Отличие соглашения о поручении на обработку персональных данных от передачи ПДн
152-ФЗ “О персональных данных” обязывает операторов персональных данных юридически подкреплять взаимодействие с иными лицами по поводу обработки ПДн, а именно – заключать соглашение о поручении на обработку ПДн.
Однако, при анализе требований 152-ФЗ, можно сделать вывод, что в ряде случаев передача и обмен ПДн между оператором и третьими лицами не требует данного соглашения.
В то же время, и поручение обработки ПДн, и передача ПДн без поручения требуют юридической формализации.
Разберем на конкретных примерах, что это за случаи, и в чём отличия соглашения о поручении на обработку персональных данных от передачи ПДн.
Соглашение о поручении обработки ПДн
Закрепляются условия и ответственность между оператором и лицом, осуществляющим обработку ПДн по его поручению. Соглашение одностороннее и безвозмездное. Однако, в случаях заключения между коммерческими организациями, должно сопровождаться возмездным договором о взаимозачете или вознаграждении, согласно статье 575 ГК РФ. Другое лицо имеет право не соблюдать обязанности оператора, например, брать согласие субъекта на обработку ПДн.
Ответственность за соблюдение ФЗ-152 лежит на “передающей стороне”, которая, в свою очередь, выставляет требования и может контролировать действия “обработчика”, например, обязать обеспечить уничтожение ПДн. Исключение – обработка иным лицом ПДн вне целей, предусмотренных в договоре.
Соглашение о передаче ПДн
Двустороннее и безвозмездное, заключается между передающей и получающей сторонами. Предмет соглашения — обеспечение правомерности передачи, а также конфиденциальности и безопасности при обработке ПДн. Вступает в силу с момента подписания и действует бессрочно.
В отличие от поручения, соглашение применяется, когда обработка ПДн осуществляется на основании договоров оказания услуг, выполнения работ или поставки товаров. Действия с ПДн определяет не оператор, а существо договора, требования закона и особенности бизнес-процессов сторон. Каждая сторона должна соблюдать требования ФЗ-152 в отношении ПДн, включая получение согласия субъекта на обработку данных. Ответственность за соблюдение закона несут обе стороны, и они могут привлекать третьих лиц без согласования с другой стороной, при условии обеспечения конфиденциальности и безопасности ПДн.
Разберем на примере кадрового делопроизводства
Ситуация 1
Работодатель выступает оператором персональных данных в отношении сотрудников и желает передавать их ПДн в страховую компанию для подключения к программе добровольного медицинского страхования.
Для этого он берёт согласие и собирает у сотрудников персональные данные – Ф.И.О., контактные данные, сведения о состоянии здоровья и т.д. Далее данные передаются в страховую компанию.
Это не является поручением на обработку, так как страховая компания, получив ПДн, будет обрабатывать их с целями, которые определяются страховым законодательством.
Страховая компания самостоятельно определяет, какими способами будет обрабатывать, какие действия совершать, сколько времени хранить ПДн.
Ситуация 2
В штате компании нет бухгалтера, его задачи выполняет сотрудник на аутсорсе. Работодатель передает данные работника аутсорсинговой компании на основании договора оказания услуг. Предмет договора предполагает, что она должна в ежедневном режиме обрабатывать персональные данные работника для тех целей, которые определены в договоре для совершения ряда бухгалтерских операций.
Таким образом получается, что работодатель “инструктирует” аутсорсинговую компанию, говорит, что, какими способами, в какие сроки и для каких целей нужно делать с данными, например, в системе «1С».
Такие отношения называются «отношениями по поручению обработки персональных данных» в соответствии с ч.3 ст.6 ФЗ «О персональных данных» и должны регламентироваться договором на поручение обработки персональных данных.
Таким образом…
Ключевое отличие соглашения о поручении от передачи ПДн – зоны ответственности и случаи применения.
В соглашении о поручении на обработку:
– ответственность несёт оператор ПДн;
– оператор ПДн выставляет требования, может контролировать “обработчика”;
– формализация аутсорсинга бизнес-процессов.
В передаче:
– ответственность несут обе стороны;
– требования к обработке определяются законодательством и особенностями сферы деятельности (как с примером страховой компании);
– передающая сторона не контролирует и не диктует “правила” обработки ПДн;
– формализация отдельных задач или элементов бизнес-процессов.
Подробнее об актуальных требованиях регуляторов рассказывали здесь.
Пошаговая инструкция по выполнению ФЗ-152 – тут.
Все штрафы и ответственность за несоблюдение – тут.
О том, как закрыть все требования регулятора в отношении персданных одним решением – тут.