Способы оформления передачи персональных данных третьим лицам. Договор поручения
В настоящее время сложно представить бизнес, который не работает с персональными данными и не передаёт эту информацию партнёрам или другим лицам. Однако законодательство строго ограничивает случаи, когда это можно делать законно, требуя наличия четкой правовой базы, легитимирующего основания для установления отношений. Это может быть выражено, например, в согласии субъекта на обработку его данных или же в необходимости исполнения договора и других обстоятельствах.
Прежде чем приступить к разработке необходимых документов, важно провести анализ текущей ситуации, определить участников, вовлечённых в процесс обработки данных, и установить границы ответственности сторон. Привлечение третьего лица в эти отношения, даже если оно выступает лишь в качестве формального обработчика данных, неизбежно меняет расстановку сил.
В данном материале мы определим ключевые понятия, такие как оператор и обработчик персональных данных. Также рассмотрим, какие правовые основания обычно сопровождают передачу таких данных и какое место среди них занимает договор поручения.
Определяем действующих лиц: оператор, обработчик, контролёр
Все, кто так или иначе сталкивался с обработкой персональных данных, знакомы с понятием оператора. Законодательство, а именно Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (далее – 152-ФЗ), предлагает достаточно четкое определение этого термина. Так, оператором может быть любое лицо, обладающее самостоятельной правосубъектностью, при условии наличия следующих квалифицирующих признаков:
- организация и (или) осуществление обработки персональных данных самостоятельно или совместно с другими лицами (сооператорами);
- наличие фактической возможности определять цели и иные существенные условия обработки персональных данных.
По сути, оператором может быть практически любая организация или физическое лицо, независимо от страны регистрации или гражданской принадлежности, которые на законных основаниях получают от граждан личные данные и используют их для реализации заявленных целей, если только те, не связаны с личными и семейными нуждами.
Более того, наличие союзов «и (или)» в первой части определения подразумевает, что для того, чтобы лицо было признано оператором, ему не обязательно самостоятельно выполнять действия по обработке персональных данных. Осуществляя свою контролирующую функцию, оператор персональных данных имеет право поручать выполнение некоторых своих полномочий другим лицам, в том числе по причине недостатка собственных компетенций или ресурсов. Это может быть ЦОД, который предоставляют оператору вычислительные мощности для обработки персональных данных, или, к примеру, участник рекламной цепочки, осуществляющий передачу статистической информации за рекламодателя в ОРД в целях выполнения им обязанностей в области учета оборота рекламы в информационно-телекоммуникационной сети Интернет.
В зарубежной практике такое лицо принято называть «обработчиком данных» (data processor), и обычно его функции противопоставляются функциям оператора-контролера (data controller). Оба лица приобретают свой статус исходя из фактически сложившихся отношений сторон. Однако в отечественном законодательстве для него не предусмотрено специального термина (в законе используется громоздкое «лицо, обрабатывающее персональные данные по поручению»). Ключевым, статусообразующим понятием для российской правовой системы является договор поручения. Что это означает на практике?
Если определение статуса оператора персональных данных зависит от фактических обстоятельств, то для того чтобы доказать, что хозяйствующий субъект является обработчиком, ему необходимо будет предъявить некий юридический документ, формализующий его отношения с оператором. В данном случае речь идет про поручение обработки персональных данных.
Форма и содержание поручения на обработку персональных данных
Говоря об обработке персональных данных по поручению оператора, стоит отметить, что хотя закон и использует слово «поручение» эта юридическая конструкция не полностью соответствует определению договора поручения, предусмотренному гражданским законодательством. Договор поручения подразумевает совершение некоторых юридических действий и, как правило, сопровождается выдачей доверенности. В это же время обработчик данных совершает в основном фактические действия, связанные с обработкой информации.
Тем не менее, в силу положений ст. 421 ГК РФ граждане и юридические лица свободны в заключении договора. В некоторых ситуациях действия оператора по передаче данных могут быть оправданы, например, агентским соглашением, где одна сторона (агент) выполняет определенные действия за вознаграждение по поручению другой стороны (принципала). В других случаях, например, при использовании облачных сервисов или использовании услуг хостинг провайдеров, такие отношения сторон могут быть квалифицированы как договор возмездного оказания услуг.
Также следует отметить, что закон не уточняет форму документа, который представляет собой поручение на обработку персональных данных. Поручение может быть выделено в отдельный договор или быть частью некого партнерского соглашения. Однако требования к его содержанию сформулированы достаточно четко. В поручении оператору обработчику должны быть указаны:
- список передаваемых персональных данных и разрешенный перечень операций, которые будет выполнять обработчик;
- цели обработки персональных данных;
- обязательства обработчика по сохранению конфиденциальности данных и обеспечению их безопасности, согласно статье 19 152-ФЗ.
Зачастую в соглашениях оператора с контрагентами косвенно упоминаются соответствующие обязательства. Например, цель обработки персональных данных сформулирована в виде цели заключения самого соглашения, а в разделе с конфиденциальностью присутствует оговорка о гарантиях соблюдения обработчиком конфиденциальности информации, которой стороны обмениваются в рамках договора. Мы, со своей стороны, рекомендуем прямо отразить в тексте поручения на обработку персональных данных конкретные требования законодательства во избежание ненужных рисков для обеих сторон, которые может повлечь за собой переквалификация отношений.
Отсутствие любого из указанных условий может быть истолковано как нарушение законодательства о персональных данных как обработчиком, осуществляющим фактическую обработку персональных данных в отсутствие правовых оснований, так и оператором-контролером, допустившим нарушение конфиденциальности предоставленных ему личных сведений.
Важно также отметить, что в некоторых ситуациях, например, когда субъект персональных данных не является стороной или выгодоприобреталем по договору, заключаемому между оператором и лицом, осуществляющем обработку персональных данных по поручению. А также цели обработки персональных данных не вытекают из закона, одного поручения может быть недостаточно. В подобных обстоятельствах единственно верным решением будет получить от субъекта информированное согласие на передачу его данных третьему лицу до начала обработки персональных данных и репортинга информации третьей стороне. Эта проблема особенно актуальна для сферы оказания услуг, где в качестве субопереторов привлекаются различные платежные агенты либо коллекторы.
Передача персональных данных в адрес третьих лиц без поручения. Вопросы разграничения ответственности.
Если персональные данные передаются другому оператору, который сам устанавливает цели, объем и другие условия работы с этой информацией, оформление поручения на обработку данных не требуется. В этом случае контрагенты действуют на основании соответствующих соглашений о сотрудничестве и/или согласий от отдельных субъектов, и каждый оператор несет персональную ответственность за соблюдение требований 152-ФЗ.
Давайте рассмотрим эту ситуацию через призму трудовых отношений. У нас есть работодатель, который управляет персональными данными своих сотрудников. Он намерен передать данные работника двум контрагентам, но не знает, как правильно это оформить.
С одной стороны, оператор сотрудничает с банком и планирует подключить всех своих сотрудников к зарплатному проекту. Для этого он собирает личные данные у работника и с его согласия отправляет их в банк. В данном случае, отношения не подразумевают поручения на обработку данных, так как кредитное учреждение использует эти сведения в целях реализации своей уставной деятельности, руководствуясь при этом законодательными нормами и требованиями, предъявляемыми к оказанию финансовых услуг, и внутренними правилами самого банка. В этой ситуации субъект персональных данных для работодателя имеет статус работника, а для банка — клиента, заказчика банковской услуги, хотя персональные данные и были получены от второй стороны.
Для правильного оформления отношений работодателю, помимо договора с банком, оператору необходимо взять письменное согласие у работника на передачу его персональных данных третьему лицу. В то же время предмет и содержание договора с банком определяются по усмотрению сторон и не ограничиваются императивными нормами.
С другой стороны, у нас есть пример с компанией, предоставляющей услуги аутсорсинга. Предположим, у работодателя нет своего HR-специалиста в штате, но он находит толкового подрядчика в лице кадрового агентства и передает ему информацию о своих работниках также на основании договора оказания услуг. Предмет этого договора предполагает, что кадровое агентство должно обрабатывать персональные данные работников систематически в соответствии с целями, указанными в договоре, для выполнения ряда кадровых операций, которые работодатель предпочел делегировать. Таким образом, работодатель как бы подчиняет кадровое агентство своей воле и определяет, что нужно делать с данными и каким образом. Все эти условия прописываются в договоре. Его содержание должно строго соответствовать требованиям 152-ФЗ.
Согласие с работником в этом случае также нужно подписать или переподписать. Можно воспользоваться типовой формой, принятой в компании. Единственный нюанс: в силу прямого указания закона обработчик персональных данных должен быть обязательно поименован в тексте согласия.
Итого, что же мы имеем. В обоих случаях требуется получение согласия и договор. Однако в случае с поручением необходимо учитывать определённые нюансы, касающиеся соблюдения требований законодательства о персональных данных. Почему бы не перестраховаться и заранее не указать в соглашении цели обработки персональных данных, а также условия и ссылки на ранее упомянутую статью 19 152-ФЗ. Пусть любой контрагент автоматически считается обработчиком. Какие здесь риски? Ответ кроется в особенностях разграничения ответственности между оператором и обработчиком, оператором и третьим лицом.
Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано запрашивать согласие субъекта данных на их обработку. Ответственность за соблюдение 152-ФЗ лежит на передающей стороне, которая, в свою очередь, выставляет требования и может контролировать действия обработчика, например, обязать контрагента прекратить обработку персональных в связи с поступлением претензии от субъекта. Исключение – привлечение к обработке персональных данных иностранного субоператора.
Таким образом, оператор несет основную юридическую ответственность за обработку персональных данных и защиту прав субъектов, а обработчик отвечает за соблюдение условий и инструкций, предоставленных оператором.
В ситуации же, аналогичной примеру с банком, мы имеем двух самостоятельных операторов. Лица, нарушившие требования 152-ФЗ и подзаконных актов, самостоятельно несут установленную законодательством Российской Федерации юридическую ответственность.
Именно поэтому оператору необходимо уделять особое внимание формулировкам, которые он использует в соглашении, а в разделе с конфиденциальностью предусмотреть не только обязательства по обеспечению сохранения персональных данных в тайне, но и ответственность субоператора за нарушение договорных обязательств.
Юридическая компания «Центральный округ» предлагает комплексную правовую поддержку для защиты ваших интересов в области охраны персональных данных, а также помощь в договорном оформлении взаимоотношений с подрядчиками, которым вы предоставляете доступ к конфиденциальной информации.
Подписаться на рассылку по e-mail
Юридическая компания «Центральный округ» поможет решить вашу проблему.