Вы на портале
Персональные данные

Обработка персональных данных в организации: практические ситуации

В связи со вступлением в силу Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) на практике возникает множество вопросов, касающихся обработки персональных данных работников и участников хозяйственного общества. Рассмотрим следующие ситуации из жизни организации:

1. Работа управляющего с персональными данными работников и участников общества. 

2. Ведение обществом списка аффилированных лиц.

3. Передача персональных данных работников общества страховой организации для заключения договора о добровольном страховании медицинских расходов.

4. Трансграничная передача персональных данных при направлении работников в командировку за границей.

Городник Матвей
Городник Матвей

Старший юрист юридической фирмы Art Legal

6581 Shape 1 copy 6Created with Avocode.

Cодержание:

Ситуация 1. Функции единоличного исполнительного органа в организации выполняет управляющий — индивидуальный предприниматель, действующий на основании устава и гражданско-правового договора. Управляющий в процессе работы, то есть для выполнения своих обязанностей, обрабатывает персональные данные работников и участников организации, в том числе подписывает приказы, трудовые, гражданско-правовые договоры и другие документы, которые содержат персональные данные работников, участников организации.

Ситуация 2. Общество ведет список аффилированных лиц, который является одним из документов общества и должен храниться по месту нахождения исполнительного органа (юридическому адресу) организации.

Ситуация 3. Общество заключило договор о добровольном страховании медицинских расходов работников и предоставляет страховой компании списки работников, где указаны их фамилия, имя, отчество, дата рождения, адрес регистрации, должность.

Ситуация 4. В процессе трудовой деятельности работников направляют в командировку за границу, в том числе в страны, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Перед направлением в командировку для целей бронирования номера в гостинице или аренды квартиры арендодателю предоставляются списки работников с указанием фамилии, имени, паспортных данных и пр.


Ситуация 1:

Функции единоличного исполнительного органа в организации выполняет управляющий — индивидуальный предприниматель, действующий на основании устава и гражданско-правового договора.
Управляющий в процессе работы, то есть для выполнения своих обязанностей, обрабатывает персональные данные работников и участников организации, в том числе подписывает приказы, трудовые, гражданско-правовые договоры и другие документы, которые содержат персональные данные работников, участников организации.

Вопросы:

1. Является ли управляющий уполномоченным лицом организации (оператора)? 

2. Нужно ли оформлять с управляющим договор на обработку персональных данных как с уполномоченным лицом в соответствии с п. 1 ст. 7 Закона?

3. Нужно ли у работников, участников общества брать согласие на передачу их персональных данных управляющему?

Анализ ситуации

В рассматриваемом случае управляющий является по отношению к организации (оператору) уполномоченным лицом по обработке персональных данных. 

Согласно определению, изложенному в ст. 1 Закона, уполномоченным является лицо, которое на основании договора обрабатывает персональные данные от имени оператора или в его интересах.

Справочно.
Уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ст. 1 Закона).

Так, управляющий осуществляет обработку персональных данных от имени оператора и на основании договора с ним, то есть как уполномоченное лицо.

Отдельный договор на обработку персональных данных с управляющим оформлять не требуется, поскольку зафиксировать все обязательные в соответствии с п. 1 ст. 7 Закона условия можно в уже действующем договоре с управляющим путем заключения дополнительного соглашения к нему.

Брать согласие у работников, участников организации на передачу их персональных данных управляющему не нужно.

Если на основании договора обработка персональных данных работников от имени организации (оператора) и в ее интересах поручена третьему лицу (уполномоченному лицу) (например, для ведения кадрового, бухгалтерского учета), то оператор и уполномоченное лицо обязаны соблюдать требования ст. 7 Закона. 

Если не требуется получение оператором согласия на обработку персональных данных работников, так как обработка осуществляется на ином правовом основании, предусмотренном Законом, то, следовательно, и не требуется получение согласия на привлечение к обработке уполномоченного лица. Данное мнение подтверждается п. 2.9 Рекомендаций Национального центра защиты персональных данных об обработке персональных данных в связи с трудовой (служебной) деятельностью от 18.01.2022 (далее — Рекомендации НЦЗПД).

Справочно.
С Рекомендациями НЦЗПД можно ознакомиться по короткой ссылке bit.ly/3uTuXvW.

Полагаем, что в рассматриваемой ситуации управляющий обрабатывает персональные данные работников на основании абз. 8 ст. 6 Закона, то есть для оформления трудовых отношений и в процессе трудовой деятельности работников.

Однако необходимо помнить о ряде случаев взаимоотношений между нанимателем и работником, которые не основаны непосредственно на исполнении трудовых обязанностей (например, участие работников в общественной жизни организации, спортивных, культурно-массовых мероприятиях, организация добровольного медицинского страхования, посещение бассейна и т.п.). В таких ситуациях основание, предусмотренное абз. 8 ст. 6 Закона, не может быть использовано, и требуется получать согласие субъекта персональных данных.

Что касается персональных данных участников организации, то согласие на их передачу управляющему, как и на иную обработку, может потребоваться только тогда, когда неприменимы иные основания для обработки, предусмотренные Законом или иными законодательными актами. Зачастую персональные данные участников обрабатываются на основании абз. 20 ст. 6 Закона, то есть когда это необходимо для выполнения организацией обязанностей (полномочий), предусмотренных законодательными актами.

Резюме: Управляющий является уполномоченным лицом организации, поэтому в договоре с ним следует зафиксировать все обязательные в соответствии с п. 1 ст. 7 Закона условия. 

Получать согласие работников, участников общества на обработку персональных данных уполномоченным лицом по общему правилу не требуется.


