Можно ли предоставлять трудовой договор третьим лицам

Опубликовано: 17.09.2024

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

  • например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
  • через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

  • Ф. И. О. субъекта персональных данных;
  • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
  • наименование или Ф. И. О. и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
  • условия разрешения и запрета обработки персональных данных;
  • срок, в течение которого действует согласие;
  • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

  • Ф. И. О.;
  • контакты (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

  • когда договор заключается непосредственно между банком и работником;
  • когда у работодателя есть доверенность на представление интересов работника в банке;
  • когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Об этом мы писали здесь. Но даже в перечисленных случаях во избежание возможных разногласий рекомендуется получить предварительное согласие работника на распространение его персональных данных.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Не пропускайте последние новости - подпишитесь
на бесплатную рассылку сайта:


Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.


Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Могут ли информацию по сделкам организации (например, о договорах купли-продажи) получать сторонние лица, не относящиеся к органам государственного контроля и надзора, например, бывший сотрудник организации? Имеет ли право контрагент сообщать о сделках между организациями?


Рассмотрев вопрос, мы пришли к следующему выводу:
Конфиденциальность условий договора купли-продажи обеспечивается установлением режима коммерческой тайны. Действия работников обладателя информации (включая бывших) и его контрагентов могут рассматриваться как нарушение конфиденциальности информации только при условии надлежащего оформления ее обладателем режима коммерческой тайны в отношении соответствующей информации.

Обоснование вывода:
Прежде всего отметим, что гражданское законодательство практически не регулирует вопрос, связанный с конфиденциальностью условий договора. В нем содержатся лишь отдельные указания на то, что условия некоторых договоров должны быть конфиденциальными*(1), если иное не предусмотрено законом и/или соглашением сторон. Однако сказанное не относится к договорам купли-продажи.
Каких-либо общих норм, посвященных непосредственно условиям договоров о конфиденциальности, ГК РФ не содержит. В нем нет положений, которые регулировали бы содержание, применение, сроки действия таких условий, а также устанавливали бы специальную ответственность за их нарушение.
Между тем как следует из п. 5 Указа Президента РФ от 06.03.1997 N 188*(2), к сведениям конфиденциального характера относятся, в частности, сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна). При этом очевидно, что сведения об условиях того или иного гражданско-правового договора, а также о ходе и результатах его исполнения могут быть отнесены к сведениям, связанным с коммерческой деятельностью, которые, как это следует из положений Указа, охраняются в режиме коммерческой тайны.
В свою очередь, п. 2 ст. 3 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (далее - Закон N 98-ФЗ) относит к информации, составляющей такую тайну, сведения любого характера (производственные, технические, экономические, организационные и другие), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. При этом отнесение информации к информации, составляющей коммерческую тайну, определение перечня и состава такой информации принадлежит ее обладателю (ч. 1 ст. 4 Закона N 98-ФЗ), то есть в рассматриваемом случае сторонам договора.
Учитывая приведенные нормы, а также то, что сведения о содержании гражданско-правового договора, ходе его исполнения и полученных результатах не относятся к сведениям, которые не могут составлять коммерческую тайну (ст. 5 Закона N 98-ФЗ), такие сведения также могут быть отнесены к коммерческой тайне и охраняться соответствующим образом.
Иными словами, организация вправе установить режим коммерческой тайны относительно сведений о договоре купли-продажи (его содержании, исполнении и т.п.), тем самым ограничив доступ к такой информации. Только в этом случае предоставление информации стороннему лицу (в частности, бывшему сотруднику организации) подобных сведений будет неправомерным.
Для установления режима коммерческой тайны необходимо определить перечень информации, составляющей коммерческую тайну, ограничить к ней доступ и предпринять комплекс иных мер, перечисленных в ст. 10 Закона N 98-ФЗ*(3). В силу прямого указания закона (ч. 2 ст. 10 Закона N 98-ФЗ) режим коммерческой тайны считается установленным только после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в ч. 1 указанной статьи. Причем все поименованные в ней меры должны быть предприняты в полном объеме.
К примеру, грифом "Коммерческая тайна" должны быть маркированы все документы, содержащие конфиденциальную информацию. Если распространение такой информации будет произведено посредством использования документа, на котором такой гриф отсутствует, суд может не признать режим коммерческой тайны в отношении спорной информации установленным*(4).
Помимо установления режима коммерческой тайны, работодатель должен выполнить требования, перечисленные в ст. 11 Закона N 98-ФЗ (ознакомить работника, имеющего доступ к конфиденциальной информации, с перечнем информации, составляющей коммерческую тайну, с мерами ответственности за его нарушение и т.д.).
Если организацией соблюдены все условия установления режима коммерческой тайны и обеспечения доступа к ней работника, последний при разглашении им сведений, составляющих такую тайну, несет полную материальную ответственность за причиненный этим прямой действительный ущерб (ст. 238, п. 7 части первой ст. 243 Трудового Кодекса РФ).
В том случае, если информация разглашена сотрудником после увольнения, то он не может нести ответственности за данное деяние по нормам трудового законодательства, так как по смыслу ст.ст. 15, 16, 56 ТК РФ все трудовые правоотношения между работником и работодателем прекращаются в момент расторжения трудового договора (решение Видновского городского суда Московской области от 12.12.2019 по делу N 2-4447/2019).
Тем не менее если действие режима коммерческой тайны в отношении информации, ставшей известной работнику при исполнении им трудовых обязанностей, сохраняется и после его увольнения, то работодатель вправе потребовать возмещения убытков, причиненных ему разглашением такой информации бывшим работником, имевшим место в течение срока действия режима коммерческой тайны (ч. 4 ст. 11 Закона N 98-ФЗ).
Сказанное в общем виде относится и к обеспечению конфиденциальности информации в отношениях с контрагентами. Так, действия контрагента могут рассматриваться как нарушение коммерческой тайны только при условии надлежащего оформления обладателем информации режима коммерческой тайны, в том числе и в договоре с таким контрагентом (п. 4 ч. 1 ст. 10 Закона N 98-ФЗ).
Обратите внимание, что сам факт указания в договоре на то, что сведения, передаваемые в рамках его исполнения другой стороне, являются конфиденциальными, далеко не всегда рассматривается как достаточная мера к установлению режима коммерческой тайны, если договором (приложениями к нему) не определены перечень таких сведений, порядок обращения с ними и методы учета лиц, получивших допуск к конфиденциальной информации*(5).
За нарушение режима коммерческой тайны обладатель информации может применить к контрагенту меры договорной ответственности либо требовать возмещения убытков (ст. 15, ст. 393 ГК РФ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Габбасов Руслан

Ответ прошел контроль качества

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

-------------------------------------------------------------------------
*(1) Например, это касается содержания корпоративного договора, заключенного между участниками непубличного хозяйственного общества (п. 4 ст. 67.2 ГК РФ), условий о предмете договора на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ (п. 1 ст. 771 ГК РФ) и некоторых других случаев.
*(2) Наименование Указа: Об утверждении перечня сведений конфиденциального характера.
*(3) Подробнее смотрите в материале: Энциклопедия решений. Режим коммерческой тайны в отношении документов ООО.
*(4) Постановление Тринадцатого арбитражного апелляционного суда от 13.06.2018 N 13АП-9540/18.
*(5) Смотрите, в частности, постановление Семнадцатого ААС от 21.12.2017 N 17АП-17297/17, постановление Девятнадцатого ААС от 01.12.2017 N 19АП-7553/17, постановление Тринадцатого ААС от 03.07.2015 N 13АП-10951/15 (оставлено в силе постановлением АС Северо-Западного округа от 29.10.2015 N Ф07-723/15), решение Арбитражного суда Челябинской области от 28.06.2019 по делу N А76-37310/2018, решение Арбитражного суда Ставропольского края от 11.10.2018 по делу N А63-20909/2017, решение Арбитражного суда Республики Башкортостан от 04.02.2015 по делу N А07-20196/2014 и др.

Особенности передачи персональных данных работников

Передача ПД работников в пределах одной организации

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом […], и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД. В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах. Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ. Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Пример из судебной практики

ИП привлечен к административной ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа. Основание – отсутствие у ИП локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Удмуртской Республики по делу № 12-127/2018 от 19 октября 2018 г.).

Передача ПД работников третьим лицам

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку 1 . Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О. и номер телефона работника-курьера, который должен доставить посылку.

Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

Комментарии компетентных органов о применении данного положения закона отсутствуют. Исходя из нашей практики, речь идет не столько о передаче ПД работников третьим лицам, сколько о размещении этих данных на сайте, в рекламных материалах для привлечения клиентов, а также иных действиях работодателя, направленных на увеличение прибыли. Согласие работника здесь также необходимо, поскольку размещение его ПД на сайте не связано с исполнением им своих должностных обязанностей. Примером нарушения данного положения Трудового кодекса является ситуация, когда коммерческие, медицинские и учебные организации публикуют на своих сайтах биографии сотрудников без их согласия.

Работодатель обязан «предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД работника, обязаны соблюдать режим секретности (конфиденциальности)» (абз. 4 ст. 88 ТК РФ).

Речь идет о случаях, когда работодатель получает требование о предоставлении ПД работников от организаций, у которых нет права по закону получать такие данных без согласия работника 2 . Например, работодателю поступил запрос от другой компании, в которой его сотрудник работает по совместительству. В этом случае работодатель по основному месту работы обязан получить согласие работника, а также требовать от организации соблюдения конфиденциальности и использования полученных ПД только в целях, для которых они предоставлены.

В законе не указано, как именно должно оформляться требование о соблюдении конфиденциальности. На практике подписывается соглашение о конфиденциальности или работодатель получает от компании гарантийное письмо.

Иная ситуация, когда ПД сотрудника передаются в целях исполнения договора. Например, при передаче данных работников бухгалтерам на аутсорсе. Работодатель в таком случае обязан соблюдать требования ч. 3 ст. 6 Закона о персональных данных, а именно 3 :

  • взять письменное согласие работника на передачу его ПД третьему лицу;
  • в поручении для третьего лица указать перечень возможных действий с переданными ПД, цели обработки, требования к защите обрабатываемых ПД;
  • в поручении для третьего лица установить его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке.

Ни закон, ни разъяснения Роскомнадзора ничего не говорят о форме поручения. На практике под поручением понимается отдельное положение, включенное в текст договора с третьим лицом (согласно ч. 3 ст. 6 Закона о персональных данных). Например, такое поручение может содержать договор на оказание услуг.

Ответственность за нарушения закона: штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 15 тыс. до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

И придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Несмотря на передачу ПД работника третьему лицу, ответственность за их обработку несет работодатель.

Примеры из личной практики

  • К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.
  • Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.

Примеры из судебной практики

  • Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2019 г.).
  • Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).

Что нужно сделать компании и ИП до передачи ПД работников?

Если ПД работника передаются в пределах одной организации

  • Создайте локальный акт, в котором подробно должны быть расписаны процедура передачи ПД, цели и объем передаваемых данных, структурные подразделения, которые имеют право работать с ПД.
  • Приказом или локальным актом определите список лиц согласно штатному расписанию, которые вправе заниматься обработкой ПД работников. Документ должен содержать перечень ПД, обрабатываемых каждым работником.
  • Письменно ознакомьте каждого работника с локальными актами и приказами.

Если ПД работника передаются третьему лицу, не имеющему по закону права на получение данных без согласия работника

  • Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с требованиями ч. 4 ст. 9 Закона о персональных данных.
  • Подпишите с лицом, которому передаются ПД работника, соглашение о конфиденциальности или попросите его предоставить гарантийное письмо, в котором лицо должно гарантировать соблюдение конфиденциальности. Документ также должен содержать цели обработки ПД.

Если ПД работника передаются третьему лицу в целях исполнения договора

  • Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с ч. 4 ст. 9 Закона о персональных данных.
  • В заключенном с третьим лицом договоре необходимо указать следующие условия:
    • работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
    • исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
    • перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
    • цели обработки ПД;
    • исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;
    • требования к защите обрабатываемых ПД согласно ст. 19 Закона о персональных данных.

    1 Абзац 4 п. 4 Разъяснений Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

    Причины, по которым сотрудник может обратиться с просьбой о перечислении его заработной платы на карту третьего лица, могут быть различными: помощь родственникам, уплата кредита за другого человека, помощь бывшей супруге, не обусловленная исполнительным листом, и т.д. Законно ли такое перечисление – задаются вопросом многие работодатели? Если возможность законодателем предусмотрена, как правильно оформить перечисление? Какие нюансы следует учесть?

    Закон разрешает?

    Ответ на главный вопрос, интересующий работников и работодателей такой: перечисление на карту третьих лиц оплаты труда вполне законно. Следует лишь правильно оформить такую операцию (операции) со ссылкой на действующее законодательство. У получателей в этом случае проблем не возникает, у организации и работников – тоже.

    Международное право (Конвенция организации труда №95 от 1/07/49 г., ратифицирована в нашей стране) позволяет вместо получения оплаты труда гражданином пользоваться исключениями; одна из причин – желание самого гражданина. Это означает, что перечисление на стороннюю карту возможно.

    Отсутствует запрет на перечисление третьим лицам «зарплатных» сумм и в ТК РФ. Статья 136 предусматривает такой вариант в виде исключения (абз. 5), которое оговаривается трудовым договором.

    Обязана ли администрация принять такой вариант расчетов? Нет, не обязана, поскольку юридические и физические лица, вступая в договорные отношения, свободно выражают свою волю (ст. 421-1 ГК РФ).

    Таким образом, перечисление на карту третьего лица чьей-либо заработной платы возможно:

    • если стороны договорились об этом;
    • если стороны отразили договоренность в трудовом договоре.

    Чтобы не оформлять трудовой договор заново, договоренность отражают в допсоглашении к документу.

    Перечисление на чужую карту сопряжено с дополнительными банковскими расходами (комиссией), дополнительными трудозатратами (если заработная плата перечисляется одной платежкой всем членам рабочего коллектива, а третьему лицу – отдельным документом), иными «проблемными» моментами для работодателя. Это может стать основанием для отказа работнику. С другой стороны, если речь идет только о дополнительных финансовых затратах и взять их на себя согласен работник, достаточно прописать в допсоглашении данное условие.

    Кстати говоря! Согласно Конвенции МОТ, перечисление на карту третьих лиц возможно и по решению суда, например, если речь идет об алиментах.

    Оформление и учет

    ВАЖНО! Образец заявления на перечисление зарплаты третьему лицу от КонсультантПлюс доступен по ссылке

    В трудовом договоре возможность перечисления на карту стороннего лица формулируется как возможность, общими фразами, например, так: «Заработная плата работника может быть перечислена третьему лицу на его банковский счет, по заявлению работника. Выплата определяется моментом списания денежных средств со счета организации».

    Кроме договора, от работника требуется само заявление. Оно оформляется на имя руководителя фирмы за 5 дней до выплаты зарплаты в организации. В тексте должна быть сформулирована просьба о перечислении на счет третьего лица. При этом обязательно указывать:

    • ФИО владельца карты;
    • полные банковские реквизиты карты, с указанием счета, банка и его данных.

    В платежном поручении указывают, чья заработная плата перечисляется на счет постороннего человека, за какой период (месяц, год), на основании какого документа (заявление сотрудника). Если работник пожелал, чтобы его зарплата шла на погашение определенных платежей третьего лица, к примеру, на погашение кредита, в назначении платежа указывают и этот факт. Обычно информация содержит реквизиты кредитного договора. Так организация может обезопасить себя от претензий и доказать законность перечисления средств.

    Если работник часто обращается с заявлением на перечисление своей зарплаты кому-либо на сторону или таких работников несколько, целесообразно вести журнал, в котором регистрируются указанные документы.

    В бухгалтерском учете для таких операций используют счет 76, с открытием отдельного субсчета (субсчетов).

    • Д70 К76/перечисления третьим лицам;
    • Дт 76/перечисления третьим лицам К51.

    В расчетном листке необходимо предусмотреть строку, отражающую такое перечисление. Если комиссию платит работник, ее учитывают на счете 73, как расчеты с персоналом: Д70 К73.

    Нюансы

    Рассчитываясь с работником по заработной плате указанным способом, необходимо помнить о важных нюансах:

    Персональные данные работников: как работодателю не нарушить закон

    У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

    Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

    Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

    Основная информация о персональных данных:

    Глава 14 Трудового кодекса РФ

    Закон № 152-ФЗ О персональных данных

    Положение об особенностях обработки персональных данных без средств автоматизации

    Каких работодателей касаются правила о персональных данных

    Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

    Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

    Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

    Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

    Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

    Что такое персональные данные работника

    Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

    Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

    Вот список для ориентира:

    Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

    Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

    Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

    Фото работника — например, на пропуск.

    Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

    Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

    Сдавайте отчётность без бухгалтерских знаний

    Эльба — бухгалтерия, с которой справится любой. Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность.

    Что будет за нарушение закона о персональных данных

    За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

    Административная ответственность: штрафы

    Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

    Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

    Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

    Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

    Гражданско-правовая ответственность: моральный вред работнику

    Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

    Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

    Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

    Уголовная ответственность

    В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

    В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

    Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

    Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

    Правила работы с персональными данными работника

    Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

    🔐 Персональные данные работника обрабатывают только с его письменного согласия.

    🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

    🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

    О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

    🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

    🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

    🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

    🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

    🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

    Как настроить работу с персональными данными: инструкция

    Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

    1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

    Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

    2. Назначьте ответственного за персональные данные.

    Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

    Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

    ИП и организации с одним учредителем ответственным назначают себя.

    3. Берите с каждого работника письменное согласие на обработку персональных данных.

    Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

    Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

    4. Храните документы с персональными данными в надёжном месте.

    Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

    Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

    Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

    5. Уничтожайте персональные данные полностью.

    Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

    Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

    6. Если нужно, уведомляйте Роскомнадзор.

    По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

    Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

    Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

    А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

    Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

    7. Исполняйте требования закона не только формально.

    Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

    Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

    Читайте также: