база знаний
Смотреть все
вернуться назад

Как отличить передачу персональных данных и поручение на обработку персональных данных

Автор:

Юрист по работе с персональными данными
Юлия Аммосова

Бизнес и юристы часто путают передачу персональных данных и поручение на обработку персональных данных. При этом бывают случаи, когда переданные и порученные персональные данные обрабатываются без законных оснований — это уже нарушение законодательства. 


Мы подготовили перечень понятий, который поможет разобраться как отличать и как оформлять передачу и поручение обработки персональных данных.


Понятие

Поручение на обработку персональных данных:

Соглашение, по которому оператор поручает осуществить определенные действия по обработке персональных данных в определенной цели.


Передача персональных данных:

Действие/cоглашение, по которому персональные данные субъектов переходят от одного оператору к другому.
Необходимость

Поручение на обработку персональных данных:


Поручение имеет место, когда:

  • оператор способен самостоятельно обрабатывать ПДн для достижения цели, но по разным причинам передает эту функцию полностью или частично своему контрагенту — обработчику;

  • обработка ПДн регулируется отдельным соглашением между оператором и обработчиком;

  • обработчик за вознаграждение выполняет действия с ПДн, которые напрямую связаны с достижением целей, установленных оператором.



Передача персональных данных:


Передача имеет место, когда:

  • передача ПДн не является основным предметом договора, а служит вспомогательной функцией;

  • все действия с ПДн ограничиваются передачей данных между сторонами.

Стороны

Поручение на обработку персональных данных:

1. Оператор – лицо, которое осуществляет обработку персональных данных, определяя: 

  • цели обработки ПДн;

  • состав подлежащих обработку ПДн; 

  • действия с ПДн. 


2. Обработчик – лицо, действующее по поручению оператора при обработке персональных данных. Он не заинтересован в самих персональных данных и не решает, зачем и как их обрабатывать — он просто выполняет порученную ему обработку.

3. Субобработчик — факультативное лицо, которое обработчик может привлекать для совместного выполнения поручения.



Передача персональных данных:

При передаче персональных данных обе стороны являются операторами, поскольку каждая из сторон имеет свои цели обработки конкретных персональных данных.
Примеры

Поручение на обработку персональных данных:


Пример 1: Компания для ведения бухгалтерского учета привлекает бухгалтера на аутсорсинге.   


В данном случае оператором будет компания, а обработчиком — бухгалтер на аутсорсинге. 



Пример 2: Компания 1 владеет CRM-сервисом, в котором Компания 2 хранит данные своих клиентом. 


В данном примере Компания 2  — оператор, который поручает хранение и систематизацию данных обработчику — Компании 1.




Передача персональных данных:


Пример 1: Передача данных сотрудников банка для подключения к зарплатному проекту. 


В данном случае и работодатель и банк будут операторами, которые обрабатывают данные в своих целей: работодатель – для выплаты заработной платы, банк – для исполнения договора. 


Пример 2: Компания 1 ежегодно направляет своих работников на обучение в Компанию 2, которая оказывает образовательные услуги.

В данном случае обе компании – операторы персональных данных, поскольку Компания 1 не диктует Компании 2 содержание и формат обучения. Работники в данном случае являются выгодоприобретателями.
Ответственность

Поручение на обработку персональных данных:


Оператор несет ответственность перед субъектами.


Обработчик несет ответственность перед оператором.

Субобработчик несет ответственность перед обработчиком.


Передача персональных данных:


Ответственность перед субъектами несет то лицо, которое нарушает требования законодательства о персональных данных.
Как оформляется?

Поручение на обработку персональных данных:


Стороны заключают поручение на обработку персональных данных.

Поручение может быть оформлено: 

  • как отдельный от основного договора документ;

  • как приложение к основному договору; 

  • как раздел основного договора.



Передача персональных данных:


Тут все зависит от того, кому передаются ПДн. 


Если лицо коммерческое, то передача может быть оформлена: 

  • как отдельный от основного договора документ;

  • как приложение к основному договору;

  • как раздел основного договора. 


Если передача осуществляется государственному органу, например, ФНС, то передача не оформляется договором, а обеспечивается силой закона.

Нужно ли получать согласие?

Поручение на обработку персональных данных:


По общему правилу оператор должен получить согласие на поручение обработки.


Передача персональных данных:


По общему правилу передающая сторона должна получить согласие на передачу персональных данных третьим лицам. 


Но если передача необходима по другим основаниям, согласие не требуется. Например, согласие не нужно, если:

  • передача необходима для исполнения договора, где субъект является выгодоприобретателем (например, заключение между работодателем и организации, которая осуществляет профессиональную переподготовку). 

  • передача необходима в силу закона (передача данных ФНС)

Выводы и лайфхак

Теперь вы разобрались в матчасти и мы готовы поделиться главным лайфхаком.

Итак, чтобы различать поручение на обработку персональных данных и передачу персональных данных задавайте себе следующий вопрос: «Кто в данных правоотношениях главный и задает цель?»


Если у сторон цель одна и ее задает конкретная сторона, то это – поручение. 


Если каждая из сторон обрабатывает данные в своей цели, то перед вами – передача. 


Свяжитесь с нами


info@runetlex.ru

Москва,
Летниковская, 16

Социальные сети

Youtube
Telegram

Договоры
Оферты
Кадровые документы
Конфликты
Абонентская поддержка
Дизайн
Регистрация
Маркировка рекламы
Персональные данные
Оставить заявку