Исходя из 152-ФЗ, европейской практики и ETS-108, вопрос прямой идентификации субъекта не является основным критериям отнесения данных к ПДн. ПДн признается любая инфа, прямо или косвенно относящаяся к определяемому или определенному лицу. Вопрос косвенного отнесения не предполагает идентификации, но СНИЛС и ИНН помогает в идентификации человека. Этот подход трансформируется в существующие и разрабатываемые НПА. ПДн – инфа, относящаяся прямо или косвеннок субъекту.

Разделения на оператора и обработчика в РФ нет, любое лицо является оператором ПД, на него распространяются в полном объеме требования, установленные действующим законодательством (даже на компании,действующие по поручению оператора).

Пользовательское соглашение касается ПДн самого пользователя, но если есть обработка данных третьего лица (например, которые пользователь предоставляет в комментариях), то тут Пользовательского соглашения уже недостаточно, необходимо брать согласие. Должна также быть предусмотрена функция по модерации ПДн на сайте (удаления ПДн третьих лиц).
Пользовательское соглашение подпадает под понятие договор и под исключения ч. 2 ст. 22 152-ФЗ
У площадок должен быть функционал по удалению информации о третьем лице, не являющемся зарегистрированным (стороной договора). Пользовательское соглашение подпадает под понятие договор и под исключения ч. 2 ст. 22 152-ФЗ
У площадок должен быть функционал по удалению информации о третьем лице, не являющемся зарегистрированным (стороной договора).

В Уведомлении должно быть указано одно лицо, отвечающее за организацию обработки ПДн. Но часть функционала это ответственное лицо может делегировать, при этом в Уведомлении и иных актах, предусмотренных действ законодательством, в качестве ответственного должно быть одно лицо.

Законом не запрещается назначение юридического лица в качестве ответственного за обработку ПДн.

Вопросы интеграции подлежат оценки с точки зрения безопасности. На сегодняшний момент на портале реализован функционал для подачи уведомления в эл. виде.
Кол-во возвратовуведомления на доработкуснизилось на 42%,как раз благодаря этому вспомогательному механизму. Реализована возможность подписание уведомления ЭП.

Для согласияв письменной форме и для согласия на распространение ПДн требования определены, а для иного вида согласия требования отсутствуют, что и порождает вопросы. При этом у оператора остается обязанность доказать факт получения согласия.
Исходить нужно из: согласие должно быть информированным, конкретным и сознательным. Информированность и конкретность: информация о целях, сроках действия,должен содержаться переченькатегорий ПДн, которыеобрабатываются, информация о третьих лицах (чем информативнее согласие, тем будет лучше для операторов). Более конкретизированное согласие может обезопасить оператора при возникновении спорных ситуаций в обработке, тем более что у субъекта есть право на получение информации об обработке ПДн в соответствии со ст. 14 152-ФЗ. Далее оператор исходитиз собственных представлений об информировании субъекта.

Есть распространённая ошибка в том, что вопросыобработки несовершеннолетних лиц подпадают под ст. 9 «обработка недееспособных лиц», заблуждение, что несовершеннолетний = недееспособный. В соответствии с гражданским законодательством несовершеннолетние обладают ограниченной правоспособностью.
Обработка детей,младше 14, - согласие можетпредоставляться законным представителем с указанием информации о представителе и ребенке, а также цели.
Для детей старше 14 лет (ограниченная дееспособность, но с правом совершения мелких сделок) – субъект может предоставить согласиена обработку ПД самостоятельно. В ряде случаевпредоставление согласия регулируется профильными актами, например,здоровье – 15 лет, наркотики– 16 лет. Необходимо обращать внимание на требования отраслевых законодательных актов.
На порядок отзыва также распространяется указанные требования.

Обработка иностранных граждан осуществляется в соответствии с 152-ФЗ, к согласию применяются ровно такие же требования, которые предъявляются к обработке ПДн российских граждан.

Могут быть установлены условия: достижение конкретного срока или цели обработки. Установление конкретного срока напрямую должно быть взаимоувязано с целью обработки ПДн. Срок действия согласия должен быть увязан со сроком действия договора.

По ТК РФ согласие брать нужно при передаче третьим лицам. Если напрямую между работодателем и ЧОП есть договор на оказание услуг, то согласие дается работодателю + на передачу третьему лицу.
Сроки обработки данных, получаемых ЧОПами для посетителей 30 дней с достижения цели (посещения) – либо 6 месяцев (если речь об обеспечении сохранности имущества).

Трудовые отношения и гражданско-правовые отношения– это разные сферы и здесь другие основания (здесь это п. 2 ч. 1 ст. 6 152-ФЗ). Если вы планируете отправлять работников на учебу: обязательное повышение квалификации, предусмотренное ТК РФ (заключается договор без дополнительного согласия)
Но! Если курсы повышения квалификации, не предусмотренные законодательством, здесь нужно согласие на передачу ПДн третьему лицу.

Смотрим на наличие иных правовых оснований, по опыту рекрутинговых агентств и площадок, действующих в лице крупных сервисов по поиску работников, все взаимоотношения урегулированы на уровне договора / пользовательского соглашения, где прописываются все условия по обработке ПДн. Все эти вопросы должны быть прописаны в тексте пользовательского соглашения. Если это прописано, то получение дополнительного согласия не требуется. В противном случае,в качестве правового основание может быть согласие.

Разница в делегировании. Поручение – делегирование третьему лицу от имени оператора на основании поручения (пример, ведение кадрового, бух учета, заключение договоров от имени оператора). В этом случае оператор обязан обеспечить получение согласие субъектов, и согласие должно соответствовать ч.3 ст. 6 152-ФЗ. Оператор определяет объем ПДн, иная деятельность привлекаемого лица, выходящая за пределы поручения, является нарушением.
Привлечение третьих лиц (например, изготовление визиток) для оказания услуг, оформление договора поручения не требуется. Если случаи привлечения и передачи третьим лицам не подпадают под законодательство, то нужно получать согласия.
Мед страхование: опять деление на то, что требуется по закону, и что нет. Так ОМС – по закону, согласие на передачуне требуется. ДМС – для подобной услугине действует отдельный законныйправовой режим – согласие требуется.
Провайдеры облачных услуг – необходимо заключать договор поручения, тк провайдер осуществляет функциюпо хранению ПД. С провайдерами облачных услуг всегда договор поручения.
Если такие провайдеры отказываются заключать договор поручения, не предоставляют данные о ЦОДах для проверки локализации. Ответ: если вы заинтересованы в соблюдении закона,выбирайте и контрагентов, заинтересованных в соблюдении з-на, в противном случае, отв за несоблюдение требований несете вы. Если в договоре нет положений в части поручения на обработку, отв несет оператор.

Понятия «обезличенные данные» в законодательстве нет. Исходя из определений 152-ФЗ, есть понятие «ПДн, полученные в рез-те обезличивания», и они и являются ПДн. На них все требования распространяются в полном объеме. Соблюдаем Приказ РКН №996

Такого набора нет, если вы вводите идентификаторы (ID пользователя, никнейм, IP-адрес), следует понимать, что такие данные ПДн (вы переводите ФИО в иные цифровые идентификаторы). Хэширование не является методом обезличивания ПДн.
На сегодняшний день случаи обезличивания на основании согласияне установлены.
ПДн, полученные в результате обезличивания можно деобезличить (при получении дополнительной инфы/обогащения этой инфы), а вот анонимизированные данные и ПДн, полученные в результате обезличивания - разные термины.
Методологии анонимизации в РФ не существует. Есть ряд инициатив апробирования решений по анонимизации – но это время будущего, время реализации экспериментальных правовых режимов.

Не путаем общедоступный источник с распространением ПДн (ст.8 152-ФЗ). Общедоступный источник– ресурсы, носящие справочный, информационный характер,телефонный справочник относится к таким источникам.

Согласие необходимо в том случае,если нет других оснований. Курьерская доставка– должна быть заложена в пользовательское соглашение / публичную оферту. Там должны быть прописаны третьи лица, которым предполагается передача.

Реализация права на забвение не является предметом правового регулирования 152-ФЗ. Процедура установлена 149-ФЗ.

Обязанность получения согласия на действия до 01 марта 2021 не распространяются, но должны быть обеспечены иные законные основания. Сохраняется право гражданина обратить в адрес ресурса с требованием по удалению данных,если размещены без требований, установленных на уровне законодательства (например школы и медицинские учреждения).

Подобная практика является недопустимой, в законе четко определён набор сведений, который необходим для удаления данных из сети Интернет. Оформление согласия также не является выходом из ситуации, так как этот набор сведений является закрытым и не подлежит расширению.

Ксли говорим об обработке ПДн (биометрия, спец категории, и тд) в этом случае оператор вначалеполучает согласие на обработку таких категорий, далее,если предполагается распространение
– получаетсогласие на распространение ПДн.
Общие ПДн (не треб согласие в письменной форме)– если данные обрабатываются на основании договора, а далее оператор планирует распространение ПДн – нужно получитьсогласие на распространение.
При принятиирешения о двух видах согласий:исходим из категории ПДн, наличия иных законных оснований, если говорим про общие ПДн. В части вопросов по распространению в обязательном случаедолжно быть оформлено согласие.

Если распространения не через сайт: оставляется прочерк, остальные поля заполняются.
В требованиях к форме согласия обязательно указывают ФИО, иные идентификаторы не подлежат указанию.

Нужно различатьвопросы распространения и предоставления. Посетители – определенный круг лиц, соответственно это предоставление ПДн и 10.1 не применяется.

Сайт первоисточник получает согласие с указанием запретов, третье лицо, получающее доступ к ПДн, обязано соблюдать запреты. Если запретов нет на копирование и размещение на иных сайтах, третье лицо может, например, копировать ПДн. Субъект может направить требование об удалении инфы, которое подлежит обязательному исполнению.
Брать с официальных источников можно (но без размещения дополнительной инфы, избыточную - удалить).

Разъяснения РКН 2013 года неприменимы. Будут разработаны новые разъяснения по биометрии. Прежде всего, при отнесении сведений руководствуемся законодательством и судебной практикой. Есть положения НПА, относящие фото в паспорте к биометрии, есть документы ЕБС, судебная практика: фотографическое изображение на пропуске признается в биометрии. Вся эта информация учитывается при отнесении сведенийк биометрии.
Использование технологий распознавания лиц: если используете технологии биометрической идентификации – согласие.
Визовые центры подпадают под исключение по международным договорам РФ и можно не локализовывать.

Предельный срок хранения упирается в сроки, установленные законодательством (есть сроки по ПДн, есть сроки, установленные архивным законодательством). После того, как сроки выйдут,доки переносят в архив. Но если есть доки и ПДн, хранениекоторых не подпадает под архивное законодательство, сведения подлежат уничтожению.
Объединение БД работников разных предприятий: исходя из ст. 5 и положений законодательства и практики, никакое объединение БД различных операторов в единую БД не допускается, если это не предусмотрено законодательством. Если обработка нужна для единойцели, может ли в таком случае организация может выступать оператором одним? Если все компании являются обособленным юр лицами (даже если группа лиц, холдинг), а во внутренних доках указана организация, осуществляющий кадровый/ бухгалтерский учет – заключаем договорпоручении + согласияработников.

Разговор с потенциальным клиентом для предоставления услуги подпадает деятельность, направленную на заключение договора, при этом обязательно необходимо в Договоре / Соглашении/ Оферте прописать этот процесс.
По закону нужно будет доказать наличие правового основания для обработки. Рекомендация: провести мероприятия, позволяющие подтвердить лицо, оставляющее данные.

Обработка ПДн в раках продажи лекарствпо электронным рецептамне требует согласие.

Требования о наличии акта об уничтожении ПДн нет. Важно – иметь подтверждение факта уничтожения ПДн, а акт будет подтверждением. На взгляд РКН, акт как раз поможет закрыть вопросы, возникающие при взаимоотношении с субъектом по вопросам обработки ПДн.

Да, можно, но при оформлении как договор поручения.

Да, являются согласно 323-ФЗ. Передача штабам и работодателям – можно без согласия (323-ФЗ и ТК РФ). 

С поручителем должен быть заключен договор поручительства, согласие не требуется, закрывается договором. Микрозаймы – для предоставления сведений третьего лица должно быть согласие указанного лица на возможность предоставления его ПДн при оформлении договора микро-займа.

Такое в принципе допускается, при этом это право должно быть прописано обязательно в договоре поручения и указано в согласии, в согласии должны быть указаны третьи лица и цели. Требования к субагентам предъявляются такие же, как и к третьему лицу.

ИП в контексте152-ФЗ о ПДн является оператором ПДн.

Сведения из больничных листов (коды и расшифровки кодов по заболеваниям) – специальные категории, однако согласие не требуется, так как предоставление больничных листов урегулировано на уровне законодательства.

Можно сделать веб-форму / личный кабинет с подписью ПЭП, разместить образец, способов много.

можно получить общее согласие для посетителей сайта или клиента, обратившегося за получением услуги, в котором прописана возможность обработки куки-файлов, при этом такая обработка должна быть сопряжена с предметом и целью предоставления соответствующей услуги.
Если сбор куки-файлов не сопряжен с предметом и целью, то должна быть реализована возможность отказа от сбора куки.
Деятельность по сбору и обработке куки должна быть прописана в Политике на сайте.

Если ноутбук и смартфон попадает под определение ИСПДн-это ИСПДн.

Согласие на обработку ПД близких родственников в объеме карточкиТ2 собирать не нужно

Критерии совместимости целей не установлены, оценка исходит из оценки целей обработки ПД и деятельности, которая осуществляется операторами.

Любая организация, обрабатывающая ПДн является оператором, вне зависимости от того, есть ли эта организация в реестре. Ключевой фактор отнесения организации к операторам ПДн – деятельность по обработке персональных данных.

Да, сейчас расширен перечень случаев, когда нужно подавать уведомление об обработке ПДн. Поэтому если раньше организация подпадала под исключения ч. 2 ст. 22, а после сокращения оснований не попадает – нужно подать такое уведомление: в бумажной форме в территориальное управление или через форму на портале РКН.

В 152-ФЗ предусмотрена обязанность РКН утвердить формы уведомлений об обработке, о внесении изменений, о прекращении обработки. Соответствующие проекты НПА разработаны, сейчас проходят процедуру согласования. После того, как приказ будет принят – новые форме появятся на сайте РКН.

Работодатели полагали (ошибочно), что под целями обработки ПДн подразумеваются некие процедуры, которые реализуются оператором в рамках трудового законодательства: заключение трудового договора, передача данных во внебюджетные фонды, в трудовую инспекцию, выплату заработной платы, проведение мероприятий по повышению квалификации/профессиональной переподготовки.
ЗДЕСЬ ПРИМЕНЯЕМ ПРАВИЛО «БРИТВА КОНТЕМИРОВА»: все мероприятия, реализуемые во исполнение трудового законодательства можно объединить одной целью – СОБЛЮДЕНИЕ ТРУДОВОГО ЗАКОНОДАТЕЛЬСТВА.
Рекомендация: не множить цели и не «частить» их в уведомлении.

Что подразумевается под обработкой ПДн без использования средств автоматизации:

• Обработка на материальных носителях (на бумаге);
• Для ИСПДн: к ним относятся 4 действия (использование, уточнение, распространение, уничтожение), изложенные в п. 1 Постановления Правительства №687.

Трудовые отношения выходят за рамки этих 4 действий, и это говорит об обязанности оператора подавать уведомление об обработке.

Дополнительно:
тайм-код - есть в законе также понятие «автоматизированная обработка» - т.е. обработка ПДн с использованием программных средств. 1С, Excel, Word – если эти программные средства используются для обработки ПДн – в таком случае обработка будет признана автоматизированной и оператор обязан будет подавать уведомление об обработке.
Взаимодействие с ФНС, ПФР, ФСС и так далее тоже носит сейчас автоматизированный характер.

Корпоративные программы – это не требование трудового законодательства, а самостоятельная инициатива оператора. Поэтому организация ДМС не подпадает под действие трудового законодательства и выделяется в отдельную цель обработки ПДн.

Для них нет исключений, они должны. Их обязанность указана в Постановлении Правительства №211 от 21 марта 2012 г.

Сведения, собираемые с помощью метрических программ – это сведения, относящиеся к ПДн. Такие собираемые данные должны быть отражены в уведомлении об обработке. Цель обработки таких данных, указанная в уведомлении должна совпадать с целью, указанной в Политике, где оператор описывает использование таких программ (Контемиров перечисляет примеры таких целей: статистический учет; анализ поведенческих характеристик пользователя на сайте).
Важно! Должно быть совпадение целей в Политике/Пользовательском соглашении с целями, отраженными в уведомлении об обработке.

Ответственность прежняя – ст. 19.7 КоАП РФ. И те операторы, которые подали уведомления после 1 сентября, не будут привлекаться к административной ответственности.
1 сентября – это дата вступления в силу новых требований закона, а не крайняя дата подачи уведомления об обработке ПДн.
Вопрос о привлечении к ответственности по 19.7 КоАП РФ решается только в случае, если в ходе контрольно-надзорной деятельности, рассмотрения обращений граждан выясняется, что оператор, обрабатываю ПДн и не подпадая под исключения ч. 2 ст. 22 152-ФЗ, не подал уведомление об обработке.
К ответственности привлекается сам оператор (ЮЛ, ИП и ФЛ), может быть привлечено и должностное лицо (у него должны быть организационно-распорядительные и административно-хозяйственных полномочий – это главный критерий).

В законе не указаны никакие критерии относительно численности. В ходе своей хозяйственной деятельности такая организация обрабатывает не только ПДн своего руководителя, но и ПДн, например, контрагентов. Соответственно уведомление об обработке подавать нужно.

В этом поле указываются категории персональных данных, которые были скомпрометированы, и внутри сведений о категориях указывается конкретный перечень ПДн, которые утекли.

Согласно ст. 21 152-ФЗ РКН уведомляется только о случаях неправомерной передачи, которые повлекли нарушение прав субъектов. То есть уведомлять нужно в случаях, когда они «вышли наружу», то есть стали доступны внешним лицам.

Содержательная природа уведомлений, подаваемых в адрес ФСБ и РКН разнится. В ФСБ подается уведомление о нарушениях, связанных с требованиями безопасности, а в РКН, по сути, уведомление о факте нарушения прав граждан (субъектов) в случае инцидентов.
На примере: если произошел инцидент, но не произошло незаконной передачи (то есть произошел внутренний инцидент, наружу ПДн не вышли), но при этом были нарушены требования безопасности, то в этом случае информируется ФСБ (через ГосСОПКА), но не РКН. Однако, если при этом случилось незаконное распространение – то права субъектов нарушены (получен незаконный доступ третьих лиц) и значит необходимо уведомлять и РКН, то есть одновременно два ведомства.

Это передача ПДн на территорию иностранного государства, иностранному госоргану, ЮЛ или ФЛ. В этом случае передача ПДн представительству российской компании на территории иностранного государства не будет являться трансграничной передачей.
Не будет являться ТГП когда ПДн передаются из-за рубежа на территорию РФ – такая передача будет регулироваться требованиями национального зак-ва оператора.

Нужно изучать лицензионное соглашение. Если в нем содержатся положения о передаче ПДн в адрес такого разработчика – то это ТГП. Так, например, такие положения содержатся в лицензионном соглашении Google Analytics: там указано что «базовые сведения» или, иначе говоря, поведенческие характеристики пользователей на сайте передаются в адрес Google, для последующего анализа. Если в лицензионном соглашении содержатся такие базовые сведения - то это ПДн и ТГП

Подход един: подается одно уведомление, в котором указываются страны из двух этих категорий. Раздельной подачи уведомлений по этим группам стран не требуется.
Для РКН важнее то, какие правовые основания используются – до 1 марта 2023 в случае передачи в неадекватные страны нужно использовать положения ч. 4 ст. 12. В форме они присутствуют. 

По запросу информации: эту информацию вам будет обязано предоставить иностранное лицо (контрагент), в адрес которого осуществляется передача. В контексте экстерриториальности 152-ФЗ контрагент должен быть заинтересован в исполнении требований закона (хех).
Как подтвердить уничтожение ранее переданных ПДн? Здесь нужно руководствоваться Приказом, который устанавливает требования к подтверждению уничтожения ПДн. В этом приказы будут указаны способы уничтожения ПДн для всех видов обработки. Нужно будет руководствоваться требованиями этого Приказа.
Требований по способу уничтожения (шредер, сжигание и т.д.) – этот вопрос остается на откуп оператору, оператор сам может выбрать такой способ.

Если компания на территории РФ является представительством иностранной компании, то соответствующая передача ПДН в адрес головной компании является ТГП и точно также предусматривает необходимость уведомления РКН.

Все эти сведения являются ПДн, и при осуществлении ТГП нужно подавать соответствующее уведомление.

Нет, ИП и физические лица освобождены от обязанности издавать такие документы. Такое требование распространяется только на ЮЛ и, в соответствии с ПП №211, на гос. и мун. орагны.

Исходя из правовой конструкции статьи, подобная структура должна быть закреплена во всех документах, которые разрабатываются оператором (которые посвящены обработке ПДн) – и в Политике, и в Положении, и в других документах.

Оператор обязан размещать Политику и иные документы, определяющие порядок обработку ПДн, на каждой странице, где предполагается сбор ПДн.

Требования распространяются на оператора, то есть на лицо, которое организует обработку ПДн, определяет порядок обработки, цели и так далее. Если есть привлекаемые лица, которые выступают от лица оператора, то им нет необходимости размещать политику на сайте. В данном случае они не выступают оператором, но при этом у таких привлекаемых лиц должен быть разработан свой пакет документов, определяющих порядок обработки ПДн.

При определении срока действия согласия нужно руководствоваться следующим принципом: оно должно быть ограничено либо конкретным сроком, либо условием прекращения такого согласия. Если речь идет об обработке данных работников, и согласия берутся для целей, которые не предусмотрены трудовым законодательством (цели в рамках трудового законодательства не требуют согласия – здесь основанием будет сам закон) – в частности когда ПДн передаются третьим лицам (ДМС, визитки), то такие согласия действуют до прекращения трудовых отношений.
После прекращения трудовых отношения и сам трудовой договор, и согласия, и иные документы, хранятся по срокам архивного законодательства – 75 лет.
Закон о персональных данных не распространяется на правоотношения, связанны с архивной деятельностью. Так, например, нужно различать понятие «хранение» в рамках 152-ФЗ и понятие «архивное хранение» в рамках архивного законодательства. Так, сроки архивного хранения вступают в силу только после переведения такого документа в статус архивного.
До перевода документа в статус архивного производится «хранение» в рамках 152-ФЗ, которое является одним из видов обработки ПДн.

Под предметностью понимается следующее: когда оператор собирает СОПД, содержание данного согласия должно соотноситься с непосредственной деятельностью оператора и целями обработки ПДн, которые установлены законодательством и иными НПА. То есть норма направлена на то, чтобы не допустить случаи, когда оператор занимается непрофильной деятельностью (не относящейся к его уставной деятельности); когда в согласии присутствуют положения, не относящиеся к его предмету услуги/договора/взаимоотношения между субъектом и оператором. То есть это нужно для того, чтобы не ставить субъекта в зависимое положение, когда для того, чтобы получить услугу, он должен предоставить согласие на цели обработки, не относящиеся к предмету взаимоотношений между субъектом и оператором.

От такой практики необходимо отказываться. И согласие, и договор являются самостоятельными правовыми основаниями для обработки ПДн. Если предполагается оказание услуг, то достаточным основанием является сам договор. Навязывание подписания согласия (включая его в договор) является ярким примером нарушения принципа добровольности согласия, закрепленного в ст. 9 152-ФЗ.

ч. 1 ст. 9 говорит о том, что согласие может быть получено в любой форме, в том числе и с помощью конклюдентных действий, при этом необходимо понимать, что оператор должен получать согласия тем способом, который позволит ему подтворить получение такого согласия.
Поэтому конклюдентные действия – ненадёжный способ получения согласия.

Здесь нужно смотреть через призму договорных отношений (Пользовательское соглашение или Публичная оферта). Во-первых, такой договор не может ограничить права и законные интересы гражданина, а во-вторых, бездействие не может считаться формой подтверждения согласия или факта заключения договора.
Напротив, должно быть предусмотрено окошко, где указывается что пользователь именно согласен с условиями, и таким образом подтверждает свое согласие с такими условиями.

По закону такой ответственный должен быть один. Однако если организация с разветвленным внутренним устройством, то ответственный может делегировать свои полномочия и назначить уполномоченных в структурных подразделениях. Но при этом генеральная ответственность лежит на ответственном.

Предмет данного договора вызывает вопросы (в части обмена ПДн).Подобная деятельность предполагает изучение правовых оснований со стороны РКН (в каких целях и на основании чего данная деятельность осуществляется с учетом положений ст. 6 152-ФЗ).
Сама природа договора поручения предполагает делегирование полномочий, которые возложены на одну сторону, которая выступает оператором третьему лица для их реализации в рамках определенного функционала или определенного задания. Поэтому равноценные отношения между двумя организациями не могут расцениваться в качестве договора поручения, это больше договор об оказании услуг.

В 152-ФЗ (в ст. 7) есть требование об обеспечении конфиденциальности ПДн, которые обрабатываются или были переданы на обработку. Конфиденциальность по отношению к обработчику обеспечивается либо согласием субъекта, либо положениями закона (если передача необходима по закону). В 152-ФЗ не предусмотрена возможность привлечения обработчиком субобработчиков. Поэтому подобную практику лучше не реализовывать.

Если в соответствии с законодательством фотография отнесена к биометрическими ПДн (как в случае с Постановлением Правительства, об утверждении перечня сведений, содержащихся в документе, удостоверяющем личность), то в этом случае РКН относит её к биометрии.
Есть ряд ГОСТов, которые также относят фотографию к биометрическим персональным данным. Во всех остальных случаях фотографию нужно относить к материальным носителям персональных данных, на обработку которого распространяются все требования 152-ФЗ.