Вопрос: На основании договора возмездного оказания услуг организация (исполнитель) осуществляет бухгалтерское обслуживание финансово-хозяйственной деятельности бюджетных учреждений (заказчиков). Соответственно, в процессе исполнения своих обязательств по договору она обрабатывает персональные данные работников своих клиентов. В настоящее время ею получено письмо от территориального органа Роскомнадзора с просьбой представить уведомление об обработке конфиденциальной информации о гражданах. Вправе ли организация (исполнитель) осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных? (ответ службы Правового консалтинга ГАРАНТ, февраль 2013 г.)

На основании договора возмездного оказания услуг организация (исполнитель) осуществляет бухгалтерское обслуживание финансово-хозяйственной деятельности бюджетных учреждений (заказчиков). Соответственно, в процессе исполнения своих обязательств по договору она обрабатывает персональные данные работников своих клиентов (начисление зарплаты и т.п.). Согласие работников на такую обработку организацией не истребуется. В настоящее время ею получено письмо от территориального органа Роскомнадзора с просьбой представить уведомление об обработке конфиденциальной информации о гражданах.

Вправе ли организация (исполнитель) осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

К сожалению, однозначно ответить на Ваш вопрос не представляется возможным. Объясним почему.

Отношения, связанные с обработкой персональных данных (далее - ПДн), регулируются Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), который распространяется на любые отношения, связанные с обработкой ПДн, осуществляемой в том числе юридическими лицами, за исключением отношений, указанных в ч. 2 ст. 1 Закона N 152-ФЗ. В соответствии со ст. 3 Закона N 152-ФЗ под ПДн понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта ПДн, что в полной мере согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой Советом Европы 28.01.1981. Обработкой ПДн признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Таким образом, в рассматриваемой ситуации организация, осуществляющая бухгалтерское обслуживание финансово-хозяйственной деятельности бюджетных учреждений, в процессе исполнения своих обязательств по заключенным договорам занимается в том числе обработкой ПДн работников своих клиентов по их поручению (т.е. в порядке ч. 3 ст. 6 Закона N 152-ФЗ).*(1) Однако, на наш взгляд, действующее законодательство о ПДн и имеющаяся судебная практика позволяют придерживаться двух различных позиций в отношении статуса такой организации-исполнителя и, соответственно, ее обязанностей (в том числе обязанности по уведомлению уполномоченного органа о начале обработки ПДн).

1. Оператором ПДн, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. При этом лицо признается оператором ПДн вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке ПДн.

Предусматривая право оператора поручить обработку ПДн другому лицу (ч. 3 ст. 6 Закона N 152-ФЗ), законодатель, тем не менее, прямо не устанавливает самостоятельный статус лица, осуществляющего обработку ПДн по поручению оператора.

Исходя из того, что это лицо также осуществляет обработку ПДн, можно прийти к выводу о том, что лицо, действующее по поручению оператора, само выступает в качестве оператора и, следовательно, несет обязанности, связанные со статусом оператора, за исключением ряда случаев, прямо предусмотренных законом (например, такое лицо не обязано получать согласие субъекта ПДн и не несет перед ним ответственность, ч. 4, 5 ст. 6 Закона N 152-ФЗ). Косвенно этот вывод подтверждается тем, что согласно ч. 3 ст. 6 Закона N 152-ФЗ лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные данным законом.

Одной из обязанностей оператора является направление уведомления в уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн до начала такой обработки (ч. 1 ст. 22 Закона N 152-ФЗ).*(2) Исключения из этого правила установлены ч. 2 ст. 22 Закона N 152-ФЗ. В частности, оператор вправе без уведомления уполномоченного органа осуществлять обработку ПДн, обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона N 152-ФЗ); полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ); являющихся общедоступными (п. 4 ч. 2 ст. 22 Закона N 152-ФЗ); включающих в себя только фамилии, имена и отчества субъектов ПДн (п. 5 ч. 2 ст. 22 Закона N 152-ФЗ).

Однако в рассматриваемой ситуации организация-исполнитель, осуществляющая бухгалтерское обслуживание своих клиентов-заказчиков, не состоит с субъектами обрабатываемых ПДн (работниками заказчиков) ни в трудовых, ни в гражданско-правовых правоотношениях. Договорные обязательства существуют в данном случае лишь между организацией-исполнителем и организацией-заказчиком. Более того, обработке подвергаются не только фамилии, имена и отчества работников заказчика, но и их паспортные данные, номера счетов в кредитных учреждениях, приказы, распоряжения работодателя о назначениях, переводах, увольнениях работников и т.п., которые не являются общедоступными, т.е. организация-исполнитель обрабатывает ПДн, которые выходят за рамки сведений, указанных в п.п. 4, 5 ч. 2 ст. 22 Закона 152-ФЗ.

Следовательно, если признавать организацию-исполнителя оператором ПДн, то, поскольку обработка ею ПДн в приведенной ситуации не подпадает под основания, перечисленные в ч. 2 ст. 22 Закона N 152-ФЗ, она обязана уведомить уполномоченный орган о начале обработки ПДн по поручению своих клиентов (смотрите, например, решения арбитражных судов Еврейской автономной области от 29.02.2012 по делу N А16-1292/2011, Архангельской области от 19.03.2012 по делу N А05-14388/2011).

Исключение может иметь место, когда обработка ПДн работников клиентов осуществляется организацией-исполнителем без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн (п. 8 ч. 2 ст. 22 Закона N 152-ФЗ). Согласно п. 1 Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687, обработка данных считается осуществляемой без средств автоматизации, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека. При этом обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе ПДн либо были извлечены из нее (п. 2 данного положения).

Обращаем внимание, что даже если оператор своевременно не уведомил уполномоченный орган о начале обработки ПДн, как этого требует ч. 1 ст. 22 Закона N 152-ФЗ, то при получении запроса от территориального органа Роскомнадзора он обязан предоставить необходимую информацию в течение тридцати дней с даты получения такого запроса (ч. 4 ст. 20 Закона N 152-ФЗ). Невыполнение в установленный законом срок подобного требования может повлечь привлечение оператора ПДн к административной ответственности по ст. 19.7 КоАП РФ.

2. Из совокупности положений ч. 3-5 ст. 6, ст. 21 Закона N 152-ФЗ можно сделать вывод о том, что законодатель разводит фигуры оператора ПДн и лица, действующего по его поручению. Поэтому существует мнение, что оператор ПДн и лицо, осуществляющее обработку ПДн по поручению оператора, наделены самостоятельными правами и обязанностями; только в силу обработки ПДн на лицо, действующее по поручению оператора, не могут возлагаться обязанности оператора.

Так, фигура оператора характеризуется законодателем в том числе через его полномочие по определению целей и содержания обработки ПДн (п. 2 ст. 3 Закона N 152-ФЗ). В то же время из ч. 3 ст. 6 Закона N 152-ФЗ следует, что перечень действий (операций) с ПДн и цели их обработки для лица, осуществляющего обработку ПДн по поручению оператора, задаются оператором; это лицо лишено возможности самостоятельно определять цели и способы обработки данных.

С этой точки зрения, организация-исполнитель в подобном случае не является оператором ПДн, поскольку обработка ею ПДн производится в тех целях и теми способами, которые установлены для нее клиентами согласно условиям заключенных договоров. Следовательно, организация-исполнитель не обязана уведомлять уполномоченный орган о начале обработки ПДн по поручению своих клиентов (смотрите, например, решение Арбитражного суда Тульской области от 03.12.2012 по делу N А68-7425/2012).

В связи с тем, что действующее законодательство о ПДн и имеющаяся судебная практика не позволяют дать однозначный вывод по рассмотренному вопросу, мы рекомендуем Вам обратиться за официальными разъяснениями в уполномоченный по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных федеральный орган исполнительной власти - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая, в соответствии с п. 6.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утверждено постановлением Правительства РФ от 16.03.2009 N 228), имеет право давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к ее компетенции.

К сведению:

Отметим, что уведомление об обработке ПДн направляется один раз за время деятельности организации, не влечёт за собой каких-либо затрат и дополнительных обязательств. На основании данного уведомления хозяйствующие субъекты включаются в реестр операторов, осуществляющих обработку персональных данных. Роскомнадзор разъяснил, что рассылка территориальными органами Роскомнадзора писем с просьбой о направлении операторам персональных данных уведомлений об обработке персональных является профилактической мерой с целью исполнения оператором требований Закона N 152-ФЗ, а также обратил внимание, что в любом случае организация должна дать ответ на письмо Федеральной службы (разъяснение Роскомнадзора смотрите на сайте: http://www.rsoc.ru/news/rsoc/news14407.htm).

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Амирова Лариса

Контроль качества ответа:

Рецензент службы Правового консалтинга ГАРАНТ

Прибыткова Мария

20 февраля 2013 г.

-------------------------------------------------------------------------

*(1) Поручение заказчика услуг по ведению бухгалтерского учета исполнителю этих услуг осуществлять обработку ПДн своих работников при соблюдении требований ч. 3 ст. 6 Закона N 152-ФЗ не противоречит действующему законодательству, что подтверждается и судебной практикой (смотрите, например, решение Арбитражного суда Тамбовской области от 22.10.2012 по делу N А64-5773/2012). Отметим, что права субъекта ПДн подобными действиями не нарушаются: ответственность за действия другого лица (обработчика) перед субъектом ПДн все равно несет оператор.

*(2) Уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства РФ от 16.03.2009 N 228). Форма уведомления и рекомендации по её заполнению утверждены приказом Роскомнадзора от 19.08.2011 N 706.