Владимир Самосейко
После вступления в силу Закона о защите персональных данных появилось много вопросов о том, в каких случаях нанимателю (оператору) нужно получать согласие работника (субъекта персональных данных) на обработку персональных данных, а в каких — не нужно. С проблемными вопросами нам помог разобраться Владимир Самосейко.
1. Как определить, надо ли получать у работника согласие на обработку персональных данных
Оператор обязан получать согласие субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами (абз. 3 п. 1 ст. 16 Закона о защите персональных данных).
Обработка персональных данных при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности в случаях, предусмотренных законодательством, как раз относится к исключениям, предусмотренным абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона о защите персональных данных. Поэтому полагаем, что в большинстве случаев согласие на обработку персональных данных у работника брать не понадобится.
Необходимо отметить, что НЦЗПД в Рекомендациях от 18.01.2022 дал разъяснения о необходимости получения согласия на обработку персональных данных по ряду типичных практических ситуаций: при оформлении трудовых (служебных) отношений и в процессе трудовой (служебной) деятельности; у соискателей на трудоустройство, близких родственников (членов семьи) работника; при предоставлении персональных данных работника (в том числе уволенного) третьим лицам.
В целом, чтобы понять, нужно ли получать согласие на обработку персональных данных, следует определить, к какой категории эти данные относятся и на каком основании обрабатываются (см. таблицу).
Таблица
Категория персональных данных | Предоставление таких данных предусмотрено законодательством | Необходимость получения согласия |
Конфиденциальные (т.е. требующие защиты) | Да | Не надо (ст. 6, абз. 3 — 17 п. 2 ст. 8 Закона о защите персональных данных) |
Нет | Надо (п. 3 ст. 4, ст. 5 Закона о защите персональных данных) | |
Общедоступные | Не имеет правового значения, предусматривает ли законодательство предоставление таких данных | Не надо (абз. 7 ст. 1, абз. 2 п. 2 ст. 8 Закона о защите персональных данных) |
2. В каких случаях не надо получать согласие на обработку персональных данных
Согласие субъекта персональных данных на обработку его персональных данных не требуется в трех случаях (абз. 7 ст. 1, абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона о защите персональных данных, п. 3.2 гл. 3 Рекомендаций НЦЗПД от 18.01.2022):
1) если осуществляется обработка общедоступных персональных данных, т.е. персональных данных, распространенных самим субъектом персональных данных либо с его согласия или распространенных в соответствии с требованиями законодательных актов. Например, при самостоятельном размещении соискателем в интернете своего резюме, доступного неограниченному кругу лиц;
2) если в законодательстве прямо предусмотрено право оператора обрабатывать персональные данные без согласия субъекта персональных данных. Так, не требуется согласие на обработку персональных данных работника (соискателя), получаемых, в частности, при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
3) если обработка персональных данных осуществляется без использования средств автоматизации и при этом не обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое). Например, если потенциальный наниматель знакомится с полученным таким образом резюме без внесения соответствующей информации в картотеки, списки, базы данных, журналы и т.п.
К персональным данным, на обработку которых не требуется согласие работника (соискателя), можно отнести данные (абз. 8, 15 ст. 6, абз. 3 п. 2 ст. 8 Закона о защите персональных данных):
1) из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 26, 344 ТК, п. 9, 11 Декрета N 5;
2) по результатам обязательного предварительного медосмотра (ст. 26 ТК, ст. 27 Закона об охране труда);
3) в объеме, предусмотренном унифицированной формой характеристики (ч. 3 ст. 26 ТК, п. 9, 11 Декрета N 5);
4) от кадрового агентства, действующего от имени соискателя вакансии. Ведь персональные данные будут получены на основании договора, заключенного между кадровым агентством и соискателем в целях совершения действий, установленных этим договором;
5) в объеме, необходимом для ведения личного дела, заполнения трудовой книжки, табеля использования рабочего времени, форм ПУ, документов по воинскому учету и т.п.
3. В каких случаях надо получать согласие на обработку персональных данных
Полагаем, согласие работника (соискателя) на обработку его персональных данных нанимателем требуется получать в следующих случаях:
1) от претендента на замещение должности служащего (профессии рабочего) на период принятия нанимателем решения о приеме либо отказе в приеме на работу (при использовании средств автоматизации или без использования средств автоматизации, но при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.)) (п. 3.2 гл. 3 Рекомендаций НЦЗПД от 18.01.2022);
2) при поступлении резюме по электронной почте, факсимильной связи. Полагаем, в таком случае необходимо дополнительно осуществить действия, направленные на подтверждение факта направления указанного резюме самим соискателем: пригласить соискателя на личную встречу с уполномоченными работниками нанимателя, дать обратную связь посредством электронной почты и т.д. (п. 3.3 гл. 3 Рекомендаций НЦЗПД от 18.01.2022);
3) при сборе персональных данных соискателя с помощью типовой формы анкеты, утвержденной нанимателем. Типовая форма анкеты, по нашему мнению, должна содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации (нанимателя), где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда нанимателем запрашиваются сведения, предполагающие получение согласия в письменной форме (п. 3.1 гл. 3 Рекомендаций НЦЗПД от 18.01.2022);
4) для включения соискателя в кадровый резерв нанимателя (не относится к кадровому резерву госслужащих). Трудовым законодательством ведение такого резерва не регламентировано. Обработка персональных данных лиц, включенных в кадровый резерв нанимателя, может осуществляться, полагаем, только с их согласия, за исключением случаев нахождения в нем действующих работников, в трудовом договоре которых определены соответствующие положения.
Обязательным, по нашему мнению, является ознакомление соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва;
5) при получении персональных данных работника у третьей стороны. Например, при наличии сомнений в подлинности документов об образовании путем направления запросов в Минобразования о подтверждении факта их выдачи и т.п.;
6) для передачи персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью самого работника, а также случаев, предусмотренных ст. 6 и 8 Закона о защите персональных данных, в частности:
— при передаче отдельных функций на аутсорсинг (кадровых, по охране труда, ведению бухучета и отчетности и др.), передаче полномочий руководителя организации управляющей организации или управляющему-ИП и т.п.;
— при предоставлении сведений о работнике банку, когда запрашивается дополнительная информация для оформления кредита и т.п.;
7) для размещения информации о работнике на сайте нанимателя, в ином публичном месте (на стенде и т.п.) — в некоторых случаях.
Составление списков недобросовестных работников, работников, уволенных по виновным основаниям, и размещение нанимателем подобной информации в интернете на любом сайте (своем или стороннем) будет нарушением требований законодательства о защите персональных данных, если от работника не получено соответствующее согласие.
Исключения, когда не требуется согласие работника на обработку персональных данных при размещении о нем информации на сайте или в ином публичном месте, приведены в п. 2.3 гл. 2 Рекомендаций НЦЗПД от 18.01.2022:
— если обработка персональных данных работников осуществляется при реализации мер, направленных на исполнение нанимателями таких обязанностей (например, ведение сайтов с общим доступом работников, использование иных инструментов делового сотрудничества и обмена информацией между работниками и т.п.);
— необходимость (возможность) такой обработки обусловлена законодательством (в частности, ст. 21 Закона об информации, Указом N 60, Положением о порядке функционирования интернет-сайтов госорганов и т.п.);
— обработка осуществляется на основании абз. 17 ст. 6 Закона о защите персональных данных в целях осуществления законной профессиональной деятельности журналиста, направленной на защиту общественного интереса. Например, ст. 34 Закона о СМИ допускает для журналистов возможность обработки фотографий граждан без их согласия в случае съемки в местах, открытых для массового посещения, на массовых мероприятиях;
— размещение информации о работниках на интернет-сайтах организаций обусловлено необходимостью рационально организовать труд работников, в должностные обязанности которых входит активное контактирование с внешним контуром организации (HR-специалисты, специалисты по работе с клиентами и т.п.);
8) чтобы узнать дополнительную информацию о работнике, не связанную с исполнением трудовых обязанностей (к примеру, аккаунты в социальных сетях или адрес личной электронной почты). Сама по себе эта информация недостаточна для идентификации лица, и ее отсутствие не мешает исполнять трудовой договор. Чтобы исключить спорные ситуации, целесообразно при приеме на работу получить у работника письменное согласие на обработку данных и включить в него информацию, которая нужна для эффективного взаимодействия работника и нанимателя (п. 2.6 гл. 2 Рекомендаций НЦЗПД от 18.01.2022).
Что касается сведений о месте жительства (месте регистрации), то следует отметить, что такой документ, удостоверяющий личность, как идентификационная карта, в настоящее время ни визуально, ни внутри не содержит информацию о месте жительства гражданина (месте его регистрации). Полагаем, что для получения этих сведений нужно сначала получить согласие на обработку персональных данных.
В ходе интервью В.Э.Самосейко также подробно ответил на вопросы о необходимости получения согласия на обработку персональных данных в следующих случаях:
1) у работника:
— в целях внутреннего информационного обеспечения организации с помощью вычислительной техники (ведения справочной корпоративной базы данных);
— для обеспечения пропускного режима в организации;
— при осуществлении видеонаблюдения в производственных помещениях, складах организации, магазине;
— при предоставлении учреждению образования персональных данных работника в рамках заключения с работником типовых договоров при направлении на повышение квалификации;
— в случае передачи паспортных данных работника в банк для получения зарплатной карточки, а также в страховую организацию для добровольного медицинского страхования;
— когда в организацию пришла проверка и просит представить документы, содержащие персональные данные работников (личные дела, трудовые книжки, контракты, листки нетрудоспособности и т.п.);
2) у соискателя вакансии;
3) у родственников работника при оформлении соцотпуска, предусмотренного колдоговором (например, в связи с заключением брака);
4) у практиканта, прибывшего в организацию на неоплачиваемую практику без предоставления рабочего места;
5) у физического лица, привлекаемого для выполнения работ по договору подряда.