Получение персональных данных

В соответствии с частью 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), при сборе, обработке, хранении и защите персональных данных граждан Российской Федерации, включая использование информационных систем, необходимо обеспечить их обработку исключительно на территории Российской Федерации. Данное требование направлено на обеспечение соблюдения законодательства Российской Федерации и защиту прав субъектов персональных данных.

Исключения из этого правила предусмотрены пунктами 2, 3, 4 и 8 части 1 статьи 6 Закона № 152-ФЗ. Они касаются случаев, когда обработка персональных данных необходима для:

1. Выполнения обязательств, предусмотренных международными договорами Российской Федерации или законодательством Российской Федерации.
2. Участия субъекта в конституционном, гражданском, административном, уголовном или арбитражном судопроизводстве.
3. Исполнения полномочий федеральных органов исполнительной власти, государственных внебюджетных фондов, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, а также организаций, предоставляющих государственные и муниципальные услуги.
4. Осуществления профессиональной деятельности журналиста, законной деятельности средств массовой информации, научной, литературной и иной творческой деятельности, при условии соблюдения прав и законных интересов субъекта персональных данных.

Сбор персональных данных может осуществляться как непосредственно от субъекта данных, так и от третьих лиц. При этом необходимо учитывать ограничения, установленные статьей 10 Закона № 152-ФЗ, касающиеся обработки специальных категорий персональных данных, таких как данные о состоянии здоровья, религиозных убеждениях, расовой принадлежности и других. Обработка таких данных допускается только при наличии письменного согласия субъекта данных или в случаях, предусмотренных законодательством.

В некоторых случаях законодательство предусматривает особые правила сбора персональных данных. Например, согласно пункту 3 статьи 86 Трудового кодекса Российской Федерации, все персональные данные работника должны быть получены непосредственно от него. Перечень персональных данных, подлежащих сбору, должен соответствовать целям обработки, установленным статьей 86 ТК РФ, таким как:

1. Обеспечение соблюдения законов и иных нормативных правовых актов.
2. Содействие работнику в трудоустройстве, получении образования, продвижении по службе.
3. Обеспечение личной безопасности работника.
4. Контроль за количеством и качеством выполняемой работы.
5. Обеспечение сохранности имущества работодателя.

Особенности обработки персональных данных работников работодателем регулируются приказом Федеральной службы по труду и занятости от 11 ноября 2022 года № 253. В частности, в соответствии с данным приказом, работодатель не вправе:

1. Запрашивать информацию о состоянии здоровья работника, за исключением сведений, необходимых для выполнения трудовой функции.
2. Обрабатывать данные о членстве работника в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
3. Обрабатывать специальные категории персональных данных, за исключением случаев, установленных законодательством.
4. Использовать персональные данные оценочного характера, такие как характеристики или данные для аттестации, при условии соблюдения прав работника, предусмотренных статьей 89 ТК РФ.
5. Требовать от работников подтверждения согласия на обработку их персональных данных.

В исключительных случаях, когда персональные данные работника могут быть получены только у третьих лиц, например, у его прежнего работодателя, необходимо уведомить работника об этом и получить его письменное согласие. Для этого составляется документ, в котором указываются:

1. Наименование или ФИО и адрес оператора или его представителя.
2. Цели обработки персональных данных и их правовое основание.
3. Перечень необходимых персональных данных.
4. Предполагаемые пользователи персональных данных.
5. Законные права субъекта персональных данных.
6. Источник получения персональных данных.
7. Последствия отказа субъекта персональных данных от предоставления письменного согласия.

Формы уведомления и согласия на получение персональных данных у третьих лиц нормативными актами не утверждены, поэтому они разрабатываются самостоятельно.

Закон предусматривает случаи, когда уведомление субъекта персональных данных о получении его данных у третьих лиц не требуется. Это возможно, если:

1. Субъект уже был уведомлен об обработке его данных оператором.
2. Данные получены на основании закона или договора, стороной которого является субъект.
3. Обработка данных разрешена субъектом для распространения с соблюдением установленных условий.
4. Данные обрабатываются для статистических или исследовательских целей, а также для профессиональной деятельности журналиста, научной или творческой деятельности.
5. Предоставление данных не нарушает права и законные интересы третьих лиц.