{"id":7016,"title":"\u0423\u0433\u0430\u0434\u0430\u0439\u0442\u0435 \u0433\u043e\u0440\u043e\u0434\u0430 \u043f\u043e \u0437\u0432\u0443\u043a\u0443 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0435\u0433\u043e\u0441\u044f \u043f\u0438\u0432\u0430 \u0438 \u043f\u0435\u043d\u0438\u044e \u043a\u0438\u0442\u043e\u0432","url":"\/redirect?component=advertising&id=7016&url=https:\/\/vc.ru\/special\/sound&placeBit=1&hash=6ca24c77fedb0a01bd41595a6fbd498b5375a294c2e3b54a129aa318671b77a3","isPaidAndBannersEnabled":false}
Право
Moscow Digital School

Поручите это немедленно!

Выпускник-эксперт Moscow Digital School Александр Егоров рассказывает, как бизнесу минимизировать риски при работе с персональными данными.

Законодательство, связанное с обработкой персональных данных в нашей стране, становится жестче с каждым годом. Усложняются процедуры сбора согласий, ужесточаются требования к защите данных, увеличиваются штрафы. Да, пока мы ещё не пришли к тому, что требует от бизнеса GDPR (General Data Protection Regulation), однако, законодатель и контролирующие органы движутся именно в этом направлении и думаю, в скором времени, мы тоже придём к чему-то подобному.

Тем не менее, в нашем законодательстве предусмотрен способ немного снизить давление на бизнес в сфере персональных данных. Это, так называемое, поручение на обработку.

Согласно п. 3 ст. 6 ФЗ № 152-ФЗ «О персональных данных»:

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора)…»

Лицо, которому поручили обработку (далее – Обработчик), обязан также, как и оператор, соблюдать все требования закона, особенно, в части конфиденциальности и обеспечения безопасности данных, а также исполнять все требования к защите персональных данных, которые предусмотрены ст. 19 закона.

И многие компании-операторы пользуются этим правом и поручают обработку данных третьим лицам, которых они, возможно, считают более квалифицированными в части информационной безопасности или лицам, у которых есть необходимое оборудование для обеспечения защиты и конфиденциальности персональных данных.

При такой схеме, большая часть вопросов, связанная с обработкой и защитой данных, ложится непосредственно на плечи обработчика.

И в случае, если произойдёт утечка или будет допущено нарушение в части обработки данных, и в связи с этим у оператора возникнут какие-либо убытки (а по закону они в первую очередь всегда возникают у него), то у него всегда будет возможность взыскать их с обработчика.

Таким образом, у операторов есть законное основание минимизировать риски и часть ответственности переложить на плечи другой компании.

Однако, у этой конструкции, как и у любой медали – две стороны.

И многие компании, которым это выгодно, почему-то не используют вторую сторону.

Сейчас речь пойдёт о компаниях, которые:

  • Служат агрегаторами для других компаний, чьи клиенты вносят свои персональные данные через платформу такого агрегатора (например, маркетплейсы).
  • Компании, которые заключают договоры на привлечение клиентов для оказания им своих услуг с помощью третьих лиц, но при этом через свою платформу.

Что же даёт нам поручение помимо обязанностей?

Согласно ст. 6 закона у обработчика есть две важные «льготы»:

  • Обработчик не обязан получать согласия субъекта на обработку персональных данных.
  • Обработчик несёт ответственность за обработку перед Оператором, а не перед субъектом.

Одним из достаточно сложных моментов в отношении обработки персональных данных является сбор надлежащим образом оформленных согласий.

В каких-то случаях они обязательно должны быть на бумажном носителе, что значительно усложняет хранение и документооборот в организации, да и в условиях, когда бизнес постепенно переходит на «удалёнку», брать бумажные согласия становится труднее. В каких-то случаях к согласиям предъявляются специальные требования касательно содержания (например, см. Приказ Роскомнадзора № 18 от 24.02.21), которые не всегда понятно, как выполнять, так как контролирующий орган сам не до конца это понимает.

И в таких случаях очень полезно прописать в договоре формулировку, наподобие следующей: «В случае, когда при выполнении обязательств, предусмотренных Договором, Исполнитель/Заказчик (в зависимости от того, на какой стороне находится наша компания) осуществляет обработку персональных данных клиентов, Стороны признают, что Исполнитель/Заказчик (наш контрагент) поручает Исполнителю/Заказчику (нам) осуществлять такую обработку».

