Что такое поручение на обработку персональных данных
Перейти к содержимому

Что такое поручение на обработку персональных данных

  • автор:

Согласие на поручение обработки персональных данных

Подборка наиболее важных документов по запросу Согласие на поручение обработки персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

  • Персональные данные:
  • Cookie
  • Адвокатский запрос персональные данные
  • Адрес электронной почты
  • Акт об уничтожении персональных данных
  • Аттестация информационной системы
  • Показать все
  • Персональные данные:
  • Cookie
  • Адвокатский запрос персональные данные
  • Адрес электронной почты
  • Акт об уничтожении персональных данных
  • Аттестация информационной системы
  • Показать все

Формы документов

Судебная практика

Подборка судебных решений за 2020 год: Статья 7 «Конфиденциальность персональных данных» Федерального закона «О персональных данных» «На основании статей 5, 7, 24 Федерального закона от 27.06.2006 г. N 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, предусмотренную законом ответственность перед субъектом персональных данных за действия указанного лица, несет оператор.»

Статьи, комментарии, ответы на вопросы

Путеводитель по кадровым вопросам. Персональные данные работников Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных). Если обработка поручена иностранному лицу (физическому или юридическому), ответственность перед работником несет и работодатель, и это лицо (ч. 6 ст. 6 Закона о персональных данных).

Статья: Согласие на обработку персональных данных: что нужно иметь в виду с учетом ужесточения ответственности
(Севастьянова Ю.)
(«Банковское кредитование», 2023, N 2) В уже упомянутой норме п. 5 ч. 1 ст. 6 Закона N 152-ФЗ перечислены ситуации, когда персональные данные могут обрабатываться без получения согласия клиента. Обработка кредитором персональных данных в других целях, а также поручение кредитором обработки персональных данных другому лицу и раскрытие персональных данных третьим лицам в силу ч. 2 ст. 5, ч. 3 ст. 6 и ст. 7 Закона N 152-ФЗ возможны только с согласия заемщика.

Нормативные акты

Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 06.02.2023)
«О персональных данных» 4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

Федеральный закон от 07.05.1998 N 75-ФЗ
(ред. от 04.08.2023)
«О негосударственных пенсионных фондах»
(с изм. и доп., вступ. в силу с 11.12.2023) Фонд вправе поручить в соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» обработку персональных данных вкладчиков — физических лиц, страхователей — физических лиц, участников, застрахованных лиц, выгодоприобретателей, правопреемников участников и застрахованных лиц организациям, которые в соответствии с договором осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах фонда, а также иным организациям, если это необходимо для исполнения пенсионного договора, договора об обязательном пенсионном страховании. В этих случаях фонд не обязан получать согласие субъектов персональных данных на дачу поручения обработки персональных данных третьим лицам.

Правовые ресурсы

  • «Горячие» документы
  • Кодексы и наиболее востребованные законы
  • Обзоры законодательства
    • Федеральное законодательство
    • Региональное законодательство
    • Проекты правовых актов и законодательная деятельность
    • Другие обзоры
    • Календари
    • Формы документов
    • Полезные советы

    Что такое поручение на обработку персональных данных

    Статья 6. Условия обработки персональных данных

    (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

    (см. текст в предыдущей редакции)

    Перспективы и риски арбитражных споров и споров в суде общей юрисдикции. Ситуации, связанные со ст. 6

    Споры в суде общей юрисдикции:

    1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

    1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

    2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

    3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

    (п. 3 в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

    (см. текст в предыдущей редакции)

    3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);

    (п. 3.1 введен Федеральным законом от 29.07.2017 N 223-ФЗ)

    4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

    (в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

    (см. текст в предыдущей редакции)

    5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

    (в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ, от 14.07.2022 N 266-ФЗ)

    (см. текст в предыдущей редакции)

    6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

    7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

    (в ред. Федерального закона от 03.07.2016 N 231-ФЗ)

    (см. текст в предыдущей редакции)

    О выявлении конституционно-правового смысла п. 8 ч. 1 ст. 6 см. Постановление КС РФ от 25.05.2021 N 22-П.

