Поручение обработки персональных данных

Согласно пункту 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ-152) оператор [персональных данных] – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, оператор имеет возможность организовывать и (или) осуществлять обработку персональных данных как самостоятельно, так и совместно с другими лицами1). В последнем случае оператору надлежит руководствоваться частям 3, 4 и 5 статьи 6 ФЗ-152 (в редакции Федерального закона от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»), согласно которым:

  1. оператор персональных данных вправе поручить обработку персональных данных третьему лицу (ЛООПДППО)2) с согласия субъекта персональных данных;
  2. ЛООПДППО не обязано получать согласие субъекта персональных данных на обработку его персональных данных;
  3. Ответственность перед субъектом персональных данных за действия ЛООПДППО несет оператор.

Обращает на себя внимание то, что частью 3 статьи 6 ФЗ-152 установлен перечень требований к поручению оператора:

  1. определение перечня действий (операций) с персональными данными, которые будут совершаться уполномоченным лицом;
  2. определение цели обработки персональных данных;
  3. установление обязанности уполномоченного лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
  4. указание требований к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152.

В ФЗ-152 и иных нормативных правовых актах не раскрываются требования к форме поручения обработки персональных данных – операторы персональных данных и ЛООПДППО самостоятельно решают вопрос о форме поручения, исходя из общих принципов права и норм гражданского законодательства. Согласно сложившейся практике, поручение обработки персональных данных вносится в текст вновь заключаемых договоров между оператором и ЛООПДППО, либо оформляется в качестве дополнительного соглашения к уже заключенным договорам между оператором и ЛООПДППО. Позиция органов государственной власти, осуществляющих надзор в сфере соблюдения прав субъектов персональных данных, организации обработки и обеспечения безопасности персональных данных, находится в стадии формирования, но, в целом, не противоречит сложившейся практике оформления отношений между операторами и ЛООПДППО.

С момента принятия Федерального закона от 25 июля 2011 г. № 261-ФЗ субъектами, операторами, органами государственной власти и иными заинтересованными лицами было инициировано более 200 судебных разбирательств в сфере персональных данных. Среди указанных разбирательств 5 судебных дел прямо или косвенно затрагивают регулирование отношений между операторами и ЛООПДППО. Представляется целесообразным условно разделить выявленные судебные дела на две категории: первая категория затрагивает вопросы передачи персональных данных в рамках исполнения договоров, заключенных между операторами и ЛООПДППО; вторая категория затрагивает взаимные обязательства и ответственность операторов и ЛООПДППО в рамках поручения обработки персональных данных.

В первой категории находятся следующие дела:
1) Голубева О. И. против прокуратуры (дело № 12-223/2011 от 29 июля 2011 г., апелляция);
2) Бондарчук В. А. против СТСЖ «Волга», ТСЖ «Вишневое», ООО «Лига» (дело № 33-5562 от 19 октября 2011 г., кассация);
3) Кислов Г. Е. против ЗАО «ВТБ 24» (дело № 2-3559/11 от 21 октября 2011 г., первая инстанция).

Во всех судебных решениях была подтверждена позиция о правомочности передачи оператором персональных данных ЛООПДППО без согласия субъекта этих данных, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных3).

Во второй категории находятся следующие дела: 1) Бондарёнок А. В. против ОАО «Мобильные ТелеСистемы» (дело № 2-2275-11/10с от 25 августа 2011 г., первая инстанция).

Между ОАО «МТС» и ООО «Артекс-Связь», ООО «Глобал Телелайн МСК» были заключены договоры поручения (коммерческого представительства), в соответствии с условиями которых ОАО «МТС» поручает, а коммерческий представитель обязуется совершать от имени и за счет ОАО «МТС» действий по поиску потенциальных абонентов, их справочно-информационному обслуживанию, а также юридические действия по заключению абонентских договоров и внесению изменений и дополнений в действующие абонентские договоры. ООО «Артэкс-Связь», «ГлобалТелеЛайн МСК заключили от имени ОАО «МТС» абонентские договоры с выделением абонентских номеров, в которых в качестве абонента был указан Бондарёнок А. В. Судом было установлено, что Бондарёнок А. В. не заключал указанные абонентские договоры, а персональные данные Бондарёнок А. В. незаконно были переданы в ОАО «МТС», где обрабатывались последним.

Суд пришел к выводу о том, что абонентские договоры являются недействительными по основаниям, предусмотренным ст. 168 ГК РФ, а на ОАО «МТС», как оператора подвижной связи незаконно использовавшего персональные данные Бондарёнка А. В., должна быть возложена ответственность по возмещению ущерба, причиненного им в результате незаконной обработки и персональных данных Бондарёнка А. В.

Суд также отметил, что ответственность по возмещению вреда причиненного лицу по договору, заключенному в рамках коммерческого представительства не может быть возложена на коммерческого представителя, поскольку он является лишь посредником между третьим лицом и доверителем и законом предусмотрена ответственность коммерческого представителя только перед доверителем4).

2) Прокуратура против ООО «РЭУ Бытовик» (дело № 2-3370 от 9 ноября 2011 г., первая инстанция).

Прокурор г. Ленинска-Кузнецкого обратился в суд с исковым заявлением в интересах неопределенного круга лиц – граждан муниципального образования г. Полысаево к ООО «РЭУ Бытовик» о признании незаконным бездействия ООО «РЭУ Бытовик», выразившиеся в не определении в договорах (на ведение лицевых счетов и реестров по оплате; сбору платежей с населения) заключенных с ООО «Расчетно-кассовый центр»: перечня действий (операций) с персональными данными, которые должны будут совершаться, в ходе исполнения договорных обязательств; не установления цели обработки, предоставляемых персональных данных; обязанности ООО «Расчетно-кассовый центр» соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке и обязывании ООО «РЭУ Бытовик» определить в договорах заключенных с ООО «Расчетно-кассовый центр» вышеуказанные условия поручения обработки персональных данных.

Суд признал доводы прокурора обоснованными, признал незаконным бездействие незаконным бездействие ООО «РЭУ Бытовик» и обязал ООО «РЭУ Бытовик» определить в договорах заключенных с ООО «Расчетно-кассовый центр» условия поручения обработки персональных данных, указанные в части 3 статьи 6 ФЗ-152.

,
1)
Определение цели(ей) обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными не может быть поручено оператором другим лицам.
2)
Лицо, осуществляющее обработку персональных данных по поручению оператора.
3)
Согласно пункту 5 части 2 статьи 6 ФЗ-152.
4)
Соответствующая норма также содержится в части 5 статьи 6 ФЗ-152: «…если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором».