Как обезопасить себя с точки зрения предоставления персональных данных 3 лицу? Наша компания входит в группу компаний. Одна из компаний группы является представителем акционера и имеет возможность влиять на все процессы в компании - согласования, документация. Соответственно, имеет доступ к 1 с, где отражены данные сотрудников. Какие соглашения необходимо получить с сотрудниками/представителями акционера, если документально между нами нет юридических отношений?

Персональные данные без согласия работника можно передать третьим лицам, в том числе акционерам и другим юридическим лицам,  только в установленных законом случаях, например в налоговый орган, ПФР и ФСС. В других ситуациях надо получить письменное согласие работника (Абзац 2 ст. 88 ТК РФ, Пункт 4 <Разъяснений> Роскомнадзора).

Т.е. в данной ситуации необходимо взять с работников согласие на передачу их персональных данных третьей стороне  (примерный образец во вложении).

Работодатель обязан предупредить представителей акционера, получающего персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этого лица подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности) (абз. 4 ст. 88 ТК РФ), для этого можно заключить соглашение о неразглашении персональных данных между юридическими лицами (NDA). Обязательных требований к форме и содержанию соглашения нет, примерный образец во вложении.

Обоснование

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).

Таким образом, передача персональных данных является обработкой персональных данных.

Работодатель вправе передавать данные о работнике без его согласия третьим лицам при угрозе жизни и здоровью человека, а также в иных случаях, установленных законом. Во всех остальных случаях сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ).

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом N 152-ФЗ (ст. 7 Закона N 152-ФЗ).

Согласие работника на передачу персональных данных на обработку конкретному третьему лицу - документ, необходимость получения которого возникает, если работодатель передает персональные данные работника третьим лицам
(абз. 2, 3 ст. 88 ТК РФ, ч. 3 ст. 6 Закона N 152-ФЗ).

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ).

В общем случае на каждую передачу персональных данных работника третьим лицам работодателю необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст. 6 Закона N 152-ФЗ). Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.

Также работодатель может в установленном порядке получить от работника согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения. В таком случае работодателю не нужно будет каждый раз получать от работника отдельное согласие (ст. 10.1 Закона N 152-ФЗ).

В согласии работника на обработку его персональных данных конкретным третьим лицом нужно указать, в частности: наименование контрагента, осуществляющего обработку персональных данных (также рекомендуется указать его ИНН, ОГРН), перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, на совершение которых дается согласие, цель их обработки, срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва (ч. 4 ст. 9 Закона N 152-ФЗ).

При оформлении согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в нем, помимо прочего, должны быть указаны: сведения об операторе-организации (операторе-гражданине, являющемся ИП), а также сведения об информационных ресурсах работодателя (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере, и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными работника (Требования, утв. Приказом Роскомнадзора от 24.02.2021 N 18).