Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
(1).jpg)
Программа разработана совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Лицензиар предоставляет лицензиату право использования ПО по модели SAAS (лицензиат получает доступ к ПО через Интернет). ПО предназначено для организации внутреннего документооборота лицензиата (crm система). Лицензиат самостоятельно вносит туда ПДн своих сотрудников (Ф.И.О., электронная почта, должность). При этом каждый сотрудник может и сам подгрузить туда свои ПДн.
ПО развернуто на виртуальном сервере лицензиара. Виртуальный сервер лицензиара размещен на виртуальных мощностях, которые лицензиар арендует у третьего лица.
1. Верно ли то, что оператором ПДн в описанном случае является именно лицензиат?
2. Осуществляет ли в таком случае лицензиар обработку ПДн, внесенных лицензиатом в ПО (например, хранение)? Правильно ли будет в этом случае, что дицензиат даст поручение лицензиару на обработку ПДн (при наличии на это согласий от сотрудников лицензиата)?
3. Должен ли лицензиар поручать обработку ПДн третьему лицу - владельцу виртуальных мощностей (опять же при наличии на это согласий от сотрудников лицензиата)?
Оператором персональных данных, как следует из п. 2 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
Таким образом, и лицензиар по отношению к своим клиентам - физическим лицам, и лицензиат по отношению к своим контрагентам - физическим лицам являются операторами персональных данных, если ими осуществляется обработка персональных данных в своих интересах и имеется правовая и/или фактическая возможность определять цели и существенные условия такой обработки. Соответственно все они обязаны соблюдать требования Закона N 152-ФЗ.
По общему правилу обработка персональных данных допускается с согласия субъекта (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона N 152-ФЗ). Исчерпывающий перечень исключений приведен в пп. 2-11 ч. 1 ст. 6, пп. 2-10 ч. 2 ст. 10, ч. 2 ст. 11 Закона N 152-ФЗ). В частности, обработка персональных данных будет считаться правомерной, если она осуществляется для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ); если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); обработка специальных категорий персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ (п. 2.3 ч. 2 ст. 10 Закона N 152-ФЗ), с законодательством об обязательных видах страхования, со страховым законодательством (п. 8 ч. 2 ст. 10 Закона N 152-ФЗ) и др.
Если же правовые основания обработки персональных данных отсутствуют, то каждый оператор должен заручиться согласием субъектов персональных данных, т. к. именно на оператора возлагается обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, исключающих получение такого согласия (ч. 3 ст. 9 Закона N 152-ФЗ).
В случаях, когда лицензиар не имеет доступа к персональным данным работников лицензиата, то как таковая обработка конфиденциальной информации отсутствует. Однако, на наш взгляд, такое вряд ли возможно.
Если же лицензар оказывает лицензиату техническую поддержку и при этом получает доступ к персональным данным его работников, то в таких отношениях лицензиар приобретает статус так называемого обработчика персональных данных.
В ч. 3 ст. 6 Закона N 152-ФЗ указано, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.
В контексте Закона N 152-ФЗ основными признаками, отличающими обработчика от оператора персональных данных, являются: во-первых, наличие самостоятельной правосубъектности, то есть обработчик должен быть юридически независимым по отношению к оператору, и, во-вторых, обработка им персональных данных должна осуществляться в интересах оператора.
Полагаем, что в подобной ситуации лицензиар будет являться таким обработчиком, поскольку собственной цели в обработке персональных данных граждан, с которыми лицензиат состоит в правоотношениях, он не имеет, его функции ограничиваются обеспечением технического обслуживания системы.
Отметим, что форма и характер поручения на обработку персональных данных законодательством не установлены. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключаемый между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора. В ч. 3 ст. 6 Закона N 152-ФЗ зафиксированы лишь требования, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Так, в поручении должны быть определены:
- перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
- цели их обработки;
- обязанность обработчика соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона N 152-ФЗ;
- обязанность по запросу оператора персональных данных в течение срока действия поручения, в том числе до обработки персональных данных, представлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований;
- обязанность обеспечивать безопасность персональных данных при их обработке;
- требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов (ч. 3 ст. 21 Закона N 152-ФЗ).
Отсутствие хотя бы одного из перечисленных требований может быть квалифицировано как обработка персональных данных с нарушением законодательства (решение Кировского райсуда г. Екатеринбурга Свердловской области от 26 октября 2016 г. по делу N 12-629/2016, постановления ФАС Северо-Западного округа от 29 апреля 2013 г., Кировского облсуда от 24 апреля г. 2012 N 7-А-98/2012).
Таким образом, лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом N 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом. При этом обработчик не обязан получать согласие субъекта персональных данных на их обработку. Такое согласие дается непосредственно оператору, с которым работники состоят в трудовых или гражданско-правовых правоотношениях. В этом согласии следует указать цели, в которых передаются персональные данные, а также наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора.
Считаем, что такая же роль обработчика отводится и владельцу виртуальных мощностей. На отношения, возникающие при применении информационных технологий, распространяет свое действие Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон N 149-ФЗ). В частности, в п. 18 ст. 2 Закона N 149-ФЗ провайдер хостинга определен как лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети Интернет.
Из данного определения следует, что поскольку понятие "обработка персональных данных" (п. 3 ст. 3 Закона N 152-ФЗ) включает в себя накопление, хранение, блокирование персональных данных, то хостинг-провайдер, предоставляющий вычислительные мощности, фактически также осуществляет обработку персональных данных, с той лишь разницей, что он делает это по поручению оператора персональных данных. Тот факт, что данные действия он осуществляет автоматически, не опровергает указанный вывод.
Полагаем, что лицензиат в соглашении с лицензиаром вправе предусмотреть условие о возможности поручения обработки персональных данных владельцу вычислительных мощностей, с которым последний состоит в договорных отношениях. В согласии же на обработку персональных данных работников могут быть указаны оба обработчика, т.к. цель обработки в данной ситуации остается единой.
Смотрите также: Энциклопедия решений. Обеспечение безопасности персональных данных при их обработке в информационных системах.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
26 августа 2025 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
