Открыть сервис

Поручение на обработку данных

Поручение на обработку данных — это документ, который оформляется в соответствии с законодательством о персональных данных (в частности, с Федеральным законом № 152-ФЗ «О персональных данных» в Российской Федерации) и определяет условия, при которых одно лицо (оператор) поручает другому лицу (уполномоченному лицу, обработчику) осуществлять обработку персональных данных от имени и в интересах оператора. Поручение является обязательным элементом договорных отношений, когда обработка данных передаётся третьей стороне, и служит для обеспечения законности, конфиденциальности и безопасности обрабатываемых сведений.

Правовая основа

В Российской Федерации основным нормативным актом, регулирующим отношения, связанные с обработкой персональных данных, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Согласно части 3 статьи 6 этого закона, оператор вправе поручить обработку персональных данных другому лицу на основании договора, в том числе государственного или муниципального контракта, либо путём издания соответствующего акта (например, приказа). При этом обязательным условием является включение в такой договор или акт перечня действий (операций) с персональными данными, которые будет совершать уполномоченное лицо, а также указание целей обработки.

Ключевым требованием является то, что уполномоченное лицо не обязано получать согласие субъекта персональных данных на обработку, если оно действует строго в рамках поручения оператора. Ответственность за действия обработчика перед субъектом данных несёт оператор, если иное не предусмотрено соглашением между ними. В случае нарушения уполномоченным лицом требований к обработке данных оператор также может быть привлечён к ответственности, если не докажет, что надлежащим образом контролировал исполнение поручения.

Содержание поручения

Поручение на обработку данных должно содержать исчерпывающий перечень сведений и условий, позволяющих однозначно определить объём и порядок действий обработчика. К числу обязательных элементов относятся:

  • Стороны поручения: полные наименования оператора и уполномоченного лица, их реквизиты (ИНН, ОГРН, адреса).
  • Цель обработки: конкретная цель, для которой оператор передаёт данные (например, «для оказания услуг по доставке товаров» или «для ведения бухгалтерского учёта»).
  • Перечень персональных данных: категории и перечень конкретных данных, которые разрешается обрабатывать (фамилия, имя, отчество, адрес, телефон, паспортные данные и т.д.).
  • Перечень действий (операций) с данными: какие именно операции разрешены (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
  • Срок обработки: период, в течение которого уполномоченное лицо вправе обрабатывать данные, или условие прекращения обработки (например, «до момента расторжения договора» или «до достижения цели обработки»).
  • Обязанности по обеспечению конфиденциальности и безопасности: требование соблюдать конфиденциальность данных, принимать меры по их защите в соответствии с законодательством (включая требования к шифрованию, разграничению доступа, физической защите носителей).
  • Порядок взаимодействия: условия уведомления оператора о фактах утечки или несанкционированного доступа, порядок предоставления отчётов о выполненной обработке.
  • Условия передачи третьим лицам: запрет или разрешение на дальнейшую передачу данных субподрядчикам (субобработчикам), с указанием порядка согласования таких действий.
  • Ответственность сторон: меры ответственности за нарушение условий поручения, включая возмещение убытков.

Виды поручений

Поручения на обработку данных могут различаться в зависимости от формы документа и субъектного состава:

  • Договорное поручение: оформляется как отдельный договор (например, договор оказания услуг, агентский договор) или как приложение к нему. Наиболее распространённая форма.
  • Акт оператора: внутренний документ (приказ, распоряжение), которым оператор поручает обработку данных своему структурному подразделению или дочерней организации. Применяется в рамках одной юридической группы.
  • Поручение в рамках государственного или муниципального контракта: включается в текст контракта или оформляется отдельным соглашением. Регулируется также нормами Федерального закона № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».
  • Поручение для обработки данных работников: часто включается в трудовой договор или коллективный договор, но может быть и отдельным локальным нормативным актом.

Процедура оформления и согласования

Оформление поручения на обработку данных обычно включает следующие этапы:

  1. Определение необходимости: оператор анализирует, какие данные и для каких целей необходимо передать обработчику.
  2. Выбор обработчика: оператор проверяет, что уполномоченное лицо обладает достаточными техническими и организационными возможностями для обеспечения защиты данных (в том числе наличие лицензий на техническую защиту конфиденциальной информации, если это требуется).
  3. Составление проекта поручения: разрабатывается текст, содержащий все обязательные элементы.
  4. Согласование: стороны обсуждают и утверждают условия, вносят изменения. Особое внимание уделяется перечню разрешённых действий и мерам безопасности.
  5. Подписание: документ подписывается уполномоченными представителями обеих сторон. В случае электронного документооборота — с использованием усиленной квалифицированной электронной подписи.
  6. Контроль исполнения: оператор вправе запрашивать у обработчика отчёты о выполненной обработке, проводить аудит или проверки.

Ответственность и последствия нарушения

Нарушение требований к оформлению поручения или его исполнению может повлечь за собой административную, гражданско-правовую и в отдельных случаях уголовную ответственность. В Российской Федерации основным видом ответственности за нарушение законодательства о персональных данных является административная ответственность по статье 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Штрафы для юридических лиц могут достигать нескольких сотен тысяч рублей, а в случае повторного нарушения или утечки значительного объёма данных — до нескольких миллионов рублей.

Кроме того, оператор может быть привлечён к гражданско-правовой ответственности перед субъектом персональных данных за причинение морального вреда или убытков, возникших в результате неправомерной обработки. Если обработчик нарушил условия поручения, оператор вправе взыскать с него убытки в порядке регресса.

Особенности в различных сферах

Поручение на обработку данных имеет свою специфику в разных отраслях:

  • Медицина: обработка данных о состоянии здоровья требует особого внимания к конфиденциальности и дополнительных мер защиты. Поручение должно включать указание на врачебную тайну.
  • Финансовый сектор: банки и страховые компании передают данные для скоринга, андеррайтинга или расчётов. Поручения содержат строгие ограничения на использование данных в маркетинговых целях.
  • HR и кадровое делопроизводство: обработка данных работников (зарплата, стаж, больничные) часто поручается аутсорсинговым компаниям (например, расчётным центрам). Поручение должно соответствовать требованиям Трудового кодекса РФ.
  • IT и облачные сервисы: при использовании облачных платформ для хранения или обработки данных поручение должно учитывать местонахождение серверов (особенно в свете требований о локализации данных граждан РФ на территории России).
  • Государственные и муниципальные закупки: поручение должно соответствовать требованиям Федерального закона № 44-ФЗ и содержать положения о контроле со стороны заказчика.

Международный аспект

В международной практике, в частности в рамках Общего регламента по защите данных (GDPR) Европейского союза, аналогом поручения является «Data Processing Agreement» (DPA). Российское законодательство не требует обязательного соответствия GDPR, однако при обработке данных граждан стран ЕС российские компании могут добровольно применять его нормы. В таких случаях поручение должно дополнительно содержать условия, предусмотренные GDPR, включая положения о передаче данных в третьи страны и о правах субъектов данных.

Источники

  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
  • Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
  • Федеральный закон от 5 апреля 2013 года № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».
  • Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных (официальный сайт).
  • Методические рекомендации по оформлению поручений на обработку персональных данных (издания Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →