В 2015 году НОСТРОЙ подготовило правовое заключение о соблюдении СРО Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Затем в 2017 году Роскомнадзор дал своё разъяснение.

В связи с тем, что за 9 лет вышеуказанный закон мог претерпеть изменения, прошу скорректировать (при необходимости) правовое заключение о соблюдении СРО закона о персональных данных, а также дополнить ответами на вопросы:

Являются ли программы 1С Бухгалтерия, 1С Кадры средствами автоматизации (п. 8 ч. 2 ст. 22 закона)? Обязаны ли СРО в области строительства направлять уведомление в РКН? Какие документы по персональным данным обязательно должны быть разработаны и утверждены в СРО (даже если не требуется уведомление в РКН)? Возможно ли разработать Типовые формы обязательных документов для использования в СРО? Аналогичная информация требуется и в отношении строительных организаций — членов СРО.

Согласно пункту 2 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных», федеральный государственный контроль (надзор) за обработкой персональных данных (а, соответственно, и предоставление разъяснений и рекомендаций по данному вопросу) осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором) и его территориальными органами. В этой связи целесообразно запросить официальную позицию Роскомнадзора по вопросам, упомянутым в обращении.

Вместе с тем полагаем возможным актуализировать ранее предоставленную информацию, а также изложить свое мнение по содержащимся в Вашем обращении вопросам.

Организация обработки персональных данных в саморегулируемой организации должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ).

Согласно статье 3 Федерального закона № 152-ФЗ персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. При этом государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, признается оператором персональных данных.

Любая саморегулируемая организация, обрабатывающая данные физических лиц, сведения о которых включены в национальный реестр специалистов в области строительства, а также своих работников, является оператором персональных данных.

По общему правилу, установленному пунктом 1 частью 1 статьи 6 Федерального закона № 152-ФЗ, обработка персональных данных допускается с согласия субъекта персональных данных. Вместе с тем в пунктах 2 – 11 части 1 статьи 6 Федерального закона № 152-ФЗ установлены случаи, когда обработка персональных данных может осуществляться без согласия субъекта персональных данных (письмо Минцифры России от 14.05.2024 № П25-12029-ОГ). В частности, не требуется получение согласия субъекта персональных данных на обработку его персональных данных, если такая обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (пункт 2), а также если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пункт 5).

Таким образом, оператор вправе обрабатывать персональные данные без соответствующего согласия только при наличии правовых оснований, установленных законодательством Российской Федерации в области персональных данных.

Соответственно, саморегулируемой организации не требуется получение согласий специалистов по организации строительства на обработку их персональных данных, поскольку такие персональные данные обрабатываются саморегулируемой организацией в силу пункта 2 части 6 статьи 555 и части 15 статьи 556 Градостроительного кодекса Российской Федерации. Саморегулируемой организации не требуется получение соответствующего согласия на обработку персональных данных работников, но только при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные законодательством Российской Федерации перечни, а также соответствует целям обработки, предусмотренным законодательством Российской Федерации. Необходимо также иметь в виду, что обработка, использование и защита персональных данных работников в саморегулируемой организации должны осуществляться в строгом соответствии с положениями главы 14 Трудового кодекса Российской Федерации. Представляется, что аналогичные выводы следует распространить и в отношении членов таких саморегулируемых организаций.

Важно отметить, что в силу части 5 статьи 5 Федерального закона № 152-ФЗ обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Если саморегулируемой организацией обрабатываются персональные данные, избыточные по отношению к заявленным целям, в таком случае необходимо получение согласий на обработку персональных данных от лиц, которым они принадлежат.

Федеральным законом № 152-ФЗ установлено достаточно большое количество требований к процедуре обработки персональных данных, в том числе определен перечень прав субъектов персональных данных и обязанностей операторов. Из основных обязанностей операторов необходимо отметить следующие.

Согласно части 1 статьи 181 Федерального закона № 152-ФЗ оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено указанным федеральным законом или другими федеральными законами. В частности, Федеральный закон № 152-ФЗ к таким мерам относит следующие:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Также согласно части 2 статьи 181 Федерального закона № 152-ФЗ оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Требование о наличии документа, определяющего политику в отношении обработки персональных данных, и обеспечении неограниченного доступа к нему предъявляется ко всем операторам вне зависимости от способа сбора персональных данных.

