Меры, принимаемые оператором для защиты своих прав и интересов при поручении обработки персональных данных субъектов на основании договора
На сегодняшний день один из самых проблематичных и актуальных вопросов в работе многих учреждений и организаций – обеспечение надлежащей защиты персональных данных субъектов во исполнение требований Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (далее по тексту – Закон). Защите персональных данных субъектов, обрабатываемых операторами, посвящено множество статей.
Закон достаточно подробно касается вопросов обработки самим оператором полученных персональных данных субъектов в силу различных оснований. Однако, все чаще операторы поручают обработку персональных данных субъектов другим лицам, что составляет так называемое «поручение оператора» (ч.3 ст. 6 Закона). Назовем такое лицо «субоператор». Это может быть, например, поручение туроператора турагентству привлекать и заключать от его имени договоры на продажу туристского продукта.
В настоящей статье мы решили затронуть наиболее важные вопросы, возникающие при поручении обработки персональных данных субоператору при заключении договора.
Как обеспечить надлежащую защиту персональных данных субъектов в данном случае? Как реально оператору обезопасить себя, предотвратить риск наступления неблагоприятных последствий при перепоручении определенных действий с персональными данными, ведь передавая сведения по договору субоператору, оператор не может фактически контролировать их соблюдение?
В силу ч. 5 ст. 6 Закона ответственность перед субъектом персональных данных за действия субоператора несет оператор. В свою очередь, субоператор несет ответственность перед оператором.
Исходя из возможностей, предоставленных действующим законодательством, предполагается, что оператору в данном случае необходимо предпринять ряд мер, направленных на защиту своих интересов. Остановимся на них поподробнее.
Закон касается данного вопроса в ст. 6 ч. 3, путем установления требований о наличии в поручении оператора в соответствии с которым передаются персональные данные субъектов, условия об обязанности обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке, перечня действий (операций) с передаваемыми персональными данными, которые будут совершаться субоператором, целей обработки, а также требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона.
Закон не устанавливает требования к форме такого поручения, поэтому данные требования считаем возможным изложить как в поручении оператора в виде отдельного документа, так и зафиксировать в договоре.
Первая задача, которую нужно решить оператору при заключении договора на основании которого будет производиться обработка персональных данных, это определить предмет данного договора, т. е. цель его заключения, на основании которой уже будут сформированы цели обработки предоставляемых персональных данных. При этом необходимо учитывать принципы обработки персональных данных, установленные в ч. 1, 2 ст. 5 Закона, которые гласят, что обработка персональных данных должна осуществляться на законной и справедливой основе, также должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Далее, исходя из заданных целей, необходимо определиться с перечнем допустимых действий (операций), которые будут совершаться с персональными данными субоператором. К таковым можно отнести: хранение, использование, передача, предоставление, накопление, уточнение и т.п. В случае выхода за рамки предоставленных действий оператору будет проще отследить какое из них не было предусмотрено договором.
Изначально, чтобы правомерно поручить обработку персональных данных субъекта субоператору, необходимо получить согласие субъекта на данное действие. Эта обязанность прямо установлена в п. 1 ч. 1, ч. 3 ст. 6 Закона. Такого согласия не потребуется в случаях, установленных пп. 2-11 ч.1 ст. 6 Закона. Данное согласие можно включить в текст договора или получить в виде отдельного документа. Первый вариант представляется наиболее оптимальным для тех, кто желает избежать излишнего документооборота. При разработке согласия необходимо помнить о том, что согласно ч.1 ст. 9 Закона, оно должно быть конкретным, информированным, сознательным и может быть выражено в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Здесь важно не забыть, что в силу п. 3 ст. 9 Закона бремя доказывания наличия согласия субъекта персональных данных на обработку лежит на операторе.
Вторым шагом при передаче персональных данных по договору необходимо определить содержание и объем передаваемых персональных данных, которые можно зафиксировать в договоре и подтвердить факт их приема- передачи путем составления соответствующего Акта. Содержание и объем сведений определяются исходя из конкретных целей такого поручения. Здесь важно соблюсти ряд принципов, провозглашенных Законом. Речь идет о следующих принципах:
- соответствия содержания и объема обрабатываемых персональных данных целям обработки, недопустимости их избыточности по отношению к заявленным целям обработки (ч. 5 ст. 5 Закона),
- точности, достаточности, в необходимых случаях актуальности персональных данных по отношению к целям обработки (ч.6 ст. 5 Закона);
- обработки только тех персональных данных, которые отвечают целям их обработки (ч.4 ст. 5 Закона).
Поэтому, при выборе контрагента не помешает лишний раз убедиться в его правоспособности, наличии необходимых лицензий и т.д.
Следующим обязательным условием в договоре по которому поручается обработка персональных данных субъекта является обязанность соблюдения субоператором конфиденциальности и безопасности персональных данных субъектов при их обработке. Кроме того, в нем должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 18, 19 Закона. Понятие конфиденциальности раскрывается в ст. 7 Закона. Изначально, необходимо ознакомиться с локальными актами, принятыми в организации и регламентирующими данные вопросы и процессы. Таковыми могут быть Положение о порядке обработки персональных данных, Перечень лиц, имеющих допуск к персональным данным, приказ о назначении ответственных за обеспечение безопасности персональных данных, документы, содержащие данные о технических средствах защиты информации и т.д. Главная цель – убедиться, что у субоператора установлены права, полномочия, обязанности сотрудников, имеющих доступ к персональным данным, и они ознакомлены под роспись с данными документами. Чтобы реально контролировать соблюдение установленных правил и условий в договоре можно установить обязанность субоператора предоставлять оператору ежемесячно отчет о состоянии системы защиты персональных данных, фактах, имеющих значение.
Следовательно, лучше всего определить условия, методы, режим, средства охраны конфиденциальности и безопасности контрагентом переданных ему персональных данных. Такая детальная проработка условий не кажется излишней, т.к. позволит четко регламентировать процесс обработки персональных данных и своевременно выявить его нарушения.
Исходя из принципов обработки персональных данных субъектов, установленных Законом (ч. 7 ст. 5 Закона), персональные данные субъекта подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Причем в ч. 4 ст. 21 Закона установлен конкретный срок в течение которого оператор обязан обеспечить прекращение обработки персональных данных субоператором и их уничтожение. Он не должен превышать 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено в договоре, ином соглашении между оператором и субъектом персональных данных либо, если оператор не вправе осуществлять такую обработку без согласия субъекта на основаниях, предусмотренных федеральными законами. Чтобы обеспечить выполнение данной нормы Закона можно включить в договор положение об обязанности вторичного оператора прекратить обработку и уничтожить определенным порядком персональные данные субъекта в течение установленного срока, либо совершить иное действие и предоставить доказательства такого уничтожения (иного оговоренного действия), напр. Акт, справку и т.п.
Следующий вопрос, который вытекает из смысла гражданского законодательства, как возместить ущерб, причиненный субоператором, при нарушении условий договора. Считаем, необходимым прописать в договоре ответственность субоператора за нарушение взятых на себя по договору обязательств, а также обязанность контрагента возмещения убытков, понесенных оператором, вследствие данного нарушения (ст. 15 ГК РФ, ч. 5 ст.6 Закона). Убытки оператору будут возмещаться в регрессном порядке (ст. 1081 ГК РФ). Это означает, что оператор после удовлетворения требований субъекта персональных данных взыщет понесенные убытки с субоператора.
Но, как известно, лучше принять предупредительные меры, нежели при их отсутствии претерпеть серьезные последствия их игнорирования. Поэтому, другая не мало важная задача - минимизация размера возможных убытков. В данных целях можно предусмотреть в договоре положение о том, что субоператор обязуется в случае установления факта разглашения, угрозы разглашения, нарушения условий о конфиденциальности и безопасности персональных данных, незаконном получении (в т.ч. попытках), использовании, немедленно уведомить об этом оператора и всех известных обстоятельствах. Это поможет своевременно предпринять необходимые меры для предотвращения либо устранения последствий нарушения.
Итак, мы рассмотрели наиболее важные аспекты отношений, возникающих при поручении обработки персональных данных субъекта по договору третьему лицу. Как видим данные отношения регулировать очень непросто. Поэтому, в заключении можно сделать вывод о том, что необходимо серьезно и качественно подойти к разработке условий договора при поручении обработки персональных данных по договору третьему лицу. Только проработав все нюансы, обозначив наиболее важные моменты в договоре, учитывая специфику деятельности контрагента, можно предупредить риск наступления неблагоприятных последствий, а также максимально защитить свои права.
Автор: Каплина А.В.,
юрисконсульт юридического отдела
ООО «РЭАЦ «Эксперт»