|
От нашего пользователя поступил вопрос: |
|
Ответ Эксперта Линии консультаций по юридическим вопросам |
Добрый день!
Рассмотрев Ваш вопрос, сообщаем следующее:
С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона N 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а оператор, осуществляющий обработку данных по поручению работодателя, будет отвечать перед работодателем (ч. 5 ст. 6 Закона N 152-ФЗ).
Обоснование:
Новая редакция ч. 3 ст. 6 Закона N 152-ФЗ более детально регламентирует вопросы поручения оператором обработки персональных данных субъектов иным лицам, в том числе государственным и муниципальным органам власти.
Лицо, которому поручается обработка, должно обеспечить базовые принципы обработки данных, их конфиденциальность, принимать меры к выполнению всех своих обязанностей.
В самом поручении на обработку нужно определить:
- перечень данных;
- перечень действий по их обработке;
- цели и иные обязательные требования;
- право оператора и корреспондирующую обязанность лица, которому поручается обработка, предоставлять документы и информацию, подтверждающие выполнение обязательных требований.
Естественно, оператору не стоит ограничиваться только поручением, а рекомендуется заключить договор и оформить соответствующие отношения как обязательства, включив в него в том числе штрафы за нарушения в соответствии со ст. 330 ГК РФ.
Также на случай нарушения контрагентом условий договора можно предусмотреть, что он в качестве имущественных потерь возместит все суммы штрафов, компенсаций и иных расходов и других убытков, которые возникнут в связи с предъявлением требований со стороны субъектов персональных данных и контролирующих органов (ст. 406.1 ГК РФ). Такое договорное условие позволит вашей организации как оператору персональных данных создать источник возмещения за счет контрагента-нарушителя, учитывая, что от рисков неправильных действий (бездействия) в отношении персональных данных сейчас никто не застрахован.
При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Таким образом, Часть 3 комментируемой статьи регулирует статус лица, осуществляющего обработку персональных данных по поручению оператора, которое в европейской практике именуется "обработчиком" (data processor).
Ключевыми характеристиками данного лица являются: 1) наличие самостоятельной правосубъектности, то есть такое лицо должно быть юридически самостоятельным по отношению к оператору, что позволяет исключить из его сферы работников оператора и обособленные подразделения организации - оператора, а также 2) обработка осуществляется данным лицом в интересах оператора. Таким образом, у обработчика отсутствует собственный интерес (цели) в обработке таких данных помимо предоставления соответствующих услуг заказчику.
Таким образом, можно обозначить отношения, возникающие между оператором и обработчиком, как отношения "аутсорсинга" в широком смысле, предполагающие при этом, что оператор делегирует обработчику выполнение всех или части функций по обработке персональных данных в определенной области. При этом у оператора есть потенциальная возможность выполнения этих функций самостоятельно, однако это потребовало бы больших затрат времени или средств. Привлекая обработчика, оператор оптимизирует свои бизнес-процессы в соответствующей области.
В качестве лица, осуществляющего обработку персональных данных по поручению оператора, обычно выступают разного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат, по оказанию услуг колл-центров или технической поддержки продукта). Другим примером являются провайдеры "облачных" сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных . Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве оператора таких данных. Данное правило не зафиксировано напрямую в российском законодательстве в отличие от европейского , но оно вытекает из существа статуса обработчика, который в России идентичен европейскому.
Согласно позиции Роскомнадзора отношения "оператор - обработчик" могут возникать и внутри группы компаний, в рамках которой выделяется организация, которая осуществляет обработку персональных данных в интересах головной организации и (или) иных организаций группы (Семинар Роскомнадзора от 26 ноября 2021 г.). Вместе с тем представляется, что если такая выделенная в рамках группы организация осуществляет обработку не исключительно в интересах другой компании или компаний группы, но также и в своих интересах, обрабатывая, например, общую базу данных всех клиентов группы компаний для осуществления собственной предпринимательской деятельности на вверенной ей территории, то более корректно говорить о возникновении отношений сооператорства, а не "оператор - обработчик".
Главным отличием оператора от "лица, осуществляющего обработку персональных данных по поручению оператора" является распределение ответственности между ними. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Оператор несет ответственность перед субъектом персональных данных за действия указанного лица, а оно, в свою очередь, несет ответственность перед оператором (ч. 4 и 5 ст. 6 Закона о персональных данных). Однако, принимая во внимание положения ч. 14 ст. 10.1 Закона о персональных данных, у лица, осуществляющего обработку персональных данных по поручению оператора, может возникнуть обязанность по прекращению обработки персональных данных, ранее разрешенных субъектом для распространения, в случае получения соответствующего требования от субъекта (см. подробнее комментарий к ст. 10.1).
Одним из ключевых условий законности привлечения оператором лица, осуществляющего обработку персональных данных по его поручению, является наличие формализованного поручения оператора обработчику, в котором должны быть определены: 1) перечень действий (операций) с персональными данными, которые будут совершаться обработчиком; 2) цели обработки; 3) обязанности обработчика по соблюдению конфиденциальности персональных данных и обеспечению их безопасности с указанием требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных.
Отсутствие одного из указанных положений может быть истолковано как нарушение законодательства о персональных данных (Постановление Арбитражного суда Московского округа от 15 января 2018 г. по делу N А40-81171/17-149-793; Постановление Федерального арбитражного суда Северо-Западного округа от 29 апреля 2013 г. по делу N А44-5910/2012).
Закон никак не конкретизирует форму и характер такого поручения. Такое поручение может представлять собой отдельный договор, при этом, несмотря на использование законодателем слова "поручение", такое соглашение не может быть квалифицировано в качестве договора поручения, поскольку предметом такого договора является совершение юридических действий (ст. 971 ГК РФ), в то время как предметом поручения оператора является совершение преимущественно фактических действий, а именно - действий по обработке данных. В некоторых случаях такое поручение оператора будет отвечать квалифицирующим признакам агентского соглашения (в соответствии с п. 1 ст. 1005 ГК РФ по агентскому договору одна сторона (агент) обязуется за вознаграждение совершать по поручению другой стороны (принципала) юридические и иные действия от своего имени, но за счет принципала либо от имени и за счет принципала). В иных случаях, как, например, при "облачных" сервисах или хостинге, данный договор будет скорее договором возмездного оказания услуг (гл. 39 ГК РФ) или, при определенных обстоятельствах, лицензионным договором.
Правовая квалификация ролей участников таких договоров в контексте законодательства о персональных данных, подобно правовой квалификации самого договора, должна осуществляться исходя из существа возникающих отношений и совершаемых сторонами действий, а не из формального обозначения в договоре того или иного лица в качестве оператора или обработчика.
Еще одним условием законности привлечения обработчика является получение оператором согласия от субъекта персональных данных на данное действие, за исключением случаев, установленных федеральными законами (см., например, абз. 6 ч. 1 ст. 53 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи" . Согласие субъекта может быть выражено как в самом договоре ( См.: Определение Конституционного Суда РФ от 28 января 2016 г. N 100-О: "В силу приведенных законоположений управляющая организация, с тем чтобы иметь возможность осуществлять деятельность по управлению многоквартирным домом, обязана получить у собственников и нанимателей жилых помещений согласие на обработку персональных данных, в том числе на их передачу третьим лицам, причем данное согласие может быть включено в качестве условия в договор управления многоквартирным домом"), так и отдельно. Например, в одном деле условие договора, предусматривавшее, что лицо "дает банку право обрабатывать его персональные данные различными способами, в том числе привлекая другие организации", было признано судом достаточным для данной цели (Апелляционное определение Верховного суда Республики Татарстан от 28 января 2016 г. по делу N 33-1566/2016). Однако представляется, что данное согласие не соответствует в полной мере требованиям ст. 9 Закона о персональных данных (см. комментарий к ней).
