Новые консультации в системе ГАРАНТ Консалтинг

Прежде всего отметим, что Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) вступил в силу и действует с 26 января 2007 года (ч. 1 ст. 25 Закона N 152-ФЗ этого Закона). Последние изменения в указанный Закон вносились Федеральным законом от 22.02.2017 N 16-ФЗ (далее - Закон N 16-ФЗ) и вступили в силу с 1 марта 2017 года (ст. 3 Закона N 16-ФЗ). Поэтому обращаем Ваше внимание на то, что с 1 июля 2017 года вступает в силу не сам Закон N 152-ФЗ и не изменения к нему, а изменения в ст. 13.11 КоАП РФ, предусматривающую ответственность за несоблюдение требований Закона N 152-ФЗ. Следовательно, каких-либо новых требований к лицу, осуществляющему обработку персональных данных, законодательство с 1 июля 2017 года не предъявляет.
Что же касается ранее существовавших требований, то в первую очередь следует иметь в виду, что в соответствии с ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных может осуществляться только в установленных данной статьей случаях. В частности, п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускает обработку персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Кроме того, обработка персональных данных допускается в случае получения от субъекта персональных данных согласия на их обработку (п. 1 ч. 1 этой же статьи).
По смыслу ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В ч. 4 ст. 9 Закона N 152-ФЗ указано, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, а также перечислены сведения, которые в обязательном порядке должны содержать согласие субъекта персональных данных на их обработку. При этом в качестве формы получения письменного согласия на обработку персональных данных можно рассматривать включение соответствующего пункта в договор или иной документ, если при этом его содержание отвечает установленным законом требованиям к содержанию письменного согласия (смотрите разъяснения Роскомнадзора от 14.12.2012).
В любом случае следует помнить, что доказательства получения согласия субъекта персональных данных на их обработку должен представить сам оператор (ч. 3 ст. 9 Закона N 152-ФЗ)*(1).
Как следует из вопроса, в рассматриваемом случае организация получает от своих клиентов письменное согласие на обработку получаемых от них персональных данных. Тем не менее необходимо учитывать также, что в ч. 2 ст. 5 Закона N 152-ФЗ прямо указано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Это означает, что даже при наличии письменного согласия субъекта персональных данных на их обработку состав получаемых оператором персональных данных сведений, а также пределы их использования должны находиться в четком соответствии с целями обработки, обозначенными в указанном согласии и положении об обработке и защите персональных данных, принятом оператором. Несоблюдение этих требований может повлечь за собой ответственность, предусмотренную ч. 1 ст. 13.11 КоАП РФ (в редакции, вступающей в силу 01.07.2017).
Из вышеизложенного вытекает, что оператор перед сбором персональных данных должен принять и опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (п. 2 ч. 1 и ч. 2 ст. 18.1 Закона N 152-ФЗ). Несоблюдение данного требования повлечет ответственность по ч. 3 ст. 13.11 КоАП РФ (в редакции, вступающей в силу 01.07.2017). Также, учитывая, что в рассматриваемом случае эти данные будут передаваться другому лицу (туроператору), на возможность их передачи и дальнейшего использования туроператором должно быть указано субъекту персональных данных, предоставляющему согласие на их использование (ст. 7, ч.ч. 3 и 4 ст. 18 Закона N 152-ФЗ).
Кроме того, оператор должен предпринимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. При этом состав и перечень таких мер определяются оператором самостоятельно, если иное не предусмотрено законом (ч. 1 ст. 18.1 Закона N 152-ФЗ).
Например, оператор персональных данных своими внутренними документами (например, приказом, распоряжением, должностной инструкцией) может назначить лицо, ответственное за организацию обработки персональных данных (права, обязанности и требования к такому лицу закреплены в ст. 22.1 Закона N 152-ФЗ); применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона N 152-ФЗ, основанные на оценке вреда, который может быть причинен субъектам персональных данных; принять локальные акты, в которых перечисляются предпринимаемые в организации меры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений, а также иные локальные акты по вопросам обработки персональных данных (например, инструкции для сотрудников, касающиеся порядка обработки таких данных, технических требований к системам защиты и т.п.); знакомить своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных (такое ознакомление может подтверждаться, например, подписью работников в соответствующем журнале инструктажа); обеспечивать регулярное проведение контролирующих мероприятий, направленных на оценку соответствия осуществляемой в организации обработки персональных данных требованиям законодательства и локальных актов организации (п.п. 1-6 ч. 1 ст. 18.1 Закона N 152-ФЗ).
В заключение отметим, что обязанность направлять уведомление о начале обработки персональных данных в уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является одной из обязанностей оператора персональных данных (ч. 1 ст. 22 Закона N 152-ФЗ). При этом в ч. 2 ст. 22 Закона N 152-ФЗ приведен исчерпывающий перечень случаев, когда направлять уведомление не нужно. В частности, уведомлять уполномоченный орган не требуется, если персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, при том что эти данные не распространяются, не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).
В основе отношений по возмездному оказанию услуг, в том числе туристических, лежит соглашение сторон или договор (ст. 779 ГК РФ, ст. 9 Федерального закона от 24.11.1996 N 132-ФЗ "Об основах туристской деятельности в Российской Федерации"). Следовательно, обработка персональных данных физических лиц, с которыми турагент заключает соответствующий договор, может осуществляться без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных. Аналогичный вывод содержится в постановлении заместителя Председателя Верховного Суда РФ от 05.08.2011 N 20-АД11-3.
Обращаем внимание, что даже если оператор не обязан уведомлять уполномоченный орган о начале обработки персональных данных, то при получении запроса от территориального органа Роскомнадзора он обязан предоставить необходимую информацию в течение тридцати дней с даты получения такого запроса (ч. 4 ст. 20 Закона N 152-ФЗ). Невыполнение в установленный законом срок подобного требования может повлечь привлечение оператора к административной ответственности по ст. 19.7 КоАП РФ, поскольку право оператора осуществлять обработку персональных данных без уведомления территориального органа Роскомнадзора не освобождает его от исполнения запроса уполномоченного органа в порядке и сроки, предусмотренные законом (смотрите, к примеру, решение Советского районного суда Ханты-Мансийского автономного округа - Югры от 05.03.2013 по делу N 12-36/2013, решение Ломоносовского районного суда г. Архангельска от 10.04.2012 по делу N 12-195/2012).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

28 июня 2017 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Под оператором персональных данных понимается любое лицо или орган, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели их обработки, их состав, действия (операции), совершаемые с ними. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке таких данных (п. 2 ст. 3 Закона N 152-ФЗ).