Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 11.05.2017 N 08-40554 "О результатах рассмотрения письма"

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) по результатам рассмотрения Вашего письма сообщает следующее.

В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации от 16.03.2009 N 228, Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, на который возложены, в том числе полномочия по осуществлению контроля за обработкой персональных данных и ведению Реестра операторов, осуществляющих обработку персональных данных.

Так, оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора.

В соответствии с п. 38 Административного регламента исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 N 312, обращения, предмет которых аналогичен направленному Вами обращению, не являются основанием для проведения внеплановых проверок в отношении операторов, осуществляющих обработку персональных данных.

Вместе с тем считаем допустимым пояснить, что в соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным. Таким образом, работодатель применительно к осуществляемой им деятельности является оператором, осуществляющим обработку персональных данных своих сотрудников, и, руководствуясь ст. 7 Федерального закона "О персональных данных", обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Исходя из изложенного, полагаем возможным заключить, что при наличии правовых оснований и полномочий, установленных федеральным законом, третьи лица, в том числе профсоюзы, могут получить доступ к персональным данным, обрабатываемым оператором.

По существу вопроса о необходимости включения профсоюзов, их первичных организаций и выборных органов, в Реестр операторов, осуществляющих обработку персональных данных, необходимо отметить следующее.

В случае осуществления профсоюзами, их первичными организациями и выборными органами вида деятельности по обработке персональных данных, подпадающей под исключения, установленные ч. 2 ст. 22 Федерального закона "О персональных данных", указанные операторы вправе не представлять в адрес уполномоченного органа уведомления о намерении осуществлять обработку персональных данных.

Ввиду изложенного, при принятии решения о необходимости направления уведомления в адрес Роскомнадзора о намерении осуществлять обработку персональных данных необходимо руководствоваться вышеуказанной позицией.

Начальник Управления по защите прав субъектов персональных данных

Ю.Е. Контемиров