Передача персональных данных третьим лицам: юридические основания

В контексте передачи персональных данных важно различать две формы, в качестве которых могут выступать третьи лица — это оператор и обработчик.

С точки зрения положений статьи 3 152-ФЗ обе роли — и операторы, и обработчики — считаются операторами персональных данных, поскольку осуществляют обработку персональных данных. Тем не менее, как неоднократно отмечал РКН, различие между ними кроется в факте делегирования полномочий по обработке персональных данных от «основного» оператора.

Если у оператора имеется ряд задач, связанных с обработкой персональных данных, но их выполнение он возлагает на третье лицо (например, в связи с отсутствием необходимых внутренних ресурсов), то в таком случае третье лицо является лицом, осуществляющим обработку персональных данных по поручению оператора (обработчик).

Такими лицами чаще всего выступают:

• компании, оказывающие услуги по хранению данных;
• организации, предоставляющие услуги по рассылкам электронных писем или смс-сообщений;
• подрядчики, предоставляющие сервисы электронного документооборота, технического обслуживания корпоративных систем (с возможностью доступа к персональным данным в ходе такого обслуживания);
• колл-центры для обработки обращений клиентов, и многие другие.

В соответствии с частью 4 статьи 6 152-ФЗ обработчик не обязан получать согласие у субъекта персональных данных на обработку его персональных данных.

Это объясняется тем, что у лица нет самостоятельных целей (интересов) в отношении обрабатываемых данных, и обработка осуществляется им на основании и условиях, установленных между оператором и субъектом.

Из этого следует, что в случае наступления событий (выявление неправомерной обработки, достижение цели обработки, отзыв субъекта персональных данных согласия на обработку), требующих в соответствии со статьей 21 152-ФЗ прекращения обработки персональных данных, обработчик также должен прекратить осуществлять такую обработку, а на оператора возлагается обязанность по обеспечению выполнения этого требования.

Кроме того, с обработчиком требуется заключить соглашение о поручении обработки персональных данных. Это соглашение может быть оформлено либо как отдельный договор, либо включено в основной договор, регулирующий отношения сторон (законодательных требований к форме документа нет, но есть требования к содержанию, установленные частью 3 статьи 6 152-ФЗ).

Другой формой третьего лица выступает оператор персональных данных. Это лицо обладает собственными целями (интересами) в отношении обработки персональных данных. С оператором такое лицо связывает договор или законодательные требования, в рамках которых передаются персональные данные.

Самостоятельными операторами выступают:

• органы власти в рамках исполнения оператором своих функций и обязанностей, установленных законодательством;
• компании, деятельность которых лицензируема, если обработка персональных данных связана с такой деятельностью (например, операторы мобильной связи, банковские, страховые и образовательные организации);
• подрядчики, с которыми не заключались соглашения о поручении обработки персональных данных.

Так как в отношениях двух самостоятельных операторов нет факта делегирования полномочий, то не требуется заключение соглашения на поручение обработки персональных данных.

При этом, если фактически отношения выстроены по поручению обработки, но само поручение оформлено не было, третье лицо будет признано самостоятельным оператором.

Каждый из операторов обязан обеспечить себе самостоятельные правовые основания обработки персональных данных, перечень которых содержится в части 1 статьи 6 152-ФЗ. Другими словами, если подходящим правовым основанием каждого оператора является, например, согласие субъекта на обработку персональных данных в соответствии с пунктом 1 части 1 статьи 6 152-ФЗ, то данное согласие должны получить все самостоятельные операторы.

В свою очередь, если оператор передает персональные данные органам власти (например, в ФНС, СФР, правоохранительные, судебные органы), то правовым основанием будет выступать законодательство, устанавливающее полномочия оператора осуществлять такую передачу.

Явным преимуществом отношений между самостоятельными операторами является отсутствие обязанности первого оператора нести ответственность за нарушения, совершенные действиями (бездействием) второго оператора.

С точки зрения рисков для оператора отношения по такой модели кажутся менее рисковыми, однако у первого оператора отсутствует контроль за действиями других операторов, и обработка персональных данных субъектов может продолжаться третьими лицами после прекращения отношений между операторами, а также после прекращения отношений между субъектом и первым оператором.

Это может повлечь за собой определенные репутационные риски, если контрагенты не обеспечили себя правовыми основаниями обработки или субъект персональных данных не был должным образом проинформирован о передаче его данных третьим лицам. Чаще всего, в таких ситуациях все обращения и претензии субъектов (например, клиентов), поступают именно в адрес оператора, передавшего персональные данные другим лицам.

