Положения для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных

Приложение

СТАНДАРТНЫЕ ПОЛОЖЕНИЯ
для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных

1. Цели обработки персональных данных.

Цели обработки персональных данных должны соответствовать целям, заявленным в документе, определяющем политику оператора в отношении обработки персональных данных, и не должны быть абстрактными или общими.

2. Перечень действий, которые будут совершаться с персональными данными уполномоченным лицом.

В договоре следует, в частности, указать:

конкретные действия, совершаемые с персональными данными, поручаемые уполномоченному лицу (например, сбор персональных данных для заключения договора с определением перечня необходимых персональных данных; внесение сведений в информационный ресурс; хранение персональных данных с указанием сроков и условий хранения; их актуализация путем сопоставления с дополнительной информацией и т.п.);

информацию об использовании обезличивания персональных данных в целях повышения их защищенности (при использовании обезличивания);

условия, при которых возможно предоставление персональных данных третьим лицам или их распространение (если предполагается их предоставление или распространение).

3. Обязанность уполномоченного лица по соблюдению конфиденциальности персональных данных.

В соответствии с Законом об информации, информатизации и защите информации конфиденциальность информации – это требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами.

Соответственно, в договоре следует предусмотреть требование о том, что уполномоченное лицо не вправе распространять и (или) предоставлять персональные данные, которые стали ему (им) известны в связи с исполнением договора о поручении обработки, в том числе после прекращения обработки без наличия правового основания, предусмотренного законодательными актами.

4. Меры по обеспечению защиты персональных данных всоответствии со статьей 17 Закона.

В договор включаются положения о том, что уполномоченное лицо гарантирует принятие мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Такие меры должны быть приняты до заключения договора.

Одновременно в качестве механизма контроля оператором выполнения уполномоченным лицом указанных мер может быть закреплена обязанность уполномоченного лица предоставлять оператору информацию, необходимую для подтверждения реализации мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Если договор является долгосрочным, то предоставление такой информации может быть периодическим.

К такой информации могут быть отнесены сведения о:

• наличии аттестата соответствия системы защиты информации информационной системы требованиям по защите информации;
• наличии структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
• наличии документов, определяющих политику уполномоченного лица в отношении обработки персональных данных, соответствующих положениям пункта 6 статьи 4 Закона;
• разработке порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
• прохождении обучения работников уполномоченного лица по вопросам защиты персональных данных и т.п.

5. Условия о привлечении уполномоченным лицом иных лиц (субуполномоченных) для обработки персональных данных.

В договоре следует предусмотреть условие о невозможности привлечения таких лиц либо о возможности привлечения с (без)  предварительного письменного разрешения оператора или письменного уведомления оператора.

В случае допустимости привлечения субуполномоченных лиц необходимо предусмотреть:

• условие об обеспечении субуполномоченным лицом защиты персональных данных на уровне не ниже, чем обеспечено уполномоченным лицом;
• обязанность уполномоченного лица обеспечить соблюдение субуполномоченным лицом обязательств, возложенных на уполномоченное лицо.

6. Механизм участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных.

В договоре целесообразно определить порядок действий уполномоченного лица в случае поступления к нему или к оператору заявлений субъектов персональных данных.

Например, может быть предусмотрено, что в случае поступления заявления уполномоченному лицу оно может предоставлять субъекту персональных данных информацию об обработке персональных данных.

Кроме того, для обеспечения оператора полной и достоверной информацией об обработке персональных данных могут быть предусмотрены следующие обязанности уполномоченного лица с установлением сроков их исполнения (например, в трехдневный срок со дня поступления запроса, с момента, когда стало известно, и т.п.):

• отвечать на запросы оператора о текущей обработке персональных данных;
• в случае поступления к оператору заявления субъекта персональных данных предоставлять оператору информацию об обработке персональных данных, необходимую для подготовки ответа, оказывать иную помощь, необходимую для реализации оператором обязанностей перед субъектом персональных данных, предусмотренных Законом;
• уведомлять оператора о любом заявлении (запросе), полученном от субъекта персональных данных;
• информировать оператора в случае, если стало известно, что персональные данные, обработку которых осуществляет уполномоченное лицо, являются неполными, устаревшими или неточными;
• уведомлять оператора в случае, если имеются основания полагать, что поручения оператора по обработке персональных данных не соответствуют требованиям законодательства.

7. Обязанность уполномоченного лица по окончании договора прекратить обработку персональных данных, передать все персональные данные оператору либо удалить (блокировать) персональные данные, за исключением случаев, когда законодательными актами предусмотрена обязанность их хранения, а также удалить (блокировать) все имеющиеся копии персональных данных и подтвердить оператору, что это сделано.

Подтверждение передачи, удаления или блокирования персональных данных может быть, например, оформлено отдельным актом, либо соответствующая информация может быть указана в акте сдачи-приемки выполненных работ, либо представлен письменный отчет о выполненном поручении.

8. Иные обязанности сторон.

В договоре могут быть предусмотрены также иные обязанности сторон, направленные на обеспечение защиты персональных данных, прав и свобод граждан при обработке их персональных данных, в зависимости от характера и особенностей обработки персональных данных, в том числе:

8.1. обязанность оператора уведомлять уполномоченное лицо о необходимости прекращения обработки персональных данных в связи с утратой оснований для их обработки (например, в случае отзыва субъектом персональных данных согласия на обработку персональных данных);

8.2. обязанности уполномоченного лица:

осуществлять обработку персональных данных только для целей, предусмотренных договором;

незамедлительно уведомлять оператора о нарушениях систем защиты персональных данных, в том числе о:

— примерном количестве субъектов персональных данных, затронутых нарушением;
— вероятных неблагоприятных последствиях нарушения системы защиты персональных данных;
— мерах, принятых или предлагаемых для устранения нарушения системы защиты персональных данных.