Выясняем, как обрабатывать персональные данные курьеров, чтобы не нарушить нормы действующего законодательства. Узнаете, какие данные и когда становятся персональными, а когда не позволяют идентифицировать человека; как оформить передачу персданных курьера третьим лицам (физическим и юридическим), когда согласие на передачу личной информации не требуется; какая ответственность грозит за нарушение закона; как минимизировать риски при передаче персданных сотрудника. Вы сможете воспользоваться готовым образцом согласия на обработку персональных данных, разрешенных субъектом для распространения, который приведен в статье.
Действительно ли вы передаете персданные курьера клиентам?
Как правило, компании передают клиентам следующие персональные данные работников-курьеров:
- Ф.И.О. или только имя;
- номер телефона;
- номер и марку автомобиля;
- паспортные данные, если необходимо оформление пропуска.
Персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Ф.И.О., возраст, номер телефона работника – все это персональные данные. Таким образом, к персональным данным можно отнести ту информацию, которая позволяет идентифицировать конкретного человека.
При первом прочтении может показаться, что если компания будет сообщать только номер телефона курьера без указания его имени, то передачи персональных данных не будет. Ведь по одному только номеру телефона невозможно идентифицировать человека: непонятен его пол, возраст и т.д.
В настоящий момент по номеру телефона, действительно, непросто найти владельца (т.е. на кого зарегистрирован номер), т.к. данные о владельцах мобильных номеров являются закрытой информацией. Однако Роскомнадзор считает, что принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (письмо от 20.01.2017 № 08АП-6054).
Абонентский номер и адрес электронной почты могут быть признаны персональными данными, если такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Например, абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных (письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).
Согласно Регламенту Европейского Парламента и Совета Европейского Союза от 27.04.2016 № 2016/679 «О защите физических лиц при обработке персональных данных и свободном обращении таких данных» (GDPR), номер телефона относится к уникальным идентификаторам. Международное законодательство разделяет персональные данные на две категории:
- информация, которая является одним из шагов в идентификации человека;
- информация, которая позволяет сразу установить личность человека.
По общему правилу, обе категории информации являются персональными данными, должны защищаться одинаково.
Если использование информации (в нашем случае номера мобильного телефона) в сочетании с дополнительными усилиями может привести к идентификации человека, то первоначальная информация является персональными данными. Использование таких сведений попадает под требования Закона о ПД в части защиты, использования, хранения и передачи.
Некоторые компании не передают личные номера мобильных телефонов курьеров клиентам. Курьеры пользуются служебными номерами или используют зашифрованные временные номера. В таком случае клиенту сообщают только имя курьера. При этом передачи персональных данных не происходит, т.к. одно только имя не позволяет идентифицировать человека.
А вот предоставление полных сведений о Ф.И.О. и номере личного телефона, а также паспортных данных сотрудника уже относится к передаче персональных данных курьера третьим лицам.
Как оформить передачу персданных курьера третьим лицам
Компании, которая сотрудничает с курьерами, необходимо оформить два согласия на обработку персональных данных:
-
общее (типовое) – как работника или как лица, с которым заключен гражданско-правовой договор;
-
отдельное – на распространение персональных данных.
Напомним, под обработкой персональных данных понимается любое действие (операция) или их совокупность, совершаемые с использованием (или без) средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о ПД).
Распространение персональных данных является одним из элементов обработки и представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона о ПД). Также в Законе о ПД есть термин предоставление персональных данных – это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Закона о ПД).
Передача персональных данных курьера клиентам (иным контрагентам) относится к распространению персональных данных, т.к. заранее неизвестен круг лиц, которому данная информация будет передана.
По общему правилу, обработка персональных данных допускается с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона о ПД). Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (ст. 7 Закона о ПД). В соответствии с ч. 1 ст. 9 Закона о ПД согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным.
Согласие на обработку персональных данных для распространения оформляется отдельно от иных согласий субъекта персональных данных (п. 1.1 ст. 3, ст. 10.1 Закона о ПД).
