Новости и аналитика Правовые консультации Гражданское право Организация ведет деятельность по обслуживанию автомобилей. При обслуживании автомобиля сотрудник организации заносит в базу данных, которая хранится на сервере организации, данные автомобиля (пробег, дату выпуска и прочие характеристики автомобиля) и информацию по каждому обслуживанию автомобиля, а также данные клиента (Ф. И. О., дата рождения, номер телефона). Организация по договору франчайзинга сотрудничает с другими юридическими лицами (франчайзи), работающими под тем же товарным знаком и по тем же условиям, что и организация - владелец товарного знака. В процессе сотрудничества организация передает доступ в общую базу данных клиентов (включая их личные персональные данные и данные автомобиля) своим франчайзи, которые также ведут историю обслуживания этих клиентов. При этом организация берет с клиента Согласие на обработку и хранение его личных персональных данных (Ф. И. О., дата рождения, номер телефона). Достаточно ли внести дополнение в Согласие на обработку и хранение персональных данных клиента пункт, подтверждающий также согласие клиента на передачу и последующее хранение его персональных данных организациям-франчайзи, работающим под тем же товарным знаком и по тем же условиям, что и организация - владелец товарного знака? Или должен быть иной порядок действий? Какими документами и как именно должны быть оформлены взаимоотношения между организацией и франчайзи в части передачи персональных данных клиентов, чтобы обеспечить соблюдение Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"?

Организация ведет деятельность по обслуживанию автомобилей. При обслуживании автомобиля сотрудник организации заносит в базу данных, которая хранится на сервере организации, данные автомобиля (пробег, дату выпуска и прочие характеристики автомобиля) и информацию по каждому обслуживанию автомобиля, а также данные клиента (Ф. И. О., дата рождения, номер телефона).
Организация по договору франчайзинга сотрудничает с другими юридическими лицами (франчайзи), работающими под тем же товарным знаком и по тем же условиям, что и организация - владелец товарного знака.
В процессе сотрудничества организация передает доступ в общую базу данных клиентов (включая их личные персональные данные и данные автомобиля) своим франчайзи, которые также ведут историю обслуживания этих клиентов.
При этом организация берет с клиента Согласие на обработку и хранение его личных персональных данных (Ф. И. О., дата рождения, номер телефона).
Достаточно ли внести дополнение в Согласие на обработку и хранение персональных данных клиента пункт, подтверждающий также согласие клиента на передачу и последующее хранение его персональных данных организациям-франчайзи, работающим под тем же товарным знаком и по тем же условиям, что и организация - владелец товарного знака? Или должен быть иной порядок действий?
Какими документами и как именно должны быть оформлены взаимоотношения между организацией и франчайзи в части передачи персональных данных клиентов, чтобы обеспечить соблюдение Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"?

По данному вопросу мы придерживаемся следующей позиции:
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу*(1), является персональными данными (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", далее - Закон N 152-ФЗ). Соответственно, ее обработка, в том числе сбор, запись, хранение, использование и т.п.*(2), должна подчиняться правилам, установленным Законом N 152-ФЗ.
Как мы поняли из вопроса, компания - владелец знака обслуживания осуществляет обработку ПД в виде их сбора, записи, систематизации, накопления и хранения при формировании единой клиентской базы, передачи (распространения, предоставления, доступа) компаниям-франчайзи. Также эта компания сама использует ПД для непосредственного оказания клиентам услуг по договору. В свою очередь, компании-франчайзи также осуществляют обработку ПД: использование для оказания услуг, новый сбор, запись, уточнение (обновление, изменение), а также обратную передачу ПД владельцу знака обслуживания.
Оператором персональных данных (далее - ПД), как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. При таком положении, на наш взгляд, в рассматриваемом случае операторами ПД являются как компания - владелец знака обслуживания, так и компания-франчайзи. Ведь все эти субъекты самостоятельно определяют цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. В этом смысле компании-франчайзи невозможно приравнять по статусу к организациям, осуществляющим обработку ПД по поручению оператора (ч. 3 ст. 6 Закона N 152-ФЗ).
Согласно ч. 1 ст. 6 Закона N 152-ФЗ обработка ПД допускается либо с согласия субъекта ПД на обработку его ПД, либо в исчерпывающем перечне случаев, определенных в пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Из данного перечня наиболее приближенным к рассматриваемой ситуации является случай, предусмотренный п. 5 ч. 1 ст. 6 Закона N 152-ФЗ: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. При этом согласно ст. 7 Закона N 152-ФЗ операторы и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом. В этой связи смотрите, например, решение Арбитражного суда Тверской области от 29 июля 2013 г. по делу N А66-7265/2013. Также необходимо учитывать, что согласно ч. 5 ст. 5 Закона N 152-ФЗ содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
Рассматривая обработку ПД клиентов владельцем знака обслуживания, полагаем, что сбор, запись, использование этих сведений для целей оказания услуг охватываются положениями п. 5 ч. 1 ст. 6 Закона N 152-ФЗ, поскольку необходимы для исполнения заключенного с клиентом договора. Однако систематизация, накопление и хранение сведений в единой клиентской базе, а также передача их компаниям-франчайзи для данных целей являются избыточной обработкой. Соответственно, на такую обработку необходимо согласие клиента. Это также справедливо для случаев, когда сбор, запись, использование ПД осуществляются не для непосредственного оказания услуг, а для иных целей - такая обработка не отвечает требованиям п. 5 ч. 1 ст. 6 Закона N 152-ФЗ и также вызывает необходимость получения согласия*(3).
Что касается обработки ПД клиентов компаниями-франчайзи, на наш взгляд, использование этих сведений, новый сбор, запись, уточнение (обновление, изменение) для целей оказания услуг охватываются положениями п. 5 ч. 1 ст. 6 Закона N 152-ФЗ. Тем не менее на обработку в иных целях, а также на обратную передачу ПД владельцу знака обслуживания для размещения в клиентской базе требуется согласие субъекта ПД.
Обращаем внимание на то, что обязанность по представлению доказательств получения согласия возлагается законом на оператора (ч. 3 ст. 9 Закона N 152-ФЗ). Соответственно, компании-франчайзи обязаны сами получать от клиентов необходимое согласие на обработку ПД этими компаниями.
Наличие в договоре франчайзинга условий об обработке ПД клиентов имеет значение лишь в отношениях между сторонами этого договора и никак не влияет на необходимость получения операторами от субъектов ПД согласия на обработку их ПД вышеназванными способами.
Закон N 152-ФЗ не устанавливает порядок изменения согласия на обработку ПД. По нашему мнению, внесение дополнений в согласие возможно в той же форме, в которой ранее было дано изначальное согласие.
Также Закон N 152-ФЗ не регулирует взаимоотношения между двумя операторами по поводу передачи ПД*(4). Мы полагаем, что, исходя из принципа свободы договора (ст. 421 ГК РФ), договор между операторами может предусматривать любые условия, лишь бы они не нарушали императивные нормы Закона N 152-ФЗ, в т.ч. ст. 5, 7 Закона N 152-ФЗ и т.д. Дублировать данные нормы закона в договоре необязательно, они налагают на операторов соответствующие обязанности непосредственно.
К сожалению, обнаружить официальные разъяснения органов власти и судебную практику по рассматриваемой ситуации не удалось. Обращаем внимание на то, что приведенная позиция является нашим экспертным мнением и может не разделяться контролирующими органами и судами при рассмотрении конкретных дел. Поэтому рекомендуем обратиться за официальными разъяснениями в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства РФ от 16 марта 2009 г. N 228, а также соответствующей инструкцией, утвержденной приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10 февраля 2015 г. N 13.

К сведению:
Обращаем внимание также на то, что на организации в силу ч. 1, п. 2 ч. 2 ст. 19 Закона N 152-ФЗ лежит в том числе обязанность по соблюдению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Прибыткова Мария

Ответ прошел контроль качества

5 февраля 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) С этой точки зрения сведения о клиенте (Ф. И. О., дата рождения, номер телефона) относятся к персональным данным, а сведения об автомобиле (пробег, дата выпуска и прочие характеристики автомобиля) и информация по каждому обслуживанию авто - нет. В этой связи смотрите ответ Службы правового консалтинга на Вопрос: Организация ведет деятельность по обслуживанию автомобилей. При обслуживании автомобиля сотрудник организации заносит в базу данных, которая хранится на сервере организации, данные автомобиля (пробег, дату выпуска и прочие характеристики автомобиля), а также информацию по каждому обслуживанию. Относятся ли данные автомобиля к персональным данным клиента (владельца автомобиля)? Надо ли брать с клиента согласие на обработку и хранение данных автомобиля? Можно ли передавать данные автомобиля и историю его обслуживания следующему владельцу автомобиля? Надо ли при этом брать с предыдущего автовладельца согласие на передачу этих данных будущему владельцу автомобиля?
*(2) Согласно п. 3 ст. 3 Закона N 152-ФЗ обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
*(3) В соответствии с ч. 1 ст. 9 Закона N 152-ФЗ субъект ПД принимает решение о предоставлении своих ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, информированным и сознательным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В силу ст. 5 Закона N 152-ФЗ обработка ПД должна осуществляться на законной и справедливой основе. Обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД. Поэтому, на наш взгляд, по смыслу ст.ст. 5, 6, 9 Закона N 152-ФЗ согласие на обработку ПД независимо от его формы должно содержать в том числе наименование оператора, получающего согласие, цель обработки ПД, а также перечень действий с ПД, на совершение которых дается согласие. В судебной практике при проверке законности действий оператора ПД также признается необходимым установление конкретных целей обработки ПД, на которые субъект ПД дал оператору согласие (смотрите, к примеру, постановление Шестого арбитражного апелляционного суда от 17 октября 2012 г. N 06АП-4042/12).
*(4) Правда, статьей 12 Закона N 152-ФЗ урегулированы отдельные аспекты трансграничной передачи ПД.