Личный кабинет

Требуется ли согласие работников на передачу их персональных данных аутсорсинговой компании?

Вот уже несколько лет, как организациям предписано не хранить без особой необходимости копии личных документов сотрудников. После внесения информации в соответствующие бланки для ведения отчетности, оформления договоров и прочих документов ведение личных дел сотрудников допускается только в строго оговорённых случаях. Не только копии паспорта, диплома, военного билета или свидетельства о рождении ребенка, но и, например, номер телефона в комбинации с именем и фамилией считаются персональной информацией, которую нельзя вносить в документы кадрового учёта без письменного согласия субъекта данных. Более того, организация должна располагать письменным согласием работника на обработку персональных данных, даже если они получены из открытых источников. Внутри организации соответствующим приказом должен быть утверждён круг лиц, имеющих доступ к этим данным.

Строгой регламентации подлежат вопросы использования, хранения и защиты персональных данных. Для этих целей необходимо выработать локальный документ – Положение об обработке персональных данных сотрудников. Его следует опубликовать на сайте организации (если он есть) и предоставить доступ сотрудникам в бумажном виде или в форме электронного письма. Каждый работник должен быть ознакомлен с этим документом под роспись.

Иногда работодатель привлекает сторонние организации для выполнения каких-либо работ или услуг, которые будут затрагивать обработку личных данных работников, начиная от охранных и заканчивая бухгалтерскими. Возникает вопрос, нужно ли для этого специальное разрешение сотрудников?

Буква закона даёт на этот счёт недвусмысленный положительный ответ. Согласно Федеральному закону от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных" (с изменениями, вступившими в силу с 01.03.2021), для передачи такой информации третьим лицам необходимо соответствующее письменное согласие.

При этом, если раньше в согласии на обработку персональных данных можно было указывать, что сотрудник не возражает, чтобы его данные работодатель передавал третьим лицам, то теперь для этого необходимо отдельное согласие. Согласие не должно содержать обобщённых формулировок, что работник согласен на передачу его данных любым третьим лицам, с которыми работодатель заключил договор. На каждую такую передачу требуется составлять отдельное согласие с конкретным и информированным содержанием, т.е. оно должно включать информацию, из которой можно сделать однозначный вывод об объеме обрабатываемых персональных данных, целях, способах обработки и действий, совершаемых с ними, а также сведения о сторонней организации, которой планируется передать персональные данные работника.

За передачу третьим лицам персональных данных работника без его письменного согласия организациям грозит штраф до 150 000 рублей, а за повторное нарушение — до 500 000 рублей. (Не требуется согласие работника для предоставления данных в ПФР, налоговую, военкомат, правоохранительные органы).

При этом оператором данных становится привлечённое юрлицо, но юридическую ответственность перед работниками за соблюдение конфиденциальности их персональных данных несёт работодатель. Сторонняя организация в свою очередь несет ответственность перед работодателем.

При оформлении аутсорсинга составляется договор поручения, в котором организацией определены перечень действий оператора с персональными данными и цели обработки, установлена обязанность соблюдать конфиденциальность и обеспечивать безопасность персональных данных, указаны требования к их защите в соответствии со статьей 19 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».

Согласно ст.22 того же закона и работодатель, и аутсорсинговая компания обязаны уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

Уведомление должно содержать сведения о наименовании, адресе оператора, цели обработки персональных данных, категории субъектов, перечень действий оператора и их правовое обоснование; описание мер по защите данных, сведения об ответственном лице и о местонахождении базы данных и ряд других.

Если не предоставить уведомление вовремя, организацию ожидает предупреждение или штраф от 3000 до 5000 рублей, а должностное лицо – от 300 до 500 рублей. 


Все новости

Единый семинар Налоговый календарь 1С:Мультибух 54ФЗ БизнесСтарт Как отличить фирменный продукт от подделки 54-ФЗ 8+4 1C:Fresh