Как поручить обработку персональных данных третьим лицам
Иногда работодатели привлекают специализированные компании для ведения кадрового и бухгалтерского учета. В такой ситуации нужно правильно оформить документы в сфере персональных данных с аутсорсером и своими сотрудниками, иначе штрафов работодателю не избежать. В статье разбираемся, как это сделать.
Если оператор поручает обработку персональных данных стороннему лицу, которое не связано обязательством о неразглашении персданных (далее — обработчик), ему потребуются такие документы (ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных):
- согласие субъекта, чьи данные он будет передавать, если Закон о персональных данных не предусматривает иное;
- поручение оператора, которое является основанием передачи — например, гражданско-правовой договор либо государственный или муниципальный контракт, который заключен с обработчиком.
Как оформить согласие субъекта на передачу его персданных обработчику
Законодательство о персональных данных направлено на защиту неприкосновенности частной жизни, личной и семейной тайны. Поэтому, по общему правилу, передавать такие данные третьим лицам без согласия субъекта нельзя (ст. 7 Закона о персональных данных).
Согласие на обработку персональных данных третьим лицом по поручению оператора обязан получить сам оператор, а не обработчик (ч. 4 ст. 6 Закона о персональных данных). В этой ситуации закон прямо не предусматривает получать согласие в письменной форме, но разумно будет оформить его документально, чтобы у оператора было доказательство законной обработки персданных. Косвенно о том, что письменная форма необходима, свидетельствует п. 6 ч. 4 ст. 9 Закона о персональных данных — среди требований к согласию на обработку в письменном виде есть указание на обработчика. В тексте согласия необходимо зафиксировать:
- наименование или ФИО обработчика (п. 6 ч. 4 ст. 9 Закона о персональных данных);
- его адрес (постановление Арбитражного суда Северо-Западного округа от 26.10.2020 № Ф07-8987/2020 по делу № А56-87199/2019).
Кроме того, оператор обязан соблюдать общие требования к согласию, которые установлены ст. 9 Закона о персональных данных (п. 5 разъяснений Роскомнадзора от 14.12.2012 ).
Как оформить поручение оператора обработчику
В поручении оператора необходимо зафиксировать (ч. 3 ст. 6 Закона о персональных данных):
- перечень персональных данных, которые он передает обработчику;
- все действия, которые будет совершать обработчик с персданными (п. 3 ст. 3 Закона о персональных данных);
- цели обработки;
- требования к защите персональных данных (ст. 19 Закона о персональных данных).
Отдельное внимание нужно уделить обязанностям, которые обработчик будет выполнять при обработке персональных данных. Стороны сами определяют, какие обязанности устанавливать. При этом необходимо предусмотреть, что обработчик обязан:
- соблюдать принципы и условия обработки персональных данных и другие требования, которые установлены Законом о персональных данных;
- соблюдать конфиденциальность таких данных;
- соблюдать требования из ч. 5 ст. 18 и 18.1 Закона о персональных данных;
- предоставлять оператору документы и информацию о принятии мер и соблюдении требований ст. 6 Закона о персональных данных по его запросу в течение срока действия поручения, в том числе до начала обработки персональных данных;
- обеспечивать безопасность персданных при их обработке;
- уведомлять оператора о случаях утечки таких данных (ч. 3.1 ст. 21 Закона о персональных данных);
- использовать персональные данные только в тех целях, для которых оператор их передал — если оператор передал персданные своих сотрудников (ст. 88 ТК РФ).
Кто несет ответственность перед субъектом персданных
Общее правило — ответственность перед субъектом несет оператор-работодатель, а обработчик отвечает перед оператором (ч. 5 ст. 6 Закона о персональных данных).
Исключение — случаи, когда оператор поручил обработку иностранному физлицу или юрлицу. В такой ситуации ответственность перед субъектом несут и обработчик, и оператор (ч. 6 ст. 6 Закона о персональных данных).
Поручение на обработку персональных данных
Настоящее Поручение на обработку персональных данных (далее — Поручение) является неотъемлемой частью лицензионного соглашения с конечным пользователем (далее — Лицензионное соглашение) и применяется к программе для ЭВМ «1С-Битрикс24» (далее — Программа). Поручение) является неотъемлемой частью лицензионного соглашения с конечным пользователем (далее — Лицензионное соглашение) и применяется к программе для ЭВМ «1С-Битрикс24» (далее — Программа).
Настоящее Поручение применяется в отношении облачной версии Программы, а также при использовании функциональностей Программы в коробочной версии, список которых размещен по адресу https://www.1c-bitrix.ru/legal/limited_license_bitrix24.php (Дополнительные функциональности).
Если Вы не согласны с условиями Поручения, Вы не можете использовать Программу или Дополнительные функциональности.
Под акцептом в целях Поручения признается факт использования Программы/ Дополнительных функциональностей.
Термины и определения
Для целей настоящего Поручения применять термины в значении, указанном ниже:
(1) Оператор — Администратор портала, Пользователь или лицо, уполномоченное Лицензиатом и действующее от его имени, которое организует и осуществляет обработку персональных данных и определяет: цели обработки и состав персональных данных, подлежащих обработке, а также действия (операции), совершаемые с персональными данными;
(2) Обработчик — Общество с ограниченной ответственностью «1С-Битрикс», 109544 Российская Федерация, г. Москва, б-р Энтузиастов, д.2, 13 эт., пом. 8-19;
(3) Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), размещенная Оператором в Портале;
(4) Контент пользователя — информация, в составе которой могут быть Персональные данные, размещенная/загруженная Оператором при использовании функциональностей Программы или Дополнительных функциональностей.
В Поручении могут быть использованы иные термины, выше не определенные, толкование которых будет производиться в соответствии с Лицензионным соглашением с конечным пользователем (Лицензионное соглашение).
1. Предмет поручения
1.1. Оператор поручает, а Обработчик принимает на себя обязательство осуществлять действия по хостингу Контента пользователя, который обрабатываются или будет обрабатываться Оператором с использованием функциональностей Программы или Дополнительных функциональностей в Портале Оператора.
1.2. Основные положения
При использовании облачной версии Программы
При использовании коробочной версии Программы
2. Заверения и гарантии Оператора
2.1. Оператор заверяет и гарантирует, что:
(1) получил Персональные данные законными способами;
(2) обладает законными основаниями обработки Персональных данных (в том числе согласием субъектов Персональных данных на передачу Персональных данных Обработчику с целью хранения);
(3) соблюдает принципы и правила обработки Персональных данных, предусмотренные законодательством Российской Федерации;
2.2. Оператор гарантирует, что любое лицо, осуществляющее обработку Персональных данных с использованием функциональностей Программы или Дополнительных функциональностей, действует от имени Оператора и в соответствии с его инструкциями. При этом Оператор несет ответственность перед Обработчиком, если указанное лицо нарушает условия Поручения.
2.3. Заверения и гарантии Оператора, указанные в п. 2.1. являются достоверными в любой момент времени/периода обработки Персональных данных в рамках Поручения.
2.4. Оператор признает и осознает факт обработки Персональных данных при использовании функциональностей Программы или Дополнительных функциональностей.
3. Права, обязанности и ответственность Обработчика
3.1. Обработчик обязуется соблюдать цель и ограничения обработки Персональных данных, определенных в Поручении.
3.2. Обработчик обязуется исполнять Поручение самостоятельно, также с привлечением третьих лиц, указанных на сайте Обработчика по адресу https://www.1c-bitrix.ru/about/privacy.php , оставаясь ответственным перед Оператором за выполнение своих обязательств по Поручению.
3.3. Обработчик обязан соблюдать конфиденциальность и обеспечить безопасность Персональных данных.
3.4. Обработчик обязуется добросовестно сотрудничать с Оператором и оказывать ему разумное содействие при рассмотрении и урегулировании запросов (жалоб, требований), касающихся Поручения. В частности, Обработчик, получив такой запрос, обязан уведомить об этом Оператора в течение 3 (трех) рабочих дней с момента наступления указанного события путем направления соответствующего уведомления на адрес, указанный регистрации лицензионного ключа (в отношении коробочной версии Программы) или адрес Администратора портала (в отношении облачной версии Программы).
3.5. Обработчик несет ответственность перед Оператором за исполнение Поручения, в том числе за действия (бездействие) своих работников, получивших доступ к обрабатываемым по Поручению Оператора персональным данным, повлекшие разглашение таких Персональных данных, в пределах размера реального ущерба, подтвержденного документально, но в любом случае не более стоимости лицензии на Программу за один месяц, приобретенной Оператором.
4. Права, обязанность и ответственность Оператора
4.1. Оператор несет ответственность перед субъектом Персональных данных за действия, осуществляемые Обработчиком при исполнении Поручения.
4.2. Оператор самостоятельно принимает решение и несет ответственность за определение того, подходит ли Программа для обработки Персональных данных согласно законодательству Российской Федерации, а также за использование Программы в соответствии с юридическими обязательствами Оператора.
4.3. Оператор вправе не чаще одного раза в год запрашивать у Обработчика документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения Поручения Оператора требований, установленных в Поручении.
4.4. Оператор несет ответственность за безопасность выбранных им средств защиты доступа к Программе, а также самостоятельно обеспечивает их конфиденциальность.
4.5. Оператор несет ответственность за все действия, а также их последствия, при использовании Программы, при этом все действия, совершенные под Учетной записью Оператора, считаются произведенными самим Оператором.
4.6. Оператор несет ответственность за реагирование на запросы со стороны субъектов Персональных данных, третьих лиц в отношении использования Оператором Программы в целях обработки Персональных данных.
4.7. Оператор несет ответственность за рассмотрение запросов субъектов Персональных данных, связанных с реализацией их прав, в том числе в случаях, когда использование Оператором функциональностей Программы/Дополнительных функциональностей затрагивает права указанных лиц.
4.8. Оператор обязуется предоставить Обработчику подтверждение наличия правовых оснований для обработки Персональных данных и факта надлежащего уведомления субъекта Персональных данных об их передачи, в течение 5 (пяти) календарных дней с момента получения соответствующего запроса от Обработчика.
4.9. В случае предъявления Обработчику претензий и требований от третьих лиц, в том числе от субъектов Персональных данных и уполномоченных органов, в связи с исполнением Поручения, в том числе в случае предъявления претензии о неправомерности хостинга Обработчиком Персональных данных, размещенных Оператором в Портале/ при использовании Дополнительной функциональности, Оператор обязан самостоятельно, своими силами и за свой счет урегулировать такие претензии, оградить Обработчика от возможных убытков и участия в рассмотрении претензий, требований и возможном судебном разбирательстве. В случае возникновения необходимости участия Обработчика в урегулировании указанных выше претензий и/или требований, Обработчик имеет право требовать от Оператора возмещения возникших у него убытков и расходов, связанных с таким участием, включая, но не ограничиваясь расходами на представителя, ведение переговоров и иными расходами.
4.10. В случае предъявления Обработчику исковых требований от третьих лиц, в том числе от субъектов Персональных данных и уполномоченных органов, в связи с исполнением Поручения, в том числе в случае предъявления претензии о неправомерности хостинга Обработчиком Персональных данных, размещенных Оператором в Портале/ при использовании Дополнительной функциональности, результатом которых станет судебный акт о взыскании средств с Обработчика, вступивший в законную силу, последний имеет право требовать от Оператора возмещения Обработчику понесенных им расходов в процессе урегулирования судебного спора и во исполнение судебного решения, а также все понесенные Обработчиком судебные расходы, убытки в полном объеме.
4.11. Оператор несет риск невозможности использования Программы/Дополнительных функциональностей, возникший вследствие исполнения Обработчиком обязанности по прекращению хостинга Персональных данных на основании Поручения Оператора.
5. Конфиденциальность и безопасность
5.1. Оператор обязуется установить требования к защите обрабатываемых персональных данных в соответствии со ст. ст. 18.1, 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», при этом данное обязательство распространяется исключительно на Оператора и не должно трактоваться, как установление определенных Оператором Обработчику требований к защите обрабатываемых персональных данных.
5.2. Обработчик принимает необходимые меры конфиденциальности и безопасности при исполнении Поручения с использованием средств автоматизации в соответствии с требованиями, указанными в ч.5 ст.18, ст. 18.1, ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Более подробная информация представлена в Политике обработки и конфиденциальности персональной информации.
6. Нарушение информационной безопасности
6.1. Если Обработчику станет известно о каком-либо нарушении безопасности, которое ведет к случайной или незаконной передачи (предоставления, распространения, доступа) Персональных данных («Нарушение информационной безопасности»), Обработчик в течение 24 (двадцати четырех) часов (1) уведомит Оператора об Нарушении информационной безопасности и (2) примет обоснованные меры для смягчения последствий и минимизации какого-либо ущерба, возникшего в результате Нарушения информационной безопасности.
6.2. Обработчик предоставляет Оператору необходимую и достаточную информацию и поддержку, связанную с таким событием, которые могут понадобиться Оператору для выполнения его обязанностей в силу закона, а также для снижения негативных последствий, которые могут наступить в результате такого события.
6.3. Обязательство Обработчика сообщать о таких Нарушениях информационной безопасности или реагировать на них в соответствии с данным разделом не является признанием со стороны Обработчика какой-либо вины или ответственности в связи с Нарушением информационной безопасности.
6.4. Оператор принимает необходимые и достаточные меры, в том числе осуществляет контроль и управление доступом к Программе, в целях недопущения Нарушения информационной безопасности при обработке Персональных данных с использованием Программы. Ответственность за выбор необходимых мер защиты и безопасности, достаточность и надежность указанных мер лежит на Операторе. В случае Нарушения информационной безопасности в связи с действиями или бездействием Оператора, последний обязуется незамедлительно, но не позднее 48 (сорока восьми) часов с даты события, уведомить Обработчика, при этом с Обработчика снимается ответственность за безопасность и конфиденциальность данных, обрабатываемых в рамках Поручения.
7. Применимое право и разрешение споров
7.1. Настоящее Поручение регулируется и подлежит толкованию в соответствии с правом Российской Федерации.
7.2. Все споры, которые могут возникнуть между Сторонами в ходе исполнения Поручения, подлежат решению путем переговоров.
Сравнение соглашений о поручении на обработку персональных данных и о передаче персональных данных
Понятие «передача» не раскрыто законодателем. Вместе с тем под передачей понимается процесс по направлению информации или документов какому-либо лицу каким-либо способом. При этом согласно ГОСТ Р ИСО 15489-1-2007 «Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования», утвержденному приказом Ростехрегулирования от 12.03.2007 № 28-ст, передача (transfer) (в отношении способа хранения) — это изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть, если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации. Однако применительно к персональным данным передача является самостоятельным процессом обработки данных, который должен осуществляться в заранее определенных и законных целях (Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией зам. рук. Роскомнадзора А.А. Приезжевой).
Отличие соглашения о поручении на обработку персональных данных от передачи ПДн
152-ФЗ “О персональных данных” обязывает операторов персональных данных юридически подкреплять взаимодействие с иными лицами по поводу обработки ПДн, а именно – заключать соглашение о поручении на обработку ПДн.
Однако, при анализе требований 152-ФЗ, можно сделать вывод, что в ряде случаев передача и обмен ПДн между оператором и третьими лицами не требует данного соглашения.
В то же время, и поручение обработки ПДн, и передача ПДн без поручения требуют юридической формализации.
Разберем на конкретных примерах, что это за случаи, и в чём отличия соглашения о поручении на обработку персональных данных от передачи ПДн.
Соглашение о поручении обработки ПДн
Закрепляются условия и ответственность между оператором и лицом, осуществляющим обработку ПДн по его поручению. Соглашение одностороннее и безвозмездное. Однако, в случаях заключения между коммерческими организациями, должно сопровождаться возмездным договором о взаимозачете или вознаграждении, согласно статье 575 ГК РФ. Другое лицо имеет право не соблюдать обязанности оператора, например, брать согласие субъекта на обработку ПДн.
Ответственность за соблюдение ФЗ-152 лежит на “передающей стороне”, которая, в свою очередь, выставляет требования и может контролировать действия “обработчика”, например, обязать обеспечить уничтожение ПДн. Исключение – обработка иным лицом ПДн вне целей, предусмотренных в договоре.
Соглашение о передаче ПДн
Двустороннее и безвозмездное, заключается между передающей и получающей сторонами. Предмет соглашения — обеспечение правомерности передачи, а также конфиденциальности и безопасности при обработке ПДн. Вступает в силу с момента подписания и действует бессрочно.
В отличие от поручения, соглашение применяется, когда обработка ПДн осуществляется на основании договоров оказания услуг, выполнения работ или поставки товаров. Действия с ПДн определяет не оператор, а существо договора, требования закона и особенности бизнес-процессов сторон. Каждая сторона должна соблюдать требования ФЗ-152 в отношении ПДн, включая получение согласия субъекта на обработку данных. Ответственность за соблюдение закона несут обе стороны, и они могут привлекать третьих лиц без согласования с другой стороной, при условии обеспечения конфиденциальности и безопасности ПДн.
Разберем на примере кадрового делопроизводства
Ситуация 1
Работодатель выступает оператором персональных данных в отношении сотрудников и желает передавать их ПДн в страховую компанию для подключения к программе добровольного медицинского страхования.
Для этого он берёт согласие и собирает у сотрудников персональные данные – Ф.И.О., контактные данные, сведения о состоянии здоровья и т.д. Далее данные передаются в страховую компанию.
Это не является поручением на обработку, так как страховая компания, получив ПДн, будет обрабатывать их с целями, которые определяются страховым законодательством.
Страховая компания самостоятельно определяет, какими способами будет обрабатывать, какие действия совершать, сколько времени хранить ПДн.
Ситуация 2
В штате компании нет бухгалтера, его задачи выполняет сотрудник на аутсорсе. Работодатель передает данные работника аутсорсинговой компании на основании договора оказания услуг. Предмет договора предполагает, что она должна в ежедневном режиме обрабатывать персональные данные работника для тех целей, которые определены в договоре для совершения ряда бухгалтерских операций.
Таким образом получается, что работодатель “инструктирует” аутсорсинговую компанию, говорит, что, какими способами, в какие сроки и для каких целей нужно делать с данными, например, в системе «1С».
Такие отношения называются «отношениями по поручению обработки персональных данных» в соответствии с ч.3 ст.6 ФЗ «О персональных данных» и должны регламентироваться договором на поручение обработки персональных данных.
Таким образом…
Ключевое отличие соглашения о поручении от передачи ПДн – зоны ответственности и случаи применения.
В соглашении о поручении на обработку:
– ответственность несёт оператор ПДн;
– оператор ПДн выставляет требования, может контролировать “обработчика”;
– формализация аутсорсинга бизнес-процессов.
– ответственность несут обе стороны;
– требования к обработке определяются законодательством и особенностями сферы деятельности (как с примером страховой компании);
– передающая сторона не контролирует и не диктует “правила” обработки ПДн;
– формализация отдельных задач или элементов бизнес-процессов.
Подробнее об актуальных требованиях регуляторов рассказывали здесь.
Пошаговая инструкция по выполнению ФЗ-152 – тут.
Все штрафы и ответственность за несоблюдение – тут.
О том, как закрыть все требования регулятора в отношении персданных одним решением – тут.