Вопрос: Поручение уничтожения документов, содержащих персональные данные, третьему лицу (ответ службы Правового консалтинга ГАРАНТ, май 2023 г.)

Можно ли сдавать документы, содержащие персональные данные, на переработку? Не является ли это нарушением закона?

Рассмотрев вопрос, мы пришли к следующему выводу:

Закон о персональных данных не запрещает поручать обработку персональных данных работников оператора (в частности, их уничтожение) сторонней организации при обязательном соблюдении требований действующего законодательства.

Обоснование вывода:

В соответствии со ст. 86 ТК РФ работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Согласно ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Случаи допустимости обработки персональных данных перечислены в ч. 1 ст. 6, ч. 2 ст. 10, ст. 11 Закона N 152-ФЗ. По общему правилу обработка персональных данных возможна при наличии согласия работника (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона N 152-ФЗ). При этом действующее законодательство не определяет объем конфиденциальной информации, которую можно обрабатывать с согласия субъекта.

Иные основания обработки персональных данных сформулированы в ст. 6, 10, 10.1, 11 Закона N 152-ФЗ исчерпывающим образом и расширительному толкованию не подлежат (смотрите также разъяснения Роскомнадзора от 14 декабря 2012 г. "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве").

Таким образом, если работодатель получает от работника и обрабатывает лишь ту информацию, которая необходима для исполнения трудового договора, трудового и иного законодательства, локальных актов работодателя, получение согласия работника на такие действия не требуется (смотрите апелляционное определение СК по гражданским делам Оренбургского областного суда от 21.06.2017 по делу N 33-4566/2017). При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, и обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (чч. 2, 5 ст. 5 Закона N 152-ФЗ).

Если же обработка персональных данных работника выходит за рамки трудовых и иных тесно связанных с ними отношений, то для каждого случая обработки персональных данных работников необходимо получать от него отдельное письменное согласие. Такого же мнения придерживаются суды (ч. 4 ст. 9 Закона N 152-ФЗ. Следует также учитывать, что в ст. 88 ТК РФ установлен прямой запрет на передачу персональных данных работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами. Аналогичный запрет содержится и в ст. 7 Закона N 152-ФЗ.

В ч. 3 ст. 6 Закона N 152-ФЗ предписано, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

В рассматриваемой ситуации организация, которая будет выполнять функции по уничтожению материальных носителей, содержащих персональные данные работников, является таким обработчиком. Поэтому подобная обработка возможна только с согласия самих работников. Подчеркнем, что согласие работники дают своему работодателю (смотрите Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору? (ответ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций); чч. 2, 5 ст. 6 Закона N 152-ФЗ).

Отметим, что форма и характер подобного поручения законодательством не установлена. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключаемый между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора (например, агентского). В ч. 3 ст. 6 Закона N 152-ФЗ зафиксированы лишь требования, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Так, в поручении должны быть определены:

- перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;

- цели их обработки;

- обязанность обработчика соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона N 152-ФЗ;

- обязанность по запросу оператора персональных данных в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных Законом N 152-ФЗ;

- обязанность обеспечивать безопасность персональных данных при их обработке;

- обязанность соблюдать требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях, установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав физических лиц в порядке, предусмотренном ч. 3.1 ст. 21 Закона N 152-ФЗ.

Отсутствие хотя бы одного из перечисленных требований может быть квалифицировано как обработка персональных данных с нарушением законодательства (от 29 апреля 2013 г., Кировского облсуда от 24 апреля 2012 г. N 7-А-98/2012).

Рекомендуем также ознакомиться с материалами:

- Примерная форма договора поручения на обработку персональных данных третьим лицом (подготовлено экспертами компании ГАРАНТ);

- Энциклопедия решений. Подтверждение уничтожения персональных данных.

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Амирова Лариса

Ответ прошел контроль качества

10 мая 2023 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.