В организации обработку персональных данных и кадровое делопроизводство осуществляет самозанятый на основании договора оказания возмездных услуг. Как правильно его назначить ответственным за организацию обработки персональных данных? Должен ли в этом случае самозанятый подавать уведомление в Роскомнадзор в качестве Оператора персональных данных? Какие дополнительные соглашения должны быть заключены с самозанятым в данном случае? Должны ли работники организации давать согласие самозанятому на обработку персональных данных?

Ответственным за обработку персональных данных может быть назначено физическое лицо, не обязательно состоящее в штате организации.  Причем это лицо, согласно ч. 2 ст. 22.1 Закона о персональных данных, получает указания непосредственно от руководителя организации и подотчетно ему.

Если таким лицом организация решила назначить самозанятого, то соответствующее условие должно быть прописано в договоре услуг (либо доп. соглашении к договору).   (П.3 Постановления Правительства РФ от 01.11.2012 N 1119)

Исходя из смысла ст. ст. 6, 7, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор персональных данных может поручить обработку данных третьему лицу, которое обязано будет соблюдать законодательство о персональных данных. А согласно ст. 3 оператором может быть в том числе и физическое лицо. Таким образом, при соблюдении требований к самой обработке персональных данных, их конфиденциальности нами не видится запрета на закрепление за самозанятым ответственности по обработке персональных данных (при наличии согласия субъектов). 

В указанной ситуации самозанятый осуществляет обработку персональных данных работников организации-клиента и, следовательно, является оператором персональных данных и обязан уведомить РКН об обработке ПДн (ст. 22 Закона N 152-ФЗ).

Сотрудники должны дать согласие своему работодателю на передачу их перс данных третьему лицу которым является самозанятый, при этом сам самозанятый получать согласие не должен, при этом отвечает перед организацией в рамках договора. При этом и работодатель, и самозанятый принимают на себя обязательства по обеспечению конфиденциальности и безопасности персональных данных.

 

 

Обоснование

В соответствии с частью 1 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных.

В пункте 3 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, установлено, что безопасность персональных данных при их обработке в информационный системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключенного с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

Цитата:

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" {КонсультантПлюс}
 

“2. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных:

2.3. Низкую в случаях: 

- назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" {КонсультантПлюс}
 

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Клиентским опытом решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Безопасная работа с персональными данными в 2025 году».

 

Вопрос: Организация оказывает услуги по бухгалтерскому учету на аутсорсинге, клиент-работодатель получил согласие на обработку и передачу третьим лицам персональных данных работника. Нужно ли организации уведомить Роскомнадзор об обработке персональных данных? (Консультация эксперта, 2023) {КонсультантПлюс}

Статья: 9 согласий на обработку персональных данных (Краецкая Е.) ("Кадровая служба и управление персоналом предприятия", 2023, N 6) {КонсультантПлюс}