поручение на обработку персональных данных

Описание страницы: приложение n 1. поручение на обработку персональных данных от профессионалов для людей.

1. Настоящее поручение на обработку персональных данных (далее – Поручение) ___________________ (наименование ликвидируемой финансовой организации), именуемого(-ой) в дальнейшем “Заказчик”, определяет требования, предъявляемые в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон о ПДн) к организации обработки и защиты персональных данных (далее – ПДн) __________________ (наименование привлеченной специализированной организации), именуемым в дальнейшем “Исполнитель”, в связи с оказанием Исполнителем услуг Заказчику в соответствии с условиями договора возмездного оказания услуг, связанных с установлением и подтверждением прав финансовой организации на ценные бумаги N __ от _______________ (далее – Договор).

2. Обработка ПДн Исполнителем осуществляется в целях выполнения в ходе ликвидационной процедуры в отношении Заказчика мероприятий, предусмотренных Договором, в соответствии с Федеральным законом от 26.10.2002 N 127-ФЗ “О несостоятельности (банкротстве)”.

3. В рамках настоящего Поручения Исполнителем будут совершаться следующие действия (операции) с ПДн:

4. Лицом, ответственным за организацию обработки ПДн у Исполнителя, является ____________________________________________________________ (ФИО, должность, контактный телефон).

5. Исполнитель обязан:

5.1. Соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке.

5.2. Соблюдать требования к защите обрабатываемых ПДн в соответствии со ст. 19 Закона о ПДн, в том числе применять в качестве оператора ПДн в ходе обработки ПДн и для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн и от иных неправомерных действий в отношении ПДн необходимые правовые, организационные и технические меры, соответствующие требованиям Закона о ПДн и принятым в соответствии с ним нормативным правовым актам Российской Федерации, в частности:

постановлению Правительства Российской Федерации от 1 ноября 2012 г. N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” (включается в Договор в случаях обработки ПДн в информационных системах);

Читайте так же:  оформление права собственности на гараж

приказу ФСТЭК России от 18 февраля 2013 г. N 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” (включается в Договор в случаях обработки ПДн в информационных системах);

постановлению Правительства Российской Федерации от 15 сентября 2008 г. N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”.

5.3. Если обработка ПДн, переданных Исполнителю, будет совершаться с использованием средств автоматизации, то Исполнитель вправе приступить к обработке ПДн после направления в уполномоченный орган по защите прав субъектов ПДн уведомления о своем намерении осуществлять обработку ПДн, которые будут переданы Заказчиком, и предоставить Заказчику заверенную руководителем ______________ копию указанного уведомления.

5.4. При обработке ПДн, полученных не от субъектов ПДн, сообщать до начала обработки ПДн субъектам ПДн информацию, предусмотренную ч. 3 ст. 18 Закона о ПДн, за исключением случаев, изложенных в ч. 4 ст. 18 Закона о ПДн.

5.5. В случае изменения контактных данных лица, указанного в п. 4 настоящего Поручения, либо назначения нового лица уведомить об этом Заказчика в письменной форме в трехдневный срок.

5.6. Своевременно уничтожить ПДн в связи с окончанием их обработки и уведомить об этом Заказчика.

5.7. Предоставлять Заказчику необходимую информацию для подготовки ответа на запрос субъекта ПДн об обрабатываемых ПДн, обеспечивать по поручению Заказчика ознакомление субъекта ПДн с его ПДн.

5.8. Следовать предписаниям Заказчика по исполнению обязанностей, предусмотренных Законом о ПДн.

5.9. В случае если деятельность Исполнителя в ходе исполнения Договора перестает отвечать требованиям, установленным законодательством Российской Федерации в отношении обработки и защиты ПДн, незамедлительно информировать об этом Заказчика с указанием причин произошедшего и сроков устранения возникших несоответствий (нарушений), а также прекратить обработку ПДн.

