{"id":13758,"url":"\/distributions\/13758\/click?bit=1&hash=2e8fbaa3bf90573ffccd5ba50e92f317e1b2150766c409b747f9bc25b4cf1eb8","title":"\u041c\u0430\u0440\u043a\u0435\u0442\u043f\u043b\u0435\u0439\u0441 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0443\u0441\u043b\u0443\u0433 ","buttonText":"\u042d\u0442\u043e \u043a\u0430\u043a?","imageUuid":"06dd1ba1-1f1b-50d7-87e0-bba4328182c5","isPaidAndBannersEnabled":false}

Поручите это немедленно!

Выпускник-эксперт Moscow Digital School Александр Егоров рассказывает, как бизнесу минимизировать риски при работе с персональными данными.

Законодательство, связанное с обработкой персональных данных в нашей стране, становится жестче с каждым годом. Усложняются процедуры сбора согласий, ужесточаются требования к защите данных, увеличиваются штрафы. Да, пока мы ещё не пришли к тому, что требует от бизнеса GDPR (General Data Protection Regulation), однако, законодатель и контролирующие органы движутся именно в этом направлении и думаю, в скором времени, мы тоже придём к чему-то подобному.

Тем не менее, в нашем законодательстве предусмотрен способ немного снизить давление на бизнес в сфере персональных данных. Это, так называемое, поручение на обработку.

Согласно п. 3 ст. 6 ФЗ № 152-ФЗ «О персональных данных»:

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора)…»

Лицо, которому поручили обработку (далее – Обработчик), обязан также, как и оператор, соблюдать все требования закона, особенно, в части конфиденциальности и обеспечения безопасности данных, а также исполнять все требования к защите персональных данных, которые предусмотрены ст. 19 закона.

И многие компании-операторы пользуются этим правом и поручают обработку данных третьим лицам, которых они, возможно, считают более квалифицированными в части информационной безопасности или лицам, у которых есть необходимое оборудование для обеспечения защиты и конфиденциальности персональных данных.

При такой схеме, большая часть вопросов, связанная с обработкой и защитой данных, ложится непосредственно на плечи обработчика.

И в случае, если произойдёт утечка или будет допущено нарушение в части обработки данных, и в связи с этим у оператора возникнут какие-либо убытки (а по закону они в первую очередь всегда возникают у него), то у него всегда будет возможность взыскать их с обработчика.

Таким образом, у операторов есть законное основание минимизировать риски и часть ответственности переложить на плечи другой компании.

Однако, у этой конструкции, как и у любой медали – две стороны.

И многие компании, которым это выгодно, почему-то не используют вторую сторону.

Сейчас речь пойдёт о компаниях, которые:

  • Служат агрегаторами для других компаний, чьи клиенты вносят свои персональные данные через платформу такого агрегатора (например, маркетплейсы).
  • Компании, которые заключают договоры на привлечение клиентов для оказания им своих услуг с помощью третьих лиц, но при этом через свою платформу.

Что же даёт нам поручение помимо обязанностей?

Согласно ст. 6 закона у обработчика есть две важные «льготы»:

  • Обработчик не обязан получать согласия субъекта на обработку персональных данных.
  • Обработчик несёт ответственность за обработку перед Оператором, а не перед субъектом.

Одним из достаточно сложных моментов в отношении обработки персональных данных является сбор надлежащим образом оформленных согласий.

В каких-то случаях они обязательно должны быть на бумажном носителе, что значительно усложняет хранение и документооборот в организации, да и в условиях, когда бизнес постепенно переходит на «удалёнку», брать бумажные согласия становится труднее. В каких-то случаях к согласиям предъявляются специальные требования касательно содержания (например, см. Приказ Роскомнадзора № 18 от 24.02.21), которые не всегда понятно, как выполнять, так как контролирующий орган сам не до конца это понимает.

И в таких случаях очень полезно прописать в договоре формулировку, наподобие следующей: «В случае, когда при выполнении обязательств, предусмотренных Договором, Исполнитель/Заказчик (в зависимости от того, на какой стороне находится наша компания) осуществляет обработку персональных данных клиентов, Стороны признают, что Исполнитель/Заказчик (наш контрагент) поручает Исполнителю/Заказчику (нам) осуществлять такую обработку».

Далее следует прописать, что оператор в соответствии со ст. 431.2 ГК РФ (институт заверений об обязательствах) заверяет, что получил в отношении вашей компании все необходимые и оформленные надлежащим образом согласия от субъекта персональных данных и обязуется предоставить такие согласия по вашему требованию в течение N дней.

Лайфхак: Также, можно прописать, что он заверяет вас в том, что получил в отношении вашей компании все необходимые согласия на рассылку рекламы.

И в конце добавляем условие о том, что если ваша компания понесёт убытки, в следствие ненадлежащих заверений (контрагент не взял согласия или взял, но оформил ненадлежащим образом), то контрагент обязуется возместить все убытки, понесённые вами. Рекомендую продлить это условие на определённый период (например, 3 года) после истечения срока действия договора.

Только нужно помнить, что в соответствии со ст. 6 закона о персональных данный к поручению предъявляются определённые требования и оно должно быть оформлено надлежащим образом:

«…В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.»

Такой способ использования поручения хорошо подходит для компаний-сервисов, которые оказывают свои услуги в цифровом пространстве, так как минимизирует риски, возникающие в связи с последствиями исков/жалоб субъектов персональных данных (отсутствие согласий на обработку персональных данных, а также их неверное оформление является одним из самых распространённых нарушений в области персональных данных).

0
1 комментарий
Светлана Завацкая

Интересное предложение, думаете его рассмотрят и что-то поменяют?

Ответить
Развернуть ветку
Читать все 1 комментарий
null