Поручение оператора на обработку персональных данных это
Обязанности оператора при обработке персональных данных
Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов. Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.
Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (ст. 7 закона о персональных данных). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:
Поручение оператора на осуществление другим лицом обработки персональных данных
Согласно ч. 1 ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» специальные категории персональных данных касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Согласно ч. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Все о политике оператора в отношении обработки персональных данных: образец составления и содержание документа
Перед работой с личной информацией следует получить согласия субъекта на обработку его личных сведений. Необходимо указать, зачем нужна обработка данных. Например, для исполнения договора, в котором субъект может выступать одной стороной или поручителем.
Пример: выполнение норм федерального законодательства, соблюдение законности, конфиденциальности, справедливости, обеспечение безопасности при хранении личной информации.
Меры, принимаемые оператором персональных данных
Исходя из принципов обработки персональных данных субъектов, установленных Законом (ч. 7 ст. 5 Закона), персональные данные субъекта подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Причем в ч. 4 ст. 21 Закона установлен конкретный срок в течение которого оператор обязан обеспечить прекращение обработки персональных данных субоператором и их уничтожение. Он не должен превышать 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено в договоре, ином соглашении между оператором и субъектом персональных данных либо, если оператор не вправе осуществлять такую обработку без согласия субъекта на основаниях, предусмотренных федеральными законами. Чтобы обеспечить выполнение данной нормы Закона можно включить в договор положение об обязанности вторичного оператора прекратить обработку и уничтожить определенным порядком персональные данные субъекта в течение установленного срока, либо совершить иное действие и предоставить доказательства такого уничтожения (иного оговоренного действия), напр. Акт, справку и т.п.
Закон касается данного вопроса в ст. 6 ч. 3, путем установления требований о наличии в поручении оператора в соответствии с которым передаются персональные данные субъектов, условия об обязанности обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке, перечня действий (операций) с передаваемыми персональными данными, которые будут совершаться субоператором, целей обработки, а также требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона.
Меры, принимаемые оператором персональных данных
Следующий вопрос, который вытекает из смысла гражданского законодательства, как возместить ущерб, причиненный субоператором, при нарушении условий договора. Считаем, необходимым прописать в договоре ответственность субоператора за нарушение взятых на себя по договору обязательств, а также обязанность контрагента возмещения убытков, понесенных оператором, вследствие данного нарушения (ст. 15 ГК РФ, ч. 5 ст.6 Закона). Убытки оператору будут возмещаться в регрессном порядке (ст. 1081 ГК РФ). Это означает, что оператор после удовлетворения требований субъекта персональных данных взыщет понесенные убытки с субоператора.
Здесь важно не забыть, что в силу п. 3 ст. 9 Закона бремя доказывания наличия согласия субъекта персональных данных на обработку лежит на операторе.
Вторым шагом при передаче персональных данных по договору необходимо определить содержание и объем передаваемых персональных данных, которые можно зафиксировать в договоре и подтвердить факт их приема- передачи путем составления соответствующего Акта. Содержание и объем сведений определяются исходя из конкретных целей такого поручения. Здесь важно соблюсти ряд принципов, провозглашенных Законом. Речь идет о следующих принципах:
Поручение оператора на осуществление другим лицом обработки персональных данных
Согласно ч. 1 ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» специальные категории персональных данных касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Согласно ч. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Поручение на обработку персональных данных
Уничтожение персональных данных субъектов может производится Исполнителем, только:
- по дополнительному письменному поручению Заказчика;
- по законному требованию субъекта персональных данных, с обязательным письменным уведомлением Заказчика;
- по требованию органов государственного регулирования по защите прав субъектов персональных данных, с обязательным письменным уведомлением Заказчика.
Уничтожение обрабатываемых персональных данных субъектов должно быть гарантированным и обеспечивать невозможность восстановления содержания персональных данных в информационной системе персональных данных или носителей их содержащих.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а также актуальность по отношению целям обработки персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не определено условиями договора. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное определено условиями договора.
Поручение на обработку ПДн и согласие
Еще раз повторю, что согласно ФЗ-152 оператор обязан принять меры по уничтожению/запрету обработки ПДн в тех организациях, которым он (оператор) это поручил. Как? Это уже другой вопрос. Который подводит нас к моим прошлым постам — на основании договорных отношений между, в нашей ситуации, банком и оператором. Если в договоре есть лазейка — банк имеет право хранить/обрабатывать ПДн столько, сколько установил для себя сам (посмотрите положения по ПДн для разных банков — на что только они не ссылаются). А виноватым будет оператор ПДн, потому как он несет полную ответственность в соответствии с ФЗ-152.
Т.е. приедт проверяющий из РКН.
Увидит, что имеет место быть договор-поручение с Банком. Спросит про то, были ли увольнения. Когда узнает. что были, попросит показать документ, подстверждающий, что Оператор надлежащим образом обеспечил прекращение обработки ПДн банком в рамках договора-поручения, т.е. на практике предьявил бумажку: письмо с требованием опрекращении соотвествующей обработки по конкретному лицу (лицам).
Можно ли передать обработку персональных данных на аутсорсинг
Безусловно российское законодательство в сфере обработки и защиты персональных данных несоизмеримо мягче, чем европейское или американское. Однако, во-первых, за последние годы оно существенно ужесточилось и сильно повысило требования к защите персональных данных, а во-вторых — соблюдение европейского регламента требуется и российскими компаниями, которые осуществляются обработку персональных данных граждан стран ЕС.
Возвращаясь к вопросу о возможности передачи обработки персональных данных на аутсорсинг отметим, что отечественное законодательство, как и европейский регламент GDPR, допускает возможность поручения обработки персональных данных другому лицу с согласия субъекта персональных данных. По сути это легализованный аутсорсинг всех процессов, связанных с обработкой персональных данных. В современных реалиях это отличный способ сэкономить и при этом соблюсти все необходимые требования законодательства о защите персональных данных, доверив обработку персональных данных специализированной компании. Что же для этого небходимо?
Как бухгалтеру выполнять требования закона о персональных данных
[I]3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со*статьей 19*настоящего Федерального закона.[/I]
В отношениях, когда вам работодатель поручает обработку персональных данных, вы являетесь обработчиком таких персональных данных. Но вы также являетесь и оператором, если у вас есть собственные сотрудники и кандидаты на вакантную должность, когда вы закрываете вакансию.
А ваша организация – оператор персональных данных
- Иванов Иван Иванович, паспорт гражданина РФ серии 01 00 номер 000001 — это прямо определенное физическое лицо.
- Петров Петр Петрович, отец Вовы Петрова из 5-го «Б» класса — это косвенно определенное физическое лицо.
- Генеральный директор ООО «Ромашка», личный телефон +7(900) 555-00-00 — это определяемое физическое лицо.
- Брюнет Константин — лицо не определено и не может быть определено (не персональные данные или то, что называется обезличенные данные).
Поясню на примерах, что я имею в виду. Вероятность того, что Роскомнадзор заинтересуется форумом муромских садоводов-любителей стремится к нулю. А вот у крупного портала или интернет-магазина шансов попасть под пристальный взгляд регулирующего органа значительно больше. На мой взгляд это даже скорее вопрос времени. Поэтому чем крупнее бизнес, тем вероятнее назначение проверки Роскомнадзора.
Обработка персональных данных
В целях информационного обеспечения в Компании могут создаваться общедоступные источники персональных данных субъектов, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
