных третьим лицам – контрагентам работодателя, исключительно в целях исполнения заключённых работодателем договоров, в частности:
- для обеспечения доступа на объекты контрагентов;
- для оформления пропусков и допусков;
- для выполнения иных условий договоров, заключенных между работодателем и контрагентами, связанных с исполнением моих трудовых обязанностей.
Рекомендуем взять согласие на передачу персональных данных третьей стороне также и у своих работников. Это может пригодиться в случае необходимости сообщить их персональные данные другим организациям или предпринимателям для исполнения заключенных с ними договоров.
Обратите внимание!
Согласно ч. 3 ст. 18 Закона № 152-ФЗ, если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо Ф. И. О. и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- Ф. И. О. и адрес предполагаемого пользователя персональных данных;
- перечень прав субъекта персональных данных;
- источник получения персональных данных.
Оператор освобождается от этой обязанности, если субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором (ч. 4 ст. 18 Закона № 152-ФЗ).
Таким образом, прежде чем получить от контрагента персональные данные его работников, следует удостовериться в том, что он получил у своих работников согласие на обработку и передачу данных третьим лицам с целью исполнения договора.
Учитывая изложенное, при заключении договора с контрагентом рекомендуем включать в него условия, согласно которым он гарантирует, что:
- его работники (включая руководителя организации и главного бухгалтера) оповещены о передаче их персональных данных третьей стороне для исполнения заключенных работодателем договоров, а также дали письменное согласие на обработку и передачу своих персональных данных третьим лицам;
- обработка персональных данных его работников осуществляется в строгом соответствии с требованиями законодательства о персональных данных.
Также для снижения риска возникновения претензий со стороны госорганов целесообразно получать только минимальный объем персональных данных работников контрагента, необходимый для исполнения договора, а также обеспечивать защиту этих данных и их использование исключительно в целях, предусмотренных договором (ст. 7, 19 Закона № 152-ФЗ).
Напоминаем о том, что обработка персональных данных без согласия субъекта персональных данных, когда наличие такого согласия необходимо, является основанием для привлечения к административной ответственности по ч. 2 ст. 13.11 КоАП РФ, которая предусматривает наказание в виде штрафа:
- для граждан в размере от 10 000 до 15 000 руб.;
- для должностных лиц и ИП – от 100 000 до 300 000 руб.;
- для организации – от 300 000 до 700 000 руб.
См. также: