Вопрос: Организация планирует передать обязанности по ведению кадрового учета другой организации-аутсорсеру. Нужно ли для этого собирать с сотрудников согласие на обработку персональных данных аутсорсинговой компанией? Какая из организаций будет оператором персональных данных? Какие документы по защите персональных данных должны подготовить обе организации?
Ответ: Прежде чем передавать персональные данные сотрудников аутсорсинговой компании, которая будет вести кадровый учет, организация должна получить согласие у сотрудников на обработку их персональных данных. Обосновывается это следующим.
Работодатель не должен сообщать персональные данные работников третьей стороне без письменного согласия работника. Исключение составляют ситуации, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (абз. 2 ст. 88 ТК РФ).
В пределах одной организации персональные данные работников передаются в соответствии с локальным нормативным актом (например, Положением о персональных данных), с которым работники должны быть ознакомлены под подпись (абз. 5 ст. 88 ТК РФ). Если персональные данные работника передаются третьей стороне, не являющейся стороной трудовых отношений (например, аутсорсинговой организации, которая ведет кадровый учет), организация обязана получать письменное согласие каждого работника на их передачу.
Оператор персональных данных вправе поручить их обработку другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", далее – Федеральный закон № 152-ФЗ).
Согласие работника на обработку его персональных данных аутсорсинговой компанией рекомендуется оформить в виде отдельного документа. Такой документ должен отвечать требованиям, предъявляемым к содержанию такого согласия, которые перечислены в ч. 4 ст. 9 Федерального закона № 152-ФЗ (далее – Федеральный закон № 152-ФЗ).
В частности, согласие работника должно быть конкретным и информативным, то есть содержать информацию, позволяющую однозначно сделать вывод:
- о целях, способах обработки с указанием действий, совершаемых с персональными данными;
- об объеме обрабатываемых персональных данных.
У работодателя (в организации) должны быть документы, регламентирующие вопросы обработки, использования, хранения и защиты персональных данных. Работодателю (организации) следует определить правила работы с персональными данными работников в локальном нормативном акте. Как правило, таким документом является Положение о персональных данных работников.
Отметим, что вопросы, связанные с организацией обработки персональных данных, соблюдением аутсорсинговой компанией конфиденциальности в отношении передаваемых ей персональных данных работников, могут быть урегулированы непосредственно в договоре на ведение кадрового учета.
Также необходимо помнить, что как организация, передающая персональные данные работников аутсорсинговой компании, так и сама аутсорсинговая компания обязаны подать в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных. Это следует из ч. 1 ст. 22 Федерального закона № 152-ФЗ.
Уведомление об обработке (о намерении осуществлять обработку) персональных данных организация может составить по рекомендованной форме, приведенной в Приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утв. приказом Роскомнадзора от 30.05.2017 № 94.
Непредставление или несвоевременное представление уведомления об обработке (о намерении осуществлять обработку) персональных данных или предоставление сведений в неполном или искаженном виде повлечет административную ответственность по ст. 19.7 КоАП РФ. За это предусмотрена ответственность в виде предупреждения или штрафа:
- для должностного лица (например, руководителя организации) – от 300 до 500 рублей;
- для организации – от 3000 до 5000 рублей.