Особенности договора поручения и договора передачи данных третьим лицам

Особенности договора поручения и договора передачи данных третьим лицам Арбитраж
Содержание
  1. Изменения в обработке персональных данных по новым правилам 2023
  2. Контроль за передачей данных
  3. Запрет на передачу данных за границу
  4. Договор Поручения и Договор передачи данных
  5. Поручение обработки vs Передача данных
  6. Определения ключевых терминов
  7. Основы поручения обработки персональных данных
  8. Участники договора
  9. Изменения с 1 марта 2023 года
  10. Нарушения в обработке персональных данных
  11. Высокая степень вреда присваивается, если:
  12. Все нововведения вступили в силу 1 марта 2023 года. Рассмотрим каждый пункт по отдельности.
  13. Оценка вреда
  14. Утечка персональных данных
  15. Регулирование отношений и обработка персональных данных
  16. Расширение полномочий и ужесточение ответственности
  17. Угрозы для персональных данных
  18. Сроки и процедуры до 1 марта 2023 года
  19. Договор передачи данных третьим лицам
  20. Ответственность за нарушения
  21. Какие бывают степени вреда
  22. Средняя
  23. Образцы документов, которые нельзя игнорировать в 2023 году
  24. Административная ответственность за нарушение требований о защите персональных данных
  25. В какие страны разрешено передавать персональные данные с 1 марта 2023 года
  26. Поручение обработки персональных данных третьему лицу (ч. 3-6 ст. 6 152-ФЗ)
  27. Низкая
  28. Можно ли передавать персональные данные работников третьим лицам?
  29. Уголовная ответственность за утечку и кражу персональных данных
  30. Административная ответственность за нарушение требований о защите информации
  31. После 1 марта 2023 года
  32. Обязательные условия при передаче (предоставление, распространение, доступ) персональных данных третьему лицу
  33. Резюмируя
  34. Подтверждение уничтожения персональных данных
  35. Уведомление об утечке персональных данных
  36. Уведомление об изменении персональных данных
  37. Персональные данные 2023 изменения с 1 марта

Изменения в обработке персональных данных по новым правилам 2023

В 2023 году вступили в силу изменения в обработке и передаче персональных данных сотрудников. Меры были приняты для повышения уровня защиты и предотвращения возможных утечек информации.

Контроль за передачей данных

Роскомнадзор начал контролировать трансграничную передачу личных данных с 1 марта 2023 года. Эта мера связана с рисками, которые могут возникнуть как для оператора, отправляющего данные, так и для физического лица, с которым связана передаваемая информация.

Запрет на передачу данных за границу

В случае, если цель передачи данных не соответствует заявленной, Роскомнадзор может запретить или ограничить передачу личных данных за границу. Важно, чтобы получающая сторона обеспечила должную защиту и обработку получаемых сведений.

Договор Поручения и Договор передачи данных

Для обеспечения правильной передачи и обработки персональных данных между сторонами необходимо заключить соответствующие соглашения. Рассмотрим основные составляющие этих договоров и их влияние на правовые обязательства сторон.

Поручение обработки vs Передача данных

Понятия Договор Поручения и Договор передачи третьим лицам могут вызывать затруднения при практическом применении. Важно правильно выбрать между этими двумя типами соглашений, учитывая цели и потребности организации.

Определения ключевых терминов

Для более глубокого понимания процесса обработки данных рассмотрим определения двух ключевых терминов: Поручение обработки и Передача данных третьему лицу. Это поможет более осознанно принимать решения при работе с персональными данными.

Основы поручения обработки персональных данных

На основании 152-ФЗ О персональных данных, поручение обработки данных означает передачу этой функции внешней организации или лицу (поручителю) на основе принятого соглашения о поручении. Цель этого договора состоит в осуществлении различных процедур с этими данными.

Реализация таких операций может включать в себя процессы:

  • сбор,
  • регистрация,
  • систематизация,
  • накопление,
  • хранение,
  • обновление,
  • изменение,
  • извлечение,
  • использование,
  • передача,
  • обезличивание,
  • блокирование,
  • удаление и уничтожение персональных данных.

Эти действия могут быть проведены как с применением автоматизированных средств, так и без них.

Участники договора

Участниками договора о поручении обработки персональных данных выступают оператор и лицо, выполняющее обработку по поручению оператора.

Изменения с 1 марта 2023 года

Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До 1 марта 2023 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2023 года у ведомства такое полномочие появилось. Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна обеспечить должную защиту персональных данных.

Важно! Операторам, подавшим уведомление о трансграничной передаче до 1 марта 2023 года, не нужно подавать новое уведомление до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных.

Нарушения в обработке персональных данных

Что будет, если передать персональные сведения сотрудников третьим лицам? Часть 2 статьи 13.11 Кодекса об Административных правонарушениях устанавливает, что организации не могут распространять персональные данные сотрудников без их письменного согласия. В ином случае может быть наложен штраф в следующих размерах:

Высокая степень вреда присваивается, если:

  • Закон о персональных данных в 2023 году

Обработка персональных данных в 2023 году станет более регламентированной и строго контролируемой в связи со вступлением в силу изменений в законодательстве.

Основные изменения в законе 152-ФЗ О персональных данных в 2023 году вводят новые правила, которые касаются:

Все нововведения вступили в силу 1 марта 2023 года. Рассмотрим каждый пункт по отдельности.

Оценка вреда

1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178. Документ обязывает операторов ПД создать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить, какой вред будет причинён субъекту ПД в случае нарушения Федерального закона О персональных данных. Оценку указанного вреда проводит ответственный за организацию обработки ПД или комиссия, созданная оператором. Форма акта не установлена.

Утечка персональных данных

Что грозит компании и как готовиться в суде? Адвокат, Московская коллегия адвокатов Железников и партнеры специально для ГАРАНТ.РУ

Регулирование отношений и обработка персональных данных

Регулирование отношений, связанных с обработкой персональных данных, несмотря на актуальность проблематики, остается для многих представителей бизнеса (операторов персональных данных) не совсем понятным и транспарентным. Это создает трудности в обеспечении надлежащего уровня безопасности этой чувствительной информации.

Для соблюдения многочисленных требований законодательства в данной сфере требуется сочетание правовых и технических инструментов. Угрозы безопасности персональных данных постоянно возрастают, однако законодательство и правоприменение не обеспечивают адекватного ответа на них. Проблема уязвимости технических устройств и программного обеспечения невозможно решить исключительно с помощью правовых методов.

Расширение полномочий и ужесточение ответственности

Государство, сталкиваясь с постоянными утечками персональных данных, расширяет полномочия регулятора, вводит новые составы правонарушений и ужесточает ответственность за их совершение.

Сейчас за утечку персональных данных компании грозит небольшой штраф, однако репутационные риски оказываются более существенными. Но в будущем материальная ответственность может быть значительно ужесточена – Правительство РФ готовит законопроект о введении оборотных штрафов за допущение утечки персональных данных.

Угрозы для персональных данных

Как правило, персональные данные клиентов или сотрудников компании становятся доступными из-за неправомерного доступа со стороны третьих лиц (хакерские атаки) или злоупотреблений со стороны недобросовестных работников. Мишенью для злоумышленников становятся базы данных учебных заведений, медицинских организаций, клиентских баз магазинов и других организаций.

Сроки и процедуры до 1 марта 2023 года

Перед отправкой персональных данных за пределы РФ оператор должен проверить получателя на безопасность и их способность обеспечивать конфиденциальность и защиту данных. После анализа и утверждения, оператор должен подать уведомление о передаче персональных данных за рубеж.

Договор передачи данных третьим лицам

Необходимо заключать договора передачи данных третьим лицам для организаций, которые не могут обрабатывать персональные данные самостоятельно.

Ответственность за нарушения

В случае нарушений при обработке данных, возникают вопросы ответственности, которые требуют уделения должного внимания.

## Административная ответственность в области персональных данных в России

Административная ответственность в соответствии с частями 1, 2 статьи 13.11 КоАП РФ является наиболее распространённой, однако в зависимости от обстоятельств также возможно привлечение к ответственности по другим её частям.

На данный момент суммы штрафов по распространённым нарушениям составляют:

Часть 1 ст. 13.11 КоАП РФ:
- Для должностных лиц – от 10 тыс. до 20 тыс. рублей (при повторном нарушении от 20 тыс. до 50 тыс. рублей).
- Для индивидуальных предпринимателей – при повторном нарушении от 50 тыс. до 100 тыс. рублей.
- Для юридических лиц – от 60 тыс. до 100 тыс. рублей (при повторном нарушении от 100 тыс. до 300 тыс. рублей).

Штрафы за обработку персональных данных без Согласия в письменной форме, предусмотренного законом:
- Для должностных лиц — от 100 тыс. до 300 тыс. рублей (при повторном нарушении от 300 тыс. до 500 тыс. рублей).
- Для индивидуальных предпринимателей – при повторном нарушении от 500 тыс. до 1 млн рублей.
- Для юридических лиц — от 300 тыс. до 700 тыс. рублей (при повторном нарушении от 1 млн до 1,5 млн рублей).

Таким образом, понимание ключевых особенностей этих соглашений обеспечивает соблюдение законодательства и способствует построению доверительных отношений между участниками.

## Уничтожение персональных данных

Защита персональных данных с 1 марта 2023 года претерпела изменения в правилах уничтожения сведений. Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом, в котором указываются категория уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом.

## Обязательные условия при поручении обработки персональных данных третьему лицу

| Условие        | Кто оформляет | Ответственность за нарушение прав субъектов ПДн          |
| --------------- | ------------- | ------------------------------------------------------- |
| Согласие субъекта ПДн, если иное не предусмотрено законом | Оператор | Оператор — перед субъектом ПДн, Лицо по поручению — перед оператором, Оператор и лицо по поручению — в случае поручения иностранному лицу |
| Договор-поручение, соответствующий требованиям ч. 3 ст. 6 152-ФЗ | Заключается между оператором и лицом по поручению в тексте основного договора; дополнительным соглашением; отдельным документом. |

По сути, оператор получает право производить контроль за действиями лица, которому поручает обработку. Например, он может обязать обработчика выполнять следующие действия: блокирование, удаление, уничтожение, уточнение, обезличивание или предоставление персональных данных в соответствии с требованиями оператора. Соответственно, оператор способен воздействовать на содержание рабочих процессов этого лица.

В соответствии с ч. 3 ст. 6 152-ФЗ в договоре о поручении обработки персональных данных нужно обязательно определить следующие моменты:

Напоминаем, что для разработки документации компании могут использовать сервис 152DOC. Он поможет правильно сформировать необходимый перечень документов и полностью соответствовать требованиям в области защиты персональных данных.

Какие бывают степени вреда

Для оценки вреда оператор определяет одну из трёх степеней: высокую, среднюю или низкую. Конкретная степень зависит от допущенных нарушений. При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.

Средняя

Средняя степень вреда присваивается, если:

Образцы документов, которые нельзя игнорировать в 2023 году

Название документа Ссылка на скачивание

Административная ответственность за нарушение требований о защите персональных данных

В случае утечки данных оператор обязан направить в Роскомнадзор уведомление о факте неправомерной или случайной передачи данных (ч. 3.1. ст. 21 Федерального закона "О персональных данных" от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ). Результатом такого уведомления, скорее всего, станет проверка со стороны Роскомнадзора и, как следствие, возбуждение дела об административном правонарушении в отношении компании по ч. 1 ст. 13.11 КоАП РФ.

Данная норма предусматривает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку, несовместимую с целями сбора персональных данных.

Анализ судебной практики показывает крайне низкий стандарт доказывания по данным делам. Формула, заложенная в основу большинства судебных решений, заключается в следующем: сам факт утечки персональных данных является обработкой персональных данных в не предусмотренных законом случаях, что образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

Компания должна нести ответственность за недостаточные меры по защите персональных данных, на практике же она несет ответственность за сам факт их утечки.

Такой подход приводит к объективному вменению, то есть привлечению юридического лица к ответственности без установления вины.

Юридическое лицо признается виновным в совершении административного правонарушения, если у него имелась возможность для соблюдения правил и норм, но им не были приняты все зависящие от него меры по их соблюдению (ч. 2 ст. 2.1 КоАП РФ).

Таким образом, Роскомнадзор обязан доказать, что у юридического лица имелась возможность обеспечить конфиденциальность данных и не допустить их утечку. Суд должен установить, какие меры защиты персональных данных организация обязана была предпринять, но не сделала этого. Однако на практике суды удовлетворяются формальным подходом и приходят к немотивированному выводу о том, что у компании имелась "реальная возможность обеспечить выполнение требований закона, то есть не допустить утечку данных" (Решение Замоскворецкого районного суда г. Москвы от 16 июня 2023 г. по делу № 12-2028/22).

Справедливости ради стоит отметить, что и привлекаемые лица не торопятся сообщать о принятых мерах, и о том, принимались ли они вообще. Довольно мягкое наказание зачастую приводит к пассивной позиции привлекаемого лица, которое признает вину и просит лишь о смягчении ответственности.

Требования по защите персональных данных закреплены в Законе № 152-ФЗ и ряде подзаконных нормативно-правовых актов.

Согласно требованиям федерального закона, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Закона № 152-ФЗ).

При определении состава мер по обеспечению безопасности персональных данных компания должна ориентироваться на ст. 19 Федерального закона № 152-ФЗ, Постановление Правительства РФ от 1 ноября 2012 г. № 1119, Приказ ФСТЭК России от 18 февраля 2013 г. № 21, Приказ ФСБ России от 10 июля 2014 г. № 378 (для операторов, использующих средства криптографической защиты). Безопасность критической информационной инфраструктуры регулируется отдельными актами.

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 определяет типы угроз безопасности персональных данных и уровни их защищенности. Типы угроз определяет сам оператор. Исходя из типов угроз, а также категории персональных данных и количества субъектов персональных данных, компания должна поддерживать определенный уровень защищенности – от самого минимального 4-го до самого строгого 1-го. Приложение к Приказу ФСТЭК России от 18 февраля 2013 г. № 21 устанавливает состав и содержание мер, необходимых для обеспечения каждого из уровней защищенности персональных данных.

Невыполнение предусмотренных данными актами мер должно быть необходимым условием для привлечения компании к ответственности в случае утечки персональных данных. Имеющаяся практика ограничивается констатацией вывода о том, что оператор "не предпринял всех зависящих от него мер" и "не обеспечил конфиденциальность персональных данных" (Постановление мирового судьи судебного участка № 374 Таганского района г. Москвы от 17 марта 2023 года по делу № 05-0240/374/2023).

В ряде случаев компании, привлекаемые к административной ответственности, указывали, что вина организации отсутствует, так как причиной утечки персональных данных стали неправомерные действия третьих лиц, которые получили доступ к информации незаконно с использованием вредоносных компьютерных программ.

Данный аргумент не находит отклика у судей, в многочисленных судебных решениях можно найти повторяющуюся формулировку: "То обстоятельство, что обработка (распространение) персональных данных связана с несанкционированным доступом к информации, не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ" (Постановление мирового судьи судебного участка № 387 Басманного района г. Москвы от 10 мая 2023 года по делу № 5-463/2023, Постановление мирового судьи судебного участка № 374 Таганского района г. Москвы от 1 марта 2023 года по делу № 05-0195/374/2023).

В этом плане показательно дело о привлечении к ответственности медицинской лаборатории "Гемотест". Мировой судья, рассматривавший дело в первой инстанции, указал, что факт несанкционированного доступа к персональным данным, который подтвержден материалами служебной проверки и отчетом IT-компании, не влияет на квалификацию действий самой лаборатории. При этом суд указывает, что организация "самостоятельно и намеренно" предоставила неправомерный доступ к информационной системе персональных данных, что, однако, из самого судебного решения не следует (Постановление мирового судьи судебного участка № 281 района Вешняки г. Москвы от 8 июля 2022 года по делу № 5-564/2022). Суд апелляционной инстанции оставил решение без изменения, не ответив на доводы защиты об отсутствии вины со стороны юридического лица и не указании ни Роскомнадзором, ни судом конкретных действий, которые общество должно было совершить для предотвращения правонарушения (Решение Перовского районного суда г. Москвы от 8 сентября 2022 года по делу № 12-2741/2022). Аргумент компании о подаче в правоохранительные органы заявления в отношении неустановленного лица, получившего неправомерный доступ к персональным данным, также не повлиял на выводы суда.

В какие страны разрешено передавать персональные данные с 1 марта 2023 года

Решение о запрете не выпишут странам, подписавшим Конвенцию Совета Европы и включённым в специальный перечень Роскомнадзора. В этот список входит 89 государств, в которых область ПД регулируется на законодательном уровне, а именно предусматривает:

Трансграничная передача информации — это риск как для оператора-отправителя, так и для физлица, чьи данные передаются.

Поручение обработки персональных данных третьему лицу (ч. 3-6 ст. 6 152-ФЗ)

Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу

Услуги бухгалтерского и кадрового учётаУслуги бронирования и организации командирования работниковТехническое обеспечение ИСПДн ОператораСопровождение интернет-ресурсов ОператораУслуги рекламной и информационной рассылкиОрганизация рассмотрения обращений граждан и др.

В рамках ч. 3, 4 и 5 ст. 6 152-ФЗ оператор вправе передать процесс обработки данных стороннему участнику, перед этим получив согласие субъекта персональных данных. Заметим, что обработчик не обязан запрашивать отдельное разрешение субъекта на обработку его данных, но полная ответственность за деятельность обработчика лежит на операторе. Обработчик, со своей стороны, несёт ответственность перед оператором за свою деятельность.

Однако, если обработка персональных данных поручена иностранному физическому или юридическому лицу, ответственность за деятельность указанных лиц перед субъектом персональных данных возлагается как на самого оператора, так и на лицо, выполняющее обработку по его поручению.

Низкая

Низкая степень вреда устанавливается, если:

Представленные требования действуют до 1 марта 2029 года.

Сервис 152DOC поможет вам выполнить требования закона № 152-ФЗ и вовремя подготовить все документы, которые нужны для работы с персональными данными сотрудников и клиентов. Если при заполнении бумаг у вас возникнут вопросы, вы сможете задать их специалистам по защите персональных данных.

Можно ли передавать персональные данные работников третьим лицам?

Организация имеет право передавать персональные данные работников только в двух случаях:

Статья 88 Трудового кодекса РФ устанавливает, что организация не может сообщать личные данные сотрудников другим лицам, в том числе в коммерческих целях.

Работодатель должен получить письменное согласие работника.

Обратите внимание: передавать третьим лицам персональные данные сотрудников можно, если есть угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ и другими федеральными законами.

Уголовная ответственность за утечку и кражу персональных данных

Физические лица, умышленно распространившие персональные данные гражданина без его согласия, подлежат уголовной ответственности за нарушение неприкосновенности частной жизни (ст. 137 Уголовного кодекса). Предметом данного преступления является личная и семейная тайна, поэтому ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц (например, гражданин может не скрывать дату, место своего рождения, образование и т. д.).

Так как в большинстве случаев персональные данные хранятся в информационных системах, помимо ст. 137 УК РФ, действия лица, "укравшего" персональные данные, подлежат квалификации по ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации. При использовании в целях получения персональных данных вредоносных компьютерных программ подлежит вменению также ст. 273 УК РФ.

Сотрудник организации, нарушивший правила эксплуатации средств хранения, обработки или передачи персональных данных либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правила доступа к информационно – телекоммуникационным сетям, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных, может нести ответственность по ст. 274 УК РФ. Нарушение правил эксплуатации может выражаться, например, в отказе от использования антивирусного программного обеспечения, обработке конфиденциальной информации вне рабочего места и т. д. Данное преступление может быть совершенно как умышленно, так и по неосторожности.

В случае привлечения к ст. 274 УК РФ необходимо установить, какие именно правила эксплуатации, закрепленные в законе, подзаконных или локальных нормативных актах, были нарушены. Кроме того, субъектом преступления может быть только лицо, до сведения которого была доведена обязанность соблюдения этих правил – в трудовом договоре, отдельным актом об ознакомлении и т. д. (п. 12 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. № 37 "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно – телекоммуникационных сетей, включая сеть "Интернет").

На практике ст. 274 УК РФ применяется крайне редко, так как состав требует причинение крупного ущерба (1 млн руб.). В связи с этим, правоохранительные органы квалифицируют действия сотрудников, злоупотребивших своим доступом к охраняемой законом информации, по ст. 272 УК РФ (неправомерный доступ к охраняемой законом информации). Такой подход отвечает определению "неправомерного доступа", которое сформулировано в п. 5 Постановления Пленума Верховного суда РФ от 15 декабря 2022 г. № 37.

Административная ответственность за нарушение требований о защите информации

Интересно сопоставление административного состава, предусмотренного ч. 1 ст. 13.11 КоАП РФ, с составом ч. 6 ст. 13.12 КоАП РФ. Последний предусматривает ответственность за нарушение требований законодательства о защите информации (в том числе персональных данных).

В отличие от практики по ч. 1 ст. 13.11 КоАП РФ практика привлечения к ответственности по ч. 6 ст. 13.12 КоАП РФ крайне немногочисленна. Однако изучение доступных судебных решений позволяет сделать вывод об их существенно большей обоснованности и мотивированности, нежели решений по ч. 1 ст. 13.11 КоАП РФ.

В судебном решении указываются допущенные компанией нарушения со ссылкой на конкретные положения Закона № 153-ФЗ и подзаконных нормативно-правовых актов, которые закрепляют ту или иную обязанность по защите персональных данных, не выполненную организацией (например, Решение Магаданского областного суда от 28 июля 2017 г. по делу № 12-176/2017). Аналогичный подход должен использоваться и в делах по ст. 13.11 КоАП РФ. Установление требований, не выполненных юридическим лицом, должно предшествовать выводу о его виновности в утечке персональных данных.

После 1 марта 2023 года

Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда он хочет осуществить:

Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их обработке.

В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может запретить или ограничить передачу ПД во внесудебном порядке.

Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления от Роскомнадзора. Однако ведомство может наложить запрет повторно.

Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.

Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.

Обязательные условия при передаче (предоставление, распространение, доступ) персональных данных третьему лицу

Согласие субъекта ПДн Оператор Оператор — за правомерность передачи Третье лицо – за фактическую обработку

Иные правовые основания: общие — ч. 1 ст. 6;для специальных категорий они определены пп. 2-10 ч. 2 ст. 10 152-ФЗ;для биометрических — ч. 2 ст. 11 152-ФЗ;для ПДн, разрешённых субъектом для распространения — ч. 15 ст. 10.1 152-ФЗ. Согласие не требуется

Подводя итог, выделим основные моменты:

Предоставление персональных данных – это процесс, направленный на раскрытие личной информации конкретному лицу или ограниченному кругу лиц.

При поручении обработки персональных данных третьему лицу оператор сохраняет ответственность перед субъектом за обработку предоставленных данных. Оператор несёт ответственность перед субъектом в случае нарушения его прав как субъекта (таких как утечка, нарушение конфиденциальности, нарушение права на доступ к данным, неисполнение требования об удалении и т. д.), которые были допущены лицом по поручению. Однако за принятие организационных и технических мер для обеспечения безопасности обрабатываемых данных, а также за разработку локальных нормативных актов, каждый несёт ответственность самостоятельно.

При передаче без поручения-ответственность за обработку персональных данных распределяется между оператором и получателем в соответствии с конкретными действиями, произведёнными каждой стороной. Это означает, что оператор несёт ответственность за незаконную передачу данных, а получатель – за нарушения после их передачи. Таким образом, ответственность возлагается на ту сторону, чьи действия привели к нарушению.

Резюмируя

Персональных данных с 1 марта 2023 года коснулись правила передачи информации за границу. Новые требования, регулирующие передачу ПД за пределы страны, относятся ко всем операторам.

Основные моменты, которые важно знать

Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить об этом Роскомнадзор. Данное правило введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022 года. ПД отправляются, когда компания сотрудничает с заграничными партнёрами, отправляет работников в командировку или на обучение за рубеж.

Уведомление о трансграничной передаче направляется в Роскомнадзор:

Особенности договора поручения и договора передачи данных третьим лицам

Образец уведомления о намерении осуществлять ТППД

Подтверждение уничтожения персональных данных

Подтверждение уничтожения персональных данных — это процесс, который гарантирует, что ПД были уничтожены согласно законодательству. Акт об уничтожении подтверждает то, что личная информация была действительно стёрта и не подлежит восстановлению. Содержание документа регулируется Приказом Роскомнадзора от 28.10.2022 № 179. Сам акт составляется в свободной форме.

Уничтожение персональных данных является одним из аспектов защиты цифровой информации, поэтому подтверждение ПД закрепили на законодательном уровне. Этот процесс должен быть интегрирован с другими мерами, такими как ограничение доступа к данным и обеспечение их конфиденциальности.

Уведомление об утечке персональных данных

При утечке персональных данных оператор ПД должен уведомить об этом органы исполнительной власти. Для этого оператор отправляет специальное уведомление в Роскомнадзор. Документ отправляют при неправомерном доступе, предоставлении или распространении конфиденциальной информации. Скрывать произошедший инцидент запрещено.

Особенности договора поручения и договора передачи данных третьим лицам

Уведомление об утечке персональных данных может быть двух видов: первичное или дополнительное.

Также в течение трёх дней оператор обязан представить все необходимые данные по запросу Роскомнадзора. Сделать это нужно, если ведомство считает полученную информацию неполной или недостоверной.

Важно отметить, что Роскомнадзор сам может запросить уведомление, если самостоятельно заметит утечку у оператора. Тогда оператору необходимо провести расследование и в случае отсутствия инцидента приложить соответствующий акт.

Уведомление об изменении персональных данных

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.

Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Особенности договора поручения и договора передачи данных третьим лицам

Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180

Персональные данные 2023 изменения с 1 марта

Закон привнёс значительные изменения в законодательство, касающееся работы с ПД. Основные изменения в положении включают увеличение сроков подачи уведомлений об изменении личной информации в 2023 году, новые правила и требования к уничтожению, обязательное уведомление Роскомнадзора при передаче обрабатываемых персональных данных за границу, а также проведение оценки возможного вреда утечки, что повышает защиту личной информации граждан.

Оцените статью