Как поручить обработку персональных данных третьим лицам

09.03.2023 11:49

Иногда работодатели привлекают специализированные компании для ведения кадрового и бухгалтерского учета. В такой ситуации нужно правильно оформить документы в сфере персональных данных с аутсорсером и своими сотрудниками, иначе штрафов работодателю не избежать. В статье разбираемся, как это сделать.

Если оператор поручает обработку персональных данных стороннему лицу, которое не связано обязательством о неразглашении персданных (далее — обработчик), ему потребуются такие документы (ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных):

  • согласие субъекта, чьи данные он будет передавать, если Закон о персональных данных не предусматривает иное;
  • поручение оператора, которое является основанием передачи — например, гражданско-правовой договор либо государственный или муниципальный контракт, который заключен с обработчиком.

Как оформить согласие субъекта на передачу его персданных обработчику

Законодательство о персональных данных направлено на защиту неприкосновенности частной жизни, личной и семейной тайны. Поэтому, по общему правилу, передавать такие данные третьим лицам без согласия субъекта нельзя (ст. 7 Закона о персональных данных).

Согласие на обработку персональных данных третьим лицом по поручению оператора обязан получить сам оператор, а не обработчик (ч. 4 ст. 6 Закона о персональных данных). В этой ситуации закон прямо не предусматривает получать согласие в письменной форме, но разумно будет оформить его документально, чтобы у оператора было доказательство законной обработки персданных. Косвенно о том, что письменная форма необходима, свидетельствует п. 6 ч. 4 ст. 9 Закона о персональных данных — среди требований к согласию на обработку в письменном виде есть указание на обработчика. В тексте согласия необходимо зафиксировать:

  • наименование или ФИО обработчика (п. 6 ч. 4 ст. 9 Закона о персональных данных);
  • его адрес (постановление Арбитражного суда Северо-Западного округа от 26.10.2020 № Ф07-8987/2020 по делу № А56-87199/2019).

Кроме того, оператор обязан соблюдать общие требования к согласию, которые установлены ст. 9 Закона о персональных данных (п. 5 разъяснений Роскомнадзора от 14.12.2012 ).

Как оформить поручение оператора обработчику

В поручении оператора необходимо зафиксировать (ч. 3 ст. 6 Закона о персональных данных):

  • перечень персональных данных, которые он передает обработчику;
  • все действия, которые будет совершать обработчик с персданными (п. 3 ст. 3 Закона о персональных данных);
  • цели обработки;
  • требования к защите персональных данных (ст. 19 Закона о персональных данных).

Отдельное внимание нужно уделить обязанностям, которые обработчик будет выполнять при обработке персональных данных. Стороны сами определяют, какие обязанности устанавливать. При этом необходимо предусмотреть, что обработчик обязан:

  • соблюдать принципы и условия обработки персональных данных и другие требования, которые установлены Законом о персональных данных;
  • соблюдать конфиденциальность таких данных;
  • соблюдать требования из ч. 5 ст. 18 и 18.1 Закона о персональных данных;
  • предоставлять оператору документы и информацию о принятии мер и соблюдении требований ст. 6 Закона о персональных данных по его запросу в течение срока действия поручения, в том числе до начала обработки персональных данных;
  • обеспечивать безопасность персданных при их обработке;
  • уведомлять оператора о случаях утечки таких данных (ч. 3.1 ст. 21 Закона о персональных данных);
  • использовать персональные данные только в тех целях, для которых оператор их передал — если оператор передал персданные своих сотрудников (ст. 88 ТК РФ).

Кто несет ответственность перед субъектом персданных

Общее правило — ответственность перед субъектом несет оператор-работодатель, а обработчик отвечает перед оператором (ч. 5 ст. 6 Закона о персональных данных).

Исключение — случаи, когда оператор поручил обработку иностранному физлицу или юрлицу. В такой ситуации ответственность перед субъектом несут и обработчик, и оператор (ч. 6 ст. 6 Закона о персональных данных).