Вопрос: Инвестиционно-строительная организация обрабатывает персональные данные своих работников, в том числе пересылает данные третьих лиц банку (при оформлении зарплатной карты), страховой компании, типографии и т.д. Кроме того, организацией в территориальное Управление Росреестра для целей регистрации договоров купли-продажи жилой недвижимости, договоров долевого участия в строительстве передаются персональные данные клиентов. Также организация формирует базы данных персональных данных соискателей (лиц, устраивающихся на работу). Должна ли организация в каком-либо из данных случаев уведомить Роскомнадзор о начале обработки персональных данных? (ответ службы Правового консалтинга ГАРАНТ, декабрь 2012 г.)

Инвестиционно-строительная организация обрабатывает персональные данные своих работников, в том числе пересылает данные третьих лиц банку (при оформлении зарплатной карты), страховой компании (при оформлении договора медицинского страхования), типографии (для оформления визиток) и т.д. Кроме того, организацией в территориальное Управление Росреестра для целей регистрации договоров купли-продажи жилой недвижимости, договоров долевого участия в строительстве передаются персональные данные клиентов (в составе заключенных с ними договоров). Также организация формирует базы данных персональных данных соискателей (лиц, устраивающихся на работу).

Должна ли организация в каком-либо из данных случаев уведомить Роскомнадзор о начале обработки персональных данных?

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это любые сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных, что в полной мере согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, заключенной государствами - членами Совета Европы 28.01.1981.

Основным назначением института персональных данных является идентификация конкретного гражданина, участвующего в частных или публичных правоотношениях. Особенностью персональных данных как вида информации ограниченного доступа является то, что наиболее в ее защите заинтересован, прежде всего, сам субъект этих данных, в силу конституционного принципа неприкосновенности частной жизни управомоченный определять степень допуска третьих лиц к воздействию на приватную сферу его жизни. Именно поэтому в ст.ст. 6, 9 Закона N 152-ФЗ закреплено общее правило, согласно которому обработка*(1) персональных данных допускается только с согласия субъектов персональных данных, кроме случаев, указанных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Более жесткие требования предъявляются к специальным категориям персональных данных*(2) (ч. 1 ст. 10 Закона N 152-ФЗ) и биометрическим персональным данным (ст. 11 Закона N 152-ФЗ). Обработка этих данных вообще запрещена, за исключением случаев, предусмотренных ч. 2 ст. 10, ч. 2 ст. 11 Закона N 152-ФЗ.

Помимо обязанности получить согласие субъекта персональных данных на их обработку, по общему правилу, оператор*(3) до ее начала обязан уведомить уполномоченный орган по защите прав субъектов персональных данных*(4) о своем намерении осуществлять обработку (ч. 1 ст. 22 Закона N 152-ФЗ).

1. Оператор вправе не уведомлять Роскомнадзор о начале обработки персональных данных, если такая обработка осуществляется в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона N 152-ФЗ).

Учитывая, что в предыдущей редакции, действовавшей до 01.07.2011, Закон N 152-ФЗ позволял не направлять уведомление в Роскомнадзор при обработке персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения, однако Федеральным законом от 25.07.2011 N 261-ФЗ такая формулировка была изменена на текущую, а также исходя из того, что норма п. 1 ч. 2 ст. 22 Закона N 152-ФЗ является исключением из общего правила ч. 1 ст. 22 Закона N 152-ФЗ, мы полагаем, что ныне действующая норма п. 1 ч. 2 ст. 22 Закона N 152-ФЗ должна толковаться буквально и позволяет обрабатывать персональные данные без уведомления Роскомнадзора не в связи с наличием трудовых отношений как таковых, а только в случаях, предусмотренных трудовым законодательством.

Отметим при этом, что согласно ч. 1 ст. 5 ТК РФ трудовое законодательство состоит из ТК РФ, иных федеральных законов и законов субъектов РФ, содержащих нормы трудового права. Случаи обработки персональных данных, предусмотренные трудовым законодательством, поименованы в п. 1 ст. 86 ТК РФ, к ним относятся: обработка персональных данных работника в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

По нашему мнению, передача персональных данных работников в банк для оформления "зарплатных" карт не подразумевает вышеназванных целей. В частности, ее нельзя отнести к обработке, направленной на обеспечение соблюдения законов и иных нормативных правовых актов, поскольку законом установлена лишь обязанность работодателя выплачивать в полном размере причитающуюся работникам заработную плату (ч. 2 ст. 22 ТК РФ) в месте выполнения им работы либо перечисляется на указанный работником счет в банке на условиях, определенных коллективным договором или трудовым договором (ч. 3 ст. 136 ТК РФ). Посредничество работодателя в получении работниками "зарплатных" карт не предусмотрено трудовым законодательством, носит гражданско-правовой характер. Поэтому мы полагаем, что для обработки организацией персональных данных работников в виде их передачи в банк для оформления "зарплатных" карт необходимо уведомление Роскомнадзора.

Что касается передачи персональных данных работников для их страхования, отметим, что трудовое законодательство прямо возлагает на работодателя обязанность обеспечить обязательное социальное страхование работников от несчастных случаев на производстве и профессиональных заболеваний (ч. 2 ст. 212 ТК РФ). Такое страхование осуществляется в соответствии с Федеральным законом от 24.07.1998 N 125-ФЗ "Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний", страховщиком выступает Фонд социального страхования России. Поэтому передача персональных данных работников для обеспечения обязательного социального страхования работников от несчастных случаев на производстве и профессиональных заболеваний имеет своей целью обеспечение соблюдения законов и иных нормативных правовых актов, следовательно, такая обработка осуществляется в соответствии с трудовым законодательством и не требует уведомления Роскомнадзора. В остальных случаях передачи персональных данных работников для их страхования, в том числе для добровольного медицинского страхования работников, на наш взгляд, работодатель обязан направить соответствующее уведомление, поскольку трудовое законодательство предусматривает обязанность работодателя осуществлять лишь обязательное страхование работников (ч. 2 ст. 22 ТК РФ).

Как следует из вопроса, работодатель также передает персональные данные работников в типографии для оформления визиток. Указанным в п. 1 ст. 86 ТК РФ целям такая обработка персональных данных работников не соответствует. В то же время согласно п. 5 ч. 2 ст. 22 Закона N 152-ФЗ уведомление Роскомнадзора не требуется в случае обработки персональных данных, включающих в себя только фамилии, имена и отчества субъектов персональных данных. Поэтому если работодатель передает в типографии лишь фамилии, имена и отчества субъектов персональных данных, он вправе не уведомлять Роскомнадзор; если же передаются и иные данные, например, о должности, то, по нашему мнению, такое уведомление работодатель направить обязан.

2. В соответствии с п. 2 ч. 2 ст. 22 Закона N 152-ФЗ не требуется уведомления Роскомнадзора о намерении осуществлять обработку персональных данных, если эти данные используются оператором исключительно в целях исполнения договора, одной из сторон которого является субъект персональных данных, при условии, что эти данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных (смотрите, например, постановление заместителя Председателя Верховного Суда РФ от 05.08.2011 N 20-АД11-3, постановление Двадцатого арбитражного апелляционного суда от 21.02.2011 N 20АП-498/2011)*(5).

Отметим, что передача организацией персональных данных своих клиентов (в составе заключенных с ними договоров купли-продажи жилой недвижимости, договоров долевого участия в строительстве) в территориальное Управление Росреестра для целей регистрации названных договоров не может признаваться обработкой персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных, поскольку государственная регистрация названных договоров является этапом их заключения (п. 2 ст. 558 ГК РФ, ч. 3 ст. 4 Федерального закона от 30.12.2004 N 214-ФЗ "Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты Российской Федерации"), а не их исполнением.

В то же время государственная регистрация прав проводится на основании заявления сторон договора или уполномоченного им (ими) на то лица при наличии у него нотариально удостоверенной доверенности, если иное не установлено федеральным законом (п. 1 ст. 16 Федерального закона от 21.07.1997 N 122-ФЗ "О государственной регистрации прав на недвижимое имущество и сделок с ним"). Поэтому, по нашему мнению, даже если документы в территориальное Управление Росреестра для целей регистрации договора за физическое лицо - клиента предоставляет организация, то она делает это по соответствующей доверенности от данного физического лица от его имени и в его интересах (п. 1 ст. 182, ст. 185 ГК РФ). Иными словами, она замещает физическое лицо в отношениях с органом государственной регистрации. Поэтому, на наш взгляд, обработка персональных данных физического лица при передаче документов в территориальное Управление Росреестра в смысле, который придается обработке Законом N 152-ФЗ, не происходит.

3. Обработка персональных данных соискателей (лиц, устраивающихся на работу) специально действующим законодательством не регламентирована. Правила, предусмотренные трудовым законодательством, по нашему мнению, адресованы участникам трудового правоотношения и не применимы к соискателям, так как последние становятся работниками только после заключения с ними трудового договора. Поэтому обработка персональных данных соискателей не относится к осуществляемой в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона N 152-ФЗ).

Как следует из вопроса, часть информации о соискателях работодатель получает на общедоступных интернет-сайтах. Необходимости уведомлять Роскомнадзор об обработке таких персональных данных нет, поскольку эти сведения относятся к категории персональных данных, сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона N 152-ФЗ)*(6).

Что касается обработки персональных данных, полученных непосредственно от соискателя (не сделанных им общедоступными), то, на наш взгляд, такая обработка не подпадает ни под одно из установленных ч. 2 ст. 22 Закона N 152-ФЗ исключений. Следовательно, организация обязана направить уведомление о такой обработке в Роскомнадзор.

Такой же позиции придерживаются другие специалисты, в связи с чем смотрите:

- статью "Защита персональных данных - изменения 2011", "БУХ.1С", N 10, октябрь 2011 г.;

- интервью с начальником отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Самарской области А.М. Никитиным (http://sambukh.ru/articles/umnyj-rabotodatel-lishnego-ne-sprosit-o-tonko styax-raboty-s-personalnymi-dannymi).

4. Обращаем Ваше внимание на то, что в п. 8 ч. 2 ст. 22 Закона N 152-ФЗ предусмотрена возможность обработки персональных данных без уведомления Роскомнадзора, если такая обработка осуществляется без использования средств автоматизации*(7) в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Поэтому если в любом из вышеназванных случаев обработка персональных данных происходит без использования средств автоматизации, то уведомлять Роскомнадзор о начале такой обработки оператор не обязан.

К сведению:

Даже в тех случаях, когда оператор подпадает под исключение и не обязан уведомлять Роскомнадзор о работе с персональными данными, это не освобождает его от необходимости применения мер по защите персональных данных. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ). За нарушение установленного ст. 22 Закона N 152-ФЗ требования об уведомлении Роскомнадзора о начале обработки персональных данных граждане, должностные лица и организации могут быть привлечены к административной ответственности, предусмотренной ст. 19.7 КоАП РФ (смотрите, например, постановление Двенадцатого арбитражного апелляционного суда от 05.08.2011 N 12АП-4697/11).

Отметим, что приведенная точка зрения является нашим экспертным мнением и может отличаться от мнения других специалистов и органов государственной власти. К сожалению, материалов правоприменительной, в том числе судебной, практики по рассмотренному вопросу нам обнаружить не удалось. За официальными разъяснениями рекомендуем обратиться в уполномоченный по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных федеральный орган исполнительной власти - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая в соответствии с п. 6.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утверждено постановлением Правительства РФ от 16.03.2009 N 228) имеет право давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к ее компетенции.

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Амирова Лариса

Контроль качества ответа:

Рецензент службы Правового консалтинга ГАРАНТ

Прибыткова Мария

11 декабря 2012 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. Для получения подробной информации об услуге обратитесь к обслуживающему Вас менеджеру.

-------------------------------------------------------------------------

*(1) Под обработкой персональных данных подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона N 152-ФЗ).

*(2) Примечательно, что в приведенной норме отсутствует определение специальных категорий персональных данных, а предложен лишь их перечень. При этом не понятно, исчерпывающий он или нет.

*(3) Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.

*(4) Таковым является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (п. 5.1.1.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства РФ от 16.03.2009 N 228).

*(5) Примерный перечень реквизитов такого согласия указан в ч. 4 ст. 9 Закона N 152-ФЗ. Однако, поскольку унифицированной формы такого согласия законодательством не предусмотрено, оно составляется в произвольной форме.

*(6) Поскольку цель обработки персональных данных соискателя состоит в выявлении его деловых качеств, профессиональной пригодности, то истребование сведений, касающихся его личной жизни, привычек, материального положения и т.п., на наш взгляд, излишне.

*(7) Согласно п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение), обработка данных считается осуществляемой без средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. При этом п. 2 Положения установлено, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.