Поручите это немедленно!
Выпускник-эксперт Moscow Digital School Александр Егоров рассказывает, как бизнесу минимизировать риски при работе с персональными данными.
Законодательство, связанное с обработкой персональных данных в нашей стране, становится жестче с каждым годом. Усложняются процедуры сбора согласий, ужесточаются требования к защите данных, увеличиваются штрафы. Да, пока мы ещё не пришли к тому, что требует от бизнеса GDPR (General Data Protection Regulation), однако, законодатель и контролирующие органы движутся именно в этом направлении и думаю, в скором времени, мы тоже придём к чему-то подобному.
Тем не менее, в нашем законодательстве предусмотрен способ немного снизить давление на бизнес в сфере персональных данных. Это, так называемое, поручение на обработку.
Согласно п. 3 ст. 6 ФЗ № 152-ФЗ «О персональных данных»:
«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора)…»
Лицо, которому поручили обработку (далее – Обработчик), обязан также, как и оператор, соблюдать все требования закона, особенно, в части конфиденциальности и обеспечения безопасности данных, а также исполнять все требования к защите персональных данных, которые предусмотрены ст. 19 закона.
И многие компании-операторы пользуются этим правом и поручают обработку данных третьим лицам, которых они, возможно, считают более квалифицированными в части информационной безопасности или лицам, у которых есть необходимое оборудование для обеспечения защиты и конфиденциальности персональных данных.
При такой схеме, большая часть вопросов, связанная с обработкой и защитой данных, ложится непосредственно на плечи обработчика.
И в случае, если произойдёт утечка или будет допущено нарушение в части обработки данных, и в связи с этим у оператора возникнут какие-либо убытки (а по закону они в первую очередь всегда возникают у него), то у него всегда будет возможность взыскать их с обработчика.
Таким образом, у операторов есть законное основание минимизировать риски и часть ответственности переложить на плечи другой компании.
Однако, у этой конструкции, как и у любой медали – две стороны.
И многие компании, которым это выгодно, почему-то не используют вторую сторону.
Сейчас речь пойдёт о компаниях, которые:
- Служат агрегаторами для других компаний, чьи клиенты вносят свои персональные данные через платформу такого агрегатора (например, маркетплейсы).
- Компании, которые заключают договоры на привлечение клиентов для оказания им своих услуг с помощью третьих лиц, но при этом через свою платформу.
Что же даёт нам поручение помимо обязанностей?
Согласно ст. 6 закона у обработчика есть две важные «льготы»:
- Обработчик не обязан получать согласия субъекта на обработку персональных данных.
- Обработчик несёт ответственность за обработку перед Оператором, а не перед субъектом.
Одним из достаточно сложных моментов в отношении обработки персональных данных является сбор надлежащим образом оформленных согласий.
В каких-то случаях они обязательно должны быть на бумажном носителе, что значительно усложняет хранение и документооборот в организации, да и в условиях, когда бизнес постепенно переходит на «удалёнку», брать бумажные согласия становится труднее. В каких-то случаях к согласиям предъявляются специальные требования касательно содержания (например, см. Приказ Роскомнадзора № 18 от 24.02.21), которые не всегда понятно, как выполнять, так как контролирующий орган сам не до конца это понимает.
И в таких случаях очень полезно прописать в договоре формулировку, наподобие следующей: «В случае, когда при выполнении обязательств, предусмотренных Договором, Исполнитель/Заказчик (в зависимости от того, на какой стороне находится наша компания) осуществляет обработку персональных данных клиентов, Стороны признают, что Исполнитель/Заказчик (наш контрагент) поручает Исполнителю/Заказчику (нам) осуществлять такую обработку».
Далее следует прописать, что оператор в соответствии со ст. 431.2 ГК РФ (институт заверений об обязательствах) заверяет, что получил в отношении вашей компании все необходимые и оформленные надлежащим образом согласия от субъекта персональных данных и обязуется предоставить такие согласия по вашему требованию в течение N дней.
И в конце добавляем условие о том, что если ваша компания понесёт убытки, в следствие ненадлежащих заверений (контрагент не взял согласия или взял, но оформил ненадлежащим образом), то контрагент обязуется возместить все убытки, понесённые вами. Рекомендую продлить это условие на определённый период (например, 3 года) после истечения срока действия договора.
Только нужно помнить, что в соответствии со ст. 6 закона о персональных данный к поручению предъявляются определённые требования и оно должно быть оформлено надлежащим образом:
«…В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.»
Такой способ использования поручения хорошо подходит для компаний-сервисов, которые оказывают свои услуги в цифровом пространстве, так как минимизирует риски, возникающие в связи с последствиями исков/жалоб субъектов персональных данных (отсутствие согласий на обработку персональных данных, а также их неверное оформление является одним из самых распространённых нарушений в области персональных данных).
Интересное предложение, думаете его рассмотрят и что-то поменяют?