Защита персональных данных при аутсорсинговой обработке

Обработка персональных данных… многие слышали, читали об этом, но понять до конца трудно, «что это такое и с чем это едят».

Любому лицу, организации, государственному органу (это операторы по обработке персональных данных), которому физическое лицо (субъект персональных данных) передало личную информацию о себе, необходимо соблюсти множество требований законодательства при обработке этой информации, в том числе, но не ограничиваясь, федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее-Закон).

Статья 3 Закона называет обработкой персональных данных (далее – ПДн) любое действие или их совокупность, совершаемых с использованием средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор ПДн – кто это?

Оператор ПДн должен обеспечить построение эффективной системы защиты ПДн, а именно, выполнение требований:

• Федерального закона от 27.07.2006 г. № 152-ФЗ
• Федерального закона от 27.07.2006 г. № 149-ФЗ
• Указа Президента РФ от 17.03.2008 г. № 351
• Постановления Правительства РФ от 01.11.2012 г. № 1119
• Постановления Правительства РФ от 15.09.2008 г. № 687
• Приказа ФСТЭК России от 18.02.2013 г. № 21
• Методики ФСТЭК России от 14.02.2008 г.
• Приказа ФСБ России от 10.07.2014 г. № 378
• Типовых требований ФСБ России от 21.02.2008 г
• Приказа Роскомнадзора от 05.09.2013 г. № 996

Все это множество требований и особенностей их исполнения при обработке ПДн, конечно, наталкивает Вас на размышления: «Не воспользоваться ли услугами специализирующейся на этой теме компании и не передать ли эти задачи/обязанности на аутсорсинг?».

Да, в соответствии с частями 3-5 статьи 6 Закона, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта ПДн на основании поручения оператора. Форма и характер такого поручения законодательством не установлена, поэтому считаем возможным заключать как отдельный договор поручения между оператором и аутсорсером, так и включить обязательства требования по ПДн в содержание другого договора (например, агентского, оказания услуг).

И, сразу, пара важных моментов – согласие субъекта ПДн все-равно должно быть получено именно Вами и еще придется составить договор с партнером – аутсорсером (агентом, исполнителем).

Итак, оператор ПДн имеет право отдать обработку ПДн на аутсорсинг при соблюдении порядка получения согласия на обработку ПДн у субъекта ПДн, соответствующего всем требованиям законодательства.

Важно еще раз подчеркнуть, что аутсорсер не должен получать согласие субъекта ПДн на обработку его ПДн – это обязанность оператора ПДн, как и защита ПДн в целом. Аутсорсер оператора ПДн обязан соблюдать принципы и правила обработки ПДн, но не обязан получать согласие субъекта ПДн. Ответственность перед субъектом ПДн за действия указанного лица несет оператор.

Плюсы и минусы аутсорсинга при обработке и защите ПДн

Основными плюсами аутсорсинга при обработке и защите ПДн:

• Экономия сил, времени и средств на проекте по построению системы защиты ПДн;
• Требования законодательства по построению системы защиты ПДн лежат в основном на аутсорсере;
• Компания – аутсорсер обладает высококвалифицированными специалистами.

Минусы аутсорсинга:

• Риск утечки информации;
• Зависимость от внешних исполнителей.

Следует отметить что в современных реалиях передача обработки ПДн на аутсорсинг – неплохой способ сэкономить и при этом выполнить все необходимые требования законодательства о защите ПДн, доверив обработку персональных данных специализированной компании, например, на основании договора поручения, которым можно минимизировать риски аутсорсинга обработки ПДн.

Так, договором мы можем определить не только регламент обработки ПДн, обязательства сторон, но и установить жесткую ответственность за их нарушение, определить внесудебный порядок взыскания штрафа и/или неустойки. И, рекомендуем объяснить аутсорсеру, что включение в договор, может, на первый взгляд «драконовских» штрафных санкций, не имеет целью «нажиться за счет партнера», а лишь призвать его к качественному выполнению принятых на себя обязательств, дополнительно «простимулировать». Ведь в итоге, в случае утечки ПДн, претензий субъектов ПДн и/или контролирующих органов, ответственность будет нести именно оператор ПДн.