В связи с достаточно широкой сферой использования организациями учета данных работников и / или клиентов с использованием сервисов Google (например, Google таблицы и Google формы) поставлен вопрос о правовых основаниях обработки персональных данных соответствующих субъектов.

Общим правовым основанием для обработки персональных данных работников является абзац 8 ст. 6, абзац 3 пункта 2 ст. 8 Закона о защите персональных данных (далее – Закон), не предполагающим получение согласия субъекта на обработку его персональных данных, а именно, обработка персональных данных осуществляется при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством.

Получение согласия, по общему правилу, не требуется и при заключении гражданско-правового договора, в частности, на оказание услуг, выполнение работ, передачу имущества, поскольку правовым основанием в данном случае выступает абзац 15 ст. 6 Закона (если речь идет об обработке общих (не специальных) персональных данных): обработка персональных данных осуществляется при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором.

В январе 2025 года Национальный центр защиты персональных данных (НЦЗПД) в своем официальном Telegram канале разъяснил (публикация доступна по ссылке ), что при использовании сервисов Google оператор осуществляет трансграничную передачу ПД и должен соблюдать требования пункта 1 статьи 9 Закона.

Статья 9. Трансграничная передача персональных данных (извлечение)

1. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:

дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором; …

По мнению регулятора, «при этом невозможно определить, в какую конкретно страну происходит трансграничная передача ПД и, соответственно, будет ли обеспечен надлежащий уровень защиты прав граждан.

В таком случае обработка ПД с использованием данных сервисов возможна на основании согласия субъектов ПД при условии разъяснения им рисков, связанных с трансграничной передачей ПД».

С учетом мнения НЦЗПД, обращаем Ваше внимание на то, что при использовании сервисов Google (иных подобных сервисов) для учета данных работников и клиентов, необходимо получение согласия работника, клиента на обработку их персональных данных с предварительным информированием соответствующих субъектов о рисках, связанных с использованием сервисов с неустановленным конечным местом их хранения (трансграничная передача с допустимостью вероятности передачи данных на территорию государства с ненадлежащим уровнем защиты).

Соответственно, при использовании соответствующих форм учета требуется разработка:

• специального Согласия на обработку персональных данных с использованием конкретного сервиса и

• специального Листа информирования, содержащего информацию о рисках, связанных с трансграничной передачей персональных данных.

Borovtsov & Salei имеет значительный опыт консультирования по вопросам обработки персональных данных и обеспечения мер по защите прав субъектов персональных данных. Мы готовы оказать Вам юридическую поддержку по разработке полного пакета документов, актуализации локальных правовых актов компании, экспертизе действующих договоров с контрагентами, очертить риски, позаботиться о вашей репутации.

«Заботясь о счастье других, мы находим свое собственное» (Платон)