Справочно-правовая система по информационной безопасности

Инструменты пользователя

Инструменты сайта


Сравнение соглашений о поручении на обработку персональных данных и о передаче персональных данных

Взаимодействие оператора с иными лицами по поводу обработки персональных данных (далее - ПДн) не исчерпывается только предусмотренным ч.3 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - 152-ФЗ) субинститутом поручения обработки ПДн. При анализе норм 152-ФЗ представляется возможным сделать вывод о допустимости передачи (обмена) ПДн между оператором и иными лицами без наличия соответствующего поручения об обработке ПДн. При этом и поручение обработки ПДн, и передача ПДн без поручения обработки требуют должной юридической и формализации – заключения соответствующих соглашений между оператором и иными лицами.

При оценке характера взаимодействия сторон при передаче ПДн необходимо опираться на определения, представленные в законодательстве. Так, согласно 152-ФЗ, оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн.

Понятие «передача» не раскрыто законодателем. Вместе с тем под передачей понимается процесс по направлению информации или документов какому-либо лицу каким-либо способом. При этом согласно ГОСТ Р ИСО 15489-1-2007 «Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования», утвержденному приказом Ростехрегулирования от 12.03.2007 № 28-ст, передача (transfer) (в отношении способа хранения) — это изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть, если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации. Однако применительно к персональным данным передача является самостоятельным процессом обработки данных, который должен осуществляться в заранее определенных и законных целях (Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией зам. рук. Роскомнадзора А.А. Приезжевой).

В Таблице представлена сравнительная правовая характеристика типовых проектов соглашений о поручении обработки ПДн и о передаче ПДн (см. ниже). Для удобства сравнения оба соглашения анализируются в качестве самостоятельных двухсторонних актов.

Соглашение о поручении обработки ПДн Соглашение о передаче ПДн
Правовое основание
Возможность заключения соглашения о поручении обработки ПДн прямо зафиксирована в ч.3 ст.6 152-ФЗ.
Следует отметить, что с точки зрения гражданско-правовых норм наиболее близким к институту поручения обработки ПДн по своей правовой природе и форме реализации является институт агентского договора, определенный в главе 52 ГК РФ.
Возможность заключения соглашения о передаче ПДн в 152-ФЗ или иных нормативных правовых актах прямо не зафиксирована. Тем не менее, в соответствии со ст.421 ГК РФ граждане и юридические лица свободны в заключении договора. Стороны могут заключить договор, как предусмотренный, так и не предусмотренный ГК РФ или иными правовыми актами. Стороны могут заключить договор, в котором содержатся элементы различных договоров, предусмотренных законом или иными правовыми актами (смешанный договор). К отношениям сторон по смешанному договору применяются в соответствующих частях правила о договорах, элементы которых содержатся в смешанном договоре, если иное не вытекает из соглашения сторон или существа смешанного договора. Условия договора определяются по усмотрению сторон, кроме случаев, когда содержание соответствующего условия предписано законом или иными правовыми актами (ст.422 ГК РФ).
Кроме того, в 152-ФЗ есть косвенные указания на то, что передача (предоставление, доступ) ПДн может осуществляться вне рамок поручения на обработку ПДн:
1. п.11 ст.3 152-ФЗ дано определение трансграничной передачи ПДн, в котором сама передача ПДн напрямую не увязана с поручением обработки ПДн. Это позволяет сделать вывод о возможности передачи ПДн от оператора к «органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу» без необходимости поручать им вести обработку ранее переданных ПДн в интересах оператора;
2. в ст.7 152-ФЗ указывается на возможность получения операторами и иными лицами доступа к ПДн. Использование термина «иные лица» позволят определить круг лиц, имеющих доступ к ПДн, максимально широко, без однозначной привязки к роли «обработчика» ПДн. Прямое требование соблюдать конфиденциальность ПДн обращено одновременно к оператору и иным лицам, что подразумевает наличие у иных лиц прямой юридической ответственности перед субъектом за нарушение конфиденциальности его ПДн. Следует отметить, что в субинституте поручения обработки ПДн (см. ч.5 ст.6 152-ФЗ) предусмотрен иной порядок ответственности перед субъектом – «…если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед оператором»;
3. в ч.3 ст.20 152-ФЗ законодатель прямо указывает, что оператор может предоставлять ПДн третьим лицам и должен «принять разумные меры для уведомления» этих третьих лиц о фактах неполноты, неточности, неактуальности переданных ПДн, а также о фактах незаконного получения ПДн или отсутствия необходимости в обработке ПДн для достижения заявленной оператором цели обработки. Одновременно с этим, в ст.21 152-ФЗ закреплены гораздо более жесткие требования к оператору по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн. Данная статья требует от оператора уже не только самому предпринимать те или иные действия, а обеспечивать их выполнение лицами, действующими по поручению оператора.
Правовые характеристики
Соглашение о поручении обработки ПДн является:
1. консенсуальным;
2. односторонним;
3. условно безвозмездным – в ч.3 ст.6 152-ФЗ возмездность поручения обработки ПДн прямо не оговаривается. Обработка ПДн, а также обеспечение конфиденциальности и безопасности ПДн при обработке могут быть квалифицированы как оказание соответствующих услуг. Согласно ст.575 ГК РФ запрещены сделки дарения между коммерческими организациями, так как деятельность коммерческой организации должна быть направлена на получение прибыли. Т.е. при совершении подобной сделки, такая сделка изначально будет ничтожной, несмотря на то, что налоговое законодательство РФ допускает сделки дарения между юридическими лицами. Таким образом, соглашение о поручении обработки ПДн между двумя коммерческими организациями должно сопровождаться возмездным договором, предусматривающим или взаимозачет, или вознаграждение (хоть какое-то встречное исполнение).
Соглашение о передаче ПДн является:
1. консенсуальным;
2. двусторонним (взаимным);
3. безвозмездным.
Предмет
Предметом соглашения о поручении обработки ПДн является осуществление обработки ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Предметом соглашения о передаче ПДн является обеспечение правомерности передачи (предоставления, доступа) ПДн между сторонами соглашения, а также обеспечение конфиденциальности и безопасности передаваемых между сторонами соглашения ПДн при их обработке.
Стороны
Сторонами соглашения о поручении обработки ПДн являются:
1. оператор;
2. лицо, осуществляющее обработку ПДн по поручению оператора.
Сторонами соглашения о передаче ПДн являются:
1. передающая сторона;
2. получающая сторона.
Срок
Соглашение о поручении обработки ПДн вступает в силу с момента его подписания обеими сторонами, является бессрочным и утрачивает свою силу:
1. с момента, предусмотренного взаимным соглашением сторон;
2. по истечении определенного срока с момента получения лицом, осуществляющим обработку ПДн по поручению оператора, письменного уведомления от оператора о прекращении действия соглашения.
Соглашение о передаче ПДн вступает в силу с момента его подписания обеими сторонами, является бессрочным и может быть расторгнуто по взаимному соглашению сторон.
Форма
В ч.3 ст.6 152-ФЗ приводится лишь общая норма о формализации поручения обработки ПДн в виде заключаемого договора, а также приводятся примеры двух частных случаев формализации поручения обработки ПДн:
1. государственный или муниципальный контракт;
2. акт, принятый государственным или муниципальным органом.
Указания о форме соглашения о передаче ПДн в действующем законодательстве РФ отсутствуют.
Форма договора может быть либо установлена нормами права, либо свободно определяться по соглашению сторон. Закон обычно дает лишь общие указания на то, в каких случаях сделки подлежат заключению в устной, письменной (в том числе нотариальной) форме или в форме конклюдентных действий. 152-ФЗ и иные нормативные правовые акты в области ПДн прямо не устанавливают форму соглашения о передаче ПДн. В такой ситуации допустимо прибегнуть к аналогии закона и обратиться к гражданскому законодательству РФ, в частности, п.1 ч.1 ст.161 ГК РФ установлена обязательность совершения сделок в простой письменной форме в отношении юридических лиц между собой и с гражданами, за исключением сделок, требующих нотариального удостоверения.
Особенности
Соглашение о поручении обработки ПДн обладает следующими особенностями:
1. согласно ч.3 ст.6 152-ФЗ цель обработки ПДн, содержание (перечень действий) обработки ПДн, требования к защите ПДн определяются волей (поручением) оператора. Иначе говоря, оператор фактически получает возможность контролировать некоторые действия лица, которому была поручена обработка ПДн (например, оператор может обязать такое лицо производить блокирование, удаление, уничтожение, уточнение, обезличивание или предоставление ПДн по соответствующему требованию оператора), и таким образом определять содержание некоторых бизнес-процессов данного лица;
2. согласно ч.4 ст.6 152-ФЗ лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта на обработку его ПДн;
3. согласно ч.5 ст.6 152-ФЗ ответственность перед субъектом ПДн за действия «обработчика» несет оператор, а лицо, осуществляющее обработку ПДн по поручению оператора, в свою очередь, несет ответственность перед оператором. Следует отметить, что данная норма не применяется в отношении обработки ПДн, которую «обработчик» осуществляет в собственных целях, как оператор;
4. может быть встречным, когда оба участника соглашения одновременно являются оператором и «обработчиком» ПДн. Предполагается, что встречные поручения должны быть направлены на обработку ПДн с отличающимися целями (иначе теряется смысл таких поручений, и они превращаются в юридическую фикцию);
5. считается незаключенным, если в соглашении не определены такие существенные условия как перечень действий (операций) с ПДн, цели обработки ПДн, обязанность лица, осуществляющего обработку ПДн, соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, требования к защите обрабатываемых ПДн в соответствии со ст.19 152-ФЗ.
Соглашение о передаче ПДн обладает следующими особенностями:
1. стороны обрабатывают ПДн на основании и во исполнение соответствующих договоров оказания услуг, выполнения работ или поставки товаров. При этом цель обработки ПДн, содержание (перечень действий) обработки ПДн, требования к защите ПДн продиктованы не волей (прямым указанием) одной из сторон, а существом (предметом) договора, требованиями применимого законодательства и особенностью организации бизнес-процессов каждой из сторон;
2. каждая из сторон обязана обеспечивать правомерную передачу ПДн, включая получение согласия субъектов на осуществление передачи их ПДн, подтверждение наличия иных законных оснований для осуществления передачи ПДн субъектов и подтверждение факта надлежащего уведомления субъектов о передаче их ПДн;
3. стороны, виновные в нарушении требований 152-ФЗ и подзаконных актов, самостоятельно несут предусмотренную законодательством РФ юридическую ответственность;
4. снижает риск предъявления претензий со стороны субъектов ПДн и органов государственной власти Российской Федерации (органов Роскомнадзора, Прокуратуры, Роструда) в отношении соблюдения должной осмотрительности при осуществлении передачи ПДн;
5. передающая сторона действуют в статусе оператора передаваемых ПДн до момента их фактической передачи получающей стороне, а также приобретает статус оператора в отношении получаемых от другой стороны ПДн;
6. фиксирует во взаимообязывающей форме для сторон требования законодательства РФ о ПДн, указанные в ч.1 ст.6, ст.7, ч.4 ст.18 и ч.1 ст.19 152-ФЗ;
7. закрепляет принцип равноправия сторон при взаимной передаче ПДн, не дает каких-либо преимуществ и не ущемляет интересы обеих сторон соглашения;
8. является рамочным, то есть требует всего лишь однократного подписания и регулирует все существующие или возникающие договорные отношения между сторонами;
9. позволяет одной стороне привлекать третьих лиц к обработке полученных ПДн в рамках соответствующих договоров и соглашений без получения дополнительного согласия другой стороны при условии обеспечения указанными третьими лицами конфиденциальности и безопасности ПДн при обработке;
10. дополняет соответствующие условия о конфиденциальности информации в договорах и дополняет рамочные соглашения о конфиденциальности информации, которые ранее были заключены между сторонами (стандартные условия о конфиденциальности информации обычно направлены на защиту сведений, составляющих коммерческую, служебную, банковскую тайну, при этом крайне редко или не в полной мере регулируют вопросы обработки и защиты ПДн).
Применимые ситуации
Соглашение о поручении обработки ПДн следует рассматривать как приоритетный механизм формализации правоотношений по поводу обработки ПДн в ситуации передачи оператором специализированному поставщику определённых бизнес-процессов (аутсорсинг бизнес-процессов). Взаимодействие между оператором и поставщиком является долгосрочным (обычно договор заключается на несколько лет) и носит стратегический характер (смена поставщика является дорогостоящей и может негативно повлиять на функционирование бизнес-процесса).
Стоит отметить, что в этой ситуации оператор сохраняет значительную степень контроля над формой и содержанием переданного бизнес-процесса. Оператор определяет «облик» обработки ПДн, осуществляемой поставщиком с целью реализации переданного ему на аутсорсинг бизнес-процесса.
Перечень примеров (не является исчерпывающим) вышеперечисленных ситуаций:
1. ведение предговорной деятельности, оказание услуг, выполнение работ или поставка товаров посредством лиц, с которыми заключаются агентские договоры;
2. обеспечение безопасности на объектах недвижимости (услуги в сфере охраны), связанное с осуществлением учета посетителей и (или) видеонаблюдения;
3. работа с обращениями и запросами от заинтересованных лиц (услуги центра обработки вызовов, опросы/анкетирование для мероприятий);
4. организация и управление деловыми поездками работников (услуги бизнес-туризма);
5. организация визово-миграционной поддержки;
6. архивирование, хранение и уничтожение материальных носителей с ПДн (архивные услуги);
7. предоставление комплексных ИТ-услуг (провайдер услуг является оператором тех ИС, которые используются заказчиком);
8. кадровое, бухгалтерское и ИТ сопровождение;
9. внешний подбор персонала (кадровые агентства, сервисы), осуществляемый на основании агентских договоров.
Соглашение о взаимной передаче (обмене) ПДн следует рассматривать как приоритетный механизм формализации правоотношений по поводу обработки ПДн в ситуации передачи оператором поставщику только определенных функций или элементов бизнес-процессов (аутсорсинг отдельных задач). Взаимодействие между оператором и поставщиком является краткосрочным, эпизодическим (обычно договор заключается на срок до одного года) и носит тактический характер (допустима регулярная смена поставщика, которая существенно не может повлиять на функционирование бизнес-процесса).
Стоит отметить, что оператор не осуществляет контроль над деятельностью своих поставщиков, контролируя лишь соблюдение указанных в договоре требований к полноте, качеству, срокам результата деятельности поставщиков. Оператор не определяет «облик» обработки ПДн, осуществляемой поставщиком, а требует от последнего только ранее оговоренный результат.
Перечень примеров (не является исчерпывающим) вышеперечисленных ситуаций:
1. оказание услуг, выполнение работ или поставка товаров в пользу субъекта ПДн, являющегося стороной договора или выгодоприобретателем по нему;
2. банковские зарплатные проекты;
3. страхование (имущественное и личное);
4. бронирование и приобретение гостиничных мест и транспортных билетов, услуги такси;
5. выполнение переводов текстов с одного языка на другой;
6. совершение нотариальных действий;
7. внешний подбор персонала (кадровые агентства, сервисы), осуществляемый на основании договоров оказания услуг;
8. услуги связи (операторы связи);
9. использование инфраструктуры электронного документооборота (сдача обязательной отчетности в ОГВ, взаимодействие с партнерами и т.п.);
10. внешнее обучение и аттестация (заказчик не диктует исполнителю содержание и форму обучения/аттестации);
11. медицинские осмотры и освидетельствования;
12. внешний финансовый аудит и контроль;
13. изготовление полиграфической продукции (визитки, корпоративные издания и плакаты);
14. справочно-информационные сервисы (СПАРК, Интегрум, Кронос-Информ);
15. посреднические услуги (визовые центры);
16. предоставление ИТ-инфраструктуры, колокация, техническое обслуживание ИС (провайдер услуг не берет на себя роль оператора ИС заказчика).

На основании обобщения аналитических выводов, изложенных в Таблице, представляется возможным зафиксировать следующие выводы: 1. Необходимость в заключении соглашения о поручении обработки ПДн возникает в том случае, если:
1.1. обработка ПДн является самостоятельным предметом правоотношений (договора) между оператором и лицом, осуществляющим обработку ПДн по поручению оператора;
1.2. возмездное выполнение лицом-«обработчиком» различных действий с ПДн неразрывно связано с достижением цели обработки ПДн, определенной оператором.
2. Необходимость в заключении соглашения о передаче ПДн возникает в том случае, если:
2.1. передача ПДн не является самостоятельным предметом правоотношений (договора) между сторонами и носит вспомогательный (обеспечивающий) характер по отношению к основному предмету таких отношений;
2.2 все возможное многообразие действий по обработке ПДн ограничено только передачей ПДн между сторонами.

Таким образом, можно обоснованно сделать заключение о том, что субинститут поручения обработки ПДн не является единственным и универсальным механизмом правого урегулирования отношений между оператором и иными лицами при передаче ПДн. Такого рода отношения могут регулироваться отдельными соглашениями, направленными за защиту прав и законных интересов субъектов передаваемых ПДн. Необходимость применения того или иного вида соглашения непосредственно связана с сущностью и содержанием правоотношений между сторонами (см. разделы «Особенности» и «Применимые ситуации» Таблицы).


Инструменты страницы