    8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

    9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

    9.1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;

    (п. 9.1 введен Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)

    (см. текст в предыдущей редакции)

    10) утратил силу с 1 марта 2021 года. — Федеральный закон от 30.12.2020 N 519-ФЗ;

    (см. текст в предыдущей редакции)

    11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

    1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ «О государственной охране».

    (часть 1.1 введена Федеральным законом от 01.07.2017 N 148-ФЗ)

    2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

    3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона.

    (часть 3 в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

    (см. текст в предыдущей редакции)

    4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

    5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

    6. В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.

    (часть 6 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

    Меры, принимаемые оператором персональных данных

    На сегодняшний день один из самых проблематичных и актуальных вопросов в работе многих учреждений и организаций – обеспечение надлежащей защиты персональных данных субъектов во исполнение требований Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (далее по тексту – Закон). Защите персональных данных субъектов, обрабатываемых операторами, посвящено множество статей.

    Закон достаточно подробно касается вопросов обработки самим оператором полученных персональных данных субъектов в силу различных оснований. Однако, все чаще операторы поручают обработку персональных данных субъектов другим лицам, что составляет так называемое «поручение оператора» (ч.3 ст. 6 Закона). Назовем такое лицо «субоператор». Это может быть, например, поручение туроператора турагентству привлекать и заключать от его имени договоры на продажу туристского продукта.

    В настоящей статье мы решили затронуть наиболее важные вопросы, возникающие при поручении обработки персональных данных субоператору при заключении договора.

    Как обеспечить надлежащую защиту персональных данных субъектов в данном случае? Как реально оператору обезопасить себя, предотвратить риск наступления неблагоприятных последствий при перепоручении определенных действий с персональными данными, ведь передавая сведения по договору субоператору, оператор не может фактически контролировать их соблюдение?

    В силу ч. 5 ст. 6 Закона ответственность перед субъектом персональных данных за действия субоператора несет оператор. В свою очередь, субоператор несет ответственность перед оператором.
    Исходя из возможностей, предоставленных действующим законодательством, предполагается, что оператору в данном случае необходимо предпринять ряд мер, направленных на защиту своих интересов. Остановимся на них поподробнее.

    Закон касается данного вопроса в ст. 6 ч. 3, путем установления требований о наличии в поручении оператора в соответствии с которым передаются персональные данные субъектов, условия об обязанности обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке, перечня действий (операций) с передаваемыми персональными данными, которые будут совершаться субоператором, целей обработки, а также требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона.

    Закон не устанавливает требования к форме такого поручения, поэтому данные требования считаем возможным изложить как в поручении оператора в виде отдельного документа, так и зафиксировать в договоре.

    Первая задача, которую нужно решить оператору при заключении договора на основании которого будет производиться обработка персональных данных, это определить предмет данного договора, т. е. цель его заключения, на основании которой уже будут сформированы цели обработки предоставляемых персональных данных. При этом необходимо учитывать принципы обработки персональных данных, установленные в ч. 1, 2 ст. 5 Закона, которые гласят, что обработка персональных данных должна осуществляться на законной и справедливой основе, также должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

    Далее, исходя из заданных целей, необходимо определиться с перечнем допустимых действий (операций), которые будут совершаться с персональными данными субоператором. К таковым можно отнести: хранение, использование, передача, предоставление, накопление, уточнение и т.п. В случае выхода за рамки предоставленных действий оператору будет проще отследить какое из них не было предусмотрено договором.

    Изначально, чтобы правомерно поручить обработку персональных данных субъекта субоператору, необходимо получить согласие субъекта на данное действие. Эта обязанность прямо установлена в п. 1 ч. 1, ч. 3 ст. 6 Закона. Такого согласия не потребуется в случаях, установленных пп. 2-11 ч.1 ст. 6 Закона. Данное согласие можно включить в текст договора или получить в виде отдельного документа. Первый вариант представляется наиболее оптимальным для тех, кто желает избежать излишнего документооборота. При разработке согласия необходимо помнить о том, что согласно ч.1 ст. 9 Закона, оно должно быть конкретным, информированным, сознательным и может быть выражено в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

    Здесь важно не забыть, что в силу п. 3 ст. 9 Закона бремя доказывания наличия согласия субъекта персональных данных на обработку лежит на операторе.
    Вторым шагом при передаче персональных данных по договору необходимо определить содержание и объем передаваемых персональных данных, которые можно зафиксировать в договоре и подтвердить факт их приема- передачи путем составления соответствующего Акта. Содержание и объем сведений определяются исходя из конкретных целей такого поручения. Здесь важно соблюсти ряд принципов, провозглашенных Законом. Речь идет о следующих принципах:

    • соответствия содержания и объема обрабатываемых персональных данных целям обработки, недопустимости их избыточности по отношению к заявленным целям обработки (ч. 5 ст. 5 Закона),
    • точности, достаточности, в необходимых случаях актуальности персональных данных по отношению к целям обработки (ч.6 ст. 5 Закона);
    • обработки только тех персональных данных, которые отвечают целям их обработки (ч.4 ст. 5 Закона).

    Поэтому, при выборе контрагента не помешает лишний раз убедиться в его правоспособности, наличии необходимых лицензий и т.д.

    Следующим обязательным условием в договоре по которому поручается обработка персональных данных субъекта является обязанность соблюдения субоператором конфиденциальности и безопасности персональных данных субъектов при их обработке. Кроме того, в нем должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 18, 19 Закона. Понятие конфиденциальности раскрывается в ст. 7 Закона. Изначально, необходимо ознакомиться с локальными актами, принятыми в организации и регламентирующими данные вопросы и процессы. Таковыми могут быть Положение о порядке обработки персональных данных, Перечень лиц, имеющих допуск к персональным данным, приказ о назначении ответственных за обеспечение безопасности персональных данных, документы, содержащие данные о технических средствах защиты информации и т.д. Главная цель – убедиться, что у субоператора установлены права, полномочия, обязанности сотрудников, имеющих доступ к персональным данным, и они ознакомлены под роспись с данными документами. Чтобы реально контролировать соблюдение установленных правил и условий в договоре можно установить обязанность субоператора предоставлять оператору ежемесячно отчет о состоянии системы защиты персональных данных, фактах, имеющих значение.

    Следовательно, лучше всего определить условия, методы, режим, средства охраны конфиденциальности и безопасности контрагентом переданных ему персональных данных. Такая детальная проработка условий не кажется излишней, т.к. позволит четко регламентировать процесс обработки персональных данных и своевременно выявить его нарушения.

    Исходя из принципов обработки персональных данных субъектов, установленных Законом (ч. 7 ст. 5 Закона), персональные данные субъекта подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Причем в ч. 4 ст. 21 Закона установлен конкретный срок в течение которого оператор обязан обеспечить прекращение обработки персональных данных субоператором и их уничтожение. Он не должен превышать 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено в договоре, ином соглашении между оператором и субъектом персональных данных либо, если оператор не вправе осуществлять такую обработку без согласия субъекта на основаниях, предусмотренных федеральными законами. Чтобы обеспечить выполнение данной нормы Закона можно включить в договор положение об обязанности вторичного оператора прекратить обработку и уничтожить определенным порядком персональные данные субъекта в течение установленного срока, либо совершить иное действие и предоставить доказательства такого уничтожения (иного оговоренного действия), напр. Акт, справку и т.п.

    Следующий вопрос, который вытекает из смысла гражданского законодательства, как возместить ущерб, причиненный субоператором, при нарушении условий договора. Считаем, необходимым прописать в договоре ответственность субоператора за нарушение взятых на себя по договору обязательств, а также обязанность контрагента возмещения убытков, понесенных оператором, вследствие данного нарушения (ст. 15 ГК РФ, ч. 5 ст.6 Закона). Убытки оператору будут возмещаться в регрессном порядке (ст. 1081 ГК РФ). Это означает, что оператор после удовлетворения требований субъекта персональных данных взыщет понесенные убытки с субоператора.

