Персональные данные — что учесть при поручении их обработки третьему лицу

Кто это — лицо, обрабатывающее персональные данные по поручению

Любой оператор (п. 2 ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных данных»), будь то организация, гражданин, государственный или муниципальный орган, обрабатывает (п. 3 ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных данных») персональные данные (дальше будем использовать сокращение — ПнД) соискателей, работников, контрагентов и иных субъектов.

Вместе с тем часто возникают ситуации, когда оператор в силу тех или иных причин вынужден передать кому-то ПнД, полученные от субъектов, с целью их дальнейшей обработки. Приведем примеры таких ситуаций.

1. Работодатель привлекает специализированную компанию для ведения кадрового или бухгалтерского учета. Для исполнения обязанностей, связанных с оформлением различных кадровых документов, выплатой зарплаты, перечислением налогов и т.п., аутсорсинговой организации требуется не просто получить ПнД работников своего заказчика, но и записать их (отразить в какой-то информационной системе), хранить, использовать, предоставлять в налоговый орган и другие органы и организации. В этом случае исполнитель услуг будет обрабатывать ПнД не своих работников и контрагентов, а данные, которые собрал и первоначально обрабатывал его заказчик.

2. Организация имеет базу адресов электронной почты своих клиентов. В целях повышения продаж и маркетинговой поддержки своих проектов она намерена делать рассылки по этим адресам, для чего привлекает соответствующий сервис. Сервисная компания в этом случае получает доступ к данным клиентов организации и, соответственно, со своей стороны тоже будет их обрабатывать.

3. Аудиторские организации при проведении аудита получают доступ к данным работников и контрагентов своего заказчика и, следовательно, тоже становятся лицами, обрабатывающими ПнД, собранные заказчиком аудита.

4. Привлекаемые работодателями юристы изучают, оценивают документы своих заказчиков при подготовке к судебному разбирательству. Документы эти очень часто содержат ПнД работников заказчика, следовательно, юристы становятся лицами, обрабатывающими такие сведения.

И таких ситуаций много.

Во всех этих примерах привлекаемое для оказания услуг лицо никак не связано с работниками, контрагентами своего заказчика.

Исполнитель услуг всегда действует исключительно в интересах оператора ПнД: он обрабатывает такие сведения только для того, чтобы оказать услугу заказчику. 

К сожалению, законодатель не придумал термин для исполнителя услуг, поэтому очень часто последнего ассоциируют с оператором и «забывают» о том, что работу такого третьего лица с ПнД граждан необходимо оформлять особым образом.

Оператор и агент. Различия

Различие между оператором и тем, кто обрабатывает ПнД по поручению (назовем его условно агентом), заключается в правовом статусе. Наглядно это можно увидеть на схеме:

Несмотря на то что агент не будет отвечать непосредственно перед субъектом ПнД, он несет ответственность перед своим клиентом (оператором персональных данных). Но есть исключение — поручение обработки ПнД иностранному лицу (физическому или юридическому). В этой ситуации ответственность перед работником несет и работодатель, и агент.

Все это закреплено в ч. 3, 5 и 6 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — закон № 152-ФЗ).

Что должен оператор при передаче персональных данных агенту

Закон № 152-ФЗ обязывает оператора оформить два документа при возникновении необходимости поручить агенту обработку ПнД граждан.

Второй документ — непосредственно поручение оператора, которое является основанием передачи ПнД.

Защита персональных данных

Нужна консультация? Оставьте заявку, мы свяжемся с вами и обсудим ваши вопросы

Оставить заявку

Как оформить согласие субъекта на передачу его персональных данных агенту

Требования к согласию на обработку ПнД установлены ст. 9 закона № 152-ФЗ. В ней, в частности, предусмотрено, что оно должно быть конкретным, предметным, информированным, сознательным и однозначным.

