Под оператором персональных данных понимаются, в частности, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона № 152-ФЗ).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).
Таким образом, передача документов (сведений), содержащих персональные данные работников компании, является обработкой персональных данных, а компания и аутсорсинговая компания являются операторами персональных данных.
В соответствии с ч.1 ст.22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. При этом ч.2 ст.22 Закона № 152-ФЗ устанавливает перечень случаев, когда можно проводить обработку персональных данных, не уведомляя уполномоченный орган. К таким случаям, в частности, относится обработка персональных данных в соответствии с трудовым законодательством. Однако передача персональных данных компании, которая ведет бухгалтерский учет и обработка аутсорсинговой компанией персональных данных работников проводится не в соответствии с трудовым законодательством (между аутсорсинговой компанией и работниками юридического лица трудовые договоры не заключены), а в соответствии с заключенным гражданско-правовым договором на оказание услуг по ведению бухгалтерского учета, поэтому уведомлять уполномоченный орган в данном случае необходимо.
В то же время, в случае, если оператор осуществляет обработку персональных данных без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных, уведомлять Роскомнадзор не требуется на основании п.8 ч.2 ст.22 № 152-ФЗ.
Обоснование данной позиции приведено ниже в материалах «Системы Юрист».
- Трудовой кодекс Российской Федерации
«Статья 16. Основания возникновения трудовых отношений
Трудовые отношения возникают между работником и работодателем на основании трудового договора, заключаемого ими в соответствии с настоящим Кодексом.*»
- Формы по теме:
- Расписка в получении сотрудником имущества организации
- о присоединении к Системе информационного обмена электронными документами
- Сведения об аккредитации филиалов и представительств иностранного юридического лица
- Внесение записей о поощрении в раздел «Сведения о награждении»
- расходов на формирование резерва по гарантийному ремонту и обслуживанию
- на социальную защиту инвалидов
- Дополнительное соглашение к трудовому договору. Оформляется при выдаче ежемесячной премии в натуральной форме
- Заявление сотрудника на выдачу зарплаты в натуральной форме. Оформляется при выдаче ежемесячной премии в натуральной форме
- Внутренняя опись личного дела перед сдачей дел в архив
- Договор транспортной экспедиции. Экспедитор действует от своего имени
2.Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
«Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;»*
3.Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
«1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.»