Читайте так же:  гражданство коста рики как получить

Поручение обработки персональных данных

Согласно пункту 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152) оператор [персональных данных] – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, оператор имеет возможность организовывать и (или) осуществлять обработку персональных данных как самостоятельно, так и совместно с другими лицами 1) . В последнем случае оператору надлежит руководствоваться частям 3, 4 и 5 статьи 6 ФЗ-152 (в редакции Федерального закона от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»), согласно которым:

Обращает на себя внимание то, что частью 3 статьи 6 ФЗ-152 установлен перечень требований к поручению оператора:

Видео (кликните для воспроизведения).

С момента принятия Федерального закона от 25 июля 2011 г. № 261-ФЗ субъектами, операторами, органами государственной власти и иными заинтересованными лицами было инициировано более 200 судебных разбирательств в сфере персональных данных. Среди указанных разбирательств 5 судебных дел прямо или косвенно затрагивают регулирование отношений между операторами и ЛООПДППО . Представляется целесообразным условно разделить выявленные судебные дела на две категории: первая категория затрагивает вопросы передачи персональных данных в рамках исполнения договоров, заключенных между операторами и ЛООПДППО ; вторая категория затрагивает взаимные обязательства и ответственность операторов и ЛООПДППО в рамках поручения обработки персональных данных.

В первой категории находятся следующие дела:
1) Голубева О. И. против прокуратуры (дело № 12-223/2011 от 29 июля 2011 г., апелляция);
2) Бондарчук В. А. против СТСЖ «Волга», ТСЖ «Вишневое», ООО «Лига» (дело № 33-5562 от 19 октября 2011 г., кассация);
3) Кислов Г. Е. против ЗАО «ВТБ 24» (дело № 2-3559/11 от 21 октября 2011 г., первая инстанция).

Читайте так же:  внесение изменений в птс при смене фамилии

Во второй категории находятся следующие дела: 1) Бондарёнок А. В. против ОАО «Мобильные ТелеСистемы» (дело № 2-2275-11/10с от 25 августа 2011 г., первая инстанция).

Между ОАО «МТС» и ООО «Артекс-Связь», ООО «Глобал Телелайн МСК» были заключены договоры поручения (коммерческого представительства), в соответствии с условиями которых ОАО «МТС» поручает, а коммерческий представитель обязуется совершать от имени и за счет ОАО «МТС» действий по поиску потенциальных абонентов, их справочно-информационному обслуживанию, а также юридические действия по заключению абонентских договоров и внесению изменений и дополнений в действующие абонентские договоры. ООО «Артэкс-Связь», «ГлобалТелеЛайн МСК заключили от имени ОАО «МТС» абонентские договоры с выделением абонентских номеров, в которых в качестве абонента был указан Бондарёнок А. В. Судом было установлено, что Бондарёнок А. В. не заключал указанные абонентские договоры, а персональные данные Бондарёнок А. В. незаконно были переданы в ОАО «МТС», где обрабатывались последним.

Суд также отметил, что ответственность по возмещению вреда причиненного лицу по договору, заключенному в рамках коммерческого представительства не может быть возложена на коммерческого представителя, поскольку он является лишь посредником между третьим лицом и доверителем и законом предусмотрена ответственность коммерческого представителя только перед доверителем 4) .

2) Прокуратура против ООО «РЭУ Бытовик» (дело № 2-3370 от 9 ноября 2011 г., первая инстанция).

Прокурор г. Ленинска-Кузнецкого обратился в суд с исковым заявлением в интересах неопределенного круга лиц – граждан муниципального образования г. Полысаево к ООО «РЭУ Бытовик» о признании незаконным бездействия ООО «РЭУ Бытовик», выразившиеся в не определении в договорах (на ведение лицевых счетов и реестров по оплате; сбору платежей с населения) заключенных с ООО «Расчетно-кассовый центр»: перечня действий (операций) с персональными данными, которые должны будут совершаться, в ходе исполнения договорных обязательств; не установления цели обработки, предоставляемых персональных данных; обязанности ООО «Расчетно-кассовый центр» соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке и обязывании ООО «РЭУ Бытовик» определить в договорах заключенных с ООО «Расчетно-кассовый центр» вышеуказанные условия поручения обработки персональных данных.

Читайте так же:  порядок действия работника при возникновении пожара

Суд признал доводы прокурора обоснованными, признал незаконным бездействие незаконным бездействие ООО «РЭУ Бытовик» и обязал ООО «РЭУ Бытовик» определить в договорах заключенных с ООО «Расчетно-кассовый центр» условия поручения обработки персональных данных, указанные в части 3 статьи 6 ФЗ-152.

Правовой статус “обработчика” персональных данных в России и его отличие от оператора

Все, кто сталкивался с обработкой персональных данных (ПД) знаком с понятием Оператор. И в целом законодательство, а именно ФЗ "О персональных данных" от 27.07.2006 N 152-ФЗ, дает достаточно емкое понятие термина Оператор.

На практике часто возникает ситуация, когда организация обрабатывает ПД, которые ей передал на обработку Оператор. Это может быть: ЦОД, который осуществляет хранение данных или, например, сервис рассылок email или sms сообщений, который действует по поручению онлайн-ритейлера.

Встает вопрос, кем является организация, получившая данные от Оператора, по отношению к субъекту ПД: тоже Оператор или же просто “Обработчик”, правовой статус которого в N 152-ФЗ не определен?

Пункты 3-5 ст. 6 N 152-ФЗ предусматривают возможность Операторов поручать обработку ПД третьим лицам. Эти третьи лица как раз и являются “Обработчиками”.

Права и обязанности Обработчика сформулированы достаточно кратко: лицо обязано соблюдать принципы и правила обработки персональных данных выполнять требования Оператора.

Также, закон закрепляет, что

“Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных”.

Это ограничивает ответственность Обработчика:

“В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором”.

Европейский GDPR четко выделяет два субъекта обработки ПД: Контроллер и Процессор, аналог российского Оператора и “Обработчика”. GDPR фиксирует правовой статус, права, обязанности и ответственность обоих субъектов обработки ПД.

Читайте так же:  оплата труда в ночное время тк рф

В России же, изучая административную практику Роскомнадзора и Судебную практику, бросается в глаза, что третьих лиц, занимающихся обработкой, еще ни разу не назвали “Оператором”, но и как-то иначе, чем “третьи лица” они также не именуются.

Бывают ситуации, когда юридическое лицо поручает другому лицу собирать персональные данные и оказывать определенные услуги с использованием таких данных. При этом такое юридическое лицо считает, что оно не является Оператором, а факт того, что оно определяет цели обработки ПД, состав ПД, подлежащих обработке и действия (операции), совершаемые с ПД, его не сильно волнует. И при этом лицо, которому поручили собрать ПД и оказать с ними определенные услуги, также не является Оператором.

Встает вопрос о разграничении ответственности субъектов, обрабатывающих ПД. Также, нередко дискутируется необходимость уведомления РКН и включения в реестр третьих лиц, если они все такие не являются “Операторами”, но обрабатывают ПД по поручению.

Если у организации есть своя база ПД, собранная ей на своем сайте, и база ПД, полученная ей по договору с целью оказания услуг, неужели по отношению к обеим базам ПД она будет выступать Оператором?

Это далеко не единственная неопределенность ФЗ "О персональных данных" от 27.07.2006 N 152-ФЗ, ответ на которую не может дать РКН.

поручение на обработку персональных данных
Оцените статью
Изображение - поручение на обработку персональных данных serjkamysh
Автор статьи: Сергей Камышов

Позвольте представиться. Меня зовут Сергей и я уже более 7 лет оказываю юридические услуги. Считая себя профессионалом, хочу научить всех посетителей сайта решать сложные задачи. Все материалы для сайта собраны и тщательно переработаны для того чтобы донести как можно доступнее всю требуемую информацию. Однако чтобы применить все, описанное на сайте всегда необходима ОБЯЗАТЕЛЬНАЯ консультация со специалистами.

Обо мнеОбратная связь
Оцените статью:
Видео (кликните для воспроизведения).

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here