Кроме того, есть установленные законом случаи, когда согласие на обработку ПнД нужно оформить в виде письменного документа:

1. Если речь идет о согласии на поручение обработки Ф.И.О. гражданина, годе и месте рождения, адресе, абонентском номере, сведениях о профессии и иных ПнД, включаемых в общедоступные источники (это положения ст. 8 закона № 152-ФЗ);

2. Если согласие предусматривает поручение обработки специальных категорий ПнД (к специальным категориям персональных данных относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, п. 1 ч. 2 ст. 10 закона № 152-ФЗ);

3. Если поручается обработка биометрических ПнД (сведения, которые характеризуют физиологические и биологические особенности человека, ч. 1 ст. 11 закона № 152-ФЗ).

Письменное согласие на поручение обработки ПнД должно содержать:

• Ф.И.О. и паспортные данные субъекта ПнД;

• Ф.И.О., паспортные данные представителя субъекта ПнД, если он есть; сведения о документе, подтверждающем его полномочия;

• информацию об операторе;

• цель обработки ПнД;

• перечень ПнД;

• наименование или Ф.И.О. лица, которому оператор поручает обработку ПнД;

• перечень действий с ПнД;

• срок действия согласия и способы его отзыва;

• подпись субъекта ПнД.

Требования к набору необходимых сведений приведены в ч. 4 ст. 9 закона № 152-ФЗ.

Как уже было сказано, согласие на обработку ПнД гражданин дает оператору, а оператор, имея это согласие, поручает обработку ПнД агенту. Передавать само согласие или его копию агенту закон оператора не обязывает. Но в интересах агента в договоре с оператором или в поручении предусмотреть условие, содержащее заверение последнего о наличии согласия гражданина на поручение обработки его ПнД агенту.

Как подготовить поручение

В законе нет указания на то, в какой форме должно быть оформлено поручение на обработку ПнД. Его оформить можно как дополнительное соглашение, приложение к договору либо как отдельный документ. В любом случае поручение всегда вытекает из наличия каких-то предусмотренных договором правоотношений оператора и агента. Однако если речь о государственном или муниципальном органе, то поручение оформляется соответствующим актом этого органа.

Что обязательно указывать в поручении

Часть 3 ст. 6 закона № 152-ФЗ определяет требования к содержанию поручения. В нем должны быть:

• перечень ПнД;

• перечень действий (операций) с ПнД;

• цели обработки ПнД;

• обязанность соблюдать конфиденциальность ПнД;

• требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 закона № 152-ФЗ;

• обязанность по запросу оператора представлять документы и иную информацию, подтверждающие соблюдение требований закона;

• обязанность обеспечивать безопасность ПнД при их обработке;

• требования к защите обрабатываемых ПнД в соответствии со ст. 19 закона № 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 закона № 152-ФЗ.

Наличие всех названых пунктов в совокупности обязательно.

Обязанности агента при обработке переданных ему персональных данных

В обязанности агенту вменяется соблюдение принципов и правил обработки ПнД, предусмотренных законом № 152-ФЗ, соблюдение конфиденциальности ПнД и принятие необходимых мер, призванных обеспечить выполнение обязанностей, установленных соответствующими нормами указанного закона.

Об этих мерах было уже сказано выше, когда освещался вопрос о содержании поручения.

К примеру, обработка ПнД без согласия субъекта ПнД, оформленного в письменной форме, а также обработка с нарушением требований к содержанию согласия влечет наложение административного штрафа на должностных лиц — от 100 000 до 300 000 рублей, а на юридических лиц — от 300 000 до 700 000 рублей.

Подписывайтесь на наш Телеграм-канал «МКПЦН для бизнеса». Мы пишем о налогах, финансах, трудовом законодательстве, описываем интересные кейсы, отвечаем на ваши вопросы, анонсируем вебинары.

Защита персональных данных

Нужна консультация? Оставьте заявку, мы свяжемся с вами и обсудим ваши вопросы:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие по перс.данным

Реклама: ООО «МКПЦН-КОНСУЛЬТАНТ», ИНН: 7717539166, erid: LjN8KYd7w