Вопрос обработки персональных данных сегодня стоит наиболее остро. Государство обратило на проблему конфиденциальности и защиты персональных данных своих граждан пристальное внимание и принимает различные меры для исправления ситуации в лучшую сторону. Подобные тенденции не новые и не характерны исключительно для нашей страны. Страны ЕС, например, тоже переживают реформу законодательства в сфере обработки и защиты персональных данных. 25 мая 2018 года в ЕС вступил в силу «Общий регламент по защите данных» (General Data Protection Regulation, GDPR), который заменил действующую ранее директиву Data Protection Directive (DPD) от 1995 года.
Новый регламент усиливает и унифицирует защиту персональных данных всех граждан стран ЕС, а также регулирует экспорт данных из стран ЕС. За нарушение требований нового регламента на компанию нарушителя может быть наложен штраф до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.
Безусловно российское законодательство в сфере обработки и защиты персональных данных несоизмеримо мягче, чем европейское или американское. Однако, во-первых, за последние годы оно существенно ужесточилось и сильно повысило требования к защите персональных данных, а во-вторых — соблюдение европейского регламента требуется и российскими компаниями, которые осуществляются обработку персональных данных граждан стран ЕС.
Возвращаясь к вопросу о возможности передачи обработки персональных данных на аутсорсинг отметим, что отечественное законодательство, как и европейский регламент GDPR, допускает возможность поручения обработки персональных данных другому лицу с согласия субъекта персональных данных. По сути это легализованный аутсорсинг всех процессов, связанных с обработкой персональных данных. В современных реалиях это отличный способ сэкономить и при этом соблюсти все необходимые требования законодательства о защите персональных данных, доверив обработку персональных данных специализированной компании. Что же для этого необходимо?
Напомним, что компания, обрабатывающая персональные данные, по закону именуется оператором. Закон устанавливает, что компания-аутсорсер, которой оператор поручил обработку персональных данных, обязана соблюдать принципы и правила обработки персональных данных, установленные законодательством о защите персональных данных. Это означает, что все требования, предъявляемые к оператору, обрабатывающему персональные данные, в равной мере распространяются и на компанию-аутсорсера.
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться компанией-аутсорсером, и цели обработки персональных данных. Аутсорсер обязан соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Поручение в обязательном порядке должно содержать требования к защите обрабатываемых персональных данных, установленные законодательством.
Под поручением оператора закон понимает некий договор, соглашение или отдельные условия более крупного и комплексного договора, в соответствии с которыми аутсорсеру поручается обработка персональных данных. Следовательно, требования, предъявляемые законом к содержанию поручения, должны быть в обязательном порядке включены в такой договор или соглашение. В ином случае имеет риск недействительности такого договора или части другого комплексного договора и, как следствие, признание оператора нарушившим законодательство о защите персональных данных с последующим применением штрафных санкций.
Важно, что аутсорсер не обязан получать согласие граждан на обработку их персональных данных. Такое согласие получает непосредственно компания-оператор, изначальный получатель персональных данных. Она же получает согласие на возможность перепоручить обработку персональных данных аутсорсеру. При этом всю ответственность за обработку и конфиденциальность персональных данных аутсорсером перед гражданами несет именно оператор, а уже за недостатки своей работы аутсорсер будет отвечать перед оператором.
На момент публикации законодатель прорабатывает вопрос о наложении санкций на операторов, которые плохо контролируют аутсорсеров и тем самым допускают нарушение законодательства в области защиты персональных данных. Предлагается размер штрафа до 30 000 рублей, что безусловно значительно ниже европейских штрафов.
Полагаем, что введение данных санкций в России — это вопрос времени, поэтому призываем всех уже сегодня озаботиться вопросом организации процесса обработки персональных данных у себя в компании, разработать необходимые документы или передать обработку персональных данных на аутсорсинг. Ведь не следует забывать, что и сейчас существуют значительные штрафы за нарушение порядка обработки и защиты персональных данных (до 75 000 рублей), которые рискует получить ваша компания при отсутствии необходимых документов.