Может ли компания (ООО) не регистрироваться в качестве оператора персональных данных, а передать обработку персональных данных сторонней компании по договору поручения?
Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Закона о персональных данных, п. п. 1, 5.2.4 Положения о Роскомнадзоре). Проверить, включены ли вы в этот реестр, можно на портале персональных данных, который ведет Роскомнадзор: http://pd.rkn.gov.ru/.
Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).
Резюмируя вышеизложенное, ООО, которое намерено передать обработку персональных данных сторонней компании по договору поручения, обязано зарегистрироваться в качестве оператора персональных данных, если оно само осуществляет автоматизированный учет персональных данных, определяет цели и объем обрабатываемых данных. Передача обработки персональных данных третьей стороне по договору поручения не освобождает первоначального оператора от обязанности соблюдения законодательства о персональных данных и, как правило, не отменяет его обязанность уведомить Роскомнадзор о начале такой обработки.