Вопрос: Работодатель хранит персональные данные сотрудника (ФИО, должность, почта, телефон) на серверах, находящихся в других странах. К этим данным имеют доступ сотрудники других компаний, находящихся в других странах. Является ли это нарушением? Ведь я не давал разрешения на трансграничную передачу персональных данных и на то, чтобы сотрудники других компаний могли иметь доступ к ним? Если работодатель издаст ЛНА о том, что персональные данные могут передаваться на сервера за пределами страны, это ведь не будет законным? Согласно ФЗ о персональных данных на это необходимо письменное разрешение субъекта персональных данных (информационный портал Роструда "Онлайнинспекция.РФ", сентябрь 2015 г.)

Работодатель хранит персональные данные сотрудника (ФИО, должность, почта, телефон) на серверах, находящихся в других странах. К этим данным имеют доступ сотрудники других компаний, находящихся в других странах. Является ли это нарушением? Ведь я не давал разрешения на трансграничную передачу персональных данных и на то, чтобы сотрудники других компаний могли иметь доступ к ним? Если работодатель издаст ЛНА о том, что персональные данные могут передаваться на сервера за пределами страны, это ведь не будет законным? Согласно ФЗ о персональных данных на это необходимо письменное разрешение субъекта персональных данных.

(1) Это является нарушением. Работодатель вправе передавать данные о работнике без его согласия третьим лицам, в том числе органам власти, только в случаях, прямо указанных в законе. В иных случаях передача персональных данных третьим лицам возможна только с согласия работника. Если для обработки (в том числе, для передачи - распространения, предоставления, доступа) персональных данных требуется согласие работника, то работник вправе не давать такое согласие.

(2) Передача персональных данных работника третьим лицам на основании локального нормативного акта без имеющегося согласия работника на такую передачу не будет являться законной.

За получением дополнительных разъяснений по данным вопросам, а также за защитой своих прав, как субъекта персональных данных, Вы вправе обратиться в Роскомнадзор.

Правовое обоснование:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это любые сведения, с помощью которых можно определить (идентифицировать) субъект персональных данных.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).

Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.

По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ), а в отсутствие такого согласия - только в случаях, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ - обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (в том числе, для исполнения договора, стороной которого является субъект персональных данных).

Согласно ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами.

Работодатель вправе осуществлять передачу персональных данных работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия (абз. 2, 3 ч. 1 ст. 88 ТК РФ).

Перед передачей персональных данных работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

В соответствии с п. 5.5.4 Постановления Правительства РФ от 30 июня 2004 г. N 324 "Об утверждении положения о Федеральной службе по труду и занятости" данный орган осуществляет консультирование работодателей и работников по вопросам соблюдения трудового законодательства и нормативных правовых актов, содержащих нормы трудового права.

Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций утверждено Постановлением Правительства РФ от 16.03.2009 N 228. Согласно п. 1 Положения Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

Информационный портал Роструда "Онлайнинспекция.РФ", сентябрь 2015 г.