+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Защита персональных данных при аутсорсинговой обработке

Защита персональных данных при аутсорсинговой обработкеОбработка персональных данных… многие слышали, читали об этом, но понять до конца трудно, «что это такое и с чем это едят».

Любому лицу, организации, государственному органу (это операторы по обработке персональных данных), которому физическое лицо (субъект персональных данных) передало личную информацию о себе, необходимо соблюсти множество требований законодательства при обработке этой информации, в том числе, но не ограничиваясь, федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее-Закон).

Статья 3 Закона называет обработкой персональных данных (далее — ПДн) любое действие или их совокупность, совершаемых с использованием средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор ПДн

Оператор ПДн должен обеспечить построение эффективной системы защиты ПДн, а именно, выполнение требований:

  • Федерального закона от 27.07.2006 г. № 152-ФЗ
  • Федерального закона от 27.07.2006 г. № 149-ФЗ
  • Указа Президента РФ от 17.03.2008 г. № 351
  • Постановления Правительства РФ от 01.11.2012 г. № 1119
  • Постановления Правительства РФ от 15.09.2008 г. № 687
  • Приказа ФСТЭК России от 18.02.2013 г. № 21
  • Методики ФСТЭК России от 14.02.2008 г.
  • Приказа ФСБ России от 10.07.2014 г. № 378
  • Типовых требований ФСБ России от 21.02.2008 г
  • Приказа Роскомнадзора от 05.09.2013 г. № 996

Все это множество требований и особенностей их исполнения при обработке ПДн, конечно, наталкивает Вас на размышления: «Не воспользоваться ли услугами специализирующейся на этой теме компании и не передать ли эти задачи/обязанности на аутсорсинг?».

Да, в соответствии с частями 3-5 статьи 6 Закона, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта ПДн на основании поручения оператора. Форма и характер такого поручения законодательством не установлена, поэтому считаем возможным заключать как отдельный договор поручения между оператором и аутсорсером, так и включить обязательства требования по ПДн в содержание другого договора (например, агентского, оказания услуг).

И, сразу, пара важных моментов – согласие субъекта ПДн все-равно должно быть получено именно Вами и еще придется составить договор с партнером – аутсорсером (агентом, исполнителем).

Итак, оператор ПДн имеет право отдать обработку ПДн на аутсорсинг при соблюдении порядка получения согласия на обработку ПДн у субъекта ПДн, соответствующего всем требованиям законодательства.

Важно еще раз подчеркнуть, что аутсорсер не должен получать согласие субъекта ПДн на обработку его ПДн – это обязанность оператора ПДн, как и защита ПДн в целом. Аутсорсер оператора ПДн обязан соблюдать принципы и правила обработки ПДн, но не обязан получать согласие субъекта ПДн. Ответственность перед субъектом ПДн за действия указанного лица несет оператор.

Плюсы и минусы аутсорсинга при обработке и защите персональных данных

Основными плюсами аутсорсинга при обработке и защите ПДн:

  • Экономия сил, времени и средств на проекте по построению системы защиты ПДн;
  • Требования законодательства по построению системы защиты ПДн лежат в основном на аутсорсере;
  • Компания – аутсорсер обладает высококвалифицированными специалистами.

Минусы аутсорсинга:

  • Риск утечки информации;
  • Зависимость от внешних исполнителей.

Следует отметить что в современных реалиях передача обработки ПДн на аутсорсинг — неплохой способ сэкономить и при этом выполнить все необходимые требования законодательства о защите ПДн, доверив обработку персональных данных специализированной компании, например, на основании договора поручения, которым можно минимизировать риски аутсорсинга обработки ПДн.

Так, договором мы можем определить не только регламент обработки ПДн, обязательства сторон, но и установить жесткую ответственность за их нарушение, определить внесудебный порядок взыскания штрафа и/или неустойки. И, рекомендуем объяснить аутсорсеру, что включение в договор, может, на первый взгляд «драконовских» штрафных санкций, не имеет целью «нажиться за счет партнера», а лишь призвать его к качественному выполнению принятых на себя обязательств, дополнительно «простимулировать». Ведь в итоге, в случае утечки ПДн, претензий субъектов ПДн и/или контролирующих органов, ответственность будет нести именно оператор ПДн.

Обработка ПДн при аутсорсинговой обработке

logo RTM Group

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку персональных данных.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Связанные услуги

Аудит на соответствие 152-ФЗ «О персональных данных»

Аудит на соответствие 152-ФЗ «О персональных данных»

— Что означает соответствие 152-ФЗ?
— Чем грозит несоответствие по 152-ФЗ?
— Что представляет собой аудит?
— Стоимость аудита 152-ФЗ

Разработка пакета документов по защите персональных данных

Разработка пакета документов по защите персональных данных

— Какие данные сотрудников компании являются персональными?
— Действуют ли требования по защите персональных данных по 152-ФЗ в отношении клиентов и/или контрагентов компании?
— Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?
— Какие документы по обработке персональных данных нужны в компании?
— Что Вы получаете в результате заказанной в RTM Group услуги?
— Как предоставляется услуга (алгоритм действия)?
— Почему RTM Group
— Заказать услугу по разработке пакета документов по защите ПДн
— Стоимость услуги по разработке пакета документов по защите ПДн

Заказать политику конфиденциальности

Заказать политику конфиденциальности

— Для чего собирают персональные данные?
— Основные нюансы разработки политики конфиденциальности
— Почему так важно защищать персональные данные
— Что является конфиденциальной информацией
— Почему RTM Group
— Заказать услугу по разработке политики конфиденциальности
— Стоимость услуги по разработке политики конфиденциальности