Для того чтобы согласие субъекта на передачу его данных лицу, осуществляющему обработку по поручению оператора, отвечало требованию информированности (см. комментарий к ст. 9 Закона), субъект должен быть осведомлен о личности такого обработчика. Информация о нем может быть предоставлена в тексте самого согласия либо же в виде отсылки на общий список таких обработчиков, расположенный на веб-сайте оператора. Последний вариант дает определенную гибкость в условиях, когда количество обработчиков значительно и может изменяться время от времени. При этом, как отмечает Роскомнадзор, в случае таких изменений оператор должен в разумный срок (как вариант, в течение 10 дней) уведомить субъекта. Однако, по мнению Роскомнадзора, вариант с указанием обработчиков на веб-сайте оператора возможен только для тех случаев, когда согласие не должно быть в силу закона исключительно в письменной форме. В таких случаях альтернатив поименному указанию обработчиков в таком согласии нет (Семинар Роскомнадзора от 26 ноября 2021 г.).
Помимо согласия в качестве легитимирующего основания, указанного в федеральном законе, для привлечения обработчика без согласия субъекта могут выступать соответствующие положения Закона о персональных данных о допустимости обработки оператором персональных данных без согласия субъекта, поскольку привлечение обработчика представляет собой разновидность обработки в виде предоставления персональных данных. Данный подход в большинстве своем разделяется судебной практикой (Постановление Федерального арбитражного суда Уральского округа от 28 ноября 2013 г. N Ф09-12778/13 по делу N А60-6044/2013; Апелляционное определение Санкт-Петербургского городского суда от 4 декабря 2014 г. N 33-16220/2014 по делу N 2-2991/2014; Апелляционное определение Ульяновского областного суда от 15 июля 2014 г. по делу N 33-2368/2014; Апелляционное определение Московского городского суда от 14 мая 2014 г. по делу N 33-9801; Апелляционное определение Рязанского областного суда от 19 февраля 2014 г. по делу N 33-358).
Данный подход также можно встретить и в разъяснениях Минцифры России, которое указало, что "в случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется" (Письмо Минкомсвязи России от 7 июля 2017 г. N П11-15054-ОГ "О разъяснении норм федерального законодательства").
Привлечение обработчика при отсутствии согласия субъекта или разрешения закона представляет собой нарушение оператором законодательства о персональных данных (Постановление Федерального арбитражного суда Уральского округа от 18 марта 2014 г. N Ф09-1152/14 по делу N А34-3659/2013). Сам обработчик не может быть привлечен к ответственности за отсутствие такого согласия в силу прямого указания закона (ч. 4 ст. 6 Закона о персональных данных).
Отличительной особенностью статуса обработчика является то, что он не имеет обязанностей непосредственно перед субъектом персональных данных, ответственность за его действия несет непосредственно оператор (ч. 5 ст. 6 Закона о персональных данных). Иными словами, субъект персональных данных не может предъявлять свои требования напрямую к обработчику, такие требования должны быть предъявлены непосредственно к оператору. Однако не следует забывать, что одно и то же лицо может выступать по отношению к различным персональным данным и в роли оператора, и в роли лица, осуществляющего обработку персональных данных по поручению оператора, в связи с чем оно все равно будет вынуждено соблюдать все основные положения законодательства о персональных данных. Так, организация, привлеченная для расчета зарплаты, будет выступать обработчиком в отношении персональных данных субъектов - работников заказчика, однако в отношении своих собственных работников такая организация будет выступать оператором.
На практике существуют ситуации, когда лицо, обрабатывающее персональные данные по поручению оператора, поручает их обработку другому лицу ("субобработчику"). Согласно разъяснениям Роскомнадзора такой сценарий напрямую не предусмотрен комментируемым положением ч. 3 ст. 6 Закона о персональных данных, но и не противоречит ему. В этой связи по общему правилу необходимо получение согласия от субъекта на такую передачу, но его должен получать именно оператор, а не первоначальный обработчик.
