тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Отличие соглашения о поручении на обработку персональных данных от передачи ПДн

соглашение о поручении обработки персональных данных
By 03.08.2023 Информационная безопасность 0 Comments

Отличие соглашения о поручении на обработку персональных данных от передачи ПДн

152-ФЗ “О персональных данных” обязывает операторов персональных данных юридически подкреплять взаимодействие с иными лицами по поводу обработки ПДн, а именно – заключать соглашение о поручении на обработку ПДн.

Однако, при анализе требований 152-ФЗ, можно сделать вывод, что в ряде случаев передача и обмен ПДн между оператором и третьими лицами не требует данного соглашения.

В то же время, и поручение обработки ПДн, и передача ПДн без поручения требуют юридической формализации.

Разберем на конкретных примерах, что это за случаи, и в чём отличия соглашения о поручении на обработку персональных данных от передачи ПДн.

Соглашение о поручении обработки ПДн

Закрепляются условия и ответственность между оператором и лицом, осуществляющим обработку ПДн по его поручению. Соглашение одностороннее и безвозмездное. Однако, в случаях заключения между коммерческими организациями, должно сопровождаться возмездным договором о взаимозачете или вознаграждении, согласно статье 575 ГК РФ. Другое лицо имеет право не соблюдать обязанности оператора, например, брать согласие субъекта на обработку ПДн. 

Ответственность за соблюдение ФЗ-152 лежит на “передающей стороне”, которая, в свою очередь, выставляет требования и может контролировать действия “обработчика”, например, обязать обеспечить уничтожение ПДн. Исключение – обработка иным лицом ПДн вне целей, предусмотренных в договоре.

Соглашение о передаче ПДн

Двустороннее и безвозмездное, заключается между передающей и получающей сторонами. Предмет соглашения — обеспечение правомерности передачи, а также конфиденциальности и безопасности при обработке ПДн. Вступает в силу с момента подписания и действует бессрочно.

В отличие от поручения, соглашение применяется, когда обработка ПДн осуществляется на основании договоров оказания услуг, выполнения работ или поставки товаров. Действия с ПДн определяет не оператор, а существо договора, требования закона и особенности бизнес-процессов сторон. Каждая сторона должна соблюдать требования ФЗ-152 в отношении ПДн, включая получение согласия субъекта на обработку данных. Ответственность за соблюдение закона несут обе стороны, и они могут привлекать третьих лиц без согласования с другой стороной, при условии обеспечения конфиденциальности и безопасности ПДн.

Разберем на примере кадрового делопроизводства 

Ситуация 1

Работодатель выступает оператором персональных данных в отношении сотрудников и желает передавать их ПДн в страховую компанию для подключения к программе добровольного медицинского страхования. 

Для этого он берёт согласие и собирает у сотрудников персональные данные – Ф.И.О., контактные данные, сведения о состоянии здоровья и т.д. Далее данные передаются в страховую компанию. 

Это не является поручением на обработку, так как страховая компания, получив ПДн, будет обрабатывать их с целями, которые определяются страховым законодательством. 

Страховая компания самостоятельно определяет, какими способами будет обрабатывать, какие действия совершать, сколько времени хранить ПДн. 

Ситуация 2

В штате компании нет бухгалтера, его задачи выполняет сотрудник на аутсорсе. Работодатель передает данные работника аутсорсинговой компании на основании договора оказания услуг. Предмет договора предполагает, что она должна в ежедневном режиме обрабатывать персональные данные работника для тех целей, которые определены в договоре для совершения ряда бухгалтерских операций. 

Таким образом получается, что работодатель “инструктирует” аутсорсинговую компанию, говорит, что, какими способами, в какие сроки и для каких целей нужно делать с данными, например, в системе «1С». 

Такие отношения называются «отношениями по поручению обработки персональных данных» в соответствии с ч.3 ст.6 ФЗ «О персональных данных» и должны регламентироваться договором на поручение обработки персональных данных. 

Таким образом…

Ключевое отличие соглашения о поручении от передачи ПДн – зоны ответственности и случаи применения. 

В соглашении о поручении на обработку:

– ответственность несёт оператор ПДн;

– оператор ПДн выставляет требования, может контролировать “обработчика”;

– формализация аутсорсинга бизнес-процессов.

В передаче:

– ответственность несут обе стороны;

– требования к обработке определяются законодательством и особенностями сферы деятельности (как с примером страховой компании);

– передающая сторона не контролирует и не диктует “правила” обработки ПДн;

– формализация отдельных задач или элементов бизнес-процессов.

Подробнее об актуальных требованиях регуляторов рассказывали здесь.

Пошаговая инструкция по выполнению ФЗ-152 – тут.

Все штрафы и ответственность за несоблюдение – тут.

О том, как закрыть все требования регулятора в отношении персданных одним решением – тут.