Доступ к полной
Интернет-версии ГАРАНТА
бесплатно на 3 дня
заказать

Новые консультации в системе ГАРАНТ Консалтинг

Гражданское право

01.08.2019
ВОПРОС:
Организация устанавливает в образовательных организациях (преимущественно общеобразовательных учреждениях) в целях безопасности, а также в целях автоматизации учебного процесса аппаратно-программный комплекс (далее - Система, также - Система Контроля), представленный несколькими программными модулями (электронная проходная, электронная столовая, электронный журнал, электронный дневник) и функционирующий с применением электронной карты (идентификатора держателя карты в Системе).
Организация предоставляет комплекс услуг общеобразовательным учреждениям (ОУ) в рамках соответствующего договора (техническое обслуживание турникетов, техническая поддержка ПО и т.д.) и комплекс услуг родителям в рамках соответствующего отдельного договора (предоставление информации о входе/выходе обучающегося в/из ОУ, о приобретенном обучающимся питании, об успеваемости и т.д.).
По договору между организацией и ОУ за ОУ закреплена обязанность централизованно формировать и передавать организации в электронном виде в согласованном формате списки обучающихся и сотрудников в целях изготовления электронных карт с обязательным заполнением всех столбцов шаблона: порядковый номер, фамилия, имя, отчество, дата рождения, номер и буква класса, должность (для Сотрудника ОУ) с обязательным указанием наименования образовательного учреждения, Ф. И. О. и должность исполнителя, ответственного за формирование списков.
Организация и образовательная организация взаимодействуют и исполняют свои обязанности, имея каждая своё письменное согласие от родителей на обработку персональных данных родителей и обучающихся. Так, организация получает письменное согласие родителей на обработку персональных данных родителей и обучающихся в рамках своих договорных отношений. В свою очередь, ОУ также получает письменное согласие родителей на обработку ОУ персональных данных родителей и обучающихся.
Как правильно с соблюдением требований действующего законодательства РФ оформить передачу ОУ организации в электронном виде в согласованном формате списков обучающихся и сотрудников в целях изготовления электронных карт? Будет ли такая передача персональных данных ОУ организации правомерна, если родители будут давать ОУ оформленное отдельное самостоятельное согласие на передачу отдельных персональных данных в рамках договорного взаимодействия ОУ и организации?
Как правильно должна быть осуществлена процедура передачи персональных данных в электронном виде?
ОТВЕТ:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, признаются их обработкой (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).
Оператором персональных данных, как следует из п. 2 ч. 1 ст. 3 Закона N 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
Таким образом, и образовательная организация, и организация, предоставляющая комплекс услуг общеобразовательным учреждениям (далее - Организация), в силу закона являются операторами персональных данных и должны соблюдать требования законодательства о персональных данных.
По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных*(1) (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ), а в отсутствие такого согласия - только в случаях, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Приведенные нормы корреспондируются и с положениями ст. 7 Закона N 152-ФЗ, в силу которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Так, образовательная организация в целях оказания образовательных услуг вправе обрабатывать персональные данные обучающихся без их согласия, например, на основании п.п. 2, 5 ч. 1 ст. 6 Закона N 152-ФЗ. Однако для передачи персональных данных сторонней организации (третьему лицу) необходимо письменное согласие субъекта персональных данных или его представителя.
Обратим внимание, что закон не запрещает оператору персональных данных с согласия субъекта поручать обработку конфиденциальной информации третьему лицу*(2) (ч. 3 ст. 6 Закона N 152-ФЗ), основными характеристиками которого являются: во-первых, наличие самостоятельной правосубъектности, то есть это лицо должно быть юридически независимым по отношению к оператору, и, во-вторых, обработка персональных данных таким лицом должна осуществляться в интересах оператора. Полагаем, что в рассматриваемом случае организация, которая по поручению оператора будет устанавливать в образовательных организациях в целях безопасности, а также в целях автоматизации учебного процесса аппаратно-программный комплекс, представленный несколькими программными модулями (электронная проходная, электронная столовая, электронный журнал, электронный дневник) и функционирующий с применением электронной карты (идентификатора держателя карты в Системе), становится подобным обработчиком.
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку, поскольку ответственность перед гражданином за действия этого лица несет сам оператор, а обработчик, в свою очередь, отвечает непосредственно перед оператором (ч.ч. 2, 5 ст. 6 Закона N 152-ФЗ). При этом порядок взаимодействия оператора и обработчика в части процедуры передачи персональных данных должен быть определен соглашением сторон с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. N 1119.
В ч. 3 ст. 6 Закона N 152-ФЗ перечислены условия, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Так, в поручении должен быть приведен перечень действий (операций) с персональными данными, которые будут совершаться обработчиком; определены цели обработки; установлены обязанности обработчика соблюдать конфиденциальность персональных данных и обеспечивать их безопасность с указанием требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ. Отсутствие хотя бы одного из этих условий может быть квалифицировано как нарушение законодательства о персональных данных (постановление ФАС Северо-Западного округа от 29.04.2013 по делу N А44-5910/2012).
Таким образом, в отношениях с образовательной организацией Организация будет выступать в роли обработчика персональных данных или лица, действующего по поручению оператора и в его интересах.
Однако по отношению к родителям обучающихся, с которыми Организация заключает договоры на оказание информационных услуг, она приобретает статус оператора персональных данных и несет самостоятельную ответственность за соблюдение законодательства в сфере защиты персональных данных. В рамках существования договорных отношений Организация может обрабатывать персональные данные несовершеннолетних в отсутствие письменного согласия (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ) в том объеме, в котором это необходимо для целей исполнения договорных обязательств, соблюдая при этом принципы обработки персональных данных (ст. 5 Закона N 152-ФЗ) и режим конфиденциальности, установленный ст. 7 Закона N 152-ФЗ. При этом если обработка персональных данных не подпадает под исключения, перечисленные в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ, то получение письменного согласия субъекта или его представителя обязательно для оператора.

К сведению:
Смотрите Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

12 июля 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает его законный представитель (ч. 6 ст. 9 Закона N 152-ФЗ). В отношении несовершеннолетних граждан таковыми являются родители (усыновители), опекуны, попечители (ст. 64 СК РФ, ст.ст. 26, 28 ГК РФ).
*(2) Смотрите Примерную форму договора поручения на обработку персональных данных третьим лицом.

 

Все консультации данной рубрики