Оператор-Оператор или Оператор-Обработчик: что указать в договоре для снижения рисков

Ранее мы рассказали вам о двух моделях взаимодействия контрагентов при передаче персональных данных. Теперь подробнее расскажем о положениях договора, которыми
следует описать каждую модель, чтобы снизить риски каждого из контрагентов.

Оператор-Обработчик

В соответствии с ч. 3 ст. 6 152-ФЗ между оператором и обработчиком должно существовать поручение на обработку персональных данных. Это поручение можно оформить как отдельный договор или как один из разделов договора.

Требования к поручению подробно описаны в той же ч. 3 ст. 6 152-ФЗ таким образом, что составить поручение самостоятельно не так сложно. На что следует обратить внимание:
1. Корректно опишите перечень данных, передаваемых по договору и следите за тем, чтобы обмен велся перечисленными в поручении категориями данных.
Важно исключить ситуации, когда обработчику передаются лишние данные (например, когда при передаче данных реестром часть столбцов с данными из таблицы обработчиком не используется), тем самым вы исключаете риск привлечения оператора к ответственности за необоснованную передачу персональных данных, а обработчика – за их хранение без законного основания.
2. Опишите порядок действий обработчика в случае утечки данных (укажите сроки уведомления оператора и проведения расследования инцидента), или в любом из случаев, когда обработку нужно прекратить и осуществить уничтожение данных (эти случаи - достижение цели (как правило, исполнение договора с субъектом), прекращение поручения, отзыв согласия или получение требования о прекращении обработки со стороны субъекта).
Важно, чтобы обработчику был предложен понятный порядок действий, которому он смог бы последовать даже в том случае, если у него не выстроены процессы работы с персональными данными.

Совет для оператора: Помните, что вы отвечаете за действия обработчика. Вы можете быть привлечены к ответственности за его действия, такие как нарушение норм локализации, незаконное распространение персональных данных, обработка персональных данных с нарушением сроков уничтожения персональных данных. Чтобы минимизировать связанные с "эксцессом исполнителя", включите в договор пункты о компенсации обработчиком убытков оператора, вызванных действиями обработчика.
Также не забудьте получить согласие субъекта на обработку его данных по поручению. В случае обработки данных на основании согласия реквизиты обработчиков рекомендуется размещать в тексте согласия или делать доступными по ссылке (QR-коду) из согласия.

Совет для обработчика: Часто крупные заказчики указывают в поручении на обработку персональных данных обязанность обработчика обеспечить 3-й уровень защищенности информационных систем персональных данных вместо 4-го. Ознакомьтесь с перечнем мер по обеспечению каждого из уровней защищенности, которые приведены в Постановлении Правительства №1119, оцените, способы ли вы обеспечить повышенный уровень защищенности своих систем.

Оператор-Оператор

Не следует воспринимать данную модель взаимодействия как облегченную версию модели Оператор-Обработчик. В рамках данной модели риски передающей персональные данные стороны никак не уменьшаются, риски получающей стороны только растут, поскольку получающей стороне нужно законное основание для обработки персональных данных субъекта.

В связи с этим в договоре следует описать:
1. Порядок получения согласия субъекта (какая сторона и в каком порядке получает согласие) и его содержание (согласие должно позволять получающей персональные данные стороне обрабатывать их в заранее определенных пределах).
2. Порядок обмена персональными данными.
3. Пределы обработки данных стороной, получающей персональные данные.
4. Порядок действий обеих сторон в случае утечки данных, при необходимости прекратить обработку данных и осуществить их уничтожение.

Совет для получающей стороны: Рекомендуем предусмотреть в договоре право на запрос копий согласий субъектов или иных доказательств, подтверждающих факт получения согласий передающей стороной. Не забывайте также, что на вас, как на лице, получающем персональные данные не от субъекта, лежит обязанность уведомить субъекта о начале обработки его персональных данных по ч. 3 ст. 18 152-ФЗ, рекомендуем переложить обязанность по уведомлению субъекта о начале обработки его данных на передающую персональные данные сторону.

Совет для передающей стороны: Вам важно включить в договор положения о возмещении вреда, причиненного действиями получающей стороны.

Отметим также, что как бы нам ни хотелось обратного, субъекты информационного обмена свою роль не выбирают, модель, по которой ведется обмен данными, должна определяться не по тому "как удобнее" или "как привычнее", а как есть в действительности. Гибкость в определении условий обмена персональными данными сократит ваши риски и не допустит ситуаций злоупотребления стороной своим положением обработчика или сооператора.