1. В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные — это различная информация, которая позволяет идентифицировать конкретного человека. Следовательно, сведения о клиентах компании являются персональными данными этих граждан и на них распространяется режим конфиденциальности, установленный Законом № 152-ФЗ.
Любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона № 152-ФЗ).
Оператором персональных данных, как следует из п. 2 ч. 1 ст. 3 Закона № 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т. п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
Таким образом, любая организация, обрабатывающая персональные данные граждан, в силу закона является оператором персональных данных и должна соблюдать требования законодательства о персональных данных.
По общему правилу, сформулированному в ст. 6 Закона № 152-ФЗ, обработка персональных данных возможна только с согласия субъектов персональных данных, за исключением случаев, перечисленных в п.п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ. Отметим, что данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит. Так, например, обработка персональных данных может осуществляться без согласия гражданина, если это необходимо для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).