{"id":7297,"title":"\u0417\u0430\u043a\u0430\u0442\u0438\u043b\u0438 \u0432\u0435\u0447\u0435\u0440\u0438\u043d\u043a\u0443 vc.ru. \u0420\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u0438 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c, \u043a\u0430\u043a \u044d\u0442\u043e \u0431\u044b\u043b\u043e","url":"\/redirect?component=advertising&id=7297&url=https:\/\/vc.ru\/promo\/300923-proveli-vecherinku-vc-ru-i-sdelali-ofis-uyutney-s-pomoshchyu-novogo-servisa-ot-ozon&placeBit=1&hash=1786c9dcf11a3b054c8e53004e27074664313ed4055e24064ede059ebc186db8","isPaidAndBannersEnabled":false}
Право
Moscow Digital School

Поручите это немедленно!

Выпускник-эксперт Moscow Digital School Александр Егоров рассказывает, как бизнесу минимизировать риски при работе с персональными данными.

Законодательство, связанное с обработкой персональных данных в нашей стране, становится жестче с каждым годом. Усложняются процедуры сбора согласий, ужесточаются требования к защите данных, увеличиваются штрафы. Да, пока мы ещё не пришли к тому, что требует от бизнеса GDPR (General Data Protection Regulation), однако, законодатель и контролирующие органы движутся именно в этом направлении и думаю, в скором времени, мы тоже придём к чему-то подобному.

Тем не менее, в нашем законодательстве предусмотрен способ немного снизить давление на бизнес в сфере персональных данных. Это, так называемое, поручение на обработку.

Согласно п. 3 ст. 6 ФЗ № 152-ФЗ «О персональных данных»:

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора)…»

Лицо, которому поручили обработку (далее – Обработчик), обязан также, как и оператор, соблюдать все требования закона, особенно, в части конфиденциальности и обеспечения безопасности данных, а также исполнять все требования к защите персональных данных, которые предусмотрены ст. 19 закона.

И многие компании-операторы пользуются этим правом и поручают обработку данных третьим лицам, которых они, возможно, считают более квалифицированными в части информационной безопасности или лицам, у которых есть необходимое оборудование для обеспечения защиты и конфиденциальности персональных данных.

При такой схеме, большая часть вопросов, связанная с обработкой и защитой данных, ложится непосредственно на плечи обработчика.

И в случае, если произойдёт утечка или будет допущено нарушение в части обработки данных, и в связи с этим у оператора возникнут какие-либо убытки (а по закону они в первую очередь всегда возникают у него), то у него всегда будет возможность взыскать их с обработчика.

Таким образом, у операторов есть законное основание минимизировать риски и часть ответственности переложить на плечи другой компании.

Однако, у этой конструкции, как и у любой медали – две стороны.

И многие компании, которым это выгодно, почему-то не используют вторую сторону.

Сейчас речь пойдёт о компаниях, которые:

  • Служат агрегаторами для других компаний, чьи клиенты вносят свои персональные данные через платформу такого агрегатора (например, маркетплейсы).
  • Компании, которые заключают договоры на привлечение клиентов для оказания им своих услуг с помощью третьих лиц, но при этом через свою платформу.

Что же даёт нам поручение помимо обязанностей?

Согласно ст. 6 закона у обработчика есть две важные «льготы»:

  • Обработчик не обязан получать согласия субъекта на обработку персональных данных.
  • Обработчик несёт ответственность за обработку перед Оператором, а не перед субъектом.

Одним из достаточно сложных моментов в отношении обработки персональных данных является сбор надлежащим образом оформленных согласий.

В каких-то случаях они обязательно должны быть на бумажном носителе, что значительно усложняет хранение и документооборот в организации, да и в условиях, когда бизнес постепенно переходит на «удалёнку», брать бумажные согласия становится труднее. В каких-то случаях к согласиям предъявляются специальные требования касательно содержания (например, см. Приказ Роскомнадзора № 18 от 24.02.21), которые не всегда понятно, как выполнять, так как контролирующий орган сам не до конца это понимает.

И в таких случаях очень полезно прописать в договоре формулировку, наподобие следующей: «В случае, когда при выполнении обязательств, предусмотренных Договором, Исполнитель/Заказчик (в зависимости от того, на какой стороне находится наша компания) осуществляет обработку персональных данных клиентов, Стороны признают, что Исполнитель/Заказчик (наш контрагент) поручает Исполнителю/Заказчику (нам) осуществлять такую обработку».

Далее следует прописать, что оператор в соответствии со ст. 431.2 ГК РФ (институт заверений об обязательствах) заверяет, что получил в отношении вашей компании все необходимые и оформленные надлежащим образом согласия от субъекта персональных данных и обязуется предоставить такие согласия по вашему требованию в течение N дней.

Лайфхак: Также, можно прописать, что он заверяет вас в том, что получил в отношении вашей компании все необходимые согласия на рассылку рекламы.

И в конце добавляем условие о том, что если ваша компания понесёт убытки, в следствие ненадлежащих заверений (контрагент не взял согласия или взял, но оформил ненадлежащим образом), то контрагент обязуется возместить все убытки, понесённые вами. Рекомендую продлить это условие на определённый период (например, 3 года) после истечения срока действия договора.

Только нужно помнить, что в соответствии со ст. 6 закона о персональных данный к поручению предъявляются определённые требования и оно должно быть оформлено надлежащим образом:

«…В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.»

Такой способ использования поручения хорошо подходит для компаний-сервисов, которые оказывают свои услуги в цифровом пространстве, так как минимизирует риски, возникающие в связи с последствиями исков/жалоб субъектов персональных данных (отсутствие согласий на обработку персональных данных, а также их неверное оформление является одним из самых распространённых нарушений в области персональных данных).

{ "author_name": "Moscow Digital School", "author_type": "editor", "tags": [], "comments": 1, "likes": 0, "favorites": 6, "is_advertisement": false, "subsite_label": "legal", "id": 270197, "is_wide": true, "is_ugc": false, "date": "Thu, 15 Jul 2021 14:38:53 +0300", "is_special": false }
0
1 комментарий
Популярные
По порядку

Интересное предложение, думаете его рассмотрят и что-то поменяют?

0
Читать все 1 комментарий
Как OTUS стал платформой для самореализации. История преподавателя

Наш преподаватель, специалист по Data Science, решил поделиться своей историей преподавания. Он рассказал, как пришел в эту сферу, с какими трудностями столкнулся на пути к преподаванию и что ему помогает. А еще поделился советами, как поддерживать внимание студентов и сделать занятия полезными и увлекательными.

«Яндекс.Маркет» не может доставить товар

Заказал на яндекс-маркете яндекс-станцию + яндекс-модуль, списать денюжки у маркета личико не треснуло, а вот с доставкой началось откровенное издевательство.

Потратил 400 тысяч рублей на накрутку поведенческих в Гугле. Подвожу итог

Всем привет. Это уже моя пятая статья про накрутку ПФ в поисковых системах Яндекс и Гугл. Довольно много о проверенных гипотезах было изложено в первой статье про Гугл, в этой же, я подведу небольшой итог по экспериментам за последние 8 месяцев.

Как AliExpress забрал у меня $300

24.08 - оплачиваю заказ.

Правительство обязало мессенджеры регистрировать пользователей по паспортным данным с марта 2022 года Статьи редакции

Сервисы должны будут запрашивать данные у операторов, а те — предоставлять их в течение 20 минут после регистрации пользователя.

Нейрохакинг #8. Фонтурацетам (фенотропил)

Обзор фенотропила входит в серию дневников нейрохакеров. В этой подборке статей публикуются субъективные отчеты людей, которые принимали ноотропные препараты с целью стать продуктивнее. Не факт, что эти препараты так подействуют и на Вас. Прежде чем принимать любой медицинский препарат – проконсультируйтесь с доктором. Также Вы можете поделиться…

Apple лучшая компания 2021 года
Исследование: сотрудники хотели бы иметь комнату отдыха, бесплатный сок, а работодатели уже готовы покупать ЗОЖ-снеки

Онлайн-сервис доставки продуктов и товаров СберМаркет и исследовательское агентство Research Me спросили сотрудников, как они хотели бы питаться в офисе и что в нем видеть. В опросе приняли участие более 1500 работающих людей по всей России. Сервис также спросил работодателей – В2В-клиентов СберМаркета: что они покупают в офис, что точно никогда…

Как не попасть в карьерную ловушку тимлида: личный опыт

Кажется, что тимлиду просто некуда расти: дальше надо либо идти в менеджмент, либо наоборот, становиться узконаправленным разработчиком. По просьбе «Лаборатории Касперского» Евгений Мацюк, который прошел в компании неординарный путь, рассказал о своих карьерных развилках во время и после тимлидства, а также поделился опытом горизонтального роста.

Cloud CDN: что это такое, как устроено и кому нужно. Разбираем на примере бургеров

Cloud CDN — это сеть быстрой доставки статического контента в формате услуги облачного провайдера. Объяснить, как работает технология, проще всего на примере — сравнить Cloud CDN с популярным продуктом, который выглядит плюс-минус одинаково вне зависимости от того, заказали вы его в Москве, Питере или Нью-Йорке. Знакомьтесь: классический бургер.…

Власти Петербурга планируют ввести локдаун по «московскому сценарию» с 30 октября — «Фонтанка» Статьи редакции

О новых ограничениях могут объявить вечером 23 октября.

null