На сегодняшний день один из самых проблематичных и актуальных вопросов в работе многих учреждений и организаций – обеспечение надлежащей защиты персональных данных субъектов во исполнение требований Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года. Защите персональных данных субъектов, обрабатываемых операторами, посвящено множество статей.

Закон достаточно подробно касается вопросов обработки самим оператором полученных персональных данных субъектов в силу различных оснований. Однако, все чаще операторы поручают обработку персональных данных субъектов другим лицам, что составляет так называемое «поручение оператора», описанное в части 3 статьи 6. Назовем такое лицо «субоператор». Это может быть, например, поручение туроператора турагентству привлекать и заключать от его имени договоры на продажу туристского продукта.

В настоящей статье мы решили затронуть наиболее важные вопросы, возникающие при поручении обработки персональных данных субоператору при заключении договора.

Как обеспечить надлежащую защиту персональных данных субъектов в данном случае? Как реально оператору обезопасить себя, предотвратить риск наступления неблагоприятных последствий при перепоручении определенных действий с персональными данными, ведь передавая сведения по договору субоператору, оператор не может фактически контролировать их соблюдение?

Согласно части 5 статьи 6 Закона ответственность перед субъектом персональных данных за действия субоператора несет оператор. В свою очередь, субоператор несет ответственность перед оператором.
Исходя из возможностей, предоставленных действующим законодательством, предполагается, что оператору в данном случае необходимо предпринять ряд мер, направленных на защиту своих интересов. Остановимся на них поподробнее.

Закон касается данного вопроса в части 3 статьи 6, путем установления требований о наличии в поручении оператора, в соответствии с которым передаются персональные данные субъектов, условия об обязанности обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке, перечня действий с передаваемыми персональными данными, которые будут совершаться субоператором, целей обработки, а также требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона.

Закон не устанавливает требований к форме такого поручения, поэтому данные требования считаем возможным изложить как в поручении оператора в виде отдельного документа, так и зафиксировать в договоре.

Первая задача, которую нужно решить оператору при заключении договора, на основании которого будет производиться обработка персональных данных, это определить предмет данного договора, то есть цель его заключения, на основании которой уже будут сформированы цели обработки предоставляемых персональных данных. При этом необходимо учитывать принципы обработки персональных данных, установленные в части 1 и 2 статьи 5 Закона, которые гласят, что обработка персональных данных должна осуществляться на законной и справедливой основе, а также должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Исходя из заданных целей, необходимо определиться с перечнем допустимых действий, которые будут совершаться с персональными данными субоператором. К ним можно отнести хранение, использование, передачу, предоставление, накопление, уточнение и тому подобное. В случае выхода за рамки предоставленных действий оператору будет проще отследить какое из них не было предусмотрено договором.

Изначально, чтобы правомерно поручить обработку персональных данных субъекта субоператору, необходимо получить согласие субъекта на данное действие. Эта обязанность прямо установлена в пункте 1 части 1, а так же части 3 статьи 6 Закона. Такого согласия не потребуется в случаях, установленных пунктами 2-11 части 1 статьи 6. Данное согласие можно включить в текст договора или получить в виде отдельного документа. Первый вариант представляется наиболее оптимальным для тех, кто желает избежать излишнего документооборота. При разработке согласия необходимо помнить о том, что согласно части 1 статьи 9, оно должно быть конкретным, информированным, сознательным и может быть выражено в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Здесь важно не забывать, что в силу части 3 статьи 9 Закона бремя доказывания наличия согласия субъекта персональных данных на обработку лежит на операторе.
Вторым шагом при передаче персональных данных по договору необходимо определить содержание и объем передаваемых персональных данных, которые можно зафиксировать в договоре и подтвердить факт их приема-передачи путем составления соответствующего Акта. Содержание и объем сведений определяются исходя из конкретных целей такого поручения. Здесь важно соблюсти ряд принципов, провозглашенных Законом. Речь идет о следующих принципах:

• соответствия содержания и объема обрабатываемых персональных данных целям обработки, недопустимости их избыточности по отношению к заявленным целям обработки (ч. 5 ст. 5 Закона)

• точности, достаточности, в необходимых случаях актуальности персональных данных по отношению к целям обработки (ч.6 ст. 5 Закона)

• обработки только тех персональных данных, которые отвечают целям их обработки (ч.4 ст. 5 Закона)

Поэтому, при выборе контрагента не помешает лишний раз убедиться в его правоспособности, наличии необходимых лицензий и так далее.

Следующим обязательным условием в договоре, по которому поручается обработка персональных данных субъекта, является обязанность соблюдения субоператором конфиденциальности и безопасности персональных данных субъектов при их обработке. Кроме того, в нем должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьями 18 и 19. Понятие конфиденциальности раскрывается в статье 7. Изначально, необходимо ознакомиться с локальными актами, принятыми в организации и регламентирующими данные вопросы и процессы. Таковыми могут быть положение о порядке обработки персональных данных, перечень лиц, имеющих допуск к персональным данным, приказ о назначении ответственных за обеспечение безопасности персональных данных, документы, содержащие данные о технических средствах защиты информации и так далее. Главная цель – убедиться, что у субоператора установлены права, полномочия и обязанности сотрудников, имеющих доступ к персональным данным, что они ознакомлены под роспись с данными документами. Для контроля соблюдения установленных правил и условий в договоре можно установить обязанность субоператора предоставлять оператору ежемесячно отчет о состоянии системы защиты персональных данных и фактах, имеющих значение.

Следовательно, лучше всего определить условия, методы, режим, средства охраны конфиденциальности и безопасности контрагентом переданных ему персональных данных. Такая детальная проработка условий не кажется излишней, так как позволит четко регламентировать процесс обработки персональных данных и своевременно выявить его нарушения.

Исходя из принципов обработки персональных данных субъектов, установленных Законом в части 7 статьи 5, персональные данные субъекта подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Причем в части 4 статьи 21 установлен конкретный срок, в течение которого оператор обязан обеспечить прекращение обработки персональных данных субоператором и их уничтожение. Он не должен превышать 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено в договоре, ином соглашении между оператором и субъектом персональных данных либо оператор не вправе осуществлять такую обработку без согласия субъекта на основаниях, предусмотренных федеральными законами. Чтобы обеспечить выполнение данной нормы Закона можно включить в договор положение об обязанности вторичного оператора прекратить обработку и уничтожить определенным порядком персональные данные субъекта в течение установленного срока, либо совершить иное действие и предоставить доказательства такого уничтожения или иного оговоренного действия, например акт, справку и тому подобное.

Следующий вопрос, который вытекает из смысла гражданского законодательства, как возместить ущерб, причиненный субоператором, при нарушении условий договора. Для этого случая необходимо прописать в договоре ответственность субоператора за нарушение взятых на себя по договору обязательств, а также обязанность контрагента возмещения убытков, понесенных оператором, вследствие данного нарушения согласно статье 15 ГК РФ и части 5 статьи 6 152-ФЗ. Убытки оператору будут возмещаться в регрессном порядке согласно статье 1081 ГК РФ. Это означает, что оператор после удовлетворения требований субъекта персональных данных взыщет понесенные убытки с субоператора.

Но, как известно, лучше принять предупредительные меры, нежели при их отсутствии претерпеть серьезные последствия их игнорирования. Поэтому другая немаловажная задача – минимизация размера возможных убытков. В данных целях можно предусмотреть в договоре положение о том, что субоператор обязуется в случае установления факта разглашения, угрозы разглашения, нарушения условий о конфиденциальности и безопасности персональных данных, незаконном получении, в том числе попытках, использовании, немедленно уведомить об этом оператора обо всех известных обстоятельствах. Это поможет своевременно предпринять необходимые меры для предотвращения либо устранения последствий нарушения.

Итак, мы рассмотрели наиболее важные аспекты отношений, возникающих при поручении обработки персональных данных субъекта по договору третьему лицу. Как видим данные отношения регулировать очень непросто. Поэтому в заключение можно сделать вывод о том, что необходимо серьезно и качественно подойти к разработке условий договора при поручении обработки персональных данных по договору третьему лицу. Только проработав все нюансы, обозначив наиболее важные моменты в договоре, учитывая специфику деятельности контрагента, можно предупредить риск наступления неблагоприятных последствий, а также максимально защитить свои права.