Анонсы
Программа повышения квалификации "О контрактной системе в сфере закупок" (44-ФЗ)"

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Новости и аналитика Правовые консультации Гражданское право Для прохода на территорию субъект (работники, посетители, в том числе сторонних организаций) предоставляет свои персональные данные для оформления разового пропуска. Сколько должен хранить оператор такое согласие на обработку персональных данных субъекта? К какой ответственности могут привлечь оператора, если он не сохранил согласие? Можно ли сослаться на то, что если субъект дал согласие со сроком до достижения цели обработки персональных данных и цель достигнута (субъект прошел на территорию и вышел обратно), то оператор не обязан хранить такое согласие?

Для прохода на территорию субъект (работники, посетители, в том числе сторонних организаций) предоставляет свои персональные данные для оформления разового пропуска. Сколько должен хранить оператор такое согласие на обработку персональных данных субъекта? К какой ответственности могут привлечь оператора, если он не сохранил согласие? Можно ли сослаться на то, что если субъект дал согласие со сроком до достижения цели обработки персональных данных и цель достигнута (субъект прошел на территорию и вышел обратно), то оператор не обязан хранить такое согласие?

По общему правилу, сформулированному в ст. 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), обработка персональных данных возможна только с согласия субъектов персональных данных*(1), за исключением случаев, перечисленных в пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. Отметим, что данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит. Так, например, обработка персональных данных может осуществляться без согласия гражданина, если это необходимо для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона N 152-ФЗ). Полагаем, что организация пропускного режима на территорию организации может быть обусловлена целями обеспечения безопасности оператора, то есть его законными интересами. При этом порядок пропуска на территорию организации должен быть регламентирован локальным актом оператора (п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ).
Так, Роскомнадзор еще в 2012 г. разъяснял, что обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя не требует согласия при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 ТК РФ (п. 5 разъяснения Роскомнадзора от 14 декабря 2012 г. "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве"). Такого же мнения придерживаются и суды (смотрите апелляционное определение СК по административным делам Нижегородского областного суда от 19 декабря 2018 г. по делу N 33а-15421/2018, решение Октябрьского районного суда г. Саранска Республики Мордовия от 30 августа 2019 г. по делу N 2-1629/2019, определение Московского городского суда от 16 сентября 2014 г. N 4г-9944/14, решение Московского районного суда г. Рязани Рязанской области от 30 октября 2018 г. по делу N 2а-2191/2018).
В отношении работников и посетителей сторонних организаций отметим, что обработку их персональных данных в целях обеспечения пропускного режима надлежит считать обработкой, осуществляемой третьим лицом по поручению оператора. В ч. 3 ст. 6 Закона N 152-ФЗ указано, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Отметим, что форма и характер подобного поручения законодательством не установлена. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключаемый между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора (например, агентского). В ч. 3 ст. 6 Закона N 152-ФЗ зафиксированы лишь требования, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Так, в поручении должен быть приведен перечень действий (операций) с персональными данными, которые будут совершаться обработчиком; определены цели обработки; установлены обязанности обработчика соблюдать конфиденциальность персональных данных и обеспечивать их безопасность с указанием требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ.
Таким образом, лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку*(2) (смотрите определения Ленинградского областного суда от 23 января 2019 г. по делу N 33-410/2019, Приморского краевого суда от 18 сентября 2013 г. по делу N 33-7976, решение Арбитражного суда Иркутской области от 04 декабря 2018 г. по делу N А19-6583/2017), поскольку ответственность перед гражданином за действия обработчика несет именно оператор, а не обработчик, который, в свою очередь, отвечает за собственное неправомерное поведение непосредственно перед оператором (чч. 2, 5 ст. 6 Закона N 152-ФЗ).
При этом истребование паспорта посетителя для идентификации его личности при оформлении пропуска / предоставления доступа на охраняемую территорию не противоречит действующему законодательству, т.к. паспорт является основным документом, удостоверяющим личность гражданина РФ на российской территории (п. 1 Положения о паспорте гражданина Российской Федерации, утвержденного постановлением Правительства РФ от 08 июля 1997 г. N 828). Лицо, осуществляющее допуск граждан на территорию организации, вправе убедиться в соответствии идентификаторов посетителя (работника) сведениям, содержащимся в пропуске, с тем чтобы принять решение о допуске или недопуске физического лица на территорию организации. При отсутствии у субъекта документа, удостоверяющего личность, работник на основании локального акта организации, должностной инструкции вправе отказать такому лицу в посещении охраняемого объекта.

Рекомендуем также ознакомиться с материалом:
- Вопрос: Сроки действия и хранения согласий на обработку персональных данных и самих персональных данных (ответ службы Правового консалтинга ГАРАНТ, май 2022 г.).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

13 октября 2022 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Смотрите материал: Энциклопедия решений. Условия обработки персональных данных.
*(2) Подробнее смотрите в ответе на Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору? (ответ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций). 

Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
Получить доступ
РЕКЛАМА erid 4CQwVszH9pWwojUA9Q3