    Но, как известно, лучше принять предупредительные меры, нежели при их отсутствии претерпеть серьезные последствия их игнорирования. Поэтому, другая не мало важная задача — минимизация размера возможных убытков. В данных целях можно предусмотреть в договоре положение о том, что субоператор обязуется в случае установления факта разглашения, угрозы разглашения, нарушения условий о конфиденциальности и безопасности персональных данных, незаконном получении (в т.ч. попытках), использовании, немедленно уведомить об этом оператора и всех известных обстоятельствах. Это поможет своевременно предпринять необходимые меры для предотвращения либо устранения последствий нарушения.

    Итак, мы рассмотрели наиболее важные аспекты отношений, возникающих при поручении обработки персональных данных субъекта по договору третьему лицу. Как видим данные отношения регулировать очень непросто. Поэтому, в заключении можно сделать вывод о том, что необходимо серьезно и качественно подойти к разработке условий договора при поручении обработки персональных данных по договору третьему лицу. Только проработав все нюансы, обозначив наиболее важные моменты в договоре, учитывая специфику деятельности контрагента, можно предупредить риск наступления неблагоприятных последствий, а также максимально защитить свои права.

    Автор: Каплина А.В.,
    юрисконсульт юридического отдела
    ООО «РЭАЦ «Эксперт»

    Сравнение соглашений о поручении на обработку персональных данных и о передаче персональных данных

    Взаимодействие оператора с иными лицами по поводу обработки персональных данных (далее — ПД) не исчерпывается только предусмотренным ч.3 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) субинститутом поручения обработки ПД. При анализе норм 152-ФЗ представляется возможным сделать вывод о допустимости передачи (обмена) ПД между оператором и иными лицами без наличия соответствующего поручения об обработке ПД. При этом и поручение обработки ПД, и передача ПД без поручения обработки требуют должной юридической и формализации – заключения соответствующих соглашений между оператором и иными лицами (за некоторым исключением, например, при передаче ПД без поручения обработки в адрес органов государственной власти, органов местного самоуправления).

    При оценке характера взаимодействия сторон при передаче ПД необходимо опираться на определения, представленные в законодательстве. Так, согласно 152-ФЗ, оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПД.

    Понятие «передача» не раскрыто законодателем. Вместе с тем под передачей понимается процесс по направлению информации или документов какому-либо лицу каким-либо способом. При этом согласно ГОСТ Р ИСО 15489-1-2007 «Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования», утвержденному приказом Ростехрегулирования от 12.03.2007 № 28-ст, передача (transfer) (в отношении способа хранения) — это изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть, если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации. Однако применительно к персональным данным передача является самостоятельным процессом обработки данных, который должен осуществляться в заранее определенных и законных целях (Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией зам. рук. Роскомнадзора А.А. Приезжевой).

    В Таблице представлена сравнительная правовая характеристика типовых проектов соглашений о поручении обработки ПД и о передаче ПД (см. ниже). Для удобства сравнения оба соглашения анализируются в качестве самостоятельных двухсторонних актов.

    Соглашение о поручении обработки ПД Соглашение о передаче ПД
    Правовое основание
    Возможность заключения соглашения о поручении обработки ПД прямо зафиксирована в ч.3 ст.6 152-ФЗ.
    Следует отметить, что с точки зрения гражданско-правовых норм наиболее близким к институту поручения обработки ПД по своей правовой природе и форме реализации является институт агентского договора, определенный в главе 52 ГК РФ .
    Возможность заключения соглашения о передаче ПД в 152-ФЗ или иных нормативных правовых актах прямо не зафиксирована. Тем не менее, в соответствии со ст.421 ГК РФ граждане и юридические лица свободны в заключении договора. Стороны могут заключить договор, как предусмотренный, так и не предусмотренный ГК РФ или иными правовыми актами. Стороны могут заключить договор, в котором содержатся элементы различных договоров, предусмотренных законом или иными правовыми актами (смешанный договор). К отношениям сторон по смешанному договору применяются в соответствующих частях правила о договорах, элементы которых содержатся в смешанном договоре, если иное не вытекает из соглашения сторон или существа смешанного договора. Условия договора определяются по усмотрению сторон, кроме случаев, когда содержание соответствующего условия предписано законом или иными правовыми актами (ст.422 ГК РФ ).
    Кроме того, в 152-ФЗ есть косвенные указания на то, что передача (предоставление, доступ) ПД может осуществляться вне рамок поручения на обработку ПД:
    1. п.11 ст.3 152-ФЗ дано определение трансграничной передачи ПД, в котором сама передача ПД напрямую не увязана с поручением обработки ПД. Это позволяет сделать вывод о возможности передачи ПД от оператора к «органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу» без необходимости поручать им вести обработку ранее переданных ПД в интересах оператора;
    2. в ст.7 152-ФЗ указывается на возможность получения операторами и иными лицами доступа к ПД. Использование термина «иные лица» позволят определить круг лиц, имеющих доступ к ПД, максимально широко, без однозначной привязки к роли «обработчика» ПД. Прямое требование соблюдать конфиденциальность ПД обращено одновременно к оператору и иным лицам, что подразумевает наличие у иных лиц прямой юридической ответственности перед субъектом за нарушение конфиденциальности его ПД. Следует отметить, что в субинституте поручения обработки ПД (см. ч.5 ст.6 152-ФЗ) предусмотрен иной порядок ответственности перед субъектом – «…если оператор поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПД по поручению оператора, несет ответственность перед оператором»;
    3. в п.1 ч.4 ст.18 152-ФЗ предусмотрена ситуация, в которой один оператор получает персональные данные субъекта от другого оператора и, соответственно, первый оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные ч.3 ст.18 152-ФЗ, в случае, если субъект персональных данных был ранее уведомлен об осуществлении такой обработки его персональных данных вторым оператором
    4. в ч.3 ст.20 152-ФЗ законодатель прямо указывает, что оператор может предоставлять ПД третьим лицам и должен «принять разумные меры для уведомления» этих третьих лиц о фактах неполноты, неточности, неактуальности переданных ПД, а также о фактах незаконного получения ПД или отсутствия необходимости в обработке ПД для достижения заявленной оператором цели обработки. Одновременно с этим, в ст.21 152-ФЗ закреплены гораздо более жесткие требования к оператору по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД. Данная статья требует от оператора уже не только самому предпринимать те или иные действия, а обеспечивать их выполнение лицами, действующими по поручению оператора.
    Правовые характеристики
    Соглашение о поручении обработки ПД является:
    1. консенсуальным;
    2. односторонним;
    3. условно безвозмездным – в ч.3 ст.6 152-ФЗ возмездность поручения обработки ПД прямо не оговаривается. Обработка ПД, а также обеспечение конфиденциальности и безопасности ПД при обработке могут быть квалифицированы как оказание соответствующих услуг. Согласно ст.575 ГК РФ запрещены сделки дарения между коммерческими организациями, так как деятельность коммерческой организации должна быть направлена на получение прибыли. Т.е. при совершении подобной сделки, такая сделка изначально будет ничтожной, несмотря на то, что налоговое законодательство РФ допускает сделки дарения между юридическими лицами. Таким образом, соглашение о поручении обработки ПД между двумя коммерческими организациями должно сопровождаться возмездным договором, предусматривающим или взаимозачет, или вознаграждение (хоть какое-то встречное исполнение).
    Соглашение о передаче ПД является:
    1. консенсуальным;
    2. двусторонним (взаимным);
    3. безвозмездным.
    Предмет
    Предметом соглашения о поручении обработки ПД является осуществление обработки ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД. Предметом соглашения о передаче ПД является обеспечение правомерности передачи (предоставления, доступа) ПД между сторонами соглашения, а также обеспечение конфиденциальности и безопасности передаваемых между сторонами соглашения ПД при их обработке.
    Стороны
    Сторонами соглашения о поручении обработки ПД являются:
    1. оператор;
    2. лицо, осуществляющее обработку ПД по поручению оператора.
    Сторонами соглашения о передаче ПД являются:
    1. передающая сторона;
    2. получающая сторона.
    Срок
    Соглашение о поручении обработки ПД вступает в силу с момента его подписания обеими сторонами, является бессрочным и утрачивает свою силу:
    1. с момента, предусмотренного взаимным соглашением сторон;
    2. по истечении определенного срока с момента получения лицом, осуществляющим обработку ПД по поручению оператора, письменного уведомления от оператора о прекращении действия соглашения.
    Соглашение о передаче ПД вступает в силу с момента его подписания обеими сторонами, является бессрочным и может быть расторгнуто по взаимному соглашению сторон.
    Форма
    В ч.3 ст.6 152-ФЗ приводится лишь общая норма о формализации поручения обработки ПД в виде заключаемого договора, а также приводятся примеры двух частных случаев формализации поручения обработки ПД:
    1. государственный или муниципальный контракт;
    2. акт, принятый государственным или муниципальным органом.
    Указания о форме соглашения о передаче ПД в действующем законодательстве РФ отсутствуют.
    Форма договора может быть либо установлена нормами права, либо свободно определяться по соглашению сторон. Закон обычно дает лишь общие указания на то, в каких случаях сделки подлежат заключению в устной, письменной (в том числе нотариальной) форме или в форме конклюдентных действий. 152-ФЗ и иные нормативные правовые акты в области ПД прямо не устанавливают форму соглашения о передаче ПД. В такой ситуации допустимо прибегнуть к аналогии закона и обратиться к гражданскому законодательству РФ , в частности, п.1 ч.1 ст.161 ГК РФ установлена обязательность совершения сделок в простой письменной форме в отношении юридических лиц между собой и с гражданами, за исключением сделок, требующих нотариального удостоверения.
    Особенности
    Соглашение о поручении обработки ПД обладает следующими особенностями:
    1. согласно ч.3 ст.6 152-ФЗ цель обработки ПД, содержание (перечень действий) обработки ПД, требования к защите ПД определяются волей (поручением) оператора. Иначе говоря, оператор фактически получает возможность контролировать некоторые действия лица, которому была поручена обработка ПД (например, оператор может обязать такое лицо производить блокирование, удаление, уничтожение, уточнение, обезличивание или предоставление ПД по соответствующему требованию оператора), и таким образом определять содержание некоторых бизнес-процессов данного лица;
    2. согласно ч.4 ст.6 152-ФЗ лицо, осуществляющее обработку ПД по поручению оператора, не обязано получать согласие субъекта на обработку его ПД;
    3. согласно ч.5 ст.6 152-ФЗ ответственность перед субъектом ПД за действия «обработчика» несет оператор, а лицо, осуществляющее обработку ПД по поручению оператора, в свою очередь, несет ответственность перед оператором. Следует отметить, что данная норма не применяется в отношении обработки ПД, которую «обработчик» осуществляет в собственных целях, как оператор;
    4. может быть встречным, когда оба участника соглашения одновременно являются оператором и «обработчиком» ПД. Предполагается, что встречные поручения должны быть направлены на обработку ПД с отличающимися целями (иначе теряется смысл таких поручений, и они превращаются в юридическую фикцию);
    5. считается незаключенным, если в соглашении не определены такие существенные условия как перечень действий (операций) с ПД, цели обработки ПД, обязанность лица, осуществляющего обработку ПД, соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, требования к защите обрабатываемых ПД в соответствии со ст.19 152-ФЗ.
    Соглашение о передаче ПД обладает следующими особенностями:
    1. стороны обрабатывают ПД на основании и во исполнение соответствующих договоров оказания услуг, выполнения работ или поставки товаров. При этом цель обработки ПД, содержание (перечень действий) обработки ПД, требования к защите ПД продиктованы не волей (прямым указанием) одной из сторон, а существом (предметом) договора, требованиями применимого законодательства и особенностью организации бизнес-процессов каждой из сторон;
    2. каждая из сторон обязана обеспечивать правомерную передачу ПД, включая получение согласия субъектов на осуществление передачи их ПД, подтверждение наличия иных законных оснований для осуществления передачи ПД субъектов и подтверждение факта надлежащего уведомления субъектов о передаче их ПД;
    3. стороны, виновные в нарушении требований 152-ФЗ и подзаконных актов, самостоятельно несут предусмотренную законодательством РФ юридическую ответственность;
    4. снижает риск предъявления претензий со стороны субъектов ПД и органов государственной власти Российской Федерации (органов Роскомнадзора, Прокуратуры, Роструда) в отношении соблюдения должной осмотрительности при осуществлении передачи ПД;
    5. передающая сторона действуют в статусе оператора передаваемых ПД до момента их фактической передачи получающей стороне, а также приобретает статус оператора в отношении получаемых от другой стороны ПД;
    6. фиксирует во взаимообязывающей форме для сторон требования законодательства РФ о ПД, указанные в ч.1 ст.6, ст.7, ч.4 ст.18 и ч.1 ст.19 152-ФЗ;
    7. закрепляет принцип равноправия сторон при взаимной передаче ПД, не дает каких-либо преимуществ и не ущемляет интересы обеих сторон соглашения;
    8. является рамочным, то есть требует всего лишь однократного подписания и регулирует все существующие или возникающие договорные отношения между сторонами;
    9. позволяет одной стороне привлекать третьих лиц к обработке полученных ПД в рамках соответствующих договоров и соглашений без получения дополнительного согласия другой стороны при условии обеспечения указанными третьими лицами конфиденциальности и безопасности ПД при обработке;
    10. дополняет соответствующие условия о конфиденциальности информации в договорах и дополняет рамочные соглашения о конфиденциальности информации, которые ранее были заключены между сторонами (стандартные условия о конфиденциальности информации обычно направлены на защиту сведений, составляющих коммерческую, служебную, банковскую тайну, при этом крайне редко или не в полной мере регулируют вопросы обработки и защиты ПД).
    Применимые ситуации
    Соглашение о поручении обработки ПД следует рассматривать как приоритетный механизм формализации правоотношений по поводу обработки ПД в ситуации передачи оператором специализированному поставщику определённых бизнес-процессов (аутсорсинг бизнес-процессов). Взаимодействие между оператором и поставщиком является долгосрочным (обычно договор заключается на несколько лет) и носит стратегический характер (смена поставщика является дорогостоящей и может негативно повлиять на функционирование бизнес-процесса).
    Стоит отметить, что в этой ситуации оператор сохраняет значительную степень контроля над формой и содержанием переданного бизнес-процесса. Оператор определяет «облик» обработки ПД, осуществляемой поставщиком с целью реализации переданного ему на аутсорсинг бизнес-процесса.
    Перечень примеров (не является исчерпывающим) вышеперечисленных ситуаций:
    1. ведение предговорной деятельности, оказание услуг, выполнение работ или поставка товаров посредством лиц, с которыми заключаются агентские договоры;
    2. обеспечение безопасности на объектах недвижимости (услуги в сфере охраны), связанное с осуществлением учета посетителей и (или) видеонаблюдения;
    3. работа с обращениями и запросами от заинтересованных лиц (услуги центра обработки вызовов, опросы/анкетирование для мероприятий);
    4. организация и управление деловыми поездками работников (услуги бизнес-туризма);
    5. организация визово-миграционной поддержки;
    6. архивирование, хранение и уничтожение материальных носителей с ПД (архивные услуги);
    7. предоставление комплексных ИТ -услуг (провайдер услуг является оператором тех ИС , которые используются заказчиком);
    8. предоставление ИТ -инфраструктуры, колокация, техническое обслуживание информационной системы с ПД (провайдер услуг не берет на себя роль оператора такой системы, но может осуществлять доступ к ПД);
    9. кадровое, бухгалтерское и ИТ сопровождение;
    10. внешний подбор персонала (кадровые агентства, сервисы), осуществляемый на основании агентских договоров.
    Соглашение о взаимной передаче (обмене) ПД следует рассматривать как приоритетный механизм формализации правоотношений по поводу обработки ПД в ситуации передачи оператором поставщику только определенных функций или элементов бизнес-процессов (аутсорсинг отдельных задач). Взаимодействие между оператором и поставщиком является краткосрочным, эпизодическим (обычно договор заключается на срок до одного года) и носит тактический характер (допустима регулярная смена поставщика, которая существенно не может повлиять на функционирование бизнес-процесса).
    Стоит отметить, что оператор не осуществляет контроль над деятельностью своих поставщиков, контролируя лишь соблюдение указанных в договоре требований к полноте, качеству, срокам результата деятельности поставщиков. Оператор не определяет «облик» обработки ПД, осуществляемой поставщиком, а требует от последнего только ранее оговоренный результат.
    Перечень примеров (не является исчерпывающим) вышеперечисленных ситуаций:
    1. оказание услуг, выполнение работ или поставка товаров в пользу субъекта ПД, являющегося стороной договора или выгодоприобретателем по нему;
    2. банковские зарплатные проекты;
    3. страхование (имущественное и личное);
    4. бронирование и приобретение гостиничных мест и транспортных билетов, услуги такси;
    5. выполнение переводов текстов с одного языка на другой;
    6. совершение нотариальных действий;
    7. внешний подбор персонала (кадровые агентства, сервисы), осуществляемый на основании договоров оказания услуг;
    8. услуги связи (операторы связи);
    9. использование инфраструктуры электронного документооборота (сдача обязательной отчетности в ОГВ, взаимодействие с партнерами и т.п.);
    10. внешнее обучение и аттестация (заказчик не диктует исполнителю содержание и форму обучения/аттестации);
    11. медицинские осмотры и освидетельствования;
    12. внешний финансовый аудит и контроль;
    13. изготовление полиграфической продукции (визитки, корпоративные издания и плакаты);
    14. справочно-информационные сервисы (СПАРК, Интегрум, Кронос-Информ);
    15. посреднические услуги (визовые центры).

    На основании обобщения аналитических выводов, изложенных в Таблице, представляется возможным зафиксировать следующие выводы:
    1. Необходимость в заключении соглашения о поручении обработки ПД возникает в том случае, если:
    1.1. оператор, в принципе, способен самостоятельно осуществить обработку ПД для достижения предусмотренной цели, но в силу различных причин принял решение делегировать (полностью или в какой-либо части) функцию своему контрагенту-«обработчику»;
    1.2. обработка ПД является самостоятельным предметом правоотношений (договора) между оператором и лицом, осуществляющим обработку ПД по поручению оператора;
    1.3. возмездное выполнение лицом-«обработчиком» различных действий с ПД неразрывно связано с достижением цели обработки ПД, определенной оператором.
    2. Необходимость в заключении соглашения о передаче ПД возникает в том случае, если:
    2.1. оператор, в принципе, не способен самостоятельно осуществить обработку ПД для достижения предусмотренной цели (например, в силу отсутствия требуемых компетенций, разрешительных документов и т.п.) и в силу необходимости осуществляет обмен ПД со своим контрагентом;
    2.2. передача ПД не является самостоятельным предметом правоотношений (договора) между сторонами и носит вспомогательный (обеспечивающий) характер по отношению к основному предмету таких отношений;
    2.3. все возможное многообразие действий по обработке ПД ограничено только передачей ПД между сторонами.

    Таким образом, можно обоснованно сделать заключение о том, что субинститут поручения обработки ПД не является единственным и универсальным механизмом правого урегулирования отношений между оператором и иными лицами при передаче ПД. Такого рода отношения могут регулироваться отдельными соглашениями, направленными за защиту прав и законных интересов субъектов передаваемых ПД. Необходимость применения того или иного вида соглашения непосредственно связана с сущностью и содержанием правоотношений между сторонами (см. разделы «Особенности» и «Применимые ситуации» Таблицы).

    Кликните на изображение для получения оригинала.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *