Данный случай как раз подпадает под действие фз-152, тк имеются договорные отношения между организацией (сотрудники которой согласились... ) и клиентом.
Сотрудники и организация - это не одно и то же. Тут уже начинается юридическая эквилибристика, но смысл её сводится к тому, что Вася-работник и Вася-гражданин - это два разных Васи. Первый действует во исполнение должностных инструкций работодателя, второй действует по своему разумению, даже если это один и тот же человек. Если Вася-работник, в нарушение своих должностных инструкций исходя из личных соображений починил (выдал наряд-заказ на ремонт) кому-то автомобиль задарма (именно так это и выглядит с точки зрения закона), взяв при этом скан паспорта Пети, которому чинят автомобиль - то у потенциального субъекта персональных данных Пети нет никаких договорных отношений с тем, кто ему чинил автомобиль (потенциальным оператором персональных данных). У него есть договорные отношения с Васей-гражданином, который должен внести бабла в кассу своего работодателя как Вася-работник. А дальше - см. выше. Если Вася-гражданин передал скан паспорта какому-то другому гражданину, даже гражданину-владельцу этого автосервиса, для содействия во взыскании с Пети долга, то это принципиально ничего не меняет.
Для того, чтобы организация (и её должностные лица) в этой ситуации стали оператором, обрабатывающим персональные данные Пети, она должна иметь бизнес-процессы, осуществляющие ремонт автомобилей в долг, и картотеку (бумажную, электронную, базу данных, записульки-стикеры на монитор, каменные скрижали), учитывающую этих должников. У Пети должен остаться на руках договор (наряд-заказ) подтверждающий вступление в правоотношения, в котором указано, что автомобиль ему ремонтировался в долг, а в целях учёта этого долга осуществляется обработка его персональных данных. Если же такого документа у Пети нет - он не вступал в правоотношения, влекущие обработку его персональных данных (да и вообще не вступал в правоотношения с этой мастерской), а куда он про...терял свой паспорт, кто с него снял скан и куда потом дел - это личная печаль Пети, следить за своими вещами надо. Хотя в данном случае предельно понятно, зачем Петя дал сканить свой паспорт, не вступив в правоотношения, предусматривающие обработку его персональных данных - чтобы создать видимость благонадёжности и возврата долга. Но к обработке персональных данных это ни малейшего отношения не имеет по вышеуказанным причинам.
По поводу 1го пункта фз - с точки зрения ркн файлы с перс данными клиентов, хранящиеся на компе, как раз и являются этим самым систематизированным собранием (в файловой системе). А если хранятся только бумажные ксерокопии паспортов клиентов, то на этот случай есть пп687 (за нарушения которого так любит штрафовать ркн).
Я практически уверен, что ни на компе ни в твёрдой копии в этой
благотворительной организации мастерской сканы паспортов ни этого персонажа, ни других клиентов не хранятся - незачем. Судя по фабуле - это первый, единственный и последний случай ремонта в долг, который сотрудники разрешили в частном порядке. Если это не так, и какие-то персональные данные клиентов всё же обрабатываются самой организаций - то это уже совсем другая история. Пусть руководство примет к сведению и проведёт аудит процедур взаимодействия с клиентами.
Так что субъект Петя может спокойно писать жалобу в ркн, который быстренько проведет у оператора Васи внеплановую проверку.
И если РКН не обнаружит в фактической деятельности автомастерской бизнес-процессов, в которых фактически обрабатываются персональные данные, самих персональных данных каких бы то ни было клиентов, то всё сведётся к вышеуказанному - РКН придёт к заключению, что мастерская оператором, обрабатывающим персональные данные Пети, не является, а кому Петя дал свой паспорт для снятия скана в частном порядке - это его личные гражданско-правовые отношения. Следить за своими вещами надо, опять же
А заодно ркн еще и АС заблокирует за распространение чужих пдн, они это очень любят.
А вот это могут, да. Только не заблокируют, а напишут спервоначалу телегу, предложив убрать нарушающие, по их версии, закон материалы. У проверяющих есть такое негласное правило - раз уж пришли с проверкой - надо что-нибудь найти. Если найти нарушение на АС будет проще, чем в мастерской, которая даже шестиметровой палкой не касалась персональных данных Пети - то так и сделают.