Договор на обработку персональных данных: Договор на обработку персональных данных \ Акты, образцы, формы, договоры \ КонсультантПлюс

  • Главная   /  Разное   /  
  • Договор на обработку персональных данных: Договор на обработку персональных данных \ Акты, образцы, формы, договоры \ КонсультантПлюс

Договор на обработку персональных данных: Договор на обработку персональных данных \ Акты, образцы, формы, договоры \ КонсультантПлюс

Договор на обработку персональных данных \ Акты, образцы, формы, договоры \ КонсультантПлюс

  • Главная
  • Правовые ресурсы
  • Подборки материалов
  • Договор на обработку персональных данных

Подборка наиболее важных документов по запросу Договор на обработку персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

  • Персональные данные:
  • Cookie
  • Адвокатский запрос персональные данные
  • Адрес электронной почты
  • Акт об уничтожении персональных данных
  • Аттестация информационной системы
  • Показать все
Еще
  • Персональные данные:
  • Cookie
  • Адвокатский запрос персональные данные
  • Адрес электронной почты
  • Акт об уничтожении персональных данных
  • Аттестация информационной системы
  • Показать все
  • Поручение:
  • Безвозмездный договор поручения
  • Действия в чужом интересе без поручения
  • Доверенность по договору поручения образец
  • Доверитель
  • Договор поручения
  • Показать все

Формы документов

Судебная практика

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Подборка судебных решений за 2020 год: Статья 10 «Специальные категории персональных данных» Федерального закона «О персональных данных»»Среди оснований, при наличии которых не требуется согласие субъекта на обработку его персональных данных (п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных) предусмотрена обработка персональных данных для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также обработка персональных данных для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.»

Статьи, комментарии, ответы на вопросы

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Вопрос: Организация собирает данные клиентов на сайте через сторонние сервисы (в частности, фамилию, имя, телефон, электронную почту). Используются бесплатные тарифы, поэтому договоров с сервисами нет. Нужно ли уведомить об обработке персональных данных Роскомнадзор?
(Консультация эксперта, 2023)Вопрос: Организация собирает данные клиентов на сайте через сторонние сервисы (в частности, фамилию, имя, телефон, электронную почту). Используются бесплатные тарифы, поэтому договоров с сервисами нет. Нужно ли уведомить об обработке персональных данных Роскомнадзор? Существуют ли риски из-за отсутствия договоров с сервисами? Если да, то какие?

Нормативные акты

Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 14.07.2022)
«О персональных данных»
(с изм. и доп., вступ. в силу с 01.03.2023)3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3. 1 статьи 21 настоящего Федерального закона.

Соглашение об обработке персональных данных

4.1. Обязанности Заказчика:

4.1.1. Заказчик обязуется выполнять требования Федерального закона №152-ФЗ «О персональных данных», такие как: определить цели обработки персональных данных, определить содержание и объем обрабатываемых персональных данных, определить перечень действий (операций) с персональными данными, которые будут совершаться Исполнителем; при обработке персональных данных обеспечить точность персональных данных, их достаточность, а также актуальность по отношению к целям обработки персональных данных.

4.1.2. Хранить персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не определено условиями Договора. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное определено условиями договора.

4.1.3. Установить требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», при этом данное обязательство распространяется исключительно на Заказчика и не должно трактоваться, как установление определенных Заказчиком Исполнителю требований к защите обрабатываемых персональных данных.

4.1.4. С учетом указанного Исполнителем уровня защищенности Платформы, Заказчик должен самостоятельно оценивать возможность осуществления обработки определённых Заказчиком персональных данных на ресурсах Платформы Исполнителя, равно как и возможность давать поручение Исполнителю об обработке таких данных.

4.1.5. Опубликовать в информационно-телекоммуникационной сети, с использованием которой осуществляется сбор персональных данных документ, определяющий Политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

4.1.6. Установить порядок сбора согласий субъектов персональных данных на обработку их персональных данных.

4.1.7. Самостоятельно отвечать на запросы контролирующих государственных органов, касающиеся обработки Заказчиком и защиты персональных данных.

4.1.8. По запросу уполномоченного органа по защите прав субъектов персональных данных, предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», допускающих обработку персональных данных без наличия согласия субъекта.

4.1.9. В случае отзыва субъектом персональных данных согласия на обработку персональных данных и отсутствия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», допускающих обработку персональных данных без наличия согласия субъекта, направлять Исполнителю запрос на удаление данных.

4.1.10. При поступлении запроса от субъекта персональных данных на предоставление сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», либо требований субъекта об уточнении его персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вносить в них необходимые изменения самостоятельно.

4.1.11. Выполнять все необходимые требования к защите обрабатываемых персональных данных в рамках своей зоны ответственности.

4.2. Права Заказчика:

4.2.1. Требовать от Исполнителя уточнения его персональных данных, обрабатываемых на Платформе Исполнителя, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.2.2. Получать информацию, касающуюся обработки персональных данных на Платформе, такие как подтверждение факта обработки персональных данных; цели и применяемые Исполнителем способы обработки персональных данных; наименование и место нахождения Исполнителя, а также иные сведения, предусмотренные действующим законодательством РФ.

4.3. Обязанности Исполнителя:

4.3.1. Осуществлять обработку персональных данных по поручению Заказчика на законной основе, в строгом соответствии с условиями Соглашения.

4.3.2. Соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.

4.3.3. Выполнять все необходимые требования к защите обрабатываемых персональных данных, установленные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и его подзаконными актами по отношению к определенному Исполнителем уровню защищенности персональных данных при их обработке в информационных системах персональных данных, который позволяет обеспечить Платформа, в рамках своей зоны ответственности.

4.4. Права Исполнителя:

4.4.1. При обращении соответствующих органов или субъектов персональных данных, запрашивать у Заказчика основания обработки персональных данных определенного субъекта данных и подтверждение получения согласия или наличие иного основания для обработки указанных данных.

4.4.2. Приостанавливать или прекращать обработку данных при наличии основания полагать, что персональные данные, вносимые на Платформу обрабатываются неправомерно или незаконно.

4.4.3. В одностороннем порядке вносить изменения в Соглашение. В случае, если Заказчик не согласен с новой версией Соглашения, он обязан прекратить размещать персональные данные на ресурсах Платформы.

Что такое соглашение об обработке данных (DPA)?

Соглашение об обработке данных, или DPA, — это соглашение между контролером данных (например, компанией) и обработчиком данных (например, сторонним поставщиком услуг). Он регулирует любую обработку персональных данных, осуществляемую в коммерческих целях. DPA также можно назвать соглашением об обработке данных GDPR.

Обработка данных включает любую операцию, при которой данные собираются, переводятся, передаются и/или классифицируются для получения значимой информации. Компании часто нанимают третьих лