Документ

Письмо Роскомнадзора от 14.03.2025 № 08-119850

Комментарий

Чтобы передать полномочия по обработке персональных данных работников третьему лицу (аутсорсеру), работодателю нужно оформить соответствующее поручение и получить согласие работников. Такой вывод следует из письма Роскомнадзора от 14.03.2025 № 08-119850.

Работодатель вправе с согласия работника поручить обработку персональных данных последнего (например, ведение кадрового, бухгалтерского учета и т. п.) другому лицу, если иное не предусмотрено федеральным законом (ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 2 п. 5 Разъяснений Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве").

Делегирование работодателем (оператором) таких полномочий предполагает оформление поручения. Поручение оформляется в виде договора, который заключается с аутсорсером (например, с компанией, оказывающей услуги по ведению бухгалтерского или кадрового учета и т. п.).

В поручении на обработку персональных данных нужно предусмотреть (ч. 3 ст. 6 Закона № 152-ФЗ):

• перечень персональных данных;
• перечень действий по обработке персональных данных и цели их обработки;
• обязанность лица, которое обрабатывает персональные данные, соблюдать конфиденциальность этих данных, а также иные обязательные требования (использование баз данных, находящихся в РФ, для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан РФ и др.);
• обязанность лица, которое обрабатывает персональные данные, по запросу оператора персональных данных предоставлять документы и информацию, подтверждающие выполнение обязательных требований;
• обязанность обеспечивать безопасность персональных данных при их обработке;
• требования к защите обрабатываемых персональных данных (ст. 19 Закон № 152-ФЗ);
• требование об уведомлении оператора о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (ч. 3.1 ст. 21 Закона № 152-ФЗ).

Если работодатель привлекает сторонние организации на основании заключенных с ними договоров для выполнения работ (оказания услуг), включающих обработку персональных данных работников, работодателю необходимо получить согласие сотрудников на передачу их персональных данных. Такое согласие следует оформить в виде отдельного документа, отвечающего требованиям, перечисленным в ч. 4 ст. 9 Закона № 152-ФЗ. Подробнее см. здесь.