Что такое поручение на обработку персональных данных

При передаче персональных данных третьим лицам для их обработки оператор обязан оформить поручение, соответствующее требованиям статьи 6 и 9 Федерального закона № 152-ФЗ «О персональных данных». Документ необходим, когда данные обрабатываются не самим оператором, а по его указанию – например, облачным сервисом, бухгалтерской компанией или подрядчиком по IT-услугам.

Поручение должно включать перечень обрабатываемых данных, цели обработки, перечень действий с данными, а также условия прекращения обработки. Обязательно указываются меры, которые уполномоченное лицо обязано принимать для защиты персональных данных, в том числе требования к обеспечению конфиденциальности и предотвращению несанкционированного доступа.

Законом установлен принцип: обработка персональных данных по поручению допустима только в письменной форме. Форма поручения не установлена законодательно, но она должна содержать ключевые элементы, без которых документ будет признан недействительным. Рекомендуется включать сведения о сторонах, реквизиты, сроки и механизмы контроля исполнения поручения.

Несоблюдение требований к оформлению поручения может повлечь административную ответственность по статье 13.11 КоАП РФ, включая штрафы до 100 000 рублей за утечку или неправомерную передачу данных. Компании обязаны не только заключать корректные поручения, но и документально подтверждать факт исполнения условий, включая журналы учета доступа и акты уничтожения данных.

Когда необходимо оформлять поручение на обработку персональных данных

Поручение оформляется в случае, если оператор персональных данных привлекает третье лицо (обработчика) для выполнения действий с персональными данными, включая сбор, систематизацию, хранение, передачу и уничтожение. Это требование прямо установлено пунктом 3 части 1 статьи 6 и статьёй 6.1 Федерального закона № 152-ФЗ «О персональных данных».

Поручение обязательно при передаче данных: аутсорсинговым бухгалтериям, IT-подрядчикам, колл-центрам, облачным сервисам хранения, маркетинговым агентствам, кадровым провайдерам и другим лицам, которые обрабатывают данные не от своего имени, а по заданию оператора.

Отсутствие поручения при наличии фактической передачи персональных данных третьим лицам признаётся нарушением законодательства о защите персональных данных и может повлечь административную ответственность по статье 13.11 КоАП РФ.

Документ оформляется в письменной форме или в форме электронного документа с электронной подписью. Он должен содержать перечень действий с данными, цель обработки, меры защиты и обязательства обработчика по соблюдению конфиденциальности.

Если обработка осуществляется внутри организации, например, между структурными подразделениями, оформление поручения не требуется, поскольку такая передача не считается передачей третьим лицам в контексте закона.

Какие сведения должны быть включены в поручение

Поручение на обработку персональных данных должно содержать конкретные и однозначно сформулированные условия, обеспечивающие законность обработки и защиту прав субъектов персональных данных. Отсутствие одного из обязательных элементов может быть расценено как нарушение требований законодательства РФ, в частности статьи 6 и 18.1 Федерального закона № 152-ФЗ.

В первую очередь, указывается наименование и реквизиты оператора, передающего обработку, а также лица, которому она поручается (обработчика). Необходимо идентифицировать стороны: ИНН, ОГРН, адрес, ФИО руководителя.

Фиксируется перечень конкретных действий, которые допускается выполнять с персональными данными: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, блокирование, удаление, уничтожение. Нельзя использовать обобщённые формулировки без указания пределов обработки.

Определяется категория персональных данных, на которую распространяется поручение – например, данные сотрудников, клиентов, участников мероприятий. Уточняется, обрабатываются ли специальные или биометрические данные.

Указывается цель обработки: без её чёткого определения обработка будет считаться незаконной. Цель должна быть конкретной, соответствовать правовым основаниям и не противоречить условиям получения данных.

Устанавливается обязанность обработчика соблюдать конфиденциальность, а также меры по обеспечению безопасности персональных данных – с отсылкой к постановлению Правительства РФ № 1119 и приказу Роскомнадзора № 21.

Прописывается срок действия поручения и порядок возврата или уничтожения персональных данных после его прекращения. Важно также предусмотреть ответственность обработчика за нарушение условий поручения и требований законодательства.

Кто может выступать в роли оператора и исполнителя

Оператором персональных данных признаётся субъект, который определяет цели и содержание обработки, а также организует сам процесс. Это может быть государственный орган (например, ФНС, МВД), коммерческая организация (банки, страховые компании, онлайн-магазины), индивидуальный предприниматель или некоммерческая структура, если она самостоятельно принимает решения о работе с персональными данными.

Исполнителем может быть только лицо, действующее на основании заключенного с оператором договора. Он не определяет цели и не вправе использовать данные в собственных интересах. Типичные исполнители – аутсорсинговые IT-компании, провайдеры облачных сервисов, кадровые агентства, службы доставки, колл-центры и другие подрядчики, обеспечивающие техническую или организационную поддержку.

Чтобы разграничить роли, важно опираться на следующие критерии:

Форма и способы заключения поручения

Поручение на обработку персональных данных должно оформляться исключительно в письменной форме, как того требует часть 3 статьи 6 и статья 9 Федерального закона № 152-ФЗ «О персональных данных». Устные договорённости или обмен сообщениями без создания отдельного документа не считаются правомерным основанием для передачи данных исполнителю.

Чаще всего поручение оформляется как отдельный документ, сопровождающий договор гражданско-правового характера (например, договор оказания услуг или аутсорсинга). Также допустимо включать положения о поручении в основной текст договора, если они соответствуют требованиям закона и содержат весь необходимый перечень сведений.

Для юридической силы поручения требуется подпись обеих сторон. При заключении договора в электронной форме возможно использование усиленной квалифицированной электронной подписи, при этом соблюдение формальных требований должно быть подтверждено правомерностью использования таких подписей в соответствии с Федеральным законом № 63-ФЗ «Об электронной подписи».

Поручение может быть заключено как между двумя юридическими лицами, так и между юридическим и физическим лицом, в том числе индивидуальным предпринимателем. В случае с физическими лицами важно удостовериться в наличии у исполнителя достаточных организационных и технических мер по защите персональных данных.

Не допускается оформление поручения в произвольной форме. В тексте должны быть конкретизированы цели обработки, виды обрабатываемых данных, действия с ними, категории субъектов, обязанности исполнителя и условия прекращения обработки. Недостаточная детализация может привести к признанию обработки неправомерной при проверке Роскомнадзора.

Ответственность сторон при нарушении условий поручения

Оператор несет ответственность за выбор исполнителя, обеспечение законности передачи персональных данных и контроль за соблюдением условий поручения. При нарушении требований закона оператор может быть привлечен к административной ответственности по статье 13.11 КоАП РФ с возможным штрафом до 75 000 рублей для должностных лиц и до 300 000 рублей для организаций.

Исполнитель обязан обрабатывать персональные данные строго в рамках поручения и обеспечивать их защиту. Нарушение условий обработки, в том числе передача данных третьим лицам или использование не по назначению, влечет как административную ответственность (статья 13.12 КоАП РФ), так и гражданско-правовую ответственность перед оператором за ущерб.

Договор поручения должен предусматривать четкие меры ответственности: штрафы, возмещение убытков, а также порядок устранения последствий нарушений. Для минимизации рисков оператору рекомендуется регулярно проводить аудит исполнения поручения и требовать от исполнителя подтверждающие документы по безопасности данных.

При существенных нарушениях возможно приостановление или расторжение договора, а также информирование уполномоченных органов – Роскомнадзора и прокуратуры. Практика показывает, что своевременное документирование и уведомление сторон существенно снижает возможные финансовые и репутационные потери.

Важно: ответственность наступает вне зависимости от наличия умысла, достаточно факта нарушения требований закона и условий поручения.

Срок действия и порядок прекращения поручения

Срок действия поручения на обработку персональных данных устанавливается договором и должен быть конкретным. В отсутствии иного указания, поручение действует до полного выполнения обязательств по обработке данных.

Рекомендуется указывать:

дату начала и окончания обработки;
условия продления срока;
сроки хранения персональных данных после окончания обработки.

Прекращение поручения возможно по следующим основаниям:

исполнение условий договора;
расторжение по соглашению сторон;
одностороннее прекращение с уведомлением за установленный срок;
нарушение условий поручения одной из сторон.

При прекращении поручения исполнитель обязан:

прекратить обработку персональных данных;
вернуть или уничтожить все полученные данные в сроки, прописанные в договоре;
предоставить отчет об уничтожении или возврате данных по требованию оператора.

Если поручение прекращается досрочно, стороны должны зафиксировать факт и дату расторжения письменно, что позволит избежать спорных ситуаций с обработкой персональных данных после окончания действия поручения.

При разработке условий прекращения поручения следует четко определить механизмы контроля, ответственность за нарушение и последствия несвоевременного возврата или уничтожения данных.

Отличие поручения от согласия субъекта персональных данных

Стороны и роль:
- Поручение – договор между оператором и исполнителем, где исполнитель получает полномочия обрабатывать данные от имени оператора.
- Согласие – волеизъявление субъекта данных, разрешающее оператору обрабатывать его персональные данные.
Цель и содержание:
- Поручение регулирует права и обязанности сторон, условия, сроки и цели обработки персональных данных.
- Согласие подтверждает легитимность обработки конкретных данных субъекта и указывает на объем и цели обработки.
Юридическая база:
- Поручение – основано на договорных отношениях, обязательство оператора перед исполнителем соблюдать требования законодательства при обработке ПД.
- Согласие – основано на добровольном волеизъявлении субъекта, являющемся одним из правовых оснований для обработки данных согласно закону.
Область применения:
- Поручение применяется при передаче персональных данных третьим лицам для обработки от имени оператора.
- Согласие требуется для обработки персональных данных непосредственно субъектом или оператором, если иное не предусмотрено законом.
Ответственность и контроль:
- Исполнитель обязан выполнять условия поручения и отвечает за безопасность и конфиденциальность данных в рамках договора.
- Оператор обязан получить и сохранить доказательства согласия субъекта, обеспечивая правомерность обработки.

Рекомендации:

Перед передачей персональных данных третьим лицам оформляйте письменное поручение с четкими требованиями.
Получайте согласие субъектов данных на конкретные цели обработки, фиксируя его в доступной форме.
Разграничивайте процедуры получения согласия и заключения поручения для соблюдения требований законодательства.

Вопрос-ответ:

Что такое поручение на обработку персональных данных и зачем оно нужно?

Поручение на обработку персональных данных — это официальный документ, который оформляется между оператором персональных данных и исполнителем, наделяющим последнего полномочиями выполнять конкретные действия с персональными данными от имени оператора. Оно необходимо для законного регулирования взаимодействия сторон, установления обязанностей, границ обработки и ответственности. Без такого документа исполнитель не вправе обрабатывать данные, что может привести к нарушению законодательства и штрафам.

Какие сведения обязательно должны содержаться в поручении на обработку персональных данных?

В поручении должны быть четко прописаны следующие данные: перечень персональных данных, которые подлежат обработке; цели и условия обработки; права и обязанности сторон; сроки действия поручения; меры безопасности, которые исполнитель обязан соблюдать; порядок контроля и отчетности по выполнению поручения. Наличие этих сведений позволяет исключить недоразумения и обеспечивает прозрачность обработки данных.

Можно ли передавать обработку персональных данных третьим лицам без согласия оператора?

Передача персональных данных третьим лицам без согласия оператора запрещена, если иное не предусмотрено законом или договором. Поручение должно содержать положения, разрешающие или запрещающие субподряд и передачу данных. Исполнитель обязан строго соблюдать условия, чтобы не допустить передачу данных без разрешения, иначе это приведет к нарушению и ответственности.

Какой срок действия имеет поручение на обработку персональных данных и как происходит его прекращение?

Срок действия поручения обычно определяется договором между сторонами и может быть ограничен конкретным периодом или длиться до выполнения всех обязательств. Прекращение поручения происходит по соглашению сторон, по инициативе оператора при нарушениях или по окончании срока. Важно своевременно оформить прекращение в письменной форме, чтобы избежать неопределенности в ответственности за дальнейшую обработку данных.

Оценка статьи:

(пока оценок нет)

Загрузка...