Защита персональных данных

Особенности Договора Поручения и Договора передачи данных третьим лицам

В нашем обзоре рассмотрим основные составляющие Договора Поручения и Договора передачи данных, проанализируем их ключевые особенности.
Особенности Договора Поручения и Договора передачи данных третьим лицам
Иллюстрация: Астрал

Два понятия – «Договор Поручения» и «Договор передачи третьим лицам» – часто вызывают вопросы и затруднения в своём практическом применении. Расскажем, как эти два типа соглашений влияют на правовые обязательства сторон и как правильно выбрать между ними, учитывая конкретные потребности и цели.

Давайте более детально разберём определения двух терминов: «Поручение обработки» и «Передача данных третьему лицу».

На основании 152-ФЗ «О персональных данных», поручение обработки данных означает передачу этой функции внешней организации или лицу (поручителю) на основе принятого соглашения о поручении. Цель этого договора состоит в осуществлении различных процедур с этими данными. Реализация таких операций может включать в себя процессы: сбор, регистрация, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение персональных данных. Эти действия могут быть проведены как с применением автоматизированных средств, так и без них.

Участниками договора о поручении обработки персональных данных выступают оператор и лицо, выполняющее обработку по поручению оператора.

Поручение обработки персональных данных третьему лицу (ч. 3-6 ст. 6 152-ФЗ)

Является договором-поручением

Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу

  1. Услуги бухгалтерского и кадрового учёта

  2. Услуги бронирования и организации командирования работников

  3. Техническое обеспечение ИСПДн Оператора

  4. Сопровождение интернет-ресурсов Оператора

  5. Услуги рекламной и информационной рассылки

  6. Организация рассмотрения обращений граждан и др.

В рамках ч. 3, 4 и 5 ст. 6 152-ФЗ оператор вправе передать процесс обработки данных стороннему участнику, перед этим получив согласие субъекта персональных данных. Заметим, что обработчик не обязан запрашивать отдельное разрешение субъекта на обработку его данных, но полная ответственность за деятельность обработчика лежит на операторе. Обработчик, со своей стороны, несёт ответственность перед оператором за свою деятельность.

Однако, если обработка персональных данных поручена иностранному физическому или юридическому лицу, ответственность за деятельность указанных лиц перед субъектом персональных данных возлагается как на самого оператора, так и на лицо, выполняющее обработку по его поручению.

Обязательные условия при поручении обработки персональных данных третьему лицу

Условие

Кто оформляет

Ответственность за нарушение прав субъектов ПДн

Согласие субъекта ПДн, если иное не предусмотрено законом

Оператор

Оператор — перед субъектом ПДн

 

Лицо по поручению — перед оператором

 

Оператор и лицо по поручению — в случае поручения иностранному лицу

Договор-поручение, соответствующий требованиям ч. 3 ст. 6 152-ФЗ

 

 

 

 

Заключается между оператором и лицом по поручению 

  • в тексте основного договора;

  • дополнительным соглашением;

  • отдельным документом.

По сути, оператор получает право производить контроль за действиями лица, которому поручает обработку. Например, он может обязать обработчика выполнять следующие действия: блокирование, удаление, уничтожение, уточнение, обезличивание или предоставление персональных данных в соответствии с требованиями оператора. Соответственно, оператор способен воздействовать на содержание рабочих процессов этого лица.

В соответствии с ч. 3 ст. 6 152-ФЗ в договоре о поручении обработки персональных данных нужно обязательно определить следующие моменты:

  • Какие конкретно персональные передаются лицу, которое будет их обрабатывать

  • Какие действия с этой информацией будет осуществлять это лицо

  • Какова цель обработки данных

  • Обязанность лица, которое будет обрабатывать данные, соблюдать конфиденциальность информации и требования, предусмотренные частью 5 ст. 18 и ст.18.1 152-ФЗ

  • В рамках срока действия поручения оператора и до начала обработки персональных данных по требованию оператора нужно предоставить документы и другую информацию, подтверждающую принятие мер и соблюдение норм, утверждённых в соответствии с настоящей статьёй, с целью корректного выполнения поручения оператора.

  • Обязанность обеспечить безопасные условия обработки персональных данных

  • Стандарты защиты персональных данных, подлежащих обработке, в соответствии со ст. 19 152-ФЗ, включая требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 152-ФЗ.

Напоминаем, что для разработки документации компании могут использовать сервис 152DOC. Он поможет правильно сформировать необходимый перечень документов и полностью соответствовать требованиям в области защиты персональных данных.

Договор передачи данных третьим лицам

Теперь разберёмся с Договорами передачи данных третьим лицам.

Договор Передачи данных третьим лицам

В силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима

  1. Организация медицинских осмотров

  2. Добровольное медицинское страхование

  3. Выпуск банковских карт и начисление выплат

  4. Услуги по перевозке пассажиров (такси)

  5. Услуги почтовой связи (только в случае оказания услуг в соответствии с законодательством)

Обязательные условия при передаче (предоставление, распространение, доступ) персональных данных третьему лицу

Условие

Кто оформляет

Ответственность за нарушение прав субъектов ПДн

Согласие субъекта ПДн

Оператор

Оператор — за правомерность передачи

Третье лицо – за фактическую обработку

Иные правовые основания:

  • общие — ч. 1 ст. 6;

  • для специальных категорий они определены пп. 2-10 ч. 2 ст. 10 152-ФЗ;

  • для биометрических — ч. 2 ст. 11 152-ФЗ;

  • для ПДн, разрешённых субъектом для распространения — ч. 15 ст. 10.1 152-ФЗ

Согласие не требуется

Подводя итог, выделим основные моменты:

Предоставление персональных данных – это процесс, направленный на раскрытие личной информации конкретному лицу или ограниченному кругу лиц.

При поручении обработки персональных данных третьему лицу оператор сохраняет ответственность перед субъектом за обработку предоставленных данных. Оператор несёт ответственность перед субъектом в случае нарушения его прав как субъекта (таких как утечка, нарушение конфиденциальности, нарушение права на доступ к данным, неисполнение требования об удалении и т. д.), которые были допущены лицом по поручению. Однако за принятие организационных и технических мер для обеспечения безопасности обрабатываемых данных, а также за разработку локальных нормативных актов, каждый несёт ответственность самостоятельно.

При передаче без поручения-ответственность за обработку персональных данных распределяется между оператором и получателем в соответствии с конкретными действиями, произведёнными каждой стороной. Это означает, что оператор несёт ответственность за незаконную передачу данных, а получатель – за нарушения после их передачи. Таким образом, ответственность возлагается на ту сторону, чьи действия привели к нарушению.

Ответственность за нарушение

В заключение рассмотрим вопрос ответственности за нарушения, возникающие в ходе обработки данных в рамках обсуждаемой темы.

Административная ответственность в соответствии с частями 1, 2 статьи 13.11 КоАП является наиболее распространённой, однако в зависимости от обстоятельств также возможно привлечение к ответственности по другим её частям.

На данный момент суммы штрафов по распространённым нарушениям составляют:

Часть 1 ст. 13.11 КоАП (обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями их сбора):

Для должностных лиц – от 10 тыс. до 20 тыс. рублей (при повторном нарушении от 20 тыс. до 50 тыс. рублей).

Для индивидуальных предпринимателей – при повторном нарушении от 50 тыс. до 100 тыс. рублей.

Для юридических лиц – от 60 тыс. до 100 тыс. рублей (при повторном нарушении от 100 тыс. до 300 тыс. рублей).

Штрафы за обработку персональных данных без Согласия в письменной форме, предусмотренного законом (ч. ч. 2, 2.1 ст. 13.11 КоАП), значительно увеличатся после вступления в силу ФЗ от 12.12.2023 № 589-ФЗ и будут составлять:

Для должностных лиц — от 100 тыс. до 300 тыс. рублей (при повторном нарушении от 300 тыс. до 500 тыс. рублей).

Для индивидуальных предпринимателей – при повторном нарушении от 500 тыс. до 1 млн рублей.

Для юридических лиц — от 300 тыс. до 700 тыс. рублей (при повторном нарушении от 1 млн до 1,5 млн рублей).

Таким образом, приходим к выводу, что понимание ключевых особенностей этих соглашений не только обеспечивает соблюдение законодательства, но и способствует построению доверительных отношений между участниками.

 Реклама: ООО «АСТРАЛ-СОФТ», ИНН: 4027145240, erid: LjN8KPbF8

Начать дискуссию