Далее следует прописать, что оператор в соответствии со ст. 431.2 ГК РФ (институт заверений об обязательствах) заверяет, что получил в отношении вашей компании все необходимые и оформленные надлежащим образом согласия от субъекта персональных данных и обязуется предоставить такие согласия по вашему требованию в течение N дней.

Лайфхак: Также, можно прописать, что он заверяет вас в том, что получил в отношении вашей компании все необходимые согласия на рассылку рекламы.

И в конце добавляем условие о том, что если ваша компания понесёт убытки, в следствие ненадлежащих заверений (контрагент не взял согласия или взял, но оформил ненадлежащим образом), то контрагент обязуется возместить все убытки, понесённые вами. Рекомендую продлить это условие на определённый период (например, 3 года) после истечения срока действия договора.

Только нужно помнить, что в соответствии со ст. 6 закона о персональных данный к поручению предъявляются определённые требования и оно должно быть оформлено надлежащим образом:

«…В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.»

Такой способ использования поручения хорошо подходит для компаний-сервисов, которые оказывают свои услуги в цифровом пространстве, так как минимизирует риски, возникающие в связи с последствиями исков/жалоб субъектов персональных данных (отсутствие согласий на обработку персональных данных, а также их неверное оформление является одним из самых распространённых нарушений в области персональных данных).

{ "author_name": "Moscow Digital School", "author_type": "editor", "tags": [], "comments": 1, "likes": 0, "favorites": 6, "is_advertisement": false, "subsite_label": "legal", "id": 270197, "is_wide": true, "is_ugc": false, "date": "Thu, 15 Jul 2021 14:38:53 +0300", "is_special": false }
0
1 комментарий
Популярные
По порядку

Интересное предложение, думаете его рассмотрят и что-то поменяют?

0
Читать все 1 комментарий
Как OTUS стал платформой для самореализации. История преподавателя

Наш преподаватель, специалист по Data Science, решил поделиться своей историей преподавания. Он рассказал, как пришел в эту сферу, с какими трудностями столкнулся на пути к преподаванию и что ему помогает. А еще поделился советами, как поддерживать внимание студентов и сделать занятия полезными и увлекательными.

Потратил 400 тысяч рублей на накрутку поведенческих в Гугле. Подвожу итог

Всем привет. Это уже моя пятая статья про накрутку ПФ в поисковых системах Яндекс и Гугл. Довольно много о проверенных гипотезах было изложено в первой статье про Гугл, в этой же, я подведу небольшой итог по экспериментам за последние 8 месяцев.

Cloud CDN: что это такое, как устроено и кому нужно. Разбираем на примере бургеров

Cloud CDN — это сеть быстрой доставки статического контента в формате услуги облачного провайдера. Объяснить, как работает технология, проще всего на примере — сравнить Cloud CDN с популярным продуктом, который выглядит плюс-минус одинаково вне зависимости от того, заказали вы его в Москве, Питере или Нью-Йорке. Знакомьтесь: классический бургер.…

«Яндекс.Маркет» просто издевается

Заказал на яндекс-маркете яндекс-станцию + яндекс-модуль, списать денюжки у маркета личико не треснуло, а вот с доставкой началось откровенное издевательство.

Как AliExpress забрал у меня $300

24.08 - оплачиваю заказ.

Как не попасть в карьерную ловушку тимлида: личный опыт

Кажется, что тимлиду просто некуда расти: дальше надо либо идти в менеджмент, либо наоборот, становиться узконаправленным разработчиком. По просьбе «Лаборатории Касперского» Евгений Мацюк, который прошел в компании неординарный путь, рассказал о своих карьерных развилках во время и после тимлидства, а также поделился опытом горизонтального роста.

Исследование: сотрудники хотели бы иметь комнату отдыха, бесплатный сок, а работодатели уже готовы покупать ЗОЖ-снеки

Онлайн-сервис доставки продуктов и товаров СберМаркет и исследовательское агентство Research Me спросили сотрудников, как они хотели бы питаться в офисе и что в нем видеть. В опросе приняли участие более 1500 работающих людей по всей России. Сервис также спросил работодателей – В2В-клиентов СберМаркета: что они покупают в офис, что точно никогда…

Илон Маск заявил, что Starship будет готова к орбитальному запуску в ноябре Статьи редакции

Компания должна получить разрешение регулятора.

Обучаюсь контекстной рекламе. Пока что Яндекс.Директ, в дальнейшем и Google.Adwords. Встала такая проблема, как практиковаться, как взять первые проекты для опыта чтобы начать работать на фрилансе?

ПСБ запустил личный кабинет для предпринимателей. Там можно следить онлайн за каждым своим терминалом

Сервис предоставляется бесплатно.

null