Сравнение соглашений о поручении на обработку персональных данных и о передаче персональных данных
Взаимодействие оператора с иными лицами по поводу обработки персональных данных (далее - ПД) не исчерпывается только предусмотренным ч.3 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - 152-ФЗ) субинститутом поручения обработки ПД. При анализе норм 152-ФЗ представляется возможным сделать вывод о допустимости передачи (обмена) ПД между оператором и иными лицами без наличия соответствующего поручения об обработке ПД. При этом и поручение обработки ПД, и передача ПД без поручения обработки требуют должной юридической и формализации – заключения соответствующих соглашений между оператором и иными лицами (за некоторым исключением, например, при передаче ПД без поручения обработки в адрес органов государственной власти, органов местного самоуправления).
При оценке характера взаимодействия сторон при передаче ПД необходимо опираться на определения, представленные в законодательстве. Так, согласно 152-ФЗ, оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПД.
Понятие «передача» не раскрыто законодателем. Вместе с тем под передачей понимается процесс по направлению информации или документов какому-либо лицу каким-либо способом. При этом согласно ГОСТ Р ИСО 15489-1-2007 «Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования», утвержденному приказом Ростехрегулирования от 12.03.2007 № 28-ст, передача (transfer) (в отношении способа хранения) — это изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть, если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации. Однако применительно к персональным данным передача является самостоятельным процессом обработки данных, который должен осуществляться в заранее определенных и законных целях (Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией зам. рук. Роскомнадзора А.А. Приезжевой).
В Таблице представлена сравнительная правовая характеристика типовых проектов соглашений о поручении обработки ПД и о передаче ПД (см. ниже). Для удобства сравнения оба соглашения анализируются в качестве самостоятельных двухсторонних актов.
Соглашение о поручении обработки ПД | Соглашение о передаче ПД |
---|---|
Правовое основание | |
Возможность заключения соглашения о поручении обработки ПД прямо зафиксирована в ч.3 ст.6 152-ФЗ. Следует отметить, что с точки зрения гражданско-правовых норм наиболее близким к институту поручения обработки ПД по своей правовой природе и форме реализации является институт агентского договора, определенный в главе 52 ГК РФ. | Возможность заключения соглашения о передаче ПД в 152-ФЗ или иных нормативных правовых актах прямо не зафиксирована. Тем не менее, в соответствии со ст.421 ГК РФ граждане и юридические лица свободны в заключении договора. Стороны могут заключить договор, как предусмотренный, так и не предусмотренный ГК РФ или иными правовыми актами. Стороны могут заключить договор, в котором содержатся элементы различных договоров, предусмотренных законом или иными правовыми актами (смешанный договор). К отношениям сторон по смешанному договору применяются в соответствующих частях правила о договорах, элементы которых содержатся в смешанном договоре, если иное не вытекает из соглашения сторон или существа смешанного договора. Условия договора определяются по усмотрению сторон, кроме случаев, когда содержание соответствующего условия предписано законом или иными правовыми актами (ст.422 ГК РФ). Кроме того, в 152-ФЗ есть косвенные указания на то, что передача (предоставление, доступ) ПД может осуществляться вне рамок поручения на обработку ПД: 1. п.11 ст.3 152-ФЗ дано определение трансграничной передачи ПД, в котором сама передача ПД напрямую не увязана с поручением обработки ПД. Это позволяет сделать вывод о возможности передачи ПД от оператора к «органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу» без необходимости поручать им вести обработку ранее переданных ПД в интересах оператора; 2. в ст.7 152-ФЗ указывается на возможность получения операторами и иными лицами доступа к ПД. Использование термина «иные лица» позволят определить круг лиц, имеющих доступ к ПД, максимально широко, без однозначной привязки к роли «обработчика» ПД. Прямое требование соблюдать конфиденциальность ПД обращено одновременно к оператору и иным лицам, что подразумевает наличие у иных лиц прямой юридической ответственности перед субъектом за нарушение конфиденциальности его ПД. Следует отметить, что в субинституте поручения обработки ПД (см. ч.5 ст.6 152-ФЗ) предусмотрен иной порядок ответственности перед субъектом – «…если оператор поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПД по поручению оператора, несет ответственность перед оператором»; 3. в п.1 ч.4 ст.18 152-ФЗ предусмотрена ситуация, в которой один оператор получает персональные данные субъекта от другого оператора и, соответственно, первый оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные ч.3 ст.18 152-ФЗ, в случае, если субъект персональных данных был ранее уведомлен об осуществлении такой обработки его персональных данных вторым оператором 4. в ч.3 ст.20 152-ФЗ законодатель прямо указывает, что оператор может предоставлять ПД третьим лицам и должен «принять разумные меры для уведомления» этих третьих лиц о фактах неполноты, неточности, неактуальности переданных ПД, а также о фактах незаконного получения ПД или отсутствия необходимости в обработке ПД для достижения заявленной оператором цели обработки. Одновременно с этим, в ст.21 152-ФЗ закреплены гораздо более жесткие требования к оператору по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД. Данная статья требует от оператора уже не только самому предпринимать те или иные действия, а обеспечивать их выполнение лицами, действующими по поручению оператора. |
Правовые характеристики | |
Соглашение о поручении обработки ПД является: 1. консенсуальным; 2. односторонним; 3. условно безвозмездным – в ч.3 ст.6 152-ФЗ возмездность поручения обработки ПД прямо не оговаривается. Обработка ПД, а также обеспечение конфиденциальности и безопасности ПД при обработке могут быть квалифицированы как оказание соответствующих услуг. Согласно ст.575 ГК РФ запрещены сделки дарения между коммерческими организациями, так как деятельность коммерческой организации должна быть направлена на получение прибыли. Т.е. при совершении подобной сделки, такая сделка изначально будет ничтожной, несмотря на то, что налоговое законодательство РФ допускает сделки дарения между юридическими лицами. Таким образом, соглашение о поручении обработки ПД между двумя коммерческими организациями должно сопровождаться возмездным договором, предусматривающим или взаимозачет, или вознаграждение (хоть какое-то встречное исполнение). | Соглашение о передаче ПД является: 1. консенсуальным; 2. двусторонним (взаимным); 3. безвозмездным. |
Предмет | |
Предметом соглашения о поручении обработки ПД является осуществление обработки ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД. | Предметом соглашения о передаче ПД является обеспечение правомерности передачи (предоставления, доступа) ПД между сторонами соглашения, а также обеспечение конфиденциальности и безопасности передаваемых между сторонами соглашения ПД при их обработке. |
Стороны | |
Сторонами соглашения о поручении обработки ПД являются: 1. оператор; 2. лицо, осуществляющее обработку ПД по поручению оператора. | Сторонами соглашения о передаче ПД являются: 1. передающая сторона; 2. получающая сторона. |
Срок | |
Соглашение о поручении обработки ПД вступает в силу с момента его подписания обеими сторонами, является бессрочным и утрачивает свою силу: 1. с момента, предусмотренного взаимным соглашением сторон; 2. по истечении определенного срока с момента получения лицом, осуществляющим обработку ПД по поручению оператора, письменного уведомления от оператора о прекращении действия соглашения. | Соглашение о передаче ПД вступает в силу с момента его подписания обеими сторонами, является бессрочным и может быть расторгнуто по взаимному соглашению сторон. |
Форма | |
В ч.3 ст.6 152-ФЗ приводится лишь общая норма о формализации поручения обработки ПД в виде заключаемого договора, а также приводятся примеры двух частных случаев формализации поручения обработки ПД: 1. государственный или муниципальный контракт; 2. акт, принятый государственным или муниципальным органом. | Указания о форме соглашения о передаче ПД в действующем законодательстве РФ отсутствуют. Форма договора может быть либо установлена нормами права, либо свободно определяться по соглашению сторон. Закон обычно дает лишь общие указания на то, в каких случаях сделки подлежат заключению в устной, письменной (в том числе нотариальной) форме или в форме конклюдентных действий. 152-ФЗ и иные нормативные правовые акты в области ПД прямо не устанавливают форму соглашения о передаче ПД. В такой ситуации допустимо прибегнуть к аналогии закона и обратиться к гражданскому законодательству РФ, в частности, п.1 ч.1 ст.161 ГК РФ установлена обязательность совершения сделок в простой письменной форме в отношении юридических лиц между собой и с гражданами, за исключением сделок, требующих нотариального удостоверения. |
Особенности | |
Соглашение о поручении обработки ПД обладает следующими особенностями: 1. согласно ч.3 ст.6 152-ФЗ цель обработки ПД, содержание (перечень действий) обработки ПД, требования к защите ПД определяются волей (поручением) оператора. Иначе говоря, оператор фактически получает возможность контролировать некоторые действия лица, которому была поручена обработка ПД (например, оператор может обязать такое лицо производить блокирование, удаление, уничтожение, уточнение, обезличивание или предоставление ПД по соответствующему требованию оператора), и таким образом определять содержание некоторых бизнес-процессов данного лица; 2. согласно ч.4 ст.6 152-ФЗ лицо, осуществляющее обработку ПД по поручению оператора, не обязано получать согласие субъекта на обработку его ПД; 3. согласно ч.5 ст.6 152-ФЗ ответственность перед субъектом ПД за действия «обработчика» несет оператор, а лицо, осуществляющее обработку ПД по поручению оператора, в свою очередь, несет ответственность перед оператором. Следует отметить, что данная норма не применяется в отношении обработки ПД, которую «обработчик» осуществляет в собственных целях, как оператор; 4. может быть встречным, когда оба участника соглашения одновременно являются оператором и «обработчиком» ПД. Предполагается, что встречные поручения должны быть направлены на обработку ПД с отличающимися целями (иначе теряется смысл таких поручений, и они превращаются в юридическую фикцию); 5. считается незаключенным, если в соглашении не определены такие существенные условия как перечень действий (операций) с ПД, цели обработки ПД, обязанность лица, осуществляющего обработку ПД, соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, требования к защите обрабатываемых ПД в соответствии со ст.19 152-ФЗ. | Соглашение о передаче ПД обладает следующими особенностями: 1. стороны обрабатывают ПД на основании и во исполнение соответствующих договоров оказания услуг, выполнения работ или поставки товаров. При этом цель обработки ПД, содержание (перечень действий) обработки ПД, требования к защите ПД продиктованы не волей (прямым указанием) одной из сторон, а существом (предметом) договора, требованиями применимого законодательства и особенностью организации бизнес-процессов каждой из сторон; 2. каждая из сторон обязана обеспечивать правомерную передачу ПД, включая получение согласия субъектов на осуществление передачи их ПД, подтверждение наличия иных законных оснований для осуществления передачи ПД субъектов и подтверждение факта надлежащего уведомления субъектов о передаче их ПД; 3. стороны, виновные в нарушении требований 152-ФЗ и подзаконных актов, самостоятельно несут предусмотренную законодательством РФ юридическую ответственность; 4. снижает риск предъявления претензий со стороны субъектов ПД и органов государственной власти Российской Федерации (органов Роскомнадзора, Прокуратуры, Роструда) в отношении соблюдения должной осмотрительности при осуществлении передачи ПД; 5. передающая сторона действуют в статусе оператора передаваемых ПД до момента их фактической передачи получающей стороне, а также приобретает статус оператора в отношении получаемых от другой стороны ПД; 6. фиксирует во взаимообязывающей форме для сторон требования законодательства РФ о ПД, указанные в ч.1 ст.6, ст.7, ч.4 ст.18 и ч.1 ст.19 152-ФЗ; 7. закрепляет принцип равноправия сторон при взаимной передаче ПД, не дает каких-либо преимуществ и не ущемляет интересы обеих сторон соглашения; 8. является рамочным, то есть требует всего лишь однократного подписания и регулирует все существующие или возникающие договорные отношения между сторонами; 9. позволяет одной стороне привлекать третьих лиц к обработке полученных ПД в рамках соответствующих договоров и соглашений без получения дополнительного согласия другой стороны при условии обеспечения указанными третьими лицами конфиденциальности и безопасности ПД при обработке; 10. дополняет соответствующие условия о конфиденциальности информации в договорах и дополняет рамочные соглашения о конфиденциальности информации, которые ранее были заключены между сторонами (стандартные условия о конфиденциальности информации обычно направлены на защиту сведений, составляющих коммерческую, служебную, банковскую тайну, при этом крайне редко или не в полной мере регулируют вопросы обработки и защиты ПД). |
Применимые ситуации | |
Соглашение о поручении обработки ПД следует рассматривать как приоритетный механизм формализации правоотношений по поводу обработки ПД в ситуации передачи оператором специализированному поставщику определённых бизнес-процессов (аутсорсинг бизнес-процессов). Взаимодействие между оператором и поставщиком является долгосрочным (обычно договор заключается на несколько лет) и носит стратегический характер (смена поставщика является дорогостоящей и может негативно повлиять на функционирование бизнес-процесса). Стоит отметить, что в этой ситуации оператор сохраняет значительную степень контроля над формой и содержанием переданного бизнес-процесса. Оператор определяет «облик» обработки ПД, осуществляемой поставщиком с целью реализации переданного ему на аутсорсинг бизнес-процесса. Перечень примеров (не является исчерпывающим) вышеперечисленных ситуаций: 1. ведение предговорной деятельности, оказание услуг, выполнение работ или поставка товаров посредством лиц, с которыми заключаются агентские договоры; 2. обеспечение безопасности на объектах недвижимости (услуги в сфере охраны), связанное с осуществлением учета посетителей и (или) видеонаблюдения; 3. работа с обращениями и запросами от заинтересованных лиц (услуги центра обработки вызовов, опросы/анкетирование для мероприятий); 4. организация и управление деловыми поездками работников (услуги бизнес-туризма); 5. организация визово-миграционной поддержки; 6. архивирование, хранение и уничтожение материальных носителей с ПД (архивные услуги); 7. предоставление комплексных ИТ-услуг (провайдер услуг является оператором тех ИС, которые используются заказчиком); 8. предоставление ИТ-инфраструктуры, колокация, техническое обслуживание информационной системы с ПД (провайдер услуг не берет на себя роль оператора такой системы, но может осуществлять доступ к ПД); 9. кадровое, бухгалтерское и ИТ сопровождение; 10. внешний подбор персонала (кадровые агентства, сервисы), осуществляемый на основании агентских договоров. | Соглашение о взаимной передаче (обмене) ПД следует рассматривать как приоритетный механизм формализации правоотношений по поводу обработки ПД в ситуации передачи оператором поставщику только определенных функций или элементов бизнес-процессов (аутсорсинг отдельных задач). Взаимодействие между оператором и поставщиком является краткосрочным, эпизодическим (обычно договор заключается на срок до одного года) и носит тактический характер (допустима регулярная смена поставщика, которая существенно не может повлиять на функционирование бизнес-процесса). Стоит отметить, что оператор не осуществляет контроль над деятельностью своих поставщиков, контролируя лишь соблюдение указанных в договоре требований к полноте, качеству, срокам результата деятельности поставщиков. Оператор не определяет «облик» обработки ПД, осуществляемой поставщиком, а требует от последнего только ранее оговоренный результат. Перечень примеров (не является исчерпывающим) вышеперечисленных ситуаций: 1. оказание услуг, выполнение работ или поставка товаров в пользу субъекта ПД, являющегося стороной договора или выгодоприобретателем по нему; 2. банковские зарплатные проекты; 3. страхование (имущественное и личное); 4. бронирование и приобретение гостиничных мест и транспортных билетов, услуги такси; 5. выполнение переводов текстов с одного языка на другой; 6. совершение нотариальных действий; 7. внешний подбор персонала (кадровые агентства, сервисы), осуществляемый на основании договоров оказания услуг; 8. услуги связи (операторы связи); 9. использование инфраструктуры электронного документооборота (сдача обязательной отчетности в ОГВ, взаимодействие с партнерами и т.п.); 10. внешнее обучение и аттестация (заказчик не диктует исполнителю содержание и форму обучения/аттестации); 11. медицинские осмотры и освидетельствования; 12. внешний финансовый аудит и контроль; 13. изготовление полиграфической продукции (визитки, корпоративные издания и плакаты); 14. справочно-информационные сервисы (СПАРК, Интегрум, Кронос-Информ); 15. посреднические услуги (визовые центры). |
На основании обобщения аналитических выводов, изложенных в Таблице, представляется возможным зафиксировать следующие выводы:
1. Необходимость в заключении соглашения о поручении обработки ПД возникает в том случае, если:
1.1. оператор, в принципе, способен самостоятельно осуществить обработку ПД для достижения предусмотренной цели, но в силу различных причин принял решение делегировать (полностью или в какой-либо части) функцию своему контрагенту-«обработчику»;
1.2. обработка ПД является самостоятельным предметом правоотношений (договора) между оператором и лицом, осуществляющим обработку ПД по поручению оператора;
1.3. возмездное выполнение лицом-«обработчиком» различных действий с ПД неразрывно связано с достижением цели обработки ПД, определенной оператором.
2. Необходимость в заключении соглашения о передаче ПД возникает в том случае, если:
2.1. оператор, в принципе, не способен самостоятельно осуществить обработку ПД для достижения предусмотренной цели (например, в силу отсутствия требуемых компетенций, разрешительных документов и т.п.) и в силу необходимости осуществляет обмен ПД со своим контрагентом;
2.2. передача ПД не является самостоятельным предметом правоотношений (договора) между сторонами и носит вспомогательный (обеспечивающий) характер по отношению к основному предмету таких отношений;
2.3. все возможное многообразие действий по обработке ПД ограничено только передачей ПД между сторонами.
Таким образом, можно обоснованно сделать заключение о том, что субинститут поручения обработки ПД не является единственным и универсальным механизмом правого урегулирования отношений между оператором и иными лицами при передаче ПД. Такого рода отношения могут регулироваться отдельными соглашениями, направленными за защиту прав и законных интересов субъектов передаваемых ПД. Необходимость применения того или иного вида соглашения непосредственно связана с сущностью и содержанием правоотношений между сторонами (см. разделы «Особенности» и «Применимые ситуации» Таблицы).