О необходимости направления уведомления о начале обработки персональных данных.

Частью 2 статьи 22 Федерального закона № 152-ФЗ в редакции, действующей с 01.09.2022, установлен закрытый перечень случаев, в которых оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных. В частности, уведомление не требуется, если:

1) обрабатываются данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

2) обработка осуществляется исключительно без использования средств автоматизации;

3) данные обрабатываются в соответствии с законодательством о транспортной безопасности.

Соответственно, во всех остальных случаях саморегулируемой организации (которая является оператором) до начала обработки персональных данных необходимо уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (часть 1 статьи 22 Федерального закона № 152-ФЗ). Аналогичный вывод следует распространить и в отношении членов таких саморегулируемых организаций.

Обращаем Ваше внимание, что из письма Роскомнадзора от 26.04.2017 № 08-36086 следует, что для саморегулируемых организаций основания для обработки персональных данных без уведомления Роскомнадзора о своем намерении осуществлять обработку персональных данных отсутствовали и до внесения изменений (то есть и до 01.09.2022): «…Вместе с тем сведения об обработке персональных данных саморегулируемыми организациями, основанными на членстве лиц, осуществляющих строительство, реконструкцию, капитальный ремонт объектов капитального строительства (далее – СРО), представленные в письме, не позволяют отнести деятельность СРО по обработке персональных данных к установленным Законом о персональных данных исключениям. На основании изложенного полагаем, что СРО, являясь операторами, в соответствии с частью 1 статьи 22 Закона о персональных данных до начала обработки персональных данных обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных...».

При этом предельный срок уведомления Роскомнадзора о начале обработки персональных данных с учетом внесенных с 01.09.2022 изменений не определен. Таким образом, 01.09.2022 не являлось крайним сроком подачи уведомления об обработке персональных данных. Аналогичное мнение опубликовано Роскомнадзором на официальном сайте в разделе Новости за 01.09.2022 по адресу: https://rkn.gov.ru/news/rsoc/news74488.htm (Информация Роскомнадзора «Об изменениях в законодательстве о персональных данных»).

Дополнительно сообщаем, что на портале Роскомнадзора оператору предоставлена возможность сформировать и направить уведомление в территориальный орган Роскомнадзора одним из следующих способов:

в бумажном виде;

в электронном виде с использованием усиленной квалифицированной электронной подписи;

в электронном виде с использованием средств аутентификации ЕСИА.

Из части 4 статьи 22 Федерального закона № 152-ФЗ следует, что Роскомнадзор в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 данной статьи, а также сведения о дате направления указанного уведомления в реестр операторов. При этом сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

О средствах автоматизации.

В соответствии с пунктом 4 статьи 3 Федерального закона № 152-ФЗ автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. При этом из пункта 1 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление) следует, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. В силу пункта 2 данного Постановления обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Таким образом, если саморегулируемая организация осуществляет обработку персональных данных с помощью средств вычислительной техники (к примеру, исключительно на бумажных носителях), она может не уведомлять Роскомнадзор об обработке персональных данных. Вместе с тем в действительности саморегулируемые организации используют бухгалтерские программы и программное обеспечение для составления и отправки отчетности в ПФР и другие органы (в частности, посредством использования программ, упомянутых в обращении), тем самым осуществляют автоматизированную обработку персональных данных и несут соответствующую обязанность по уведомлению Роскомнадзора о начале такой обработки.

Перечень документов, разработка и утверждение которых обязательны для саморегулируемой организации.

В соответствии с частью 1 статьи 18.1 Федерального закона № 152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относится издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.

Из части 2 статьи 18.1 Федерального закона № 152-ФЗ следует, что оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. При этом оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Согласно пункту 8 статьи 86 Трудового кодекса Российской Федерации работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, и о

б их правах и обязанностях в этой области. Кроме того, в соответствии с частью 4 статьи 18.1 Федерального закона № 152-ФЗ оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

Генеральный директор

СРО Союз «Строили РД» И.Г. Гаджиев