В нашем обзоре рассмотрим основные составляющие Договора Поручения и Договора передачи данных, проанализируем их ключевые особенности.
Два понятия – “Договор Поручения” и “Договор передачи третьим лицам” – часто вызывают вопросы и затруднения в своем практическом применении. Расскажем, как эти два типа соглашений влияют на правовые обязательства сторон и как правильно выбрать между ними, учитывая конкретные потребности и цели.
Давайте более детально разберем определения двух терминов: “Поручение обработки” и “Передача данных третьему лицу”.
На основании 152-ФЗ “О персональных данных”, поручение обработки данных означает передачу этой функции внешней организации или лицу (поручителю) на основе принятого соглашения о поручении. Цель этого договора состоит в осуществлении различных процедур с этими данными. Реализация таких операций может включать в себя процессы: сбор, регистрация, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение персональных данных. Эти действия могут быть проведены как с применением автоматизированных средств, так и без них.
Участниками договора о поручении обработки персональных данных выступают оператор и лицо, выполняющее обработку по поручению оператора.
Поручение обработки персональных данных третьему лицу (ч. 3-6 ст. 6 152-ФЗ)
Является договором-поручением |
Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу |
|
В рамках ч. 3, 4 и 5 ст. 6 152-ФЗ, оператор вправе передать процесс обработки данных стороннему участнику, перед этим получив согласие субъекта персональных данных. Заметим, что обработчик не обязан запрашивать отдельное разрешение субъекта на обработку его данных, но полная ответственность за деятельность обработчика лежит на операторе. Обработчик, со своей стороны, несет ответственность перед оператором за свою деятельность.
Однако, если обработка персональных данных поручена иностранному физическому или юридическому лицу, ответственность за деятельность указанных лиц перед субъектом персональных данных возлагается как на самого оператора, так и на лицо, выполняющее обработку по его поручению.
Обязательные условия при поручении обработки персональных данных третьему лицу
Условие | Кто оформляет | Ответственность за нарушение прав субъектов ПДн |
Согласие субъекта ПДн, если иное не предусмотрено законом; | Оператор |
|
Договор-поручение, соответствующий требованиям ч. 3 ст. 6 152-ФЗ |
Заключается между оператором и лицом по поручению.
|
По сути, оператор получает право производить контроль за действиями лица, которому поручает обработку. Например, он может обязать обработчика выполнять следующие действия: блокирование, удаление, уничтожение, уточнение, обезличивание или предоставление персональных данных в соответствии с требованиями оператора. Соответственно, оператор способен воздействовать на содержание рабочих процессов этого лица.
В соответствии с ч. 3 ст. 6 152-ФЗ в договоре о поручении обработки персональных данных нужно обязательно определить следующие моменты:
- Какие конкретно персональные передаются лицу, которое будет их обрабатывать
- Какие действия с этой информацией будет осуществлять это лицо
- Какова цель обработки данных
- Обязанность лица, которое будет обрабатывать данные, соблюдать конфиденциальность информации и требования, предусмотренные частью 5 ст. 18 и ст. 18.1 152-ФЗ
- В рамках срока действия поручения оператора и до начала обработки персональных данных, по требованию оператора, нужно предоставить документы и другую информацию, подтверждающую принятие мер и соблюдение норм, утвержденных в соответствии с настоящей статьей, с целью корректного выполнения поручения оператора.
- Обязанность обеспечить безопасные условия обработки персональных данных
- Стандарты защиты персональных данных подлежащих обработке, в соответствии со ст. 19 152-ФЗ, включая требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 152-ФЗ.
Напоминаем, что для разработки документации компании могут использовать сервис 152DOC. Он поможет правильно сформировать необходимый перечень документов и полностью соответствовать требованиям в области защиты персональных данных.
Теперь разберемся с Договорами передачи данных третьим лицам
Договор Передачи данных третьим лицам: |
В силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима |
|
Обязательные условия при передаче (предоставление, распространение, доступ) персональных данных третьему лицу
Условие | Кто оформляет | Ответственность |
Согласие субъекта ПДн | Оператор |
|
Иные правовые основания:
| Согласие не требуется |
Подводя итог, выделим основные моменты:
Предоставление персональных данных – это процесс, направленный на раскрытие личной информации конкретному лицу или ограниченному кругу лиц.
При поручении обработки персональных данных третьему лицу оператор сохраняет ответственность перед субъектом за обработку предоставленных данных. Оператор несет ответственность перед субъектом в случае нарушения его прав как субъекта (таких как утечка, нарушение конфиденциальности, нарушение права на доступ к данным, неисполнение требования об удалении и т. д.), которые были допущены лицом по поручению. Однако за принятие организационных и технических мер для обеспечения безопасности обрабатываемых данных, а также за разработку локальных нормативных актов, каждый несет ответственность самостоятельно.
При передаче без поручения-ответственность за обработку персональных данных распределяется между оператором и получателем в соответствии с конкретными действиями, произведенными каждой стороной. Это означает, что оператор несет ответственность за незаконную передачу данных, а получатель – за нарушения после их передачи. Таким образом, ответственность возлагается на ту сторону, чьи действия привели к нарушению.
В заключение рассмотрим вопрос ответственности за нарушения, возникающие в ходе обработки данных в рамках обсуждаемой темы.
Административная ответственность в соответствии с частями 1,2 статьи 13.11 КоАП РФ является наиболее распространенной, однако в зависимости от обстоятельств также возможно привлечение к ответственности по другим ее частям.
На данный момент суммы штрафов по распространенным нарушениям составляют:
- Часть 1 ст. 13.11 КоАП РФ (Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями их сбора);
- Для должностных лиц – от 10 тыс. до 20 тыс. рублей (при повторном нарушении от 20 тыс. до 50 тыс. рублей);
- Для индивидуальных предпринимателей – при повторном нарушении от 50 тыс. до 100 тыс. рублей;
- Для юридических лиц – от 60 тыс. до 100 тыс. рублей (при повторном нарушении от 100 тыс. до 300 тыс. рублей);
Штрафы за обработку персональных данных без Согласия в письменной форме, предусмотренного законом (ч. ч. 2, 2.1 ст. 13.11 КоАП РФ), значительно увеличатся после вступления в силу ФЗ от 12.12.2023 № 589-ФЗ и будут составлять:
- Для должностных лиц – от 100 тыс. до 300 тыс. рублей (при повторном нарушении от 300 тыс. до 500 тыс. рублей);
- Для индивидуальных предпринимателей – при повторном нарушении от 500 тыс. до 1 млн. рублей;
- Для юридических лиц — от 300 тыс. до 700 тыс. рублей (при повторном нарушении от 1 млн до 1,5 млн. рублей);
Таким образом, приходим к выводу, что понимание ключевых особенностей этих соглашений не только обеспечивает соблюдение законодательства, но и способствует построению доверительных отношений между участниками.
Кочергина Дарья