Требования к содержанию согласия на распространение персональных данных устанавливаются Роскомнадзором (ч. 9 ст. 9 Закона о ПД). Такие требования утверждены приказом Роскомнадзора от 24.02.2021 № 18. В частности, согласие должно содержать:
1) Ф.И.О. субъекта персональных данных;
2) его контактную информацию (номер телефона, адрес электронной почты или почтовый адрес);
3) сведения об операторе-организации (наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН);
4) сведения об информационных ресурсах оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персданными работника, например данные сайта (адрес), приложения, посредством которых клиентам будет передаваться контактная информация о курьере;
5) цель обработки персональных данных (осуществление взаимодействия между клиентом компании и сотрудником, выполнение сотрудником своей трудовой функции по доставке товара, груза в определенное место);
6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
- общие персональные данные (Ф.И.О., год, месяц, дата рождения, место рождения, адрес, профессия, другая информация, относящаяся к субъекту персданных);
- специальные категории персональных данных (в том числе расовая, национальная принадлежность, состояние здоровья, сведения о судимости);
- биометрические персональные данные;
7) категории и перечень персональных данных, для обработки которых субъект персданных устанавливает условия и запреты. Например, курьер может запретить передавать информацию о его дате рождения или запретить сообщать его паспортные данные, но в таком случае он не сможет выполнять заказы, которые требуют предоставления данных сведений;
8) условия, при которых указанные персданные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;
9) срок действия согласия.
На практике возможна ситуация, когда работник-курьер откажется подписывать согласие на распространение его персональных данных. Некоторые работодатели перед подписанием трудового договора подстраховываются и просят будущего работника заранее подписать такое согласие, если же он этого не делает, то трудовой договор не заключается. Однако надо помнить, что работник может отозвать свое согласие в любое время и тогда распространение персональных данных должно быть прекращено (ч. 12 ст. 10.1 Закона о ПД).
Мнение эксперта
Наталья Цуркан, канд. юрид. наук, юрист по трудовому праву, кадровый аудитор, основатель онлайн-школы «Трудсити»
Ошибочно полагать, что в данной ситуации применимо правило, согласно которому, если обработка персональных данных работника необходима для выполнения трудовой функции, работодатель может их обрабатывать без согласия работника.
Напомним, без согласия работника работодатель может передавать его персональные данные третьим лицам только в строго установленных законом случаях, в частности, в целях предупреждения угрозы жизни и здоровью работника, уплаты налогов, передачи сведений для индивидуального (персонифицированного) учета (ст. 88 ТК РФ, ст. 6 Закона о ПД). В остальных случаях требуется получить письменное согласие работника на передачу его персональных данных.
Одной из форм передачи персональных данных является их распространение, то есть раскрытие третьим лицам, которые не определены заранее (ст. 3 Закона о ПД). Для такой передачи (распространения) персональных данных необходимо получить согласие работника.
Передача персональных данных курьера заказчикам является распространением его персональных данных и требует получения согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Требования к форме и содержанию такого согласия установлены упомянутым выше приказом Роскомнадзора от 24.02.2021 № 18.
Также важно подчеркнуть, что наличие либо отсутствие персональных данных курьера никак не влияет на выполнение заказа. В случае если работник-курьер отказывается предоставлять согласие на распространение своих персональных данных, работодатель должен обеспечить выполнение заказа (трудовой функции такого работника) без передачи (распространения) его персональных данных третьим лицам. Возможными способами решения этой проблемы могут быть: выдача рабочего телефона для связи, замена персональных данных специальными кодами-идентификаторами, по которым только работодатель сможет идентифицировать работника и контролировать выполнение заказа (работником его трудовой функции).
Увольнение работника, который отказывается давать согласие на обработку (распространение) персональных данных, незаконно. Подобное основание для увольнения не предусмотрено ТК РФ.
Ответственность за передачу персданных курьера без получения его согласия
Если компания-работодатель не получила отдельного согласия на распространение персональных данных курьера, но осуществила их передачу третьему лицу, то она будет нести административную ответственность.
Обработка персональных данных без письменного согласия субъекта влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):
- на должностных лиц – от 100 000 до 300 000 руб.;
- юридических лиц – от 300 000 до 700 000 руб.
Повторное совершение правонарушения грозит штрафом должностному лицу до 500 000 руб., а организации – до 1,5 млн руб. (ч. 2.1 ст. 13.11 КоАП РФ).
Срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет 1 год со дня совершения административного правонарушения (ч. 1 ст. 4.5 КоАП РФ).
Причиненный вследствие нарушения прав субъекта персональных данных моральный вред может подлежать возмещению, если такое требование будет им заявлено.
В заключение приведем образец согласия на распространение персональных данных.
Пример. Согласие на распространение персональных данных
