Получение персональных данных работника от третьих лиц: как действовать работодателю законно

13.01.2023
29/01/26
Б-152
Получение персональных данных работника от третьих лиц
Работодатель неизбежно работает с персональными данными работников: оформляет трудовые договоры, ведет кадровый учет, передает сведения в налоговые органы и фонды. 
В стандартной ситуации документы и сведения предоставляет сам работник. Однако в реальности часто возникает обратная ситуация: нужная информация хранится у сторонних организаций — университет подтверждает диплом, ЗАГС фиксирует сведения о браке для предоставления льгот, Пенсионный фонд ведет данные о стаже и страховых взносах, медицинская организация выдает заключение о профпригодности.
Возникает практический вопрос: как работодателю получить эти данные, не нарушая закон и не рискуя попасть под санкции? Ответ кроется в понимании общих правил закона о персональных данных и трудового законодательства.
Ключевая установка проста: в соответствии с п. 3 ст. 86 ТК РФ, персональные данные работника должны поступать от него самого. Именно он вправе решать, кому и для каких целей предоставлять свои сведения. Если работодатель обращается за ними к третьему лицу, это допустимо лишь в двух случаях:
1. Есть письменное согласие работника. Оно должно быть информированным, конкретным и однозначным. Наличие универсальных формулировок вроде «согласен на обработку в соответствии с законом» не будут являться корректными и формально это означает, что надзорный орган рассмотрит такую ситуацию как обработку ПДн в отсутствие согласия. 
В согласии нужно перечислить: цель запроса, источник получения данных, категории сведений, перечень действий, совершаемых с ПДн, ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты Оператора, срок обработки ПДн (на основании синтеза ч. 4 ст. 9 152-ФЗ и п. 3 ст. 86 ТК РФ).
2. Запрос прямо предусмотрен законом. Например, сведения о судимости работодатель вправе запросить только если это связано с работой с детьми или в иных случаях, закрепленных федеральными законами. В таких ситуациях согласие не требуется, но нужно ссылаться на конкретную норму.
Таким образом, обращение к третьей стороне без письменного согласия работника почти всегда будет нарушением.
Трудовой кодекс РФ (ст. 86−90) закрепляет обязанность работодателя соблюдать права работников при обработке их персональных данных и использовать их исключительно для целей трудовых отношений.

Требования закона: ключевые нормы

  • Статья 6 закрепляет общие основания обработки, включая согласие субъекта и выполнение обязанностей, прямо предусмотренных законом. Особое внимание необходимо уделить п. 2 указанной статьи, т. е. когда обработка ПДн обусловлена требованиями законодательства (в том числе трудового), так как обработка такого особого субъекта как работника часто базируется именно на требованиях ТК РФ и иных законов в этой области.
  • Статья 9 регулирует порядок получения согласия. Для отдельных категорий данных согласие должно быть именно письменным, с указанием целей, перечня данных и сроков. Подпись или отметка в электронной системе должны фиксироваться так, чтобы можно было доказать их подлинность при проверке.
К этому блоку добавляются и специальные законы, которые ограничивают или наоборот — прямо разрешают передачу данных:
  • Федеральный закон № 323 «Об основах охраны здоровья граждан», закрепляющий институт врачебной тайны и условия доступа работодателя к медицинским сведениям;
  • законодательство о ЗАГС, которое регулирует предоставление сведений о семейном положении, актах регистрации рождения и брака;
  • нормы о пенсионном обеспечении и страховых взносах, где прописан порядок предоставления данных о стаже и выплатах в Пенсионный фонд и налоговые органы.
Роскомнадзор в своих разъяснениях подчеркивает: прежде чем собирать данные у третьих лиц, нужно проверить законность источника и основания обработки.

Как действовать работодателю: пошаговый алгоритм

Первое — минимизация. Нужно определить, действительно ли конкретные сведения необходимы. Запрос лишних данных может рассматриваться как превышение целей обработки.
Второе — согласие. Получить у работника письменное согласие на запрос в третью организацию. Оно оформляется отдельным документом, а не как приложение к трудовому договору. Срок согласия должен быть обоснован, т.к. бессрочные или формальные «на 50 лет» формулировки незаконны.
Третье — официальный запрос. В адрес третьего лица  направляется запрос. Важно указать, для какой цели запрашиваются сведения и какие именно данные требуются.
Четвертое — хранение и доступ. Необходимо зафиксировать, кто и когда обращался к этим сведениям. Таким образом, необходимо разработать и внедрить локальный акт о порядке хранения и журнал учета обращений.
Пятое — актуализация. Если впоследствии цели изменяются или требуется новый объем данных, согласие оформляется повторно.
Сомневаетесь в законности своих кадровых процессов?
Если вы не уверены, что ваши согласия, запросы и локальные акты соответствуют 152-ФЗ и ТК РФ, единственный способ избежать рисков — начать с прикладной консультации и аудита вашей практики.

Риски и ответственность

Ошибки при запросе данных у третьих лиц могут обернуться серьезными последствиями, как правило административно-правового характера.
Административные штрафы. В случае отсутствия согласия на получение ПДн работника ответственность на Оператора может быть возложена в соответствии с ч. 2, 2.1 ст. 13.11 КоАП РФ, что влечет наложение штрафа на юридическое лицо в размере от 300 т. р. до 1.5 млн руб. 
При этом следует учитывать, что если согласие в письменной форме было получено, однако с персональными данными осуществлялись действия, которые не охватывались согласием или если Оператор не прекратил обработку ПДн после достижения целей обработки, ответственность за такие правонарушения (как и за аналогичные им) может быть реализована по ч.1, 1.1 ст. 13.11 КоАП РФ с наложением административного штрафа от 150 до 500 т.р.
Следует отметить и потенциально возможные трудовые споры. Работник вправе оспорить действия работодателя, если согласие не было оформлено или использовано не по назначению. На практике это может привести к восстановлению на работе, компенсации морального вреда или изменению условий трудового договора. Судебные органы часто встают на сторону работников, если работодатель не может подтвердить законность обработки документами.

Типичные ошибки работодателей

В консалтинговых проектах чаще всего встречаются следующие нарушения:
  • Запрос у третьей организации без согласия работника. Часто это происходит в ситуациях, когда кадровая служба стремится ускорить процесс проверки диплома или стажа и направляет запрос самостоятельно. Такое действие квалифицируется как нарушение, даже если работник устно выразил согласие, так как письменное подтверждение отсутствует;
  • Слишком общий текст согласия («согласен на обработку ПДн»), который не отражает конкретной цели и источник данных. Унифицированные шаблоны без детализации не защищают работодателя при проверке РКН и суде, так как не дают субъекту понимания, какие именно сведения и откуда будут получены;
  • Отсутствие документов, подтверждающих порядок хранения полученных сведений. Сюда относятся локальные акты о режиме доступа, журнал учета обращений, инструкции по уничтожению лишних копий. При проверке отсутствие таких бумаг расценивается как отсутствие организационных мер защиты;
  • Использование данных родственников работников без их согласия, если это не предусмотрено законом. Например, в кадровых анкетах могут появляться сведения о супруге или детях для получения социальных льгот. Работодатель обязан убедиться, что это ограничено только требуемыми законом данными (например, для налоговых вычетов), а в остальных случаях требуется согласие самих родственников.
РКН прямо указывает: если согласие не конкретно, оно не может считаться правовым основанием.
Подобные ошибки — от формальных согласий до незаконных запросов — регулярно всплывают в проверках и судебной практике. Разборы кейсов, позиция РКН и практические комментарии мы регулярно публикуем в нашем Telegram-канале

Практические рекомендации

Работодателю стоит заранее выстроить прозрачный процесс:
  • подготовить шаблон согласия, где четко указаны цели, источники и срок действия. В таком документе важно перечислить, из какой организации будут запрашиваться сведения, какие именно данные нужны и для какой цели они будут использоваться. При проверке РКН именно конкретика служит главным аргументом законности;
  • проверять, есть ли прямая норма закона, которая освобождает от согласия. Например, Трудовой кодекс и налоговое законодательство содержат положения, позволяющие работодателю передавать определенные сведения без получения согласия. Однако такие случаи ограничены и требуют ссылки на конкретную норму;
  • назначить ответственное лицо за организацию обработки ПДн (ст. 22.1 152-ФЗ), которое будет контролировать запросы в третьи организации. Это лицо должно не только фиксировать согласия, но и вести учет всех направленных запросов, проверять полноту и корректность ответов, а также контролировать условия хранения полученных данных;
  • ограничивать объем запрашиваемых данных — не больше, чем требуется для трудовых отношений. Применение принципа минимизации снижает риск нарушения и уменьшает вероятность того, что сведения будут признаны избыточными. Например, при запросе диплома достаточно подтвердить наличие квалификации, а не собирать полную академическую историю;
  • проводить регулярные внутренние проверки: сверять согласия, локальные акты и реестр ИСПДн, чтобы избежать расхождений. Такие проверки должны фиксироваться актами и могут проводиться как внутренней комиссией, так и привлеченным юристом или специалистом по ИБ. Это повышает устойчивость компании при возможной проверке РКН.

Какие выводы?

Получение персональных данных работника у третьих сторон — это допустимый инструмент, но только при строгом соблюдении законных процедур. 
В практическом измерении это означает: каждый запрос должен быть заранее согласован с работником или опираться на прямую норму закона, сам процесс фиксироваться в документах, а полученные сведения храниться в условиях ограниченного доступа. 
Работодатель выигрывает дважды: снижает вероятность штрафов и трудовых конфликтов и одновременно демонстрирует прозрачность и уважение к сотрудникам. Такой подход повышает доверие в коллективе и формирует культуру законной работы с персональными данными, что особенно важно при проверках и в долгосрочной перспективе управления рисками.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме