Компания (А) получает документы и обрабатывает данные документы от другой компании (В). Компания (В) получает от своих работников согласие на обработку персональных данных компанией (А). Должна ли компания (В) вставать в реестр Роскомнадзора?

 Организация-работодатель, обрабатывающая персональные данные своих работников в соответствии с трудовым законодательством, не обязана пройти регистрацию в реестре Роскомнадзора.

Для передачи третьему лицу персональных данных работника Вам необходимо получить согласия работника на обработку ПД в силу п. 1 ст. 6, ст. 9 Закона о персональных данных.

 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, и ведет реестр операторов, осуществляющих обработку персональных данных (ст. 23 Федерального закона от 27.07.2006 N 152-ФЗ 'О персональных данных' (далее - Закон N 152-ФЗ), п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228).

Оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом персональными данными будет являться любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработкой - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона N 152-ФЗ).

Соответственно, организация, собирая, записывая, систематизируя, накапливая, храня, уточняя (обновляя, изменяя), извлекая, используя, передавая (распространяя, предоставляя, обеспечивая доступ), обезличивая, блокируя, удаляя или уничтожая данные, относящиеся к любому физическому лицу, будет являться оператором.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ (ч. 1 ст. 22 Закона N 152-ФЗ).

Сведения в реестр операторов Роскомнадзор вносит на основании указанного уведомления (ч. 4 ст. 22 Закона N 152-ФЗ). Таким образом, регистрация в реестре Роскомнадзора напрямую зависит от обязанности по подаче уведомления о намерении оператора осуществлять обработку персональных данных. 

Вместе с тем оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, в частности, в соответствии с трудовым законодательством (ч. 2 ст. 22 Закона N 152-ФЗ).

Таким образом, если организация-работодатель обрабатывает персональные данные своих работников в соответствии с трудовым законодательством, то у нее отсутствует обязанность по уведомлению Роскомнадзора и, соответственно, она не подлежит включению в реестр операторов Роскомнадзора.