Письмо Роскомнадзора от 14.03.2025 года № 08-119850
Компания-работодатель может с согласия работника поручить обработку его персональных данных другому лицу, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ. На практике это не редкость при ведении кадрового, бухгалтерского учета «аутсорсерами».
Роскомнадзором отмечено, что делегирование работодателем (оператором) таких полномочий предполагает оформление соответствующего поручения в виде договора с аутсорсером. При этом в поручении на обработку персональных данных важно предусмотреть ( Закона № 152-ФЗ):
- перечень персональных данных, действий по обработке персданных и цели их обработки;
- обязанность лица, которое обрабатывает персональные данные, соблюдать конфиденциальность этих данных, а также иные обязательные требования (использование баз данных, находящихся в РФ, для записи, систематизации, накопления, хранения, уточнения, извлечения персданных граждан РФ и др.);
- обязанность лица, которое обрабатывает персданные, по запросу оператора персональных данных предоставлять документы и информацию, подтверждающие выполнение обязательных требований;
- обязанность обеспечивать безопасность персданных при их обработке;
- требования к защите обрабатываемых персданных, об уведомлении оператора о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных.
Также в рассматриваемой ситуации работодателю необходимо получить согласие работников на передачу их персональных данных. Оно оформляется в виде отдельного документа, отвечающего требованиям Закона № 152-ФЗ.
ПРОСТО АУДИТ!
