Ресурсоснабжающая организация имеет свой сайт, которым пользуются абоненты и иные граждане. Техническую поддержку сайта осуществляет сторонняя организация. Необходимо заключить договор-поручение на обработку персональных данных. Нужно ли в данном случае получить согласие субъектов, персональные данные которых будут обрабатываться согласно этому поручению? Как получить такое согласие?
Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
Таким образом, ресурсоснабжающая организация является оператором персональных данных, поскольку осуществляет обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки. Полагаем, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных.
В ч. 3 ст. 6 Закона N 152-ФЗ указано, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.
К сожалению, законодатель не раскрывает статус такого обработчика, но в контексте Закона N 152-ФЗ основными признаками, отличающими его от оператора персональных данных, являются: во-первых, наличие самостоятельной правосубъектности, то есть обработчик должен быть юридически независимым по отношению к оператору, и, во-вторых, обработка им персональных данных должна осуществляться в интересах оператора.
Полагаем, что лицо, осуществляющее техническую поддержку интернет-сайта ресурсоснабжающей организации, будет являться таким обработчиком, поскольку собственной цели в обработке персональных данных граждан, пользующихся данным интернет-сайтом, оно не имеет, его функции ограничиваются обеспечением технического обслуживания системы.
Отметим, что форма и характер поручения на обработку персональных данных законодательством не установлены. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключаемый между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора. В ч. 3 ст. 6 Закона N 152-ФЗ зафиксированы лишь требования, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Так, в поручении должны быть определены:
- перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
- цели их обработки;
- обязанность обработчика соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона N 152-ФЗ;
- обязанность по запросу оператора персональных данных в течение срока действия поручения, в том числе до обработки персональных данных, представлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований;
- обязанность обеспечивать безопасность персональных данных при их обработке;
- требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов (ч. 3 ст. 21 Закона N 152-ФЗ).
Отсутствие хотя бы одного из перечисленных требований может быть квалифицировано как обработка персональных данных с нарушением законодательства (решение Кировского райсуда г. Екатеринбурга Свердловской области от 26.10.2016 по делу N 12-629/2016, постановления ФАС Северо-Западного округа от 29.04.2013, Кировского облсуда от 24.04.2012 N 7-А-98/2012).
Таким образом, лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом N 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом. При этом обработчик не обязан получать согласие субъекта персональных данных на их обработку. Такое согласие дается непосредственно оператору ресурсоснабжающей организации, к которой обращаются посетители сайта или лица, состоящие с ней в договорных отношениях. В этом согласии следует указать цели, в которых передаются персональные данные, а также наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора.
Из содержания ч. 3 ст. 6 Закона N 152-ФЗ не следует, что согласие субъекта должно быть дано исключительно в письменной форме*(1). Следовательно, оно может быть получено в любой форме, в том числе и в виде проставления галочки в чек-боксе. Полагаем, что любой пользователь интернет-сайта организации, заполняя анкету или иную форму, добровольно предоставляет в распоряжение оператора свои персональные данные в том объеме, который необходим для достижения цели такой обработки.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
2 ноября 2022 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
-------------------------------------------------------------------------
*(1) Частью 4 ст. 9 Закона N 152-ФЗ предусмотрено, что письменная форма согласия субъекта на обработку его персональных данных необходима только в случаях, предусмотренных федеральным законом. В частности, согласие исключительно в письменной форме прямо требуется на обработку специальных категорий персональных данных (ч. 1 ст. 10 Закона N 152-ФЗ), биометрических персональных данных (ст. 11 Закона N 152-ФЗ), на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ), персональных данных, разрешенных субъектом персональных данных для распространения (ст. 10.1 Закона N 152-ФЗ). В иных случаях согласие может быть получено в любой форме, позволяющей подтвердить данный факт, поскольку обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона N 152-ФЗ, возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).