Новые консультации в системе ГАРАНТ Консалтинг
Гражданское право
-
17.10.2017
- В адрес ООО из Управления Роскомнадзора поступило письмо о предоставлении сведений, в котором указано, что при реализации полномочий Управлением Роскомнадзора были выявлены признаки деятельности, предполагающие обработку ООО персональных данных, в связи с чем ООО является оператором, осуществляющим обработку персональных данных. Сославшись на ч. 1 ст. 22 Федерального закона от 27.08.2006 N 152-ФЗ "О персональных данных", Управление Роскомнадзора заявило об обязанности ООО уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Между тем ООО осуществляет обработку персональных данных только в рамках трудового законодательства, а также для открытия расчетного счета в банк были переданы персональные данные директора и главного бухгалтера, оформлены зарплатные карты.
Обязано ли ООО направить уведомление в Управление Роскомнадзора до начала обработки персональных данных?
Действительно, по общему правилу, установленному частью 1 ст. 22 Федерального закона от 27.08.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Соответствующим органом в настоящее время является Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства РФ от 16.03.2009 N 228).
Согласно ст. 3 Закона N 152-ФЗ под оператором персональных данных понимаются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; а обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Каждый работодатель, в силу требований законодательства, в любом случае обязан собирать, хранить, передавать персональные данные, то есть вести их обработку. В связи с этим на практике он признается оператором персональных данных независимо от прочих обстоятельств (смотрите, например, постановление Четвертого арбитражного апелляционного суда от 01.10.2012 N 04АП-3907/12, решение Центрального районного суда г. Сочи от 02.03.2012 N 12-40/2012, решение Арбитражного суда Еврейской автономной области от 22.02.2012 N А16-1291/2011, решение Северодвинского городского суда Архангельской области от 26.02.2015 N 12-207/2015, решение Чкаловского районного суда г. Екатеринбурга Свердловской области от 26.03.2015 N 12-57/2015)*(1).
Таким образом, требование части 1 ст. 22 Закона N 152-ФЗ распространяется в том числе и на работодателей. Вместе с тем частью 2 ст. 22 Закона N 152-ФЗ установлен перечень случаев, когда оператор персональных данных не обязан уведомлять Роскомнадзор об обработке персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона N 152-ФЗ). Необходимо обратить внимание, что из буквального толкования данной нормы следует, что ее действие распространяется не на все случаи обработки работодателем персональных данных работников, а лишь на те, которые прямо предусмотрены трудовым законодательством (сравните с редакцией п. 1 ч. 2 ст. 22 Закона N 152-ФЗ, действовавшей до 30.06.2011). Иными словами, сам по себе факт наличия между субъектом персональных данных и оператором трудовых отношений не освобождает последнего от обязанности по уведомлению Роскомнадзора об обработке персональных данных. Необходимо, чтобы обработка таких данных была предусмотрена трудовым законодательством (постановление Ейского городского суда Краснодарского края от 22.05.2013).
В связи с этим необходимо отметить, что п. 1 части первой ст. 86 ТК РФ предусматривает, что обработка персональных данных возможна, в частности, в целях обеспечения соблюдения законов и иных нормативных правовых актов. Так, например, обязанность работодателя по передаче персональных данных работников соответствующим военным комиссариатам для целей ведения воинского учета, Пенсионному фонду РФ для целей ведения индивидуального (персонифицированного) учета прямо предусмотрена действующим законодательством (пп. 3 п. 2 ст. 12 Федерального закона от 16.08.1999 N 165-ФЗ "Об основах обязательного социального страхования", п. 7 ст. 8 Федерального закона от 28.03.1998 N 53-ФЗ "О воинской обязанности и военной службе", п. 32 Положения о воинском учете, утвержденного постановлением Правительства РФ от 27.11.2006 N 719). Следовательно, такая передача персональных данных, по нашему мнению, не приводит к возникновению у работодателя обязанности по уведомлению Роскомнадзора об обработке персональных данных.
Вместе с тем посредничество работодателя при получении (оформлении) работниками зарплатных банковских карт законодательством не предусмотрено и носит гражданско-правовой характер, то есть выходит за рамки урегулированных трудовым законодательством отношений. Ведь трудовым законодательством установлена только обязанность работодателя выплачивать в полном размере причитающуюся работнику заработную плату (часть вторая ст. 22 ТК РФ) в месте выполнения им работы либо перечислять ее на указанный работником счет в банке на условиях, определенных коллективным договором или трудовым договором (часть третья ст. 136 ТК РФ). Следовательно, на передачу работодателем персональных данных работников кредитным организациям непосредственно с целью оформления зарплатных карт действие нормы п. 1 ч. 2 ст. 22 Закона N 152-ФЗ не распространяется. Поэтому в такой ситуации работодатель по общему правилу обязан направлять уведомление об обработке персональных данных (смотрите, например, информацию Управления Роскомнадзора по Кировской области от 06.04.2012).
Тем не менее следует иметь в виду, что перечень исключений, предусмотренных частью 2 ст. 22 Закона N 152-ФЗ, не ограничивается лишь тем, которое приведено в пункте 1 этой части. Так, в частности, работодателям в данной ситуации следует обратить внимание на пункт 2 ч. 2 ст. 22 Закона N 152-ФЗ, в соответствии с которым уведомление Роскомнадзора не требуется также и в случаях, когда персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Таким образом, если условия об оформлении работнику работодателем зарплатной банковской карты предусмотрены трудовым договором или иным договором между работником и работодателем, то сама по себе передача работодателем необходимых для исполнения условий таких договоров персональных данных работников третьим лицам не свидетельствует о необходимости уведомления Роскомнадзора об обработке персональных данных. Однако избежать такой обязанности даже в этом случае можно только тогда, когда на передачу персональных данных работник выразил свое прямое согласие, несмотря на тот факт, что такое согласие не является обязательным для признания передачи персональных данных в рассматриваемом случае правомерной (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Кроме того, в соответствии с п. 8 ч. 2 ст. 22 Закона N 152-ФЗ не требуется уведомление об обработке персональных данных без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Согласно п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение), обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения). Указанный нормативный акт также устанавливает требования к порядку такой обработки персональных данных.
Следует обратить внимание, что каждое из приведенных исключений является самостоятельным обстоятельством, обуславливающим отсутствие у работодателя необходимости по уведомлению Роскомнадзора об обработке персональных данных. Иными словами, если, например, работодатель ведет обработку персональных данных с использованием средств автоматизации, но делает это исключительно в соответствии с трудовым законодательством, то уведомление не требуется (постановление Четвертого арбитражного апелляционного суда от 01.10.2012 N 04АП-3907/12). Верно и обратное: если даже работодатель ведет не предусмотренную трудовым законодательством обработку персональных данных, но без применения средств автоматизации, уведомление также не требуется. При этом в отношении различной обрабатываемой работодателем информации могут применяться различные основания для ее исключения из состава тех персональных данных, об обработке которых работодатель должен уведомлять Роскомнадзор. Так, работодатель может одновременно вести автоматизированную обработку персональных данных на основании трудового законодательства и неавтоматизированную обработку иных персональных данных - в этом случае уведомление Роскомнадзора также не требуется (определение Владимирского областного суда от 20.01.2015 N 33-139/2015).
Если же обработка работодателем персональных данных не подпадает ни под одно из исключений, приведенных в части 2 ст. 22 Закона N 152-ФЗ, работодателю необходимо уведомить Роскомнадзор об обработке персональных данных.
Если случаи обработки работодателем персональных данных все же подпадают под исключения, предусмотренные частью 2 ст. 22 Закона N 152-ФЗ, необходимо учесть, что на сегодняшний день в судебной практике не сформировалось единого мнения по вопросу о том, обязан ли работодатель в такой ситуации отвечать на требование Роскомнадзора о направлении уведомления. Согласно ч. 4 ст. 20 Закона N 152-ФЗ оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Ссылаясь на данную норму, некоторые суды приходят к выводу о наличии в действиях работодателя, полностью проигнорировавшего запрос Роскомнадзора, состава административного правонарушения, предусмотренного ст. 19.7 КоАП РФ, даже в том случае, если работодатель не обязан был направлять в Роскомнадзор уведомление об обработке персональных данных (смотрите, например, постановление Калужского областного суда от 27.09.2012, решение Центрального районного суда г. Тюмени Тюменской области от 23.06.2014 N 12-325/2014, решение Фрунзенского районного суда г. Владивостока от 18.04.2013 N 12-304/2013, решение Волгодонского районного суда Ростовской области от 23.09.2014 N 12-268/14, решение Октябрьского районного суда г. Мурманска по делу N 12-21/2011, решение Крымского районного суда Краснодарского края от 02.09.2015 N 12-110/2015). Существует, однако, в судебной практике и такой подход, согласно которому в таком случае работодатель не обязан направлять какой-либо ответ в Роскомнадзор (решение Амурского городского суда Хабаровского края от 19.08.2013 N 12-73/2013, решение Таганрогского городского суда Ростовской области от 20.03.2015 N 12-114/2015, решение Центрального районного суда г. Сочи от 02.03.2012 N 12-40/2012). Тем не менее наиболее безопасным для работодателя в такой ситуации представляется направление Роскомнадзору ответа с указанием на то, что оператор в данном случае имеет право на обработку персональных данных без уведомления данного органа со ссылкой на соответствующие основания, предусмотренные законом. Направление оператором такой информации рассматривается судами как надлежащий ответ на запрос Роскомнадзора (постановление Семикаракорского районного суда Ростовской области от 17.02.2015 N 12-4/2015, решение Майкопского городского суда Республики Адыгея от 01.11.2012 N 12-237/2012).
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей
Ответ прошел контроль качества
28 сентября 2017 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
-------------------------------------------------------------------------
*(1) По данному вопросу рекомендуем Вам также ознакомиться со следующим материалом, размещенным в сети "Интернет": Шмелев П.В. Оператор персональных данных - кто он? // http://www.secur.ru/article.php?id_catalog=13&id_position=176.
Все консультации данной рубрики
(495) 231-23-23
Позвоните и узнайтебольше о системе
ГАРАНТ Консалтинг
вам перезвоним