Ситуация 2:

Общество ведет список аффилированных лиц, который является одним из документов общества и должен храниться по месту нахождения исполнительного органа (юридическому адресу) организации.

Вопрос:

Нужно ли получать согласие на обработку персональных данных у аффилированных лиц (субъектов персональных данных): учредителей, их родственников, руководителя и его родственников и пр.?

Анализ ситуации

Согласие получать необходимости нет, поскольку ведение списка аффилированных лиц, а также его хранение наряду с иными документами по месту нахождения исполнительного органа либо в ином месте, определенном законодательными актами, является обязанностью общества, предусмотренной законодательством.

Справочно.
Обязанности по ведению и хранению списка аффилированных лиц закреплены в абз. 19 ч. 1, ч. 2 ст. 63 Закона Республики Беларусь от 09.12.1992 № 2020-XII «О хозяйственных обществах».

Следовательно, применяется особое основание для обработки персональных данных аффилированных лиц без получения их согласия, а именно абз. 20 ст. 6 Закона, то есть когда обработка необходима для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

В противном случае может возникнуть ситуация, когда при отказе от дачи такого согласия аффилированным лицом общество фактически не сможет оформить список аффилированных лиц, чем нарушит нормы действующего законодательства.

Резюме: Получать согласие на обработку персональных данных аффилированных лиц для целей ведения соответствующего списка не требуется.


Ситуация 3:

Общество заключило договор о добровольном страховании медицинских расходов работников и предоставляет страховой компании списки работников, где указаны их фамилия, имя, отчество, дата рождения, адрес регистрации, должность.

Вопросы:

1. Будет ли страховая организация являться по отношению к обществу (оператору) уполномоченным лицом? 

2. Нужно ли оформлять со страховой компанией договор на обработку персональных данных как с уполномоченным лицом в соответствии с п. 1 ст. 7 Закона?

3. Нужно ли брать у работников согласие на передачу их персональных данных страховой компании?

Анализ ситуации

При заключении договора добровольного страхования медицинских расходов между обществом (в отношении его работников) и страховой организацией каждая из сторон осуществляет обработку персональных данных работников и является независимым оператором.

Справочно.
Оператором является лицо, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных (абз. 8 ст. 1 Закона).

Соответственно, у каждого оператора должно быть правовое основание для такой обработки.

Необходимо учитывать, что обеспечение добровольного медицинского страхования не основано непосредственно на трудовых отношениях нанимателя и работника (см. Рекомендации НЦЗПД). Это означает, что в данной ситуации обществу необходимо использовать иные правовые основания для обработки персональных данных, предусмотренные ст. 6 Закона.

Правовым основанием для предоставления обществом персональных данных своих работников страховой организации в целях заключения договора добровольного медицинского страхования может быть, например, заявление работника (абз. 16 ст. 6 Закона).

Правовым основанием для обработки персональных данных застрахованных лиц страховой организацией в целях исполнения договора добровольного медицинского страхования, заключенного между страховой организацией и обществом, должно быть согласие субъекта персональных данных. Его необходимо получить страховой компании до заключения такого договора с обществом.

Как следствие, учитывая, что страховая организация в рассматриваемом случае является не уполномоченным лицом, а оператором, заключение договора в соответствии с п. 1 ст. 7 Закона не является обязательным.

Резюме: Страховая организация является самостоятельным оператором, а не уполномоченным лицом общества.

Со страховой компанией не нужно заключать договор на обработку персональных данных как с уполномоченным лицом.

Обществу требуется получать согласие работников или использовать иное правовое основание для передачи их персональных данных страховой компании.


Ситуация 4:

В процессе трудовой деятельности работников направляют в командировку за границу, в том числе в страны, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.
Перед направлением в командировку для целей бронирования номера в гостинице или аренды квартиры арендодателю предоставляются списки работников с указанием фамилии, имени, паспортных данных и пр.

Вопрос:

Является ли такая обработка персональных данных трансграничной передачей и нужно ли в этом случае получать согласие работника?

Анализ ситуации

Согласно абз. 14 ст. 1 Закона трансграничной передачей персональных данных является передача персональных данных на территорию иностранного государства.

Справочно.
Перечень стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, установлен приказом Национального центра защиты персональных данных от 15.11.2021 № 14 «О трансграничной передаче персональных данных» (далее — приказ НЦЗПД № 14).
В него входят государства — члены Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 г.

В рассматриваемом случае на территорию иностранного государства передаются фамилия, имя, паспортные данные работников, то есть персональные данные. Следовательно, осуществляется их трансграничная передача.

В п. 1 ст. 9 Закона изложен перечень случаев, когда допускается передача персональных данных на территории государств, в которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Такого основания, как обработка персональных данных в связи с трудовой деятельностью субъекта персональных данных, указанная норма не предусматривает.

Таким образом, для трансграничной передачи персональных данных работников, направляемых в командировку, требуется иное правовое основание из п. 1 ст. 9 Закона, например согласие работника или разрешение Национального центра защиты персональных данных.

Справочно.
Порядок выдачи разрешения на трансграничную передачу персональных данных установлен приказом НЦЗПД № 14.

Как альтернативный вариант можно рассмотреть возможность не передавать данные работника арендодателю, а предоставить сотруднику возможность самому передать такие сведения. Например, работник сам забронирует место проживания и оплатит его, а наниматель произведет компенсацию.

Резюме: Передача персональных данных работников за границу в целях организации командировки является трансграничной. Для осуществления такой передачи необходимо одно из правовых оснований, предусмотренных п. 1 ст. 9 Закона.

6581 Shape 1 copy 6Created with Avocode.
Последнее
по теме