Условия передачи ПДн на основании поручения и без него

Каким образом можно установить четкие и понятные критерии для того, чтобы разделять заключаемые договоры (и, как следствие, правоотношения с контрагентами) на те, в рамках которых ПДн передаются БЕЗ поручения, и те, в рамках которых присутствует конструкция поручения? Вопрос очень практико-ориентированный: Банки передают данные клиентов и работников третьим лицам и жизненно-важно понимать, в каких случаях можно обойтись без конструкции поручения, а в каких - нет. Нам известны «хрестоматийные» примеры о том, что туроператор - поручение, страховая компания - нет, аутсорс бухучета и кадров - поручение, но как это сформулировать в виде правила?

Взаимодействие оператора с иными лицами по поводу обработки персональных данных (далее - ПДн) не исчерпывается только предусмотренным ч.3 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - 152-ФЗ) субинститутом поручения обработки ПДн. При анализе норм 152-ФЗ представляется возможным сделать вывод о допустимости передачи (обмена) ПДн между оператором и иными лицами без наличия соответствующего поручения об обработке ПДн. При этом и поручение обработки ПДн, и передача ПДн без поручения обработки требуют должной юридической и формализации – заключения соответствующих соглашений между оператором и иными лицами (за некоторым исключением, например, при передаче ПДн без поручения обработки в адрес органов государственной власти, органов местного самоуправления).

Необходимость в поручении обработки ПДн возникает в том случае, если:

  • оператор, в принципе, способен самостоятельно осуществить обработку ПДн для достижения предусмотренной цели, но в силу различных причин принял решение делегировать (полностью или в какой-либо части) функцию своему контрагенту-«обработчику»;
  • обработка ПДн является самостоятельным предметом правоотношений (договора) между оператором и лицом, осуществляющим обработку ПДн по поручению оператора;
  • возмездное выполнение лицом-«обработчиком» различных действий с ПДн неразрывно связано с достижением цели обработки ПДн, определенной оператором.

Необходимость в передаче ПДн без поручения обработки возникает в том случае, если:

  • оператор, в принципе, не способен самостоятельно осуществить обработку ПДн для достижения предусмотренной цели и в силу необходимости осуществляет обмен ПДн со своим контрагентом;
  • передача ПДн не является самостоятельным предметом правоотношений (договора) между сторонами и носит вспомогательный (обеспечивающий) характер по отношению к основному предмету таких отношений;
  • все возможное многообразие действий по обработке ПДн ограничено только передачей ПДн между сторонами.

Сравнительная правовая характеристика типовых проектов соглашений о поручении обработки ПДн и о передаче ПДн изложена в материале Сравнение соглашений о поручении на обработку персональных данных и о передаче персональных данных.


Ответ подготовил Алексей Мунтян (21.01.2021)