Должна ли централизованная бухгалтерия получать согласие на обработку персональных данных?
Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств.
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись. Обеспечение защиты персональных данных работника – это обязанность работодателя.
Учитывая, что согласно трудовому договору учреждение обязано начислять заработную плату, производя при этом уплату НДФЛ (являясь налоговым агентом), перечислять страховые взносы в ПФР, отдельного согласия на выполнение таких обязанностей, связанных с обработкой персональных данных, не требуется.
Однако если бухгалтерское обслуживание бюджетного учреждения осуществляется централизованной бухгалтерией, то обязательным является получение согласия работника на обработку его персональных данных. Причем такое согласие должно получить как бюджетное учреждение (на передачу персональных данных централизованной бухгалтерии), так и централизованная бухгалтерия (на обработку персональных данных). Ведь работник никаким договором с централизованной бухгалтерией не связан, а наличие договора на бухгалтерское обслуживание, заключенного между бюджетным учреждением и централизованной бухгалтерией, не дает оснований для обработки персональных данных работника без получения его согласия.
Также следует иметь в виду, что в соответствии со ст. 18 Федерального закона "О персональных данных", если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) список предполагаемых пользователей персональных данных;
4) установленные Федеральным законом "О персональных данных" права субъекта персональных данных.
Таким образом, исходя из требований Федерального закона "О персональных данных", можно сделать вывод о том, что централизованная бухгалтерия не имеет права обрабатывать персональные данные работников бюджетных учреждений без получения на то специального письменного согласия в установленной форме. Ведь работник никаким договором с централизованной бухгалтерией не связан. При этом факт наличия договора между обслуживаемым учреждением и централизованной бухгалтерией не дает оснований для обработки персональных данных без получения согласия гражданина.