Требования к договору, предусматривающему передачу персональных данных
Требования к договору, предусматривающему передачу персональных данных
В деятельности некоммерческих организаций часто встречаются случаи, когда им необходимо передавать обрабатываемые у них персональные данные (ПДн) третьим лицам. Например, при ведении их бухгалтерского учета сторонней организацией или при реализации программ-проектов в рамках полученной субсидии (гранта). Согласно действующему законодательству, такая передача ПДн расценивается как поручение обработки ПДн другому лицу.
В соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (ФЗ о ПДн) оператор персональных данных (в частности — НКО) вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, на основании заключаемого с этим лицом договора.
В поручении (договоре) оператора должны быть определены:
В соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (ФЗ о ПДн) оператор персональных данных (в частности — НКО) вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, на основании заключаемого с этим лицом договора.
В поручении (договоре) оператора должны быть определены:
✓
перечень персональных данных;
✓
перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;
✓
цели их обработки;
✓
обязанность такого лица соблюдать конфиденциальность ПДн;
✓
обязанность соблюдать требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 ФЗ о ПДн;
✓
обязанность по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора установленных требований;
✓
обязанность обеспечивать безопасность ПДн при их обработке;
✓
требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ о ПДн, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 ФЗ о ПДн (т.е. об утечке ПДн).
Данные обстоятельства являются существенными условиями договора (ч. 1 ст. 432 ГК РФ) и их отсутствие в договоре может служить основанием для признания его недействительным.
Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта на обработку его ПДн.
В случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед оператором.
Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта на обработку его ПДн.
В случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед оператором.
Вывод: некоммерческим организациям при заключении договоров, предусматривающих передачу ПДн, следует учитывать указанные выше требования, установленные ч. 3 ст. 6 ФЗ о ПДн.
Сложно разобраться в теме персональных данных?
Обратитесь к юристу «Правовой команды»!