Особое место в данной теме занимает передача персональных данных работников оператора.

Дело в том, что в соответствии со статьей 88 Трудового кодекса РФ работодатель не имеет права без письменного согласия работника передавать его персональные данные третьим лицам, за исключением целей предупреждения угрозы жизни и здоровью или случаев, прямо предусмотренных законодательством.

Учитывая требования части 4 статьи 9 152-ФЗ к письменной форме согласия на обработку персональных данных, а также разъяснения РКН, высказанные на публичных мероприятиях, в таком согласии может быть указано только одно третье лицо. В связи с этим, если передача персональных данных работников происходит нескольким операторам и (или) обработчикам, даже в рамках одной цели, согласий в письменной форме от работника должно быть получено по количеству таких третьих лиц.

Такая особенность касается не только передачи данных работников. Если требуется оформление согласия в письменной форме по части 4 статьи 9 152-ФЗ, и при этом обработка предполагает также передачу персональных данных, то необходимо придерживаться принципа «одно третье лицо — одно согласие».

В иных случаях, когда согласие может быть оформлено в соответствии с частью 1 статьи 9 152-ФЗ в «любой форме, позволяющей подтвердить факт его получения», указание третьих лиц варьируется в зависимости от роли таких лиц.

Согласно разъяснениям РКН, указание третьих лиц является обязательным в силу принципа информированности согласия по части 1 статьи 9 152-ФЗ, при этом требование о поименовании третьих лиц распространяется только в отношении обработчиков при толковании пункта 6 части 4 статьи 9 152-ФЗ. Это значит, что если обработка персональных данных предполагает поручение третьим лицам, то в согласии требуется перечисление всех таких лиц.

Если же передача осуществляется другим самостоятельным операторам, в таком случае допустимо указание лишь на категорию таких лиц (например, «банковские организации», «курьерские службы») и цель обработки, в связи с которой персональные данные передаются.

Также РКН допускает возможность указания в тексте согласия гиперссылки на интернет-страницу оператора, содержащую актуальный список третьих лиц. В случае выявления несовпадения между фактической передачей и информацией из данного списка, оператору грозит ответственность за неправомерную передачу персональных данных.

Отдельно стоит также упомянуть о распространении как об одном из видов передачи персональных данных.

В отличие от предоставления, под распространением понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Чаще всего, распространение встречается при публикации персональных данных на внешнем сайте оператора, когда любой желающий может зайти на данную страницу и ознакомиться с имеющейся информацией (например, о сотрудниках оператора или клиентах, оставивших свои отзывы).

Однако, если круг лиц все-таки можно обозначить, то в таком случае будет иметь место предоставление персональных данных, а не распространение. Поэтому при ограничении доступа к просмотру сведений, содержащих персональные данные, посредством регистрации пользователей, передача персональных данных будет осуществляется в виде предоставления, то есть раскрытия данных определенному кругу лиц.

При распространении персональных данных необходимо строго соблюдать положения, установленные статьей 10.1 152-ФЗ. Форма согласия на распространение должна соответствовать требованиям приказа РКН от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Поскольку согласие на распространение оформляется отдельно от иных согласий на обработку персональных данных, оператору рекомендуется провести анализ соотношения преимуществ и возможных издержек, связанных с внедрением процессов по распространению персональных данных.

С одной стороны, привлечение третьих лиц способствует снижению нагрузки на внутреннюю инфраструктуру оператора, включая уровень защищенности информационных систем.

Все это является возможностью для операторов повысить эффективность своей деятельности, сосредоточить усилия на реализации ключевых бизнес-целей.

В условиях постоянных изменений законодательства в сфере персональных данных, усиление ответственности за нарушения использование внешних ресурсов становится важным, а порой единственным инструментом для своевременного внедрения инновационных решений и повышения конкурентоспособности.

С другой стороны, привлечение третьих лиц требует ответственного подхода к оформлению договорных отношений оператора с ними.

В первую очередь, оператору следует провести комплексную проверку благонадежности контрагента. Особое внимание следует уделить тому, соблюдает ли подрядчик требования к обеспечению безопасности персональных данных, а также включено ли лицо в реестр операторов РКН.

В случае, если оператор поручает обработку персональных данных, но обработчик отказывается от заключения соглашения о поручении обработки, то это является существенным индикатором возможных рисков и основанием для прекращения взаимодействия с таким подрядчиком.