Поручение на обработку персональных данных: когда пригодится и как оформить
Когда пригодится поручение на обработку персональных данных
Бывают ситуации, когда компания обрабатывает персональные данные физических лиц, но делает это в интересах другого лица. Обычно это аутсорсинговые компании (ведение бухгалтерского учета, оказание услуг технической поддержки) или сервисы рассылок.
Например, клиент работает с базой адресов электронных почт через сервис рассылок. У сервиса в этом случае есть доступ к этим адресам. Они, в свою очередь, являются персональными данными ( п. 1 ст. 3 ФЗ “О персональных данных”) – значит, сервису рассылок нужно законное основание для их обработки. В противном случае он может получить штраф от Роскомнадзора в размере от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
Законное основание – согласие на обработку персональных данных (п. 1 ч. 1 ст. 6 ФЗ “О персональных данных”). Но должен ли сервис получать согласие каждого адресата?
На наш взгляд, нет.
Здесь на помощь приходит поручение на обработку персональных данных. Клиент доверяет сервису рассылок обработку персональных данных адресатов писем. Тогда у сервиса появляется законное основание для обработки без необходимости получать согласие от каждого адресата (ч. 3 ст. 6 ФЗ “О персональных данных”).
Кроме того, сервис рассылок в этом случае несет ответственность только перед своим клиентом (ч. 5 ст. 6 ФЗ “О персональных данных”).
Оформление одного поручения на обработку персональных заменяет собой множество согласий – это удобно и значительно упрощает документооборот.
Когда поручение не подойдет
При этом поручение не является панацеей и подходит не для всех случаев.
Поручение на обработку персональных данных можно оформлять только тогда, когда лицо, действующее на основании поручения, не определяет цели обработки и действует в исключительно интересах оператора персональных данных. То есть тот же сервис рассылок обрабатывает персональные данные только для того, чтобы оказать услугу клиенту.
Когда компания сама определяет цели и обрабатывает персональные данные в своем интересе, поручение не подойдет и придется соответствовать другим основаниям обработки из закона: согласие, исполнение договора и т.п (ст. 6 ФЗ “О персональных данных”).
Как оформить поручение
Закон не уточняет, в какой форме должно быть дано поручение на обработку персональных данных. Мы рекомендуем подписывать его как дополнительное соглашение/приложение к договору или как отдельный документ.
При этом закон содержит требования по содержанию поручения.
Поручение на обработку персональных данных должно содержать:
перечень персональных данных;
перечень действий (операций) с персональными данными;
цели обработки;
обязанность соблюдать конфиденциальность персональных данных;
требования, предусмотренные ч. 5 ст.18 и ст. 18.1 ФЗ “О персональных данных”;
обязанность по запросу оператора персональных данных предоставлять документы и иную информацию, подтверждающие соблюдение требований закона;
обязанность обеспечивать безопасность персональных данных при их обработке;
требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ “О персональных данных”.
Перечень не самый маленький, поэтому делимся нашим шаблоном поручения на обработку персональных данных.
Выводы
Поручение на обработку персональных данных пригодится компаниям, которые обрабатывают персональные данные в чужом интересе.
Поручение на обработку персональных данных полезно тем, что позволяет не получать согласие от каждого субъекта.
Оформить поручение можно в виде дополнительного соглашения или приложения к договору, а также в виде отдельного документа. Главное, чтобы его содержание соответствовало требованиям закона.
Для удобства можете использовать наш шаблон.
Автор:
Юрист
Артур Бабалов
В Рунетлексе с 2021 года