Вопрос: Обязана ли организация, заключившая договор с оператором связи об оказании услуг связи (Интернет), предоставить персональные данные работников организации, имеющих на своих рабочих местах доступ к сети Интернет? Как обезопасить себя от утечки персональных данных работников?
Ответ: В ситуации, когда организация заключила договор с оператором связи об оказании услуг связи (Интернет), в договоре абонента с юридическим лицом либо индивидуальным предпринимателем устанавливается обязанность предоставлять оператору связи юридическим лицом либо индивидуальным предпринимателем список лиц, использующих его оборудование, а также срок представления указанного списка.
Обоснование: В договоре абонента помимо обязательных сведений (Ф.И.О., контактные данные и т.д.) установлено обязательство представления списка лиц, пользующихся оконечным оборудованием, с обновлением такого списка не реже одного раза в квартал (п. 22(1) Правил оказания телематических услуг связи, утвержденных Постановлением Правительства РФ от 10.09.2007 N 575, введен Постановлением Правительства РФ от 31.07.2014 N 758 "О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей").
Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
По нашему мнению, организация связи, рассматриваемая в данном вопросе, подпадает под определение оператора персональных данных, согласно которому оператором признается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона N 152-ФЗ).
В то же время обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, организация - оператор связи подпадает под ограничения, установленные ст. 7 Закона N 152-ФЗ, в соответствии с которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В этой связи считаем, что каких-либо дополнительных мер предосторожности для защиты персональных данных работников организации не требуется.
Вместе с тем в Российской Федерации согласно ст. 421 Гражданского кодекса РФ предусмотрена свобода договора. Возможность договориться с оператором о, например, выборе ответственного за пользование оконечным оборудованием либо заключить дополнительное соглашение о неразглашении персональных данных, включив в него размер штрафа по своему усмотрению, всегда есть. Соответственно, организация вправе предусматривать условия в договоре совместно с оператором по согласованию о неразглашении персональных данных.
Таким образом, обязательство о представлении списка лиц, пользующихся оконечным оборудованием, установлено законодательно, а вот особые условия, такие как соглашение о неразглашении персональных данных, возможно предусмотреть сторонами в самом договоре.
И.В.Чучкина
ООО "ИК Ю-Софт"
Региональный информационный центр
03.10.2015
