Анонсы
Программа повышения квалификации "О контрактной системе в сфере закупок" (44-ФЗ)"

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Новости и аналитика Правовые консультации Трудовое право Передача полномочий по технической поддержке программного обеспечения сторонней организации, включая доступ к персональным данным работников, при переходе на кадровый электронный документооборот

Передача полномочий по технической поддержке программного обеспечения сторонней организации, включая доступ к персональным данным работников, при переходе на кадровый электронный документооборот

Заключен договор о передаче неисключительных прав на программное обеспечение для электронного кадрового документооборота, по которому сублицензиат (оператор персональных данных) поручает лицензиату, который является распространителем по соглашению с правообладателем, осуществлять обработку персональных данных работников сублицензиата с их согласия. Лицензиат в рамках данного поручения перепоручает обработку персональных данных правообладателю этого программного обеспечения, который стороной договора не является.
Правомерно ли такое "передоверие" на обработку персональных данных? Каковы правовые условия обработки персональных данных правообладателем, которому работники своего согласия на обработку не предоставляли?

Статья 22.2 ТК РФ предоставляет работодателю право принять решение о введении электронного документооборота. Такой документооборот вводится работодателем на основании локального нормативного акта, который принимается с учетом мнения выборного органа первичной профсоюзной организации, и должен содержать: сведения об информационной системе, с использованием которой работодатель будет осуществлять электронный документооборот; порядок доступа к такой системе работодателя (при необходимости); перечень электронных документов и перечень категорий работников, в отношении которых осуществляется электронный документооборот; срок уведомления работников о переходе на взаимодействие с работодателем посредством электронного документооборота, а также дате введения электронного документооборота.

На работодателя ст. 22.2 ТК РФ возложена обязанность по уведомлению каждого работника о переходе на взаимодействие с работодателем посредством электронного документооборота и праве работника дать согласие на указанное взаимодействие.

Переход на взаимодействие с работодателем посредством электронного документооборота осуществляется с письменного согласия работника, за исключением предусмотренного ч. 7 ст. 22.2 ТК РФ случая. Отсутствие согласия работника на взаимодействие с работодателем посредством электронного документооборота признается отказом работника от такого взаимодействия.

Согласно ч. 4 ст. 22.1 ТК РФ электронный документооборот может осуществляться работодателем посредством Единой цифровой платформы в сфере занятости и трудовых отношений "Работа в России" в порядке, определяемом в соответствии с законодательством о занятости населения в РФ, либо информационной системы работодателя, позволяющей обеспечить подписание электронного документа в соответствии с требованиями ТК РФ, хранение электронного документа, а также фиксацию факта его получения сторонами трудовых отношений.

В целях организации электронного документооборота работодателем может как непосредственно разрабатываться программный продукт под собственные нужды, так и приобретаться права на программы для ЭВМ, предназначенные для ведения кадрового электронного документооборота (далее - КЭДО), которые относятся к результатам интеллектуальной деятельности (ст. 1225 ГК РФ).

Передача прав на результаты интеллектуальной деятельности осуществляется на основании лицензионного договора, требования к содержанию которого установлены ст. 1235 ГК РФ.

Лицензиат в силу ст. 1238 ГК РФ при письменном согласии лицензиара (правообладателя) может по договору предоставить право использования результата интеллектуальной деятельности или средства индивидуализации другому лицу, заключив сублицензионный договор (смотрите, например, апелляционное определение Суда Еврейской автономной области от 02.09.2022 по делу N 33-542/2022).

В рассматриваемой ситуации сублицензиат, исходя из положений п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), является оператором персональных данных по отношению к своим работникам, поскольку именно он самостоятельно или совместно с другими лицами организует и осуществляет обработку их персональных данных, а также определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом (ст. 7 Закона N 152-ФЗ). Аналогичное положение содержится и в ст. 88 ТК РФ, в силу которого работодатель не вправе сообщать персональные данные работника третьей стороне без его письменного согласия, кроме случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

Часть 3 ст. 6 Закона N 152-ФЗ дозволяет оператору поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение оператора). Законодатель не раскрывает статус такого обработчика, но в контексте Закона N 152-ФЗ основными признаками, отличающими его от оператора персональных данных, являются: во-первых, наличие самостоятельной правосубъектности, то есть обработчик должен быть юридически независимым по отношению к оператору, и, во-вторых, обработка им персональных данных должна осуществляться в интересах оператора. Примерами обработчиков персональных данных могут быть в том числе лица, оказывающие техническую поддержку программного обеспечения, получающие в связи с этим доступ к персональным данным, услуги по предоставлению мощностей для хранения электронных документов, содержащих персональные данные, и т.п.

Отметим, что форма и характер поручения на обработку персональных данных законодательством не установлены. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключаемый между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора (например, сублицензионного, о техническом обслуживании программного обеспечения и др.). В ч. 3 ст. 6 Закона N 152-ФЗ зафиксированы лишь требования, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Отсутствие хотя бы одного из них может быть квалифицировано как обработка персональных данных с нарушением законодательства (смотрите, например, решение Кировского райсуда г. Екатеринбурга Свердловской области от 26.10.2016 по делу N 12-629/2016).

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом N 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом. При этом обработчик не обязан получать согласие субъекта персональных данных на их обработку (смотрите определения Ленинградского облсуда от 23.01.2019 по делу N 33-410/2019, Приморского краевого суда от 18.09.2013 по делу N 33-7976, решение АС Иркутской области от 04.12.2018 по делу N А19-6583/2017), поскольку ответственность перед работником за действия обработчика несет именно оператор, а не обработчик, который, в свою очередь, отвечает за собственное неправомерное поведение непосредственно перед оператором (чч. 2, 5 ст. 6 Закона N 152-ФЗ). Полагаем, что обработчик не вправе перепоручать отработку персональных данных другому лицу. Такое решение может быть принято исключительно оператором с обязательным получением согласия работников на подобные действия.

Требования к содержанию согласия изложены в ч. 4 ст. 9 Закона N 152-ФЗ, в числе которых поименовано наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора (п. 6 ч. 4 ст. 9 Закона N 152-ФЗ). То есть из текста согласия обработчик персональных данных должен быть очевиден. Суды усматривают нарушение Закона N 152-ФЗ в тех случаях, когда из содержания подписанного согласия невозможно установить обработчика (смотрите, например, постановление Девятого арбитражного апелляционного суда от 11.02.2020 по делу N А40-275719/2019).

Как мы поняли из вопроса, техническую поддержку функционирования программного обеспечения для КЭДО будет осуществлять правообладатель программного обеспечения, который одновременно получает доступ к персональным данным работников оператора. Следовательно, поручение на обработку персональных данных должно быть дано именно ему, и в согласии на обработку персональных данных он должен быть указан в качестве такого обработчика.

Если же техническую поддержку будут оказывать и правообладатель, и лицензиат, то в поручении оператора они должны быть указаны оба, равно как и в согласии на обработку персональных данных, поскольку их действия охватываются единой целью: техническая поддержка функционирования программного обеспечения для КЭДО организации-оператора.

Подчеркнем, что в согласии должны быть перечислены все третьи лица, как того требует законодатель, которые будут обрабатывать персональные данные граждан по поручению оператора. Только в этом случае его можно считать конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Закона N 152-ФЗ).

Заметим также, что согласие работника на взаимодействие с работодателем посредством электронного документооборота, предусмотренное ст. 22.2 ТК РФ, в том числе с учетом наличия сведений об информационной системе, с использованием которой работодатель будет осуществлять электронный документооборот, само по себе не означает, что работник дал согласие на передачу его персональных данных третьему лицу, т.к. цели данных согласий различны. Мы не склонны считать, что эти согласия могут быть объединены в одно.

Требования к содержанию согласия на обработку персональных данных зафиксированы в Законе N 152-ФЗ. В частности, в нем должны быть указаны: перечень персональных данных, на обработку которых дается согласие (п. 5 ч. 4 ст. 9 Закона N 152-ФЗ), перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных (п. 7 ч. 4 ст. 9 Закона N 152-ФЗ) и др., что совсем необязательно для согласия на взаимодействие с работодателем посредством КЭДО. К тому же работнику предоставляется право в любой момент отозвать свое согласие на обработку его персональных данных (ч. 2 ст. 9 Закона N 152-ФЗ), в отношении согласия на взаимодействие с работодателем посредством КЭДО закреплено лишь право дать такое согласие. Поэтому объединение этих двух согласий, на наш взгляд, нецелесообразно и может повлечь претензии со стороны контролирующих органов.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Беликова Татьяна

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Амирова Лариса

13 апреля 2024 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
Получить доступ
РЕКЛАМА erid 4CQwVszH9pWwojUA9Q3