Вопрос: В каких случаях обработка персональных данных работников и контрагентов может осуществляться без их согласия? (ответ службы Правового консалтинга ГАРАНТ, сентябрь 2022 г.)

ООО и индивидуальный предприниматель занимаются торговлей и предоставлением услуг. Есть работники, с которыми заключены трудовые договоры и гражданско-правовые договоры (в том числе подрядчики и поставщики - индивидуальные предприниматели и самозанятые).

В каких случаях нужно подписывать с физическими лицами (работниками и контрагентами) согласие на обработку персональных данных?

1. В соответствии со ст. 86 ТК РФ работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Случаи допустимости обработки персональных данных перечислены в ч. 1 ст. 6, ч. 2 ст. 10, ст. 11 Закона N 152-ФЗ. По общему правилу обработка персональных данных возможна при наличии согласия работника (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона N 152-ФЗ). При этом действующее законодательство не определяет объем конфиденциальной информации, которую можно обрабатывать с согласия субъекта.

Иные основания обработки персональных данных сформулированы исчерпывающим образом и расширительному толкованию не подлежат. В частности, обработка персональных данных работника будет считаться правомерной, если она осуществляется для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ); если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); обработка специальных категорий персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ (п. 2.3 ч. 2 ст. 10 Закона N 152-ФЗ). Кроме того, работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ (смотрите разъяснения Роскомнадзора от 14 декабря 2012 г. "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве").

Таким образом, если работодатель получает от работника и обрабатывает лишь ту информацию, которая необходима для исполнения трудового договора, трудового и иного законодательства, локальных актов работодателя, получение согласия работника на такие действия не требуется (смотрите апелляционное определение СК по гражданским делам Оренбургского областного суда от 21.06.2017 по делу N 33-4566/2017). При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, и обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (чч. 2, 5 ст. 5 Закона N 152-ФЗ). Так, например, отдельные суды признают незаконным хранение работодателем копий документов работников, в частности копии паспорта, копии военного билета, копии свидетельства о рождении ребенка, копии свидетельства о браке и иного, даже при наличии согласия работника на обработку его персональных данных (смотрите, например, постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/13).

Если же обработка персональных данных работника выходит за рамки трудовых и иных тесно связанных с ними отношений, то для каждого случая обработки персональных данных работников необходимо получать от него отдельное письменное согласие*(1) (решение Арбитражного суда г. Москвы от 26.04.2016 по делу N А40-32030/2016). Требования к содержанию такого согласия изложены в ч. 4 ст. 9 Закона N 152-ФЗ, обязательным элементом которого является цель обработки персональных данных (п. 4 ч. 4 ст. 9 Закона N 152-ФЗ). Подчеркнем, что требования приведенной нормы императивно указывают на наличие только одной цели (в единственном числе) обработки персональных данных. Указание в согласии нескольких целей обработки персональных данных квалифицируется контролирующими органами как нарушение законодательства в области защиты персональных данных (решение Арбитражного суда г. Москвы от 21 марта 2018 г. по делу N А40-7530/2018, решение Арбитражного суда г. Москвы от 9 августа 2017 г. по делу N А40-81171/2017).

2. Аналогичным образом осуществляется обработка персональных данных граждан, с которыми заключен гражданско-правовой договор. В силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ если обработка персональных данных гражданина осуществляется в целях заключения и исполнения договора гражданско-правового характера, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, то его согласия на такую обработку не требуется. Данное исключение направлено на реализацию принципа надлежащего исполнения обязательств в соответствии с условиями обязательства и требованиями закона, как это закреплено в ст. 309 ГК РФ (смотрите определение Конституционного Суда РФ от 17 июля 2018 г. N 1810-О, апелляционное определение СК по административным делам Московского городского суда от 22 марта 2018 г. по делу N 33а-2067/2018).

Если же обработка персональных данных выходит за рамки, обозначенных в договоре целей, то необходимо заручиться письменным согласием субъекта.

При этом истечение срока действия гражданско-правового договора само по себе не означает автоматического прекращения обработки персонифицированной информации о контрагенте. Условия прекращения обработки конфиденциальной информации или конкретные временные рамки ее обработки определяет оператор самостоятельно. В силу ч. 7 ст. 5 Закона N 152-ФЗ хранение персональных данных физических лиц должно осуществляться не дольше, чем этого требуют цели такой обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является физическое лицо. Так, например, подп. 8 п. 1 ст. 23 НК РФ обязывает налогоплательщиков в течение четырех лет обеспечивать сохранность данных бухгалтерского и налогового учета и других документов, необходимых для исчисления и уплаты налогов, в том числе документов, подтверждающих получение доходов, осуществление расходов, а также уплату (удержание) налогов. В соответствии с чч. 1 и 2 ст. 29 Федерального закона от 6 декабря 2011 г. N 402-ФЗ "О бухгалтерском учете" первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность подлежат хранению в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет после отчетного года. Соответственно, организация в силу закона обязана обеспечить хранение этих документов в течение установленных сроков. Согласия субъектов персональных данных для этого не требуется.

Рекомендуем также ознакомиться с материалом:

- Энциклопедия решений. Условия обработки персональных данных.

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Амирова Лариса

Ответ прошел контроль качества

14 сентября 2022 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.

-------------------------------------------------------------------------

*(1) Так, например, работодатель на основании ст. 22 ТК РФ обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности, Федеральным законом от 29 ноября 2010 г. N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации", Федеральным законом от 15 декабря 2001 г. N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации". Следовательно, передача персональных данных работников уполномоченным органам во исполнение требований законодательства об обязательных видах страхования осуществляется без их согласия. Однако трудовое законодательство не предписывает работодателю обязанность по дополнительному страхованию работников в рамках добровольного медицинского страхования. Соответственно, отношения по добровольному медицинскому страхованию работников выходят за рамки урегулированных трудовым законодательством отношений. Это сфера гражданско-правовых отношений. Поэтому передача персональных данных работников страховой организации в указанных целях не является обработкой персональных данных, при которой получение согласия субъекта персональных данных не требуется.