- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 3
Далее необходимо определить, кто в данной схеме выступает оператором, то есть лицом, самостоятельно или совместно организующим и осуществляющим обработку персональных данных. В предоставленном контексте отсутствует определение оператора, но по общему смыслу Закона № 152-ФЗ оператором признаётся лицо, которое определяет цели обработки и принимает решения о её средствах. В договоре с платформой прямо указано, что платформа является оператором. Однако репетитор также получает доступ к результатам тестов, что само по себе является формой обработки (ознакомление, использование). Более того, именно репетитор определяет цель обработки — проведение учебного тестирования — и принимает решение о том, кому из учеников направлять задания. Платформа лишь предоставляет технический инструментарий, но не определяет, какие тесты создавать и для каких учеников. Таким образом, репетитор может быть признан лицом, совместно с платформой осуществляющим обработку персональных данных, а в ряде случаев — самостоятельным оператором, если он не передаёт платформе полномочия определять цели.
Поскольку в предоставленном контексте нет прямого определения оператора, для точной квалификации следует обратиться к полному тексту ст. 3 Закона № 152-ФЗ, где даётся исчерпывающее понятие. Исходя из общей логики закона, репетитор, имея доступ к персональным данным учеников и используя их в своей педагогической деятельности, должен рассматриваться как оператор (или, как минимум, как лицо, осуществляющее обработку с ведома оператора, что также влечёт определённые обязанности).
Переходя к обязанности уведомления, ст. 22 Закона № 152-ФЗ устанавливает, что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган (Роскомнадзор) о своём намерении, за исключением случаев, прямо перечисленных в части 2 этой статьи. Единственное исключение, сохранившее силу на момент анализа (п. 7 ч. 2 ст. 22), касается обработки персональных данных, включённых в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка. Данное исключение явно не применимо к деятельности репетитора.
Статья 22. Уведомление об обработке персональных данных
- Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
- Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 22 (в ред. от 14.07.2022 № 266-ФЗ)
Ни одно из иных исключений, которые могли бы быть применимы (например, обработка в рамках трудовых отношений, обработка субъектами, не являющимися операторами, и т.п.), в приведённом контексте не содержится, поскольку соответствующие пункты части 2 ст. 22 утратили силу. Таким образом, общее правило об обязательном уведомлении не имеет изъятий для рассматриваемой ситуации. Если репетитор признаётся оператором (или сооператором), он обязан до начала работы с учениками направить уведомление в Роскомнадзор. Сама по себе передача функций по технической обработке платформе, которая также является оператором, не освобождает репетитора от этой обязанности, если он самостоятельно определяет цели и использует данные. Напротив, наличие нескольких операторов, обрабатывающих одни и те же данные, может потребовать уведомления от каждого из них в части своей обработки.
Уполномоченным органом, принимающим такое уведомление, согласно ст. 23 Закона № 152-ФЗ, является федеральный орган исполнительной власти, осуществляющий контроль и надзор за соответствием обработки персональных данных требованиям законодательства, — то есть Роскомнадзор. Таким образом, подавать уведомление необходимо именно в этот орган.
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
- Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 23 (в ред. от 14.07.2022 № 266-ФЗ)
В совокупности норм следует вывод: репетитор, который будет создавать тесты на платформе и получать доступ к результатам, содержащим персональные данные учеников (имя, email), вероятнее всего, признаётся оператором персональных данных (или, как минимум, лицом, осуществляющим обработку с ведома оператора). В отсутствие применимых исключений, предусмотренных ч. 2 ст. 22, он обязан до начала обработки направить уведомление в Роскомнадзор. Тот факт, что платформа также является оператором, не снимает этой обязанности с репетитора, если он самостоятельно определяет цели и использует данные учеников. Рекомендуется подать уведомление заблаговременно, чтобы избежать риска привлечения к ответственности за нарушение правил обработки персональных данных (ст. 24 Закона № 152-ФЗ).