Нужно ли работодателю получать согласие на обработку персональных данных работников в связи с изменениями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", вступившими в силу с 01.03.2021?

В соответствии со ст. 86 ТК РФ работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Случаи допустимости обработки персональных данных перечислены в ч. 1 ст. 6, ч. 2 ст. 10, ст. 11 Закона N 152-ФЗ. По общему правилу обработка персональных данных возможна при наличии согласия работника (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона N 152-ФЗ). При этом действующее законодательство не определяет объем конфиденциальной информации, которую можно обрабатывать с согласия субъекта.
Иные основания обработки персональных данных сформулированы исчерпывающим образом и расширительному толкованию не подлежат. В частности, обработка персональных данных работника будет считаться правомерной, если она осуществляется для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ); если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); обработка специальных категорий персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ (п. 2.3 ч. 2 ст. 10 Закона N 152-ФЗ). Кроме того, работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ (смотрите разъяснения Роскомнадзора от 14 декабря 2012 г. "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве").
Таким образом, если работодатель получает от работника и обрабатывает лишь ту информацию, которая необходима для исполнения трудового договора, трудового и иного законодательства, локальных актов работодателя, получение согласия работника на такие действия не требуется (смотрите апелляционное определение СК по гражданским делам Оренбургского областного суда от 21.06.2017 по делу N 33-4566/2017). При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, и обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (чч. 2, 5 ст. 5 Закона N 152-ФЗ). Так, например, отдельные суды признают незаконным хранение работодателем копий документов работников, в частности копии паспорта, копии военного билета, копии свидетельства о рождении ребенка, копии свидетельства о браке и иного, даже при наличии согласия работника на обработку его персональных данных (смотрите, например, постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/13).
Если же обработка персональных данных работника выходит за рамки трудовых и иных тесно связанных с ними отношений, то для каждого случая обработки персональных данных работников необходимо получать от него отдельное письменное согласие*(1) (решение Арбитражного суда г. Москвы от 26.04.2016 по делу N А40-32030/2016). Требования к содержанию такого согласия изложены в ч. 4 ст. 9 Закона N 152-ФЗ, обязательным элементом которого является цель обработки персональных данных (п. 4 ч. 4 ст. 9 Закона N 152-ФЗ). При этом требования приведенной нормы императивно указывают на наличие только одной цели (в единственном числе) обработки персональных данных. Указание в согласии нескольких целей обработки персональных данных квалифицируется контролирующими органами как нарушение законодательства в области защиты персональных данных (решение Арбитражного суда г. Москвы от 21 марта 2018 г. по делу N А40-7530/2018, решение Арбитражного суда г. Москвы от 9 августа 2017 г. по делу N А40-81171/2017). Подчеркнем, что приведенные требования Закона N 152-ФЗ не являются новеллами, они существовали и ранее.
Обратим также внимание, что изменения Закона N 152-ФЗ*(2), вступившие в силу с 1 марта 2021 г., касаются исключительно персональных данных, разрешенных субъектом для распространения*(3) (п. 1.1 ст. 3 Закона N 152-ФЗ). Они не затрагивают иных случаев обработки персональных данных.

Рекомендуем также ознакомиться с материалами:
- Вопрос: Может ли работодатель по запросу налоговой инспекции, передавать информацию ФСС, содержащую персональные данные работников? (ответ службы Правового консалтинга ГАРАНТ, март 2021 г.);
- Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании ГАРАНТ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

8 октября 2021 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Так, например, работодатель на основании ст. 22 ТК РФ обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности, Федеральным законом от 29 ноября 2010 г. N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации", Федеральным законом от 15 декабря 2001 г. N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации". Следовательно, передача персональных данных работников уполномоченным органам во исполнение требований законодательства об обязательных видах страхования осуществляется без их согласия. Однако трудовое законодательство не предписывает работодателю обязанность по дополнительному страхованию работников в рамках добровольного медицинского страхования. Соответственно, отношения по добровольному медицинскому страхованию работников выходят за рамки урегулированных трудовым законодательством отношений. Это сфера гражданско-правовых отношений. Поэтому передача персональных данных работников страховой организации в указанных целях не является обработкой персональных данных, при которой получение согласия субъекта персональных данных не требуется.
*(2) Смотрите Федеральный закон от 30 декабря 2020 г. N 519-ФЗ.
*(3) Смотрите Энциклопедию решений. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения.