ПД — персональные данные.
Одни бизнесы пользуются услугами других бизнесов или частных исполнителей. Это база.
Пример: обучающий центр хранит данные работников и учащихся в CRM.
Другой пример: флористическая студия пользуется услугами курьерской компании (или самозанятого курьера) для доставки букетов.
В этих и подобных случаях организации, ИП или самозанятые, исполняющие поручения компании — это третьи лица, обрабатывающие ПД.
С кем необходимо заключать соглашения о поручении обработки ПД
С третьими лицами, обрабатывающими ПД не для себя, а по заданию компании (оператора ПД) и в целях, которые она поставила.
Главное условие: у третьего лица не должно быть своих целей использования и обработки ПД. Он взаимодействует с ними исключительно для выполнения заданий оператора.
Заключать отдельное соглашение о поручении обработки ПД нужно с каждым контрагентом, которому передаются или могут передаваться данные клиентов и работников компании (например, с бухгалтером на аутсорсе). Этого требует закон «О персональных данных»
Рассмотрим на примере службы доставки
Есть некая компания, она является оператором ПД (собирает, обрабатывает и хранит персональные данные клиентов). По закону оператор обязан обеспечивать меры защиты и безопасности обработки ПД, основания для их обработки, предотвращать незаконную передачу, утечку ПД и т.д.
Чтобы доставлять товары клиентам, компания заключает соответствующие договоры с курьерскими службами. Также компания должна подписать с курьерскими службами поручение на обработку персональных данных клиентов. Требования к содержанию поручения установлены 152-ФЗ.
В договор (оферту) с клиентами необходимо включить условие о том, что в целях исполнения договора их данные в минимально необходимом объеме будут переданы курьерской службе (наименование и адрес).
Важно! По закону, если есть соглашение о поручении обработки ПД, то курьерская служба не обязана сама собирать согласия субъектов ПД (клиентов компании). Это должен делать оператор.
Преимущества соглашений о поручении обработки ПД
В нём можно прописать, что курьерская служба, как лицо, обрабатывающее персональные данные по поручению, обязуется обеспечить меры безопасности в отношении ПД в своем сервисе. Также в соглашение можно внести пункты об ответственности за несоблюдение этих мер в случае утечек. Фактически компания может переложить часть ответственности в случае утечки ПД на курьерскую службу, и, если случится утечка, взыскать с виновной курьерской службы убытки.
Особенно важно заключать соглашения о поручении обработки ПД с облачными сервисами, когда персональные данные хранятся не на серверах оператора, а на серверах третьих лиц (хостинг-провайдеров, CRM-систем и т.д.).
По закону, именно оператор должен обеспечить меры защиты ПД, но при использовании облачных сервисов он не может сделать это самостоятельно, так как пользуется сторонним сервисом, поэтому подписать соглашение о поручении обработки ПД крайне важно.
Как должно выглядеть соглашение о поручении обработки ПД
Условия о поручении на обработку персональных данных соответствовать положениям части 3 статьи 6 ФЗ «О персональных данных».
Оно может быть:
выполнено в отдельном документе;
прописано как условие в договоре;
сделано в форме дополнительного соглашения к договору.
Если контрагент использует ПД для собственных целей
В таком случае он выступает самостоятельным оператором ПД. Это значит, что он должен получать согласие на обработку ПД от субъектов ПД, а не заключать соглашение о поручении с другой компанией.
