Поручение на обработку персональных данных: что должно быть в договоре

Если оператор поручает обработку персональных данных другому лицу (бухгалтерия на аутсорсе, облачный сервис, колл-центр), это допускается на основании договора — поручения на обработку (статья 6 часть 3 Федерального закона 152-ФЗ).

Когда нужно поручение

Поручение оформляется всякий раз, когда обработку ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). по заданию оператора выполняет сторонний контрагент. Оператор остаётся ответственным перед субъектом, а обработчик — перед оператором.

Что включить в договор поручения

• перечень действий (операций) с ПДн и цели обработки;
• обязанность обработчика соблюдать конфиденциальность и обеспечивать безопасность ПДн (ст. 19 152-ФЗ);
• требования к защите обрабатываемых данных;
• ответственность обработчика.

Трансграничная передача

Если обработчик находится за рубежом, дополнительно учитываются требования статьи 12 152-ФЗ о трансграничной передаче ПДн.

Как вести учёт

Раздел «Поручения на обработку» ведёт реестр контрагентов-обработчиков: наличие договора, цели, меры защиты, трансграничная передача. Завести реестр — в ГрамотаИБ.