Образ ответа можно посмотреть в телеграм.
Роскомнадзор по результатам рассмотрения Вашего обращения от 13.04.2023 № 02-11-11753 сообщает следующее.
В соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон персональных данных) оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные указанным Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 указанного Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с указанной статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 указанного Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 указанного Федерального закона.
Случаи, при которых допускается обработка персональных данных, установлены ч. 1 ст. 6 Закона о персональных данных. Так, в соответствии с п. 1 ч. 1 ст. 6 указанного Федерального закона обработка персональных данных допускается с согласия субъекта персональных данных.
Принимая во внимание изложенное, обработка персональных данных лицом, осуществляющим обработку персональных данных по поручению оператора, будет подпадать под п. 1 ч. 1 ст. 6 Закона о персональных данных и не будет противоречить требованиям законодательства Российской Федерации в области персональных данных при соблюдении требований, установленных ч. 3 ст. 6 Закона о персональных данных.
По существу доводов о порядке исполнения лицом, осуществляющим обработку персональных данных по поручению оператора, требований ч. 8 ст. 9 Закона о персональных данных сообщаем, что согласно указанной норме персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 указанного Федерального закона.
С учетом изложенного, в указанном в обращении случае требования указанной нормы к лицу, осуществляющему обработку персональных данных по поручению оператора, не применимы.
