Все некоммерческие организации являются операторами персональных данных и обязаны соблюдать требования законодательства при их обработке.

В соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ о ПДн), оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

В поручении (договоре) оператора должны быть определены:

• перечень персональных данных;
• перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
• цели обработки;
• должна быть установлена обязанность соблюдать конфиденциальность персональных данных;
• обязанность соблюдать требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 ФЗ о ПДн;
• обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора установленных требований;
• обязанность обеспечивать безопасность персональных данных при их обработке;
• требования к защите обрабатываемых персональных данных в соответствии со ст. 19 ФЗ о ПДн, в том числе требование об уведомлении оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Таким образом, если у НКО возникает необходимость поручения обработки персональных данных третьему лицу, например, передача ведения бухгалтерского учета сторонней организации, то договор с таким третьим лицом должен содержать вышеуказанные обязательные условия.

Субъекты, чьи персональные планируется передать третьему лицу, должны быть осведомлены об этом и выразить свое согласие (подтверждение такого согласия должно храниться у оператора).