Необходимость получения согласия субъектов персональных данных при поручении обработки персональных данных третьему лицу
Оператор осуществляет обработку персональных данных для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, то есть без согласия субъектов персональных данных. В интересах оператора в пределах предмета договора сопровождения обеспечения функционирования программно-аппаратных средств, АТС и хранения информации, доступ к персональным данным имеет третье лицо - исполнитель по указанному договору. Необходимо ли в таком случае получать согласия субъектов персональных данных на передачу их персональных данных третьему лицу?
Нормой ч. 3 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ О персональных данных (далее - Закон N 152-ФЗ) предусмотрено право оператора поручить обработку персональных данных другом лицу, в частности, на основании заключаемого с этим лицом договора.
Поскольку форма поручения оператора законодательством не установлена, поручение оператора может быть включено в текст самого договора, заключаемого сторонами, являться дополнительным соглашением к договору либо иным отдельным документом.
Каких-либо конкретных требований к предмету договора, в связи с которым осуществляется поручение обработки персональных данных, Закон N 152-ФЗ не устанавливает, определяя только требования к содержанию самого поручения оператора в части отражения в нем прямо предусмотренных ч. 3 ст. 6 указанного Закона сведений.
Так, в поручении оператора должны быть определены, помимо действий (операций) с персональными данными, перечень персональных данных, цели их обработки, должна быть установлена обязанность лица, осуществляющего обработку по поручению оператора, соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона N 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 указанного Закона, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона N 152-ФЗ.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
Поручить другому лицу можно как отдельные действия (операции) с персональными данными, так и их совокупность, в связи с чем в силу ч. 3 ст. 6 Закона N 152-ФЗ из поручения оператора должно четко следовать, какие действия (операции) с персональными данными будут совершаться лицом, осуществляющим обработку по такому поручению.
Необходимость в поручении обработки персональных данных другому лицу может иметь место в случаях, когда осуществление обработки персональных данных полностью или в какой-то части должно (может) осуществляться непосредственно оператором, но в силу определенных обстоятельств (трудозатраты, отсутствие необходимых технических или материальных ресурсов и т.п.) оператором принимается решение о передаче осуществления соответствующих действий (операций) с персональными данными контрагенту. При этом лицом, которому поручено осуществление обработки, такая обработка осуществляется в интересах непосредственно оператора. Ответственность перед субъектом персональных данных за действия указанного лица несет также оператор (ч. 5 ст. 6 Закона N 152-ФЗ).
Наличие правовых условий обработки персональных данных, предусмотренных пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ, само по себе не влечет возможность поручения обработки полученных оператором в результате деятельности персональных данных другому лицу. Статья 7 Закона N 152-ФЗ возлагает на оператора обязанность по обеспечению конфиденциальности персональных данных, что исключает возможность раскрытия третьим лицам персональных данных субъекта без его согласия, если иное не предусмотрено федеральным законом.
Для правомерности поручения обработки в силу прямого указания ч. 3 ст. 6 Закона N 152-ФЗ необходимо наличие согласия субъекта персональных данных либо соответствующей нормы федерального закона, допускающей такое поручение (смотрите, например: постановление Тринадцатого арбитражного апелляционного суда от 10.03.2023 N 13АП-604/23 по делу N А56-81991/2022).
В отсутствие нормы федерального закона (либо соответствующего нормативно-правового акта, принятого во исполнение федерального закона), допускающей поручение обработки персональных данных, иным возможным правовым условием может являться только согласие субъекта персональных данных, отвечающее требованиям ст. 9 Закона N 152-ФЗ.
Частью 1 ст. 6 Закона N 152-ФЗ предусмотрено, что обработка персональных данных должна осуществляться с соблюдением предусмотренных принципов и правил. Среди принципов обработки персональных данных важное значение отведено законности и справедливости их обработки. Обработка персональных данных также должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (ст. 5 Закона N 152-ФЗ).
Из положений ч. 4 ст. 9, ч. 7 ст. 14, ч. 1 ст. 18 Закона N 152-ФЗ следует, что субъект персональных данных вправе располагать информацией, что обработка его персональных данных будет поручена оператором другому лицу, что предполагает предоставление оператором, непосредственно осуществляющим сбор персональных данных, в распоряжение субъекта соответствующих сведений до начала фактической обработки.
Поскольку заключенный между оператором и другим лицом договор предполагает хранение и доступ к персональным данным, то такой договор, полагаем, должен отвечать требованиям, установленным ч. 3 ст. 6 Закона N 152-ФЗ, и в отсутствие нормы федерального закона (иного нормативно-правового акта, принятого во исполнение федерального закона) оператором должно быть обеспечено получение соответствующего согласия субъекта персональных данных.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Беликова Татьяна
Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Амирова Лариса
2 августа 2024 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.