Принятие поправок в 242-ФЗ привело к огромному количеству непонятных пока ситуаций с обработкой ПДн в иностранных компаниях, имеющих в России свои представительства (хотя на представительства ФЗ-152 и не распространяется) и юридические лица. Одной из таких ситуаций, которая касается всех без исключения иностранцев, является обработка ПДн работников. Можно или нельзя передавать ПДн работников в штаб-квартиру, например, для хранения в центральной HR-системе (если она центральная, а не локальная)? А если сотрудника отправляют на обучение или просто в командировку и его ПДн передаются за пределы РФ? А работа систем контроля доступа в офисы компании по всему миру? Ситуаций много, а ответов ФЗ-242 в явном виде не дает? Или дает?..
Вот что считает государственной орган исполнительной власти, уполномоченный определять государственную политику в области обработки персональных данных:
Здраво, по делу и в полном соответствие с буквой закона!
Уважаемый Алексей, большое спасибо за предоставленный документ!
По возможности, очень Вас прошу также поделиться полным ответом из Роскомнадзора, который Вы демонстрировали на встрече в AEB 27.01.
Заранее спасибо. С уважением, Наталья Медведева
Наталия, по полному ответу я уже в АЕБ говорил. Получу добро — выложу целиком. Не получу — буду цитировать (на это у меня есть разрешение).
спасибо! очень надеемся.
Вы не могли бы пожалуйста про дублирующие базы процитировать?
А напиши мне письмо 🙂
А если формально работодатель — зарегистрированное в России ООО, трудовой договор заключён с российским ООО, что тогда? Где хранить ПДн сотрудников?
Артем, а какая разница?
Разница в том, что взаимоотношения "российский сотрудник — головная компания в Сан-Франциско" уже выходят за рамки трудового договора, так как трудовой договор заключен с российской дочкой а не с иностранной компанией. Так ведь?
Но данные-то хранятся там
Именно.
Ответ, который Вы привели, распростроняется только на те (иностранные) организации, с которыми сотрудник заключил трудовой договор. Вариант, когда сотрудник заключает ТД с "местной" дочкой в виде ООО, получается, остался за бортом. Так?
Почему за бортом-то? Не могу понять твою логику.
Из Вашей статьи: "На работодателя не распростроняется ч.5 ст.18 152-ФЗ".
Работодатель — дочка ООО, зарегистрированная в России. Головная компания, соответственно, не работодатель (так как не является стороной ТД).
То есть на головную компанию распростроняется ч.5 ст.18 152-ФЗ. Правильно?
Вот ты зануда 🙂 Не распространяется ограничение по запрету хранения ПДн работника на данный вид обработки ПДн
Алексей, поясните (как говорится, разжуйте) все-таки, почему не распространяется ч.5 статьи 18 152-ФЗ на головной офис международной компании, который находится за пределами РФ. А трудовой договор связывает Российскую дочку (ООО) и работника. Каким образом связаны головной офис и работник, если между ними нет трудового договора?
Потому что головной офис вообще находится вне юрисдикции России. И вся тема имеет смысл только, когда российская дочка передает данные в головной офис. Вот тут ФЗ-242 играет в полной мере, но только применительно к российской дочке
Алексей, правильно я понимаю, что при передаче информации о сотрудниках, равно как и заполнение данных сотрудника, напрямую в HR систему головного офиса работниками отдела кадров Российского офиса, идет речь о трансграничной передаче, а не о хранении данных за рубежом?
Неправильно. Речь идет и о хранении и о трансграничке
Алексей! А как быть с персональными данными покупателей физических лиц, необходимых для формирования счета -фактуры? …
А также персональными данными физических лиц при зачислении безналичных сумм на банковские счета (командировочные, ссуды и т.п) ведь указывть имя фамилию отчетсво полностью это требование банка которое ссылается на какой-другой ФЗ. Получается российская "дочка" доджна попасть под ст.2 исключения или я не права?
Любопытно было бы все же текст исходного запроса и полный ответ увидеть…
Из цитаты следует, что требования к хранению и обработке ПДн сотрудников на территории РФ по ФЗ-242 не работает для ЛЮБЫХ организаций (и физлиц-работодателей тоже), а не только дочек/представительств инофирм, так как
обязанность обработки ПДн сотрудников возложена на нее законодательством РФ. А для этого случая законом предусмотрено исключение (п2 ч.1 ст.6 152-ФЗ).
То есть любая фирма может отправлять данные сотрудников в головную организацию/внешний забугорный хостинг и хранить/обрабатывать эти данные там.
Может Государство обяжет отдельным ФЗ коммерческие фирмы обрабатывать данные клиентов? тогда все фирмы выйдут из под требования по хранению ПДн только на территории РФ 🙂
Нашел полный текст в соседнем посте.
Общий вывод остается тот же — Роскомнадзор как регулятор считает, что ограничения по размещению баз данных ПДн исключительно на территории РФ не распространяется на базы данных сотрудников ЛЮБЫХ работодателей.