Как поручить обработку персональных данных третьим лицам
Иногда работодатели привлекают специализированные компании для ведения кадрового и бухгалтерского учета. В такой ситуации нужно правильно оформить документы в сфере персональных данных с аутсорсером и своими сотрудниками, иначе штрафов работодателю не избежать. В статье разбираемся, как это сделать.
Если оператор поручает обработку персональных данных стороннему лицу, которое не связано обязательством о неразглашении персданных (далее — обработчик), ему потребуются такие документы (ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных):
- согласие субъекта, чьи данные он будет передавать, если Закон о персональных данных не предусматривает иное;
- поручение оператора, которое является основанием передачи — например, гражданско-правовой договор либо государственный или муниципальный контракт, который заключен с обработчиком.
Как оформить согласие субъекта на передачу его персданных обработчику
Законодательство о персональных данных направлено на защиту неприкосновенности частной жизни, личной и семейной тайны. Поэтому, по общему правилу, передавать такие данные третьим лицам без согласия субъекта нельзя (ст. 7 Закона о персональных данных).
Согласие на обработку персональных данных третьим лицом по поручению оператора обязан получить сам оператор, а не обработчик (ч. 4 ст. 6 Закона о персональных данных). В этой ситуации закон прямо не предусматривает получать согласие в письменной форме, но разумно будет оформить его документально, чтобы у оператора было доказательство законной обработки персданных. Косвенно о том, что письменная форма необходима, свидетельствует п. 6 ч. 4 ст. 9 Закона о персональных данных — среди требований к согласию на обработку в письменном виде есть указание на обработчика. В тексте согласия необходимо зафиксировать:
- наименование или ФИО обработчика (п. 6 ч. 4 ст. 9 Закона о персональных данных);
- его адрес (постановление Арбитражного суда Северо-Западного округа от 26.10.2020 № Ф07-8987/2020 по делу № А56-87199/2019).
Кроме того, оператор обязан соблюдать общие требования к согласию, которые установлены ст. 9 Закона о персональных данных (п. 5 разъяснений Роскомнадзора от 14.12.2012 ).
Как оформить поручение оператора обработчику
В поручении оператора необходимо зафиксировать (ч. 3 ст. 6 Закона о персональных данных):
- перечень персональных данных, которые он передает обработчику;
- все действия, которые будет совершать обработчик с персданными (п. 3 ст. 3 Закона о персональных данных);
- цели обработки;
- требования к защите персональных данных (ст. 19 Закона о персональных данных).
Отдельное внимание нужно уделить обязанностям, которые обработчик будет выполнять при обработке персональных данных. Стороны сами определяют, какие обязанности устанавливать. При этом необходимо предусмотреть, что обработчик обязан:
- соблюдать принципы и условия обработки персональных данных и другие требования, которые установлены Законом о персональных данных;
- соблюдать конфиденциальность таких данных;
- соблюдать требования из ч. 5 ст. 18 и 18.1 Закона о персональных данных;
- предоставлять оператору документы и информацию о принятии мер и соблюдении требований ст. 6 Закона о персональных данных по его запросу в течение срока действия поручения, в том числе до начала обработки персональных данных;
- обеспечивать безопасность персданных при их обработке;
- уведомлять оператора о случаях утечки таких данных (ч. 3.1 ст. 21 Закона о персональных данных);
- использовать персональные данные только в тех целях, для которых оператор их передал — если оператор передал персданные своих сотрудников (ст. 88 ТК РФ).
Кто несет ответственность перед субъектом персданных
Общее правило — ответственность перед субъектом несет оператор-работодатель, а обработчик отвечает перед оператором (ч. 5 ст. 6 Закона о персональных данных).
Исключение — случаи, когда оператор поручил обработку иностранному физлицу или юрлицу. В такой ситуации ответственность перед субъектом несут и обработчик, и оператор (ч. 6 ст. 6 Закона о персональных данных).
- сохраните, чтобы не забыть