Каким образом можно установить четкие и понятные критерии для того, чтобы разделять заключаемые договоры (и, как следствие, правоотношения с контрагентами) на те, в рамках которых ПДн передаются БЕЗ поручения, и те, в рамках которых присутствует конструкция поручения? Вопрос очень практико-ориентированный: Банки передают данные клиентов и работников третьим лицам и жизненно-важно понимать, в каких случаях можно обойтись без конструкции поручения, а в каких - нет. Нам известны «хрестоматийные» примеры о том, что туроператор - поручение, страховая компания - нет, аутсорс бухучета и кадров - поручение, но как это сформулировать в виде правила?
Взаимодействие оператора с иными лицами по поводу обработки персональных данных (далее - ПДн) не исчерпывается только предусмотренным ч.3 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - 152-ФЗ) субинститутом поручения обработки ПДн. При анализе норм 152-ФЗ представляется возможным сделать вывод о допустимости передачи (обмена) ПДн между оператором и иными лицами без наличия соответствующего поручения об обработке ПДн. При этом и поручение обработки ПДн, и передача ПДн без поручения обработки требуют должной юридической и формализации – заключения соответствующих соглашений между оператором и иными лицами (за некоторым исключением, например, при передаче ПДн без поручения обработки в адрес органов государственной власти, органов местного самоуправления).
Необходимость в поручении обработки ПДн возникает в том случае, если:
Необходимость в передаче ПДн без поручения обработки возникает в том случае, если:
Сравнительная правовая характеристика типовых проектов соглашений о поручении обработки ПДн и о передаче ПДн изложена в материале Сравнение соглашений о поручении на обработку персональных данных и о передаче персональных данных.
Ответ подготовил Алексей Мунтян (21.01.2021)