Организация проводит собеседования с кандидатами, откликнувшимися на открытые вакансии. В отношении кандидатов, успешно прошедших собеседование, компания инициирует процедуру background check - проверка достоверности сведений, предоставленных самими кандидатами. Процедуру background check проводят третьи лица - фирмы, с которыми у организации есть договоры об оказании подобных услуг. До передачи данных третьим лицам организация должна согласно действующему законодательству получить согласие каждого кандидата на передачу его персональных данных третьим лицам и их обработку третьим лицом для целей проверки достоверности сведений, предоставленных кандидатом. При этом список фирм не является постоянным. Допустимо ли не перечислять конкретные данные (наименование, ОГРН, адрес) каждой фирмы в форме согласия, а указать: "третьим лицам, которым поручена обработка персональных данных в соответствии с действующими договорами между данными третьими лицами и организацией"? Будет ли такая формулировка нарушением? Обязана ли организация конкретно перечислить третьих лиц? Что делать, если список фирм меняется (добавляются новые организации, истекают или расторгаются договоры со старыми организациями)?

По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных (далее - Согласие) (п. 1 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", далее - Закон N 152-ФЗ). Согласие человека должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Закона N 152-ФЗ).
Конкретность и предметность Согласия обеспечивается тем, что цели обработки персональных данных должны быть четкими, ясно выраженными, обоснованными и понятными. Цель обработки не должна быть сформулирована слишком обобщенно, абстрактно.
Разрешая оператору обрабатывать персональные данные, субъект одобряет его действия лишь в том виде и в том объеме, в котором они изначально запланированы. Согласие не может быть всеобщим. Поэтому, если в процессе обработки персональных данных меняются цели обработки, способы и т.п., оператор должен получить новое Согласие.
Информированность Согласия предполагает, что субъект персональных данных перед дачей Согласия должен получить минимальный набор информации о том, кто собирает персональные данные, в каких целях, о видах обработки, о праве отзыва Согласия и т.п.
Требование однозначности Согласия тесно связано с требованием об информированности и состоит в том, что волеизъявление гражданина должно быть выражено недвусмысленно, совершено посредством четкого утвердительного действия, будь то письменное или устное подтверждение, но ни в коем случае не молчание и не бездействие.
Требования к содержанию такого Согласия изложены в ч. 4 ст. 9 Закона N 152-ФЗ, в числе которых поименовано наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора (далее - обработчик), если обработка будет поручена такому лицу (п. 6 ч. 4 ст. 9 Закона N 152-ФЗ). То есть из текста Согласия обработчик персональных данных должен быть очевиден.
Суды усматривают нарушение Закона N 152-ФЗ в тех случаях, когда из содержания подписанного Согласия невозможно установить наименование или фамилию, имя, отчество и адрес компаний, осуществляющих обработку персональных данных по поручению оператора (смотрите постановление Девятого арбитражного апелляционного суда от 11 февраля 2020 г. по делу N А40-275719/2019).
В постановлении Восьмого арбитражного апелляционного суда от 25 сентября 2018 г. по делу N А75-12786/2017 апелляционная инстанция согласилась с выводами суда первой инстанции в том, что, получая от клиентов обезличенное согласие на обработку персональных данных, не имеющее указания на наименование компаний, осуществляющих рассылку, организацию связи, компаний-партнеров оператора, перечня персональных данных, которые могут быть переданы сторонним лицам для обработки, оператор тем самым нарушает принцип персонифицированного согласия и конкретизации лиц, получивших доступ к персональным данным гражданина, что исключает ответственность получивших эти данные лиц за сохранность информации. Схожий вывод содержится и в постановлении Тринадцатого арбитражного апелляционного суда от 25 февраля 2020 г. по делу N А56-75303/2019.
На этом основании полагаем, что в Согласии должны быть перечислены все третьи лица (наименование или фамилия, имя, отчество и адрес), как того требует законодатель, которые будут проверять достоверность сведений о соискателях по поручению оператора. Только в этом случае его можно считать конкретным, предметным и информированным.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

22 сентября 2022 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.