Порядок действий в ситуации, когда субъект персональных данных не заполнял форму на сайте
06.04.2020
требования к уведомлению о ПДн
Уведомление Роскомнадзора об обработке персональных данных в 2020 г.
14.04.2020
Показать все

Разработка документов по персональным данным при бухгалтерии на аутсорсе

Сама по себе передача персональных данных и соответственно документов организации, работающей по договору оказания услуг не противоречит законодательству. Однако в данном случае также необходимо соблюсти требования Трудового кодекса РФ и Федерального закона об обработке персональных данных № 152-ФЗ.

Согласно Закону о ПД персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 Закона).

Как указано в Законе о ПД, обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона).

Трудовой кодекс не содержит запрета на передачу персональных данных третьим лицам и на привлечение их для обработки ПД. При этом необходимо также соблюдать требования Закона о ПД.

Поскольку согласно Закону о ПД оператором является тот, кто осуществляет сбор, обработку, хранение ПД, то в данном случае, оператором будет являться и организация-работодатель и организация на аутсорсе.

А поскольку Законом о ПД сбор, обработка, хранение и т.д. ПД осуществляется с согласия субъектов ПД, кроме установленных законом исключений, то необходимо взять письменное согласие на обработку данных.

Поскольку основанием для осуществления трудовой деятельности является трудовой договор между работником и организацией — работодателем, обработка ПД, которая необходима работодателю для исполнения обязанностей в соответствии с требованиями ТК РФ, согласие на передачу персональных данных на такую обработку не требуется и осуществляется без согласия работника.

Но организация на аутсорсе не связана с работником никаким договором, таким образом законом установлено получение письменного согласия на обработку ПД.

При этом согласно ст. 88 ТК РФ при передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности)
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции
  • передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Помимо согласия на обработку ПД, организация на аусторсе обязана соблюдать иные требования Закона о ПД:

  • обеспечивать организационные и технические меры по безопасности переданных ПДили обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (п. 1 ст. 19 Закона о ПД)
  • утвердить локальные акты в соответствии с требованиями Закона о ПД: Положение о ПД, приказы о назначении ответственных за обработку и хранение ПД.
  • уведомить Роскомнадзор о своем намерении осуществлять обработку ПД, за исключением случаев, когда ПД обрабатываются без использования средств автоматизации.

Таким образом, при заключении договора на оказание услуг со сторонней организацией, оператором будут являться и работодатель и организация на аутсорсе, на которую будут распространяться все требования Закона о ПД, в том числе проведение проверок.

Передача персональных данных работников третьим лицам без письменного согласия будет являться прямым нарушением Закона о ПД. При заключении договора на оказание услуг рекомендовано взять отдельное согласие на обработку ПД, в котором будет прописаны конкретные данные, подлежащие передаче третьим лицам. При этом надо помнить, что размер заработной платы также является персональными данными.

Сомневаетесь в корректности подготовленного документа «Согласие передачу персональных данных третьим лицам»? Направьте документ, мы проведем проверку и сообщим результаты.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *