Департамент общего аудита по вопросу предоставления персональных данных

В соответствии с подпунктом б) пункта 2 Постановления № 758[1] Правила оказания услуг связи по передаче данных[2] дополнены пунктом 26(1) следующего содержания:

«26(1). В договоре с абонентом - юридическим лицом либо индивидуальным предпринимателем, помимо данных, указанных в пункте 26 настоящих Правил, предусматривается обязанность предоставления оператору связи юридическим лицом либо индивидуальным предпринимателем списка лиц, использующих его пользовательское (оконечное) оборудование, и устанавливается срок предоставления указанного списка, а также устанавливается, что указанный список должен быть заверен уполномоченным представителем юридического лица либо индивидуальным предпринимателем, содержать сведения о лицах, использующих его пользовательское (оконечное) оборудование (фамилия, имя, отчество (при наличии), место жительства, реквизиты основного документа, удостоверяющего личность), и обновляться не реже одного раза в квартал.».

Порядок работы с персональными данными регламентирован Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ), который регулирует отношения, связанные с обработкой персональных данных, осуществляемой в том числе юридическими лицами, как с использованием средств автоматизации, так и без использования таких средств, а также главой 14 ТК РФ.

Согласно подпункту 1 статьи 3 Закона № 152-ФЗ персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии с подпунктом 3 статьи 3 Закона № 152-ФЗ обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно подпункту 6 статьи 3 Закона № 152-ФЗ предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Таким образом, предоставление персональных данных сотрудников оператору связи во исполнение договора на оказание услуг связи является обработкой персональных данных с точки зрения Закона № 152-ФЗ.

В соответствии с пунктом 1 статьи 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Таким образом, для передачи третьим лицам персональных данных сотрудников Организации необходимо иметь их согласие на такую передачу, за исключением, в частности, передачи персональных данных для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Формально, на Организацию, как абонента по договору связи, законодательно возложено обязательство по предоставлению оператору связи персональных данных сотрудников, которые используют его пользовательское оборудование.

Между тем, Постановление Правительства РФ, является не Законом, а подзаконным актом.

Кроме того, согласно статье 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать ряд требований, частности, не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.

На основании вышеизложенного, считаем, что до осуществления передачи персональных данных работников оператору связи Организация обязана получить согласие на такую передачу от сотрудников.

Обращаем Ваше внимание, что согласно пункту 4 статьи 9 Закона № 152-ФЗ согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Таким образом, в согласии на обработку персональных данных должны быть четко определены цели обработки, перечень действий с персональными данными (в том числе передача) и перечень лиц, которым передаются для обработки персональные данные.

По нашему мнению, добавление в согласие на обработку персональных данных пункта, содержащего условие о том, что Организация вправе предоставлять персональные данные по запросу третьих лиц без уведомления, является нарушением законодательства о персональных данных.

В рассматриваемой ситуации, на наш взгляд, в согласии на обработку персональных данных целесообразно указать следующее:

«Организация вправе осуществлять передачу персональных данных третьим лицам в случаях, предусмотренных законодательством, в том числе оператору связи в соответствии с Постановлением Правительства Российской Федерации от 23.01.06 № 32 «Об утверждении Правил оказания услуг связи по передаче данных».

Коллегия Налоговых Консультантов, 04 октября  2017г.

Ответы на самые интересные вопросы на нашем телеграм-канале knk_audit