Приложение
СТАНДАРТНЫЕ ПОЛОЖЕНИЯ
для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных
- Цели обработки персональных данных.
Цели обработки персональных данных должны соответствовать целям, заявленным в документе, определяющем политику оператора в отношении обработки персональных данных, и не должны быть абстрактными или общими.
- Перечень действий, которые будут совершаться с персональными данными уполномоченным лицом.
В договоре следует, в частности, указать:
конкретные действия, совершаемые с персональными данными, поручаемые уполномоченному лицу (например, сбор персональных данных для заключения договора с определением перечня необходимых персональных данных; внесение сведений в информационный ресурс; хранение персональных данных с указанием сроков и условий хранения; их актуализация путем сопоставления с дополнительной информацией и т.п.);
информацию об использовании обезличивания персональных данных в целях повышения их защищенности (при использовании обезличивания);
условия, при которых возможно предоставление персональных данных третьим лицам или их распространение (если предполагается их предоставление или распространение).
- Обязанность уполномоченного лица по соблюдению конфиденциальности персональных данных.
В соответствии с Законом об информации, информатизации и защите информации конфиденциальность информации – это требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами.
Соответственно, в договоре следует предусмотреть требование о том, что уполномоченное лицо не вправе распространять и (или) предоставлять персональные данные, которые стали ему (им) известны в связи с исполнением договора о поручении обработки, в том числе после прекращения обработки без наличия правового основания, предусмотренного законодательными актами.
- Меры по обеспечению защиты персональных данных всоответствии со статьей 17 Закона.
В договор включаются положения о том, что уполномоченное лицо гарантирует принятие мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Такие меры должны быть приняты до заключения договора.
Одновременно в качестве механизма контроля оператором выполнения уполномоченным лицом указанных мер может быть закреплена обязанность уполномоченного лица предоставлять оператору информацию, необходимую для подтверждения реализации мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Если договор является долгосрочным, то предоставление такой информации может быть периодическим.
К такой информации могут быть отнесены сведения о:
наличии аттестата соответствия системы защиты информации информационной системы требованиям по защите информации;
наличии структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
наличии документов, определяющих политику уполномоченного лица в отношении обработки персональных данных, соответствующих положениям пункта 6 статьи 4 Закона;
разработке порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
прохождении обучения работников уполномоченного лица по вопросам защиты персональных данных и т.п.
- Условия о привлечении уполномоченным лицом иных лиц (субуполномоченных) для обработки персональных данных.
В договоре следует предусмотреть условие о невозможности привлечения таких лиц либо о возможности привлечения с (без) предварительного письменного разрешения оператора или письменного уведомления оператора.
В случае допустимости привлечения субуполномоченных лиц необходимо предусмотреть:
условие об обеспечении субуполномоченным лицом защиты персональных данных на уровне не ниже, чем обеспечено уполномоченным лицом;
обязанность уполномоченного лица обеспечить соблюдение субуполномоченным лицом обязательств, возложенных на уполномоченное лицо.
- Механизм участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных.
В договоре целесообразно определить порядок действий уполномоченного лица в случае поступления к нему или к оператору заявлений субъектов персональных данных.
Например, может быть предусмотрено, что в случае поступления заявления уполномоченному лицу оно может предоставлять субъекту персональных данных информацию об обработке персональных данных.
Кроме того, для обеспечения оператора полной и достоверной информацией об обработке персональных данных могут быть предусмотрены следующие обязанности уполномоченного лица с установлением сроков их исполнения (например, в трехдневный срок со дня поступления запроса, с момента, когда стало известно, и т.п.):
отвечать на запросы оператора о текущей обработке персональных данных;
в случае поступления к оператору заявления субъекта персональных данных предоставлять оператору информацию об обработке персональных данных, необходимую для подготовки ответа, оказывать иную помощь, необходимую для реализации оператором обязанностей перед субъектом персональных данных, предусмотренных Законом;
уведомлять оператора о любом заявлении (запросе), полученном от субъекта персональных данных;
информировать оператора в случае, если стало известно, что персональные данные, обработку которых осуществляет уполномоченное лицо, являются неполными, устаревшими или неточными;
уведомлять оператора в случае, если имеются основания полагать, что поручения оператора по обработке персональных данных не соответствуют требованиям законодательства.
- Обязанность уполномоченного лица по окончании договора прекратить обработку персональных данных, передать все персональные данные оператору либо удалить (блокировать) персональные данные, за исключением случаев, когда законодательными актами предусмотрена обязанность их хранения, а также удалить (блокировать) все имеющиеся копии персональных данных и подтвердить оператору, что это сделано.
Подтверждение передачи, удаления или блокирования персональных данных может быть, например, оформлено отдельным актом, либо соответствующая информация может быть указана в акте сдачи-приемки выполненных работ, либо представлен письменный отчет о выполненном поручении.
- Иные обязанности сторон.
В договоре могут быть предусмотрены также иные обязанности сторон, направленные на обеспечение защиты персональных данных, прав и свобод граждан при обработке их персональных данных, в зависимости от характера и особенностей обработки персональных данных, в том числе:
8.1. обязанность оператора уведомлять уполномоченное лицо о необходимости прекращения обработки персональных данных в связи с утратой оснований для их обработки (например, в случае отзыва субъектом персональных данных согласия на обработку персональных данных);
8.2. обязанности уполномоченного лица:
осуществлять обработку персональных данных только для целей, предусмотренных договором;
незамедлительно уведомлять оператора о нарушениях систем защиты персональных данных, в том числе о:
— примерном количестве субъектов персональных данных, затронутых нарушением;
— вероятных неблагоприятных последствиях нарушения системы защиты персональных данных;
— мерах, принятых или предлагаемых для устранения нарушения системы защиты персональных данных.
Положения для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных