Новые консультации в системе ГАРАНТ Консалтинг

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ).
К персональным данным (далее - ПДн) согласно п. 1 ст. 3 Закона N 152-ФЗ относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Пункт 2 ст. 3 Закона N 152-ФЗ вводит понятие "оператор персональных данных", под которым понимаются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПДн, а также определяющие цели и содержание обработки ПДн.
Под обработкой ПДн понимаются действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн (п. 3 ст. 3 Закона N 152-ФЗ). Таким образом, лицо признается оператором ПДн в силу самого факта осуществления им деятельности по обработке персональных данных.
В данном случае организация-исполнитель будет являться оператором ПДн по отношению к работникам заказчика и, соответственно, должна выполнять обязанности оператора, предусмотренные главой 4 Закона N 152-ФЗ.
Одной из обязанностей оператора является направление уведомления в уполномоченный орган по защите прав субъектов ПДн*(1) о своем намерении осуществлять обработку ПДн до начала такой обработки (ч. 1 ст. 22 Закона N 152-ФЗ). На основании полученного уведомления уполномоченный орган вносит сведения об операторе в реестр операторов (ч. 4 ст. 22 Закона N 152-ФЗ).
Исключения из этого правила установлены ч. 2 ст. 22 Закона N 152-ФЗ. В частности, оператор вправе без уведомления уполномоченного органа осуществлять обработку ПДн, обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона N 152-ФЗ); полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ); являющихся общедоступными (п. 4 ч. 2 ст. 22 Закона N 152-ФЗ); включающих в себя только фамилии, имена и отчества субъектов ПДн (п. 5 ч. 2 ст. 22 Закона N 152-ФЗ).
В рассматриваемой ситуации организация-исполнитель не состоит с субъектами обрабатываемых ПДн (работниками заказчика) ни в трудовых, ни в гражданско-правовых правоотношениях. Договорные обязательства существуют в данном случае лишь между организацией-исполнителем и организацией-заказчиком. Более того, обработке подвергаются не только фамилии, имена и отчества работников заказчика, но и иные паспортные данные, которые не являются общедоступными, т.е. организация-исполнитель обрабатывает ПДн, которые выходят за рамки сведений, указанных в п.п. 4, 5 ч. 2 ст. 22 Закона N 152-ФЗ.
Следовательно, поскольку организация-исполнитель является оператором ПДн и обработка ею ПДн в приведенной ситуации не подпадает под основания, перечисленные в ч. 2 ст. 22 Закона N 152-ФЗ, она обязана уведомить уполномоченный орган о начале обработки ПДн (смотрите, например, решения арбитражных судов Еврейской автономной области от 29.02.2012 по делу N А16-1292/2011, Архангельской области от 19.03.2012 по делу N А05-14388/2011).
Исключение может иметь место, когда обработка ПДн работников клиентов осуществляется организацией-исполнителем без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн (п. 8 ч. 2 ст. 22 Закона N 152-ФЗ)*(2).
Также отметим, что в соответствии с п. 1 ч. 1 ст. 6 Закона N 152-ФЗ обработка ПДн осуществляется с согласия субъекта ПДн на обработку его персональных данных, за исключением случаев, предусмотренных Законом N 152-ФЗ.
Обработка ПДн работников заказчика имеет свои особенности. Общие требования при обработке ПДн работника и гарантии их защиты установлены в ст. 86 ТК РФ.
Порядок передачи ПДн работников предусмотрен ст. 88 ТК РФ, согласно которой работодатель не должен сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами. Работодатель должен осуществлять передачу ПДн работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.
Заключенный между исполнителем и заказчиком договор влечет сообщение персональных данных работника третьей стороне, что требует, как следует из сказанного выше, письменного согласия работника. Поскольку работодатель обязан соблюдать предусмотренные ст. 88 ТК РФ правила передачи ПДн, именно он и должен получить такое согласие.
Следует иметь в виду, что обязанность по предоставлению доказательств получения согласия субъекта персональных данных на их обработку возлагается законом на оператора (ч. 3 ст. 9 Закона N 152-ФЗ). Поэтому организации-исполнителю необходимо располагать доказательствами получения от работников заказчика письменного согласия на передачу их ПДн.
В частности, в договоре также можно предусмотреть условие о представлении организации-исполнителю надлежаще заверенных копий документов о согласии работников заказчика на передачу их данных.
При этом, наличие согласия субъекта ПДн на обработку его данных не отменяет обязанность оператора по уведомлению уполномоченного органа о начале обработки ПДн.
Кроме того, в силу ч. 3 ст. 18 Закона N 152-ФЗ, если ПДн были получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Законом N 152-ФЗ права субъекта персональных данных.
Таким образом, если организации-исполнителю по договору с заказчиком необходимо обработать ПДн работников заказчика, то до начала их обработки организация-исполнитель должна известить об этом работников заказчика.
Лица, виновные в нарушении требований Закона N 152-ФЗ и норм ТК РФ, регулирующих получение, обработку и защиту ПДн работников, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Ложечникова Елена

Ответ прошел контроль качества

2 августа 2017 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор), в соответствии с Положением о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации от 16.03.2009 N 228.
*(2) Более подробно об этом смотрите Вопрос: Между юридическими лицами заключен договор оказания услуг по техническому обслуживанию оборудования. Заказчик в рамках своего внутреннего регламента запросил информацию по конечным бенефициарам (персональные данные). Может ли исполнитель с письменного согласия субъектов персональных данных передать информацию на бумажном носителе без уведомления уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных? Может ли в данном конкретном случае применяться исключение, предусмотренное п. 8 части 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"? (ответ службы Правового консалтинга ГАРАНТ, январь 2017 г.)