СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Б-152
4 февраля
#Статьи #ИБ

Получение персональных данных работника от третьих лиц: как действовать работодателю законно

Получение персональных данных работника от третьих лиц: как действовать работодателю законно

Работодатель неизбежно работает с персональными данными работников: оформляет трудовые договоры, ведет кадровый учет, передает сведения в налоговые органы и фонды.

В стандартной ситуации документы и сведения предоставляет сам работник. Однако в реальности часто возникает обратная ситуация: нужная информация хранится у сторонних организаций — университет подтверждает диплом, ЗАГС фиксирует сведения о браке для предоставления льгот, Пенсионный фонд ведет данные о стаже и страховых взносах, медицинская организация выдает заключение о профпригодности.

Возникает практический вопрос: как работодателю получить эти данные, не нарушая закон и не рискуя попасть под санкции? Ответ кроется в понимании общих правил закона о персональных данных и трудового законодательства.

Ключевая установка проста: в соответствии с п. 3 ст. 86 ТК РФ, персональные данные работника должны поступать от него самого. Именно он вправе решать, кому и для каких целей предоставлять свои сведения. Если работодатель обращается за ними к третьему лицу, это допустимо лишь в двух случаях:

1. Есть письменное согласие работника. Оно должно быть информированным, конкретным и однозначным. Наличие универсальных формулировок вроде «согласен на обработку в соответствии с законом» не будет являться корректным и формально это означает, что надзорный орган рассмотрит такую ситуацию как обработку ПДн в отсутствие согласия.

В согласии нужно перечислить: цель запроса, источник получения данных, категории сведений, перечень действий, совершаемых с ПДн, ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты Оператора, срок обработки ПДн (на основании синтеза ч. 4 ст. 9 152-ФЗ и п. 3 ст. 86 ТК РФ).

2. Запрос прямо предусмотрен законом. Например, сведения о судимости работодатель вправе запросить только если это связано с работой с детьми или в иных случаях, закрепленных федеральными законами. В таких ситуациях согласие не требуется, но нужно ссылаться на конкретную норму.

Таким образом, обращение к третьей стороне без письменного согласия работника почти всегда будет нарушением.

Требования закона: ключевые нормы

Трудовой кодекс РФ (ст. 86–90) закрепляет обязанность работодателя соблюдать права работников при обработке их персональных данных и использовать их исключительно для целей трудовых отношений.

Федеральный закон № 152-ФЗ «О персональных данных» устанавливает базовые правила, определяющие на каких основаниях и в каких пределах работодатель может получать и использовать сведения о своих сотрудниках.

  • Статья 6 закрепляет общие основания обработки, включая согласие субъекта и выполнение обязанностей, прямо предусмотренных законом. Особое внимание необходимо уделить п. 2 указанной статьи, т.е. когда обработка ПДн обусловлена требованиями законодательства (в том числе трудового), так как обработка данных такого особого субъекта, как работник, часто базируется именно на требованиях ТК РФ и иных законов в этой области.
  • Статья 9 регулирует порядок получения согласия. Для отдельных категорий данных согласие должно быть именно письменным, с указанием целей, перечня данных и сроков. Подпись или отметка в электронной системе должны фиксироваться так, чтобы можно было доказать их подлинность при проверке.

К этому блоку добавляются и специальные законы, которые ограничивают или наоборот — прямо разрешают передачу данных:

  • Федеральный закон № 323 «Об основах охраны здоровья граждан», закрепляющий институт врачебной тайны и условия доступа работодателя к медицинским сведениям;
  • законодательство о ЗАГС, которое регулирует предоставление сведений о семейном положении, актах регистрации рождения и брака;
  • нормы о пенсионном обеспечении и страховых взносах, где прописан порядок предоставления данных о стаже и выплатах в Пенсионный фонд и налоговые органы.

Роскомнадзор в своих разъяснениях подчеркивает: прежде чем собирать данные у третьих лиц, нужно проверить законность источника и основания обработки.

Как действовать работодателю: пошаговый алгоритм

Первое — минимизация. Нужно определить, действительно ли конкретные сведения необходимы. Запрос лишних данных может рассматриваться как превышение целей обработки.

Второе — согласие. Получить у работника письменное согласие на запрос в третью организацию. Оно оформляется отдельным документом, а не как приложение к трудовому договору. Срок согласия должен быть обоснован, т.к. бессрочные или формальные «на 50 лет» формулировки незаконны.

Третье — официальный запрос. В адрес третьего лица направляется запрос. Важно указать, для какой цели запрашиваются сведения и какие именно данные требуются.

Четвертое — хранение и доступ. Необходимо зафиксировать, кто и когда обращался к этим сведениям. Таким образом, необходимо разработать и внедрить локальный акт о порядке хранения и журнал учета обращений.

Пятое — актуализация. Если впоследствии цели изменяются или требуется новый объем данных, согласие оформляется повторно.

Риски и ответственность

Ошибки при запросе данных у третьих лиц могут обернуться серьезными последствиями, как правило, административно-правового характера.

Административные штрафы. В случае отсутствия согласия на получение ПДн работника ответственность может быть возложена на Оператора в соответствии с ч. 2, 2.1 ст. 13.11 КоАП РФ, что влечет наложение штрафа на юридическое лицо в размере от 300 т. р. до 1.5 млн. руб.

При этом следует учитывать, что если согласие в письменной форме было получено, однако с персональными данными осуществлялись действия, которые не охватывались согласием или если Оператор не прекратил обработку ПДн после достижения целей обработки, ответственность за такие правонарушения (как и за аналогичные им) может быть реализована по ч. 1, 1.1 ст. 13.11 КоАП РФ с наложением административного штрафа от 150 до 500 т. р.

Следует отметить и потенциально возможные трудовые споры. Работник вправе оспорить действия работодателя, если согласие не было оформлено или использовано не по назначению. На практике это может привести к восстановлению на работе, компенсации морального вреда или изменению условий трудового договора. Судебные органы часто встают на сторону работников, если работодатель не может подтвердить законность обработки документами.

Типичные ошибки работодателей

В консалтинговых проектах чаще всего встречаются следующие нарушения:

  • Запрос у третьей организации без согласия работника. Часто это происходит в ситуациях, когда кадровая служба стремится ускорить процесс проверки диплома или стажа и направляет запрос самостоятельно. Такое действие квалифицируется как нарушение, даже если работник устно выразил согласие, так как письменное подтверждение отсутствует;
  • Слишком общий текст согласия («согласен на обработку ПДн»), который не отражает конкретной цели и источника данных. Унифицированные шаблоны без детализации не защищают работодателя при проверке РКН и суде, так как не дают субъекту понимания, какие именно сведения и откуда будут получены;
  • Отсутствие документов, подтверждающих порядок хранения полученных сведений. Сюда относятся локальные акты о режиме доступа, журнал учета обращений, инструкции по уничтожению лишних копий. При проверке отсутствие таких бумаг расценивается как отсутствие организационных мер защиты;
  • Использование данных родственников работников без их согласия, если это не предусмотрено законом. Например, в кадровых анкетах могут появляться сведения о супруге или детях для получения социальных льгот. Работодатель обязан убедиться, что это ограничено только требуемыми законом данными (например, для налоговых вычетов), а в остальных случаях требуется согласие самих родственников.

РКН прямо указывает: если согласие не конкретно, оно не может считаться правовым основанием.

Практические рекомендации

Работодателю стоит заранее выстроить прозрачный процесс:

  • подготовить шаблон согласия, где четко указаны цели, источники и срок действия. В таком документе важно перечислить, из какой организации будут запрашиваться сведения, какие именно данные нужны и для какой цели они будут использоваться. При проверке РКН именно конкретика служит главным аргументом законности;
  • проверять, есть ли прямая норма закона, которая освобождает от согласия. Например, Трудовой кодекс и налоговое законодательство содержат положения, позволяющие работодателю передавать определенные сведения без получения согласия. Однако такие случаи ограничены и требуют ссылки на конкретную норму;
  • назначить ответственное лицо за организацию обработки ПДн (ст. 22.1 152-ФЗ), которое будет контролировать запросы в третьи организации. Это лицо должно не только фиксировать согласия, но и вести учет всех направленных запросов, проверять полноту и корректность ответов, а также контролировать условия хранения полученных данных;
  • ограничивать объем запрашиваемых данных — не больше, чем требуется для трудовых отношений. Применение принципа минимизации снижает риск нарушения и уменьшает вероятность того, что сведения будут признаны избыточными. Например, при запросе диплома достаточно подтвердить наличие квалификации, а не собирать полную академическую историю;
  • проводить регулярные внутренние проверки: сверять согласия, локальные акты и реестр ИСПДн, чтобы избежать расхождений. Такие проверки должны фиксироваться актами и могут проводиться как внутренней комиссией, так и привлеченным юристом или специалистом по ИБ. Это повышает устойчивость компании при возможной проверке РКН.

Какие выводы?

Получение персональных данных работника у третьих сторон — это допустимый инструмент, но только при строгом соблюдении законных процедур.

В практическом измерении это означает: каждый запрос должен быть заранее согласован с работником или опираться на прямую норму закона, сам процесс фиксироваться в документах, а полученные сведения храниться в условиях ограниченного доступа.

Работодатель выигрывает дважды: снижает вероятность штрафов и трудовых конфликтов и одновременно демонстрирует прозрачность и уважение к сотрудникам. Такой подход повышает доверие в коллективе и формирует культуру законной работы с персональными данными, что особенно важно при проверках и в долгосрочной перспективе при управлении рисками.

Б-152
Автор: Б-152
Б-152 — консалтинговая компания. Более 14 лет помогаем бизнесу соответствовать требованиям в сфере персональных данных и информационной безопасности. Мы работаем в области privacy, входим в рабочую группу Роскомнадзора, разрабатываем собственные продукты и сопровождаем клиентов на всех этапах — от аудита до прохождения проверок. Б-152 — команда, которая говорит с ИБ на одном языке. Мы поможем не только формально соблюсти 152-ФЗ, но и выстроить настоящую защиту данных: модели угроз, ТЗ на СЗИ, аудит и тестирование.
Комментарии: