Вопрос: Обработка персональных данных работников организации-контрагента при заключении гражданско-правового договора (ответ службы Правового консалтинга ГАРАНТ, май 2022 г.)

Правомерно ли в договоре об оказании услуг выделять персональным данным целый раздел согласно части 1 статьи 6 и части 4 статьи 18 Федерального закона от 27.07.2006 N 152-ФЗ, если обе стороны являются юридическими лицами?

Рассмотрев вопрос, мы пришли к следующему выводу:

В таком случае выделять персональным данным целый раздел договора нам представляется излишним. Можно предусмотреть в договоре пункт, в котором сам передающий оператор гарантирует соблюдение им требований законодательства о персональных данных. После получения таких сведений, как мы полагаем, организация может обрабатывать персональные данные работников организации-контрагента, но исключительно в целях исполнения договора со своим контрагентом.

Обоснование вывода:

В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом N 152-ФЗ. Она допускается либо с согласия субъекта (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ), либо в случаях, поименованных в пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ.

Безусловно, в доверенности, выданной представителю юридического лица, содержатся его персональные данные. Закон определяет доверенность как письменное уполномочие, выдаваемое одним лицом другому лицу или другим лицам для представительства перед третьими лицами (п. 1 ст. 185 ГК РФ). Цель такого представительства - обеспечить возможность приобретения гражданских прав и обязанностей для одного субъекта через действия другого субъекта - так, как если бы эти действия совершались непосредственно представляемым.

При этом надлежит учитывать, что, соглашаясь на реализацию отдельных полномочий юридического лица, представитель самостоятельно и добровольно представляет свои персональные данные, содержащиеся в доверенности, в распоряжение другого лица, с тем чтобы это лицо могло идентифицировать его и убедиться в наличии у него необходимых полномочий на заключение договора от имени представляемого. То есть он фактически соглашается с тем, что его персональные данные будут находиться у третьего лица. На наш взгляд, действующее законодательство не требует, чтобы в подобных случаях согласие на обработку персональных данных было получено исключительно в письменной форме. Полагаем, что внутренняя воля субъекта при передаче своих персональных данных иному лицу может выражаться не только в прямой (непосредственной) форме, но и в форме конклюдентных действий, когда субъект, намеревающийся передать свои персональные данные, совершает требующиеся от него действия без предварительного уведомления оператора о своем решении, например предъявляет доверенность (ч. 1 ст. 9 Закона N 152-ФЗ).

Однако специалисты Роскомнадзора придерживаются иного мнения, полагая, что организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных третьему лицу (смотрите онлайн-трансляцию публичного семинара о персональных данных от 26 ноября 2020 г.: https://mediapravo.com/privacy/rkn-personal-data, а также Вопрос: Требуется ли получение Банком согласия от представителя юридического лица на обработку его персональных данных, содержащихся в доверенностях, выданных клиентом - юридическим лицом своему представителю и предоставляемых представителем в Банк для подтверждения своих полномочий действовать от имени юридического лица - клиента Банка? Если требуется, то является ли факт предоставления доверенным лицом доверенности достаточным подтверждением наличия его согласия на обработку ПД, содержащихся в доверенности? (ответ Управления Роскомнадзора по Ивановской области, июнь 2017 г.)). Поэтому во избежание претензий со стороны контролирующих органов рекомендуем заручиться письменным согласием лица, которому выдается доверенность.

Обработка персональных данных работников организации-контрагента, ответственных за исполнение договора

В соответствии с п. 1 ст. 86 ТК РФ работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

В п. 8 ст. 86 ТК РФ указано, что работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ).

Из положений ст. 88 ТК РФ следует, что при передаче персональных данных работника на работодателя возлагается обязанность не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Аналогичное требование закреплено в ст. 7 Закона N 152-ФЗ.

Передача работодателем сведений о своих сотрудниках контрагенту в рамках реализации договора означает сообщение персональных данных работников третьей стороне, что требует, как следует из приведенных норм, письменного согласия работника. Поскольку работодатель обязан соблюдать предусмотренные ст. 88 ТК РФ правила передачи персональных данных, именно он и должен получить такое согласие. Полагаем, что необходимость соблюдения контрагентом данного условия не зависит от того, будет оно прописано в договоре между юридическими лицами или нет. При этом в ч. 3 ст. 9 Закона N 152-ФЗ прямо указано, что обязанность по предоставлению доказательств получения согласия субъекта персональных данных на их обработку возлагается законом на оператора (в данном случае на работодателя работников, чьи персональные данные переданы третьей стороне).

На организацию-контрагента в такой ситуации распространяются требования ч. 3 ст. 18 Закона N 152-ФЗ, согласно которым если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию, указанную в приведенной норме. Исключения из этого правила установлены в ч. 4 ст. 18 Закона N 152-ФЗ. Так, оператор освобождается от указанной обязанности, если субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором.

Исходя из буквального содержания приведенных норм, можно заключить, что оператор персональных данных, получая конфиденциальную информацию о гражданине от третьего лица, должен быть уверен, что этому гражданину - работнику другого оператора должно быть известно, для каких целей и в каких пределах осуществляется такая передача. Заметим, что законодатель не конкретизирует, каким образом надлежит подтверждать исполнение данной обязанности оператору, который передает персональные данные своих работников. Очевидно, это отнесено на усмотрение контрагентов. На наш взгляд, в таких ситуациях можно предусмотреть в типовых формах документов строку, в которой либо сам передающий оператор гарантирует соблюдение им требований ст. 18 Закона N 152-ФЗ, либо субъект персональных данных расписывается собственноручно, подтверждая, что ему известны цели обработки его персональных данных другим оператором. После получения таких сведений, как мы полагаем, организация может обрабатывать персональные данные работников организации-контрагента, но исключительно в целях исполнения договора со своим контрагентом.

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

кандидат юридических наук Сулейманов Марат

Ответ прошел контроль качества

16 мая 2022 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.