1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Будьте моим обработчиком: кому оператор имеет право поручить работу с персональными данными

К середине марта 2023 в реестре Роскомнадзора больше 870 000 операторов ПД. Среди них частные лица, государственные и муниципальные учреждения, ИП и самозанятые, мелкие и крупные фирмы.

По правилам каждый из них должен соблюдать все пункты №152-ФЗ «О персональных данных», но это только в теории. На деле же мало кто из операторов успел наладить сбор данных по-новому, как того требуют поправки осени 2022 года. С марта 2023 года они вступают в силу, и операторам стоит быть готовыми к волне штрафов и предупреждений. Но есть способ облегчить себе жизнь законно и надежно.

Что такое поручение

Подробно о нем написано в ч. 3 ст. 6 №152-ФЗ. Оно представляет собой договор или контракт одного оператора – другому. Для удобства назовем их Оператор и Обработчик, хотя в законе вообще нет понятия «обработчик». Им может быть сотрудник, сторонний подрядчик или облачный сервис. К последним относятся привычные SaaS, IaaS, PaaS: корпоративная почта, таск-трекеры, конструкторы веб-форм, антиспам, удаленный рабочий стол и другое.

Обработчик выполняет работу для Оператора и тоже обязан соблюдать №152-ФЗ. По закону он имеет право даже не спрашивать согласие на обработку ПД у субъектов, потому что фактически он собирает данные не для себя. Отчитывается он только перед Оператором. Правда, есть исключение: ответственность перед человеком несут оба, если Обработчик – иностранная компания или гражданин.

Разберем на примерах:

  • секретарь обрабатывает данные детей для поступления в школу. Оператор – школа, Обработчик – секретарь;
  • другая школа заключила договор с веб-сервисом для подачи заявлений через сайт. Оператор – школа, Обработчик – веб-сервис;
  • банк по договору передал данные должников коллекторскому агентству. Оператор – банк, Обработчик – агентство;
  • интернет-магазин собирает сведения о покупателях в CRM. Оператор – магазин, Обработчик – сервис, предоставивший CRM.

По закону каждый из них должен работать по договору о поручении. В нем тщательно прописывают цели сбора, виды данных, требования конфиденциальности и другие условия.

Как это работает

Представим оператора, которому так или иначе придется налаживать сбор персональных данных по закону. Например, клинику, куда стекаются данные пациентов и сотрудников. Чтобы организовать процесс правильно, придется дополнительно нагрузить кадровика или главврача. Рядовой секретарь не подойдет: сотрудник должен быть наделен большими полномочиями и владеть навыками менеджмента.

Но без нанятых юристов не обойтись, потому что именно они, а не главврач, будут разрабатывать документы по обработке. В них входит политика, соглашение, локальные акты и некоторые другие бумаги.

С уведомлением в Роскомнадзор и остальной работой очень много волокиты, но допустим, что у нашего управленца все получилось с первого раза. Значит ли это, что он может выдохнуть и вернуться к прямым обязанностям? Нет, ведь в его ответственности теперь каждая карта пациента, каждое заявление сотрудника на отпуск, каждая анкета онлайн-записи на прием с сайта клиники.

Форма для пациентов, которая собирает данные

Главврач не хочет самостоятельно возиться с обработкой, и мы его прекрасно понимаем. Он выбирает того, кто будет собирать данные по поручению клиники. Сделать это непросто, потому что к операторам много требований. Чтобы не нарваться на солидные штрафы, руководитель клиники ищет компанию, которая:

  • наладит сбор ПД в учреждении,
  • будет хранить данные в российских дата-центрах, чтобы не рисковать при трансграничной передаче,
  • подготовит и предоставит все документы для РКН (положение, согласие и т. д.).

Под эти критерии подходят далеко не все операторы. Многие из них – юридические фирмы, которые больше ничем и не занимаются. Но это не дешевле, чем нанимать стороннего юриста, поэтому главврач ищет дальше.

И среди оставшихся находит Qform. Это облачный сервис, аналогичный тому, что уже используется на сайте клиники. Но, в отличие от него полностью российский, и предоставляет все документы по ОПД.

А кроме этого:

  • экономит время программистов или вообще позволяет обходиться без них,
  • включает мини-CRM, которая упорядочит работу с пациентами,
  • подходит к любому сайту благодаря настройкам стиля.

Итог: клиника выбирает Qform не только в качестве полезного сервиса, но еще и как оператора ПД.

Пока что в законе не прописаны штрафы за обработку по поручению без договора. Но при проверке РКН это обязательно выявит и выпишет предписание по устранению.

Читайте по теме: