Ответ юридической службы РОО на вопрос об обработке индивидуальными предпринимателями персональных данных

13 Июля 2018

ВОПРОС:

Добрый день. Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Коми в адрес ИП Вещагина Л.Г. направлено письмо, в котором они извещают, что ими выявлены признаки деятельности, предполагающих обработку ПИ Вещагиной Л.Г. персональных данных. ИП Вещагина оказывает услуги по оценочной деятельности. Вопрос - является ли ИП Вещагина Л.Г. действительно оператором, осуществляющим обработку данных. Если да, то в какой форме мы должны принимать согласие на обработку персональных данных? Где это должно быть отражено: в задании на оценку, в отдельном приложении к договору? Расскажите подробнее о наших действиях в рамках ФЗ № 152-ФЗ "О персональных данных". Вышеуказанное управление просит их известить о моем намерении осуществлять обработку персональных данных. Я могу отказаться или надо что-то оформлять в рамках указанного ФЗ №152-ФЗ?  

ОТВЕТ:

В соответствии со статьей 4 Федерального закона от 29.07.1998 № 135-ФЗ "Об оценочной деятельности в Российской Федерации" (135-ФЗ), оценщик - член СРОО может осуществлять оценочную деятельность самостоятельно, занимаясь частной практикой, а также на основании трудового договора между оценщиком и юридическим лицом, которое соответствует условиям статьи 15.1 135-ФЗ, т.е. оценочной компанией. Такая форма как оценщик - индивидуальный предприниматель (ИП) 135-ФЗ не предусмотрена, соответственно, оценщик, занимаясь оценочной деятельностью в таком качестве не подтверждает свой оценочный стаж. Именно поэтому комментарий вопросов, связанных с работой ИП, не входит в компетенцию саморегулируемой организации оценщиков.

В то же время, руководствуясь нормами Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - 152-ФЗ), сообщаем следующее.

В соответствии с п. 2 ст. 3 152-ФЗ, оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 152-ФЗ). Такой информацией являются фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.

Обработкой персональных данных признаются любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации. К таким действиям относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 152-ФЗ).

Учитывая вышеизложенное, является ли ИП оператором персональных данных, зависит не от его вида деятельности, а от того осуществляет ли он сбор, запись, систематизацию, накопление, хранение, использование, передачу и т.д. персональных данных.

Для решения вопроса о том, является ли конкретное лицо оператором персональных данных, необходимо принимать во внимание все обстоятельства, поскольку данный вопрос является вопросом факта.

Представляется, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Определение состава персональных данных и конкретных способов их обработки, включая используемые программно-аппаратные средства, нередко требует наличия специальной квалификации, в связи с чем данные элементы могут по факту определяться привлеченными оператором лицами. Однако предоставление оператору информации о них, а также последующее продолжение его взаимоотношений с таким привлеченным лицом могут рассматриваться как согласие с указанными действиями и проявление контрольных функций в отношении таких действий. Таким образом, в указанных случаях лицо будет признаваться оператором персональных данных даже несмотря на то, что отдельные аспекты обработки данных были определены иным лицом.

 Типичными примерами операторов персональных данных являются организации, которые осуществляют обработку данных своих работников (и) или клиентов - физических лиц; лица, которые осуществляют сбор и анализ общедоступных данных в сети Интернет; государственные органы и учреждения, которые обрабатывают персональные данные граждан в процессе предоставления государственных услуг; онлайн-сервисы, которые предусматривают регистрацию пользователей и (или) собирают данные о них в процессе использования такого сервиса.

По сути, оператором персональных данных является любое лицо, которое работает с персональными данными физических лиц.

Следует отметить, что до начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 152-ФЗ).

Не требуется представление уведомления

Без уведомления уполномоченного органа может производиться обработка следующих персональных данных (ч. 2 ст. 22 152-ФЗ):

 1) обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 152-ФЗ).

На практике это основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Названное исключение не распространяется на персональные данные уволенных сотрудников (кроме случаев, предусмотренных трудовым законодательством, например ст. 64.1 ТК РФ); членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации).

Согласно позиции Четвертого арбитражного апелляционного суда, при обработке персональных данных по данному основанию не нужно подавать уведомление независимо от того, осуществляется она автоматизировано или нет (Постановление от 07.02.2018 № 04АП-127/2018 по делу № А19-17054/2017).

Указанное основание распространяется также на деятельность по подбору персонала. Это связано с тем, что трудовое законодательство регулируется не только Трудовым кодексом РФ, но и иными нормативными актами. Так, Федеральным законом от 19.04.1991 № 1032-1 "О занятости населения в Российской Федерации" предусмотрено, что работодатели содействуют политике занятости, в частности, путем трудоустройства.

Исходя из этого работодатель вправе без уведомления обрабатывать персональные данные кандидатов на должности, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей, если имеется их письменное согласие;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных. Это условие применяется, если персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 152-ФЗ).

Указанное основание также является одним из распространенных случаев, при котором уведомление об обработке персональных данных не представляется. Следует иметь в виду, что для обработки персональных данных без представления уведомления по этому основанию должны одновременно соблюдаться все перечисленные условия:

- персональные данные не должны распространяться;

- они не должны предоставляться третьим лицам без согласия субъекта персональных данных;

- персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных.

При обработке персональных данных по данному основанию не нужно подавать уведомление независимо от того, осуществляется она с использованием средств автоматизации или без них.

Иное использование персональных данных влечет за собой необходимость представить в уполномоченный орган уведомление;

3) относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются таким объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами. Это условие применяется, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 152-ФЗ);

4) сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 152-ФЗ);

5) включающих только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 152-ФЗ);

6) необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 152-ФЗ);

7) включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 152-ФЗ);

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 152-ФЗ).

9) обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 152-ФЗ).





Вернуться к списку новостей

Для подписки на обновления сайта введите адрес электронной почты: