Как оформить поручение на обработку персональных данных закона №152-ФЗ

Поручение на обработку персональных данных 152-ФЗ пригодится, когда организация осуществляет обработку персональной информации физических лиц по запросу иной организации. Как правило, такими компаниями-исполнителями являются сервисы рассылок и фирмы, занимающиеся аутсорсингом (ведение бухучета, услуги клиентской поддержки). При этом Федеральный закон №152-ФЗ устанавливает определенные требования по содержательной части поручительного документа.

Что такое поручение на обработку ПДн

Это передача полномочий на обрабатывание индивидуальных сведений другому лицу с одобрения субъекта ПДн (если иное не определено ФЗ) на базе оформляемого с таким лицом соглашения, включая муниципального либо госконтракта, или посредством издания госорганом или организацией местного самоуправления соответствующего законодательного документа.

Таким образом, оператор поручает иному лицу обрабатывать персональные сведения. При этом обработчик не наделяется правами оператора, а лишь выполняет задание по просьбе последнего. Исполнитель обеспечивает реализацию технических, юридических, организационных мероприятий для обеспечения защиты ПДн.

Когда требуется оформлять поручение

Оформлять его требуется в ситуации, когда, допустим, клиент получает доступ к персонализированным сведениям при взаимодействии с ними через email-рассылки, аутсорсинг, инфоподдержку. При этом нанятая организация не устанавливает цели обработки ПДн, а действует в интересах заказчика. Последний санкционирует сервис на такую деятельность. А соответственно, у обработчика появляется юридическое обоснование для обрабатывания индивидуальных сведений без обязательности получения санкции на проведение такой манипуляции от каждого владельца электронного почтового ящика (ч. 3 ст. 6 152-ФЗ). В этом и заключается преимущество такого подхода.

Когда не применяется

В тех случаях, когда компания самостоятельно устанавливает цели и осуществляет обработку индивидуализированных сведений в собственном интересе, поручение использовать запрещается – потребуется отвечать прочим обоснованиям обрабатывания персонализированных данных:

• Получение субъектом личных сведений уведомления об обработке персонализированной информации соответствующим сервисом.
• Исполнение соглашения, поручителем или выгодоприобретателем, по которому или участником которого выступает субъект ПДн.
• Обработка личных сведений для исследования (например, для получения статистики для проведения анализа), осуществления творческой деятельности (допустим, научной, литературоведческой), журналистской работы. Но при этом не должны нарушаться права и интересы субъекта индивидуальной информации.

Как правильно оформить документ

Отечественным законодательством не уточняется, какую именно форму должно иметь поручение на обрабатывание ПДн. Тем не менее рекомендуется оформлять документ как приложение к договору или как отдельную бумагу. При этом российским законодательством установлено, что должен включать поручительная бумага:

1. Список ПДн.
2. Список транзакций (манипуляций) с индивидуальными сведениями.
3. Цели обрабатывания личной информации.
4. Меры защиты (требования, предусмотренные ч. 5 ст. 18 федерального закона):
   • При сборе личных сведений, включая посредством глобальной сети, запрещаются их систематизация, запись, хранение, сбор, извлечение, корректировка (изменение, актуализация) с применением БД, которые размещены за границами территории российского государства (кроме установленных национальным законодательством случаев).
   • По запросу оператора индивидуализированных данных на протяжении периода действия поручения (включая до момента обрабатывания личных сведений) направлять бумаги или прочие сведения, которые подтверждают реализацию мероприятий и соблюдение в целях исполнения требований по обеспечению безопасности ПДн при их обработке.
   • Уведомление оператора о факте уничтожения индивидуальных сведений, которые прошли в определенном российскими законодательными актами порядке процесс оценивания соответствия СЗИ, включая средствам защиты данных с интегрированной опцией ликвидации персонализированных сведений.
   • Обязанность по запросу оператора ПДн представлять бумаги и прочую информацию, которые подтверждают соблюдение законодательных нормативов.
5. Соблюдение конфиденциальности личных данных.
6. Отсылки на ст. 18 «Обязанности оператора при сборе ПДн» и ст. 19 «Мероприятия по защите индивидуальной информации при ее обработке» федерального закона.

Последствия отсутствия поручения

При отсутствии поручения на оператора может налагаться штраф в сумме от 60 тысяч рублей до 100 тысяч рублей (санкция установлена ч. 1 ст. 13.11 КоАП Российской Федерации). Таким образом, проведение транзакций с личной информацией без поручения приводит к юридической уязвимости и может предусматривать административную ответственность.

Заключение

Поручение на обработку персональных данных – легальный и комфортный метод обеспечения передачи личной информации.

Составление одного единственного поручения на обрабатывание индивидуализированных сведений сможет заменить получение массы согласований, что существенно упрощает документооборот. Более того, компания, действующая по поручению, будет ответственна исключительно перед своим заказчиком.

При этом важно помнить, что поручение на обработку персональных данных 152 ФЗ можно составлять исключительно в ситуации, когда лицо, которое действует на базе поручительного документа, не устанавливает цели обработки непубличной информации данных и действует исключительно в интересах оператора персональных данных физических лиц. То есть, например, служба рассылок обладает полномочиями обрабатывать индивидуализированные сведения лишь с целью оказания услуги клиенту (оператору ПДн).