Как проверить, работает ли в организации сотрудник Кузнецов Артур Петрович, и получить его контакты

Центральная норма, регулирующая раскрытие таких сведений третьим лицам, — ст. 7 Закона о персональных данных. Она прямо запрещает оператору (в данном случае работодателю как организации) раскрывать персональные данные без согласия субъекта, за изъятиями, установленными законом. В описанной ситуации звонящий является третьим лицом, не имеющим ни письменного согласия работника Кузнецова А.П., ни указанных в законе исключений (например, угрозы жизни и здоровью или требования федерального закона, прямо обязывающего предоставить сведения). Поэтому организация обязана отказать в предоставлении информации.

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 7

Более того, Трудовой кодекс Российской Федерации устанавливает специальное правило для отношений работодателя и работника. В силу ст. 88 ТК РФ работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия самого работника. В данной ситуации запрос поступил от третьего лица, письменного согласия Кузнецова А.П. на разглашение ни факта работы, ни его контактов не получено, и ни одно из исключений (угроза жизни и здоровью, случаи, предусмотренные федеральным законом) не наступило.

"не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами"
— Трудовой кодекс Российской Федерации, ст. 88

Даже если бы организация захотела проверить, не давал ли работник согласие на такой запрос, ст. 9 Закона о персональных данных устанавливает обязательные требования к согласию: оно должно быть конкретным, предметным, информированным, сознательным и однозначным. Никакого подтверждения тому, что Кузнецов А.П. заранее выразил волю на раскрытие своих данных неопределённым звонящим, у организации нет. В отсутствие такого документально оформленного согласия (именно письменного, что прямо вытекает из ст. 88 ТК РФ), любое раскрытие будет незаконным.

"1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 9

Общий принцип обработки персональных данных работника, закреплённый в ст. 86 ТК РФ, подтверждает, что все данные следует получать у самого работника. Если же оператор (работодатель) получает запрос от третьего лица, он обязан сначала получить письменное согласие работника. Поскольку такого согласия нет, предоставление информации третьему лицу было бы прямым нарушением этого требования.

"Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты: ... 3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;"
— Трудовой кодекс Российской Федерации, ст. 86

Исключения, при которых обработка персональных данных допускается без согласия субъекта, перечислены в ст. 6 Закона о персональных данных. К ним относятся, например, обработка для исполнения договора, стороной которого является субъект, или для достижения целей, предусмотренных законом. В ситуации запроса случайного третьего лица, не являющегося стороной трудового договора с Кузнецовым А.П. и не имеющего законных полномочий, ни одно из таких оснований неприменимо. Следовательно, согласие работника обязательно, и при его отсутствии обработка (в форме предоставления данных) незаконна.

"1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; ... 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключени"
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 6

На устный запрос, не подтверждённый документально, организация не только вправе, но и обязана отказать. Письменная форма согласия и документальное оформление запроса — мера защиты, предусмотренная законодательством. Отказ в данном случае будет правомерным, а его обоснование — ст. 7 и ст. 9 Закона о персональных данных, а также ст. 88 ТК РФ. Более того, ст. 87 ТК РФ прямо возлагает на работодателя обязанность установить порядок хранения и использования персональных данных, а такой порядок, как правило, включает запрет на предоставление сведений по устным запросам.

"Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов."
— Трудовой кодекс Российской Федерации, ст. 87

В случае неправомерного разглашения персональных данных (например, если бы организация сообщила сведения по телефону), наступает ответственность, установленная ст. 24 Закона о персональных данных и ст. 90 ТК РФ. Статья 24 предусматривает общую гражданско-правовую ответственность, включая возмещение морального вреда, причинённого работнику. Статья 90 ТК РФ уточняет, что нарушители привлекаются к дисциплинарной, материальной, административной и уголовной ответственности. Таким образом, разглашение по устному запросу третьего лица грозит организации и её должностным лицам серьёзными санкциями, что служит дополнительным правовым основанием для отказа.

"Статья 24. Ответственность за нарушение требований настоящего Федерального закона 1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность. 2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 24

"Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами."
— Трудовой кодекс Российской Федерации, ст. 90

Наконец, цель защиты персональных данных, закреплённая в ст. 2 Закона о персональных данных, — охрана прав на неприкосновенность частной жизни. Работник имеет право на конфиденциальность информации о своём трудоустройстве. Организация, отказывая в предоставлении сведений по устному запросу, действует именно в рамках этой цели, защищая права своего сотрудника.

"Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 2