152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
ПДн – персональные данные.
В статье «Особенности Договора Поручения и Договора передачи данных третьим лицам» мы рассматривали основные составляющие поручения и передачи данных, ключевые особенности данных понятий. Сегодня остановимся подробнее на критериях, которые могут помочь определить – являются ли Ваши взаимоотношения с контрагентами поручением на обработку ПДн или достаточно говорить только о передаче ПДн.
Законодательство не дает критериев разделения поручения и передачи. Универсального решения, к сожалению, нет. Подходы к разделению формируются на практике (где-то после проверок РКН, где-то с высказываний уполномоченного органа на семинарах и тд). Мы обобщили основные сложившиеся подходы, признаки и особенности поручения и передачи в виде сравнительной таблицы.
| Поручение обработки ПДн | Передача ПДн |
| 1. Предмет | |
| Обработка ПДн — самостоятельный предмет договора между оператором и лицом, действующим по поручению. Поручение предусматривает, что контрагент будет выполнять какие-либо действия с ПДн – собирать их, систематизировать, хранить, удалять и тд. Например, Вы поручаете контрагенту собрать своими силами, сформировать для Вас базу потенциальных клиентов, систематизировать ее по определенным критериям, и передать Вам в пользование. | Передача ПДн не является самостоятельным предметом договора между сторонами и носит вспомогательный характер по отношению к основному предмету таких отношений. Действия по обработке ПДн ограничены только передачей ПДн между сторонами. При заключении Договоров/Соглашений о передаче или обмене ПДн (или включение положений о передаче ПДн в основной Договор) — в основе не столько совершение контрагентом действий по обработке ПДн, сколько фиксирование в договоре условий обеспечения правомерной передачи или обмена ПДн между сторонами, обеспечение конфиденциальности и безопасности передаваемых данных. Например, заключение с банком Соглашения об обмене документами, в том числе содержащими ПДн, в электронном виде. Здесь Вы не просите банк за Вас собирать, использовать, хранить и совершать иную обработку ПДн, а договариваетесь с банком, на каких условиях и при каких гарантиях данные будет передаваться в электронном виде. |
| 2. Наличие у Оператора возможности самостоятельно обрабатывать ПДн | |
| Основной признак – передача части полномочий, которые Оператор мог бы выполнять самостоятельно, но по каким-то причинам не хочет этого делать и привлекает третье лицо. Отметим, что с точки зрения гражданско-правовых норм наиболее близким к поручению обработки ПДн является агентский договор (главе 52 ГК РФ), но все же не каждый агентский договор будет обязательно поручением. Нужно учитывать разные признаки. | Оператору необходимо получение услуги, требующей передачи ПДн, но он самостоятельно не может выполнить определенные действия, у него нет полномочий на совершение какой-либо деятельности (например, речь идет про лицензируемый вид деятельности, а лицензии у Оператора нет). Например, передача ПДн в медицинское учреждение с целью проведение медицинских осмотров и оформления результатов и медицинской документации. Не у всех компаний лицензия на осуществление медицинской деятельности есть, поэтому здесь речь идет не про передачу части своих полномочий, которые оператор мог бы выполнить сам. Следовательно, относим к передаче, а не поручению. Также необходимость передачи ПДн с определенной целью может быть обусловлена требованиями законом, а не договором. Например, передача отчетности с ПДн в уполномоченные органы. Если оператор делает это самостоятельно, то поручения не возникает. |
| 3. Цель обработки ПДн | |
| Цель обработки ПДн. При поручении ее определяет Оператор. Выполнение лицом по поручению различных действий с ПДн неразрывно связано с достижением цели обработки ПДн, определенной оператором. | Цель обработки ПДн устанавливается сторонами совместно, определяется исходя из предмета договора, особенностей организации бизнес-процессов каждой стороны. |
| 4. Контроль за действиями сторон | |
| Оператор определяет «облик» обработки ПДн: определяет перечень действий с ПДн, диктует лицу по поручению, какие меры для защиты и безопасности ПДн ему нужно принимать, контролирует действия лица по поручению. Например, в ч. 3 ст. 6 152-ФЗ указано, что в поручении должно быть закреплено положение о том, что лицо по поручению должно предоставить по требованию Оператора документы и другую информацию, подтверждающую принятие мер и соблюдение норм, утвержденных в соответствии с указанной статьей. Также в рамках ст. 21 152-ФЗ при выявлении неправомерной обработки и при необходимости принятия мер по уничтожению, блокированию, уточнению ПДн, от Оператора требуется не только самому предпринимать те или иные меры, но и обеспечивать их выполнение лицами по поручению. | Определяется условиями Договора. Оператор не определяет «облик» обработки ПДн, не осуществляет контроль над деятельностью третьего лица, контролируя только соблюдение указанных в договоре условий и требований к передаче данных. Оператор не определяет «облик» обработки ПДн, осуществляемой поставщиком, а требует от последнего только ранее оговоренный результат. |
| 5. Требования к содержанию договора | |
| Определены требованиям ч. 3 ст. 6 152-ФЗ (подробнее о содержании договора – в предыдущей статье). | 152-ФЗ данные требования не устанавливает. Договорные отношения выстраиваются в соответствии с нормами гражданского законодательства. Условия договора определяются сторонами. |
| 6. Ответственность за нарушение прав субъектов ПДн | |
| В рамках предмета поручения Оператор несет ответственность перед субъектом ПДн, а лицо по поручению – перед оператором (ч.5 ст.6 152-ФЗ). Это значит, что, если нарушение произошло по вине лица, действующего по поручению, ответственность все равно будет на Операторе. Оператор, в свою очередь, может взыскать убытки, причиненные фактом привлечения к ответственности, с лица, действующего по поручению, по вине которого нарушение произошло. Исключение: в случае поручения иностранному лицу – ответственность несет как Оператор, так и лицо по поручению. | Каждая сторона несет ответственность за свои действия с ПДн. Если Оператор неправомерно передал ПДн третьему лицу – он будет нести ответственность за передачу ПДн в отсутствие правовых оснований. Если после получения ПДн третье лицо будет обращаться с ПДн неправильно (использовать их для других целей, отличных от предмета договора, для исполнения которого данные получены, или распространит их без правовых оснований) – то ответственность он понесет самостоятельно. |
| Примеры | |
| 1. Работа с обращениями и запросами клиентов (услуги кол-центра, центра обработки обращений). 2. Организация мероприятий/конкурсов, например, в части сбора и обработки заявок участников, оценка их соответствия условиям участия в мероприятии/конкурсе, установленных Операторов, отбор заявок, информирование участников о приеме заявки и тп. 3. Услуги бизнес-туризма (оформление деловых поездок, командировок). 4. Услуги хранения и уничтожение материальных носителей с ПДн. 5. Предоставление комплексных ИТ-услуг (провайдер услуг является оператором тех ИС, которые используются заказчиком). 6. Кадровое, бухгалтерское сопровождение. 7. Внешний подбор персонала (если пользуетесь услугами лиц, чья деятельность не является кадровыми услугами, например, 1 компания в структуре ГК занимается подбором персонала для всех компаний из ГК). 8. Франчайзер передает третьему лицу для проведения обучения работников, которые приобрели франшизу. | 1. Доставка товаров покупателю интернет-магазина силами компании по доставке. 2. Банковские зарплатные проекты. 3. Оформление ДМС для сотрудников. 4. Самостоятельное бронирование компанией и приобретение гостиничных мест и билетов для своих сотрудников. 5. Выполнение переводов текстов, документов. 6. Совершение нотариальных действий. 7. Передача ПДн конечных пользователей оператору связи при оформлении корпоративных сим-карт. 8. Проведение внешних обучающих мероприятий для сотрудников. 9. Использование справочно-информационных сервисов. |
Мы привели некоторые чаще всего встречающиеся примеры, по которым можно сориентироваться — деятельность ближе к поручению или к передаче. Однако важно учитывать, что даже в рамках одной конкретной цели и ситуации у Вас может быть и поручение, и передача, в зависимости от того, как на практике строится процесс.
Например, одна цель — исполнение требований налогового законодательства. У оператора задача — выполнить требование налогового законодательства, и для этого передать отчёт в налоговую, у налоговой — учесть отчёт и проверить, как исполняется закон. Если отчет формирует и передает в налоговую сам Оператор – это будет передача. Лицо, передающее отчет и Налоговый орган – самостоятельные операторы.
Если отчёт за оператора будет готовить третье лицо на основе полученных от оператора ПДн — будет поручение. Оператор и Налоговый орган – остаются самостоятельными операторами. Контрагент, ведущий по договору налоговый учет и формирующий отчетность за Оператора, выступает как лицо, действующее по его поручению. Но у Контрагента также есть своя цель – исполнить обязательства перед заказчиком/клиентом (Оператором) в рамках предоставления услуг по налоговому учету и отчетности.
Поэтому сначала анализируйте ситуацию по разным критериям, потом принимайте обоснованное решение.
В заключение ответим на вопрос: «Нужно ли отражать поручение обработки ПДн в локальных документах, согласиях на обработку ПДн и в Уведомлении в Роскомнадзор?»
Согласно Рекомендациям РКН по составлению Политики от 27.07.2017 при описании порядка и условий обработки персональных данных в случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных). При этом рекомендуется указать, в частности, конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой передачи, объем передаваемых персональных данных.
Поэтому в Политике рекомендуется указать лиц, которым оператор поручает обработку персональных данных.
Если Вы осуществляете передачу ПДн с Согласия (когда нет иных оснований) и оформляете Согласие на обработку ПДн в письменной форме (например, будете поручать обработку ПДн сотрудников), то Вы обязаны указать третьих лиц, действующих по поручению, в согласии. Это требование ч. 4 ст. 9 152-ФЗ.
Что касается Уведомления: специальных разделов о поручении форма Уведомления не содержит. Но если поручение возникает при хранении ПДн в чужом ЦОДе, то обязательно необходимо указать сведения о данном ЦОДе в Уведмолении и указать третье лицо, чьими техническими средствами обеспечивается хранение ПДн.
Вносите факты поручения в сервис 152DOC на шаге “Поручение”: это позволит вести их учет и отражать в локальных актах.
О том, как заполнять шаг «Поручение» Пользователи сервиса 152DOC могут узнать в разделе сервиса «Академия».