Передача персональных данных и поручение на их обработку
Передаем или доверяем? Разбираемся в тонкостях передачи персональных данных и поручения на их обработку
Представьте себе небольшую компанию, занимающуюся реализацией товаров и услуг как онлайн, так и оффлайн. У нее ограниченный штат сотрудников, среди которых исключительно специалисты по обслуживанию клиентов. Все остальные необходимые функции — юридические консультации, бухгалтерский, кадровый и воинский учеты переданы сторонним организациям по принципу аутсорсинга.
Такая организация вынуждена соблюдать Федеральный Закон № 152-ФЗ «О персональных данных». Рассмотрим ключевые аспекты правового регулирования в рамках такого формата ведения бизнеса.
Что значит быть оператором персональных данных?
Любой коммерческий субъект, использующий личные данные граждан в процессе предпринимательской деятельности, автоматически становится оператором персональных данных. Практически невозможно представить современный бизнес, обходящийся без обработки персональных данных - будь то покупатели, сотрудники или клиенты.
Важно помнить, что согласно закону, любая обработка должна происходить только с согласия субъектов данных.
Более того, начиная с 01 сентября 2025 года порядок предоставления согласия изменится — оно должно стать самостоятельным документом, подписанным отдельно от прочих документов и соглашений.
Однако наиболее остро встают вопросы в ситуациях, когда некоторые вспомогательные функции, подразумевающие работу с персональными данными, доверены другим компаниям. Именно тут начинаются основные трудности.
Согласие на обработку персональных данных при поручении третьим лицам
Законодательство требует наличия специального документа, подтверждающего факт осведомленности гражданина относительно факта передачи его данных третьей стороне. Однако процесс сбора и подписания таких согласий нередко осложняется рядом факторов:
- Недоверие граждан, выражающееся в отказе давать такое согласие («Это мое личное право!»);
- Недостаточная информированность населения о правилах защиты их персональных данных («Вы отдадите их мошенникам!»);
- Юридическая путаница, вызванная расплывчатыми формулировками самого закона.
Что предпринять владельцу малого предприятия, столкнувшемуся с подобной ситуацией?
Согласно закону, при привлечении сторонней организации для исполнения части функций необходимо заключать специальное соглашение между двумя сторонами. Оно позволяет одной компании (оператору) передавать обязанности по обработке персональных данных другой организации (обработчику).
Важно помнить следующее:
- 1. Обработчик данных действует строго по договору/соглашению, заключенному между сторонами;
- 2. Несмотря на привлечение внешних исполнителей, вся ответственность за защиту данных остается на Операторе.
Таким образом, предприниматели обязаны включать специальный пункт в договоры с привлеченными лицами, фиксируя полномочия последних по обработке персональных данных, ограничения и гарантии безопасности.
Согласие на обработку персональных данных при передаче третьим лицам
Рассмотрим на следующем примере:
Организация арендует помещение, доступ в которое возможен лишь после идентификации посетителя. Для осуществления пропускного режима привлекается специализированная охранная организация.
Согласно ФЗ «О персональных данных», такая практика означает передачу персональных данных от одного оператора другому. Поэтому Оператор обязан получить согласие от своих субъектом на предоставление информации в организацию, обеспечивающую безопасность помещения. Отсюда правило: каждое согласие должно быть отдельны м и привязанным к конкретной сформированной цели обработки данных. Нарушение этого принципа грозит серьезными штрафами до 700 тыс. руб.
Поэтому важно, различать понятия "поручение обработки персональных данных" и "передача персональных данных".
Поручение предполагает передачу полномочий по обработке персональных данных третьим лицам во исполнение соглашения/договора между оператором и обработчиком тогда как передача подразумевает передачу персональных данных от одного оператора другому во исполнение сформированной первоначальным оператором цели, но действующим самостоятельно в своем интересе.
Ответственность и риски
Понимание сути нормативных актов позволит минимизировать финансовые потери вследствие нарушений требований закона. За несоблюдение правил предусмотрена административная ответственность по статье 13.11 КоАП РФ. Размер штрафов доходит до нескольких миллионов рублей.
В заключение отмечу, что разработка грамотной политики обработки персональных данных включает следующие шаги:
- Определение конкретных целей обработки данных;
- Четкая фиксация обязанностей операторов и обработчиков;
- Организация контроля над соблюдением установленных норм всеми участниками процесса.
Разграничивая понятия «поручение» и «передача», предприниматель сможет избежать избыточного документооборота и упростит взаимодействие с сотрудниками и клиентами, одновременно обеспечивая надежную защиту персональных данных.
___________________________________________________
Может пригодится:
Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных