база знаний
Смотреть все
вернуться назад

Подключаем сервис командировок, не нарушая закон о персональных данных

Автор:

Юрист по работе с персональными данными
Юлия Аммосова

Шаг 1. Определите модель отношений с сервисом

Первое и самое важное — понять, кем будет сервис командировок: оператором или обработчиком персональных данных.

От этого зависит, какие документы нужно подписать, кто за что отвечает и — что критично — кто будет разбираться с трансграничной передачей данных.


Модель "оператор-оператор"

1. Сервис сам определяет, зачем и как обрабатывает данные

2. Сервис сам решает, как хранить и защищать данные 

3. Вы не управляете объёмом данных и не определяете правила бронирования.

Пример: Агрегатор командировок покупает билеты, бронирует отели, сам взаимодействует с перевозчиками и гостиницами. Вы просто передаете ему данные сотрудников, а дальше он действует как самостоятельный оператор.

Такая модель свидетельствует о простой передаче персональных данных между сторонами  операторами. Именно сервис уведомляет РКН о трансграничной передаче и несет ответственность за такую передачу. Вы передаете данные сервису внутри РФ и на этом ваша зона ответственности заканчивается.

Документы:

В договоре с сервисом рекомендуем предусмотреть:

1. перечень передаваемых персональных данных (ФИО, паспорт, дата рождения и т.д.);

2. цели, для которых сервис получает данные и действует как оператор;

3. обязанность сервиса соблюдать конфиденциальность;

4. обязанность сервиса обеспечивать защиту ПД по ст. 19 ФЗ «О персональных данных»;

5. порядок уничтожения данных после прекращения договора.


Модель "оператор-обработчик"

1. Цели и действия с данными определяете вы

2. Сервис не использует данные в своих интересах

Пример: Сервис только хранит данные сотрудников в вашей внутренней подсистеме, формирует приказы о командировках по вашему шаблону, уничтожает данные по вашему запросу — и ничего больше.

Такая модель свидетельствует о поручении обработки персональных данных оператором. Между сторонами необходимо заключать отдельное соглашение — поручение  на обработку персональных данных.

Документы:

Заключите с контрагентом поручение на обработку персональных данных. Оно может быть оформлено как отдельный документ, приложение или раздел договора. Содержание поручения определяются ч. 3 ст. 6 ФЗ «О персональных данных» и должно включать:


1. перечень персональных данных;

2. перечень действий с данными (хранение, систематизация и т.д.);

3. цели обработки;

4. обязанность соблюдать конфиденциальность;

5. обязанность обеспечивать безопасность ПД; 

6. требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ «О персональных данных»;

7. требования по ст. 18.1 и ч. 5 ст. 18 ФЗ «О персональных данных»;

8. обязанность предоставлять документы по запросу оператора.


Если есть сочетание двух моделей отношений

Функционал сервиса может сочетать в себе не только сценарий бронирования билетов, где сервис выступает самостоятельным оператором, но и иные сценарии, при которых сервис выполняет ваши поручения:

1. разработка и хранение приказов о командировках;

2. формирование внутренних отчетов по вашим шаблонам;

3. уничтожение данных по вашему запросу.

Если сервис сочетает в себе несколько сценариев, то допускается работать и по модели «оператор-оператор», и по модели «оператор-обработчик» (в зависимости от функционала). 

Пропишите прямо в каких процессах обработки сервис действует как оператор, а в каких — как обработчик. И дальше руководствуйтесь правилами, указанными выше. 


Шаг 2. Проверьте внутренние документы по персональным данным

Откройте политику обработки персональных данных вашей компании и проверьте: указана ли там такая цель обработки, как «Организация командировок» или иная схожая с ней?

Если нет — нужно внести изменения.


Что добавить в Политику:

1. новую цель обработки: организация служебных командировок;

2. категории обрабатываемых данных: ФИО, паспортные данные, дата рождения, контактные данные, иные данные, которые вы обрабатываете для организации командировок;

3. срок обработки данных;

4. информацию о передаче данных третьим лицам


После внесения изменений:

1. Утвердите новую редакцию Политики приказом

2. Разместите актуальную версию на сайте

3. Ознакомьте сотрудников под подпись


Шаг 3. Определите правовое основание для передачи данных сервису

Чтобы передать персональные данные сотрудников сервису командировок, нужно законное основание. Есть два основных варианта:



Вариант 1: Согласие сотрудника


Получите от каждого сотрудника согласие на передачу персональных данных третьим лицам для организации командировок.

Плюсы: просто оформить.

Минусы: сотрудник может отозвать согласие в любой момент, и тогда вы не сможете оформить ему командировку через сервис.



Вариант 2: Локальный нормативный акт 


Разработайте положение о командировках, в котором пропишите:

1. порядок оформления командировок через сервис;

2. перечень данных, которые передаются сервису;

3. обязанность сотрудника предоставить данные для оформления командировки.

Ознакомьте сотрудников с положением под подпись.

Плюсы: сотрудник не может просто отозвать согласие, поскольку обработка основана на ЛНА работодателя и необходима для исполнения трудовых обязанностей.

Минусы: нужно разработать и утвердить отдельный документ.


Важно отметить, что правоприменительная практика только начинает формироваться в отношении ЛНА, как правового основания обработки персональных данных. Суды неоднозначно относятся к такому основанию передачи данных.


Шаг 4. Выполните требования закона о трансграничной передаче, если планируете ее осуществлять

Необходимо подать уведомление о трансграничной передаче. В уведомлении укажите:

1. перечень иностранных государств, куда передаются данные;

2. цели передачи;

3. категории данных и субъектов;

4. правовое основание

Важно отметить, что РКН может потребовать подтверждение того, что вы убедились в добросовестности лица, которому передаете данные.

Поэтому до уведомления желательно получить от контрагента:

1. сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;

2. информация о законах по защите персональных данных, которые соблюдает иностранное лицо;

3. сведения об иностранном лице (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).


Шаг 5. Подайте уведомление в Роскомнадзор об изменении сведений в уведомлении

Подайте уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, если сейчас в реестре нет цели, связанной с командировками, и/или указано, что вы не осуществляете трансграничную передачу данных.

Что указать в уведомлении:

1. новую цель обработки;

2. категории данных;

3. категории субъектов;

4. правовое основание;

5. информации о наличии трансграничной передачи (если необходимо).




Если вам нужна помощь в работе с персональными данными — приходите на бесплатную консультацию.


Свяжитесь с нами


info@runetlex.ru

Москва,
Летниковская, 16

Социальные сети

Youtube
Telegram

Договоры
Оферты
Кадровые документы
Конфликты
Абонентская поддержка
Дизайн
Регистрация
Маркировка рекламы
Персональные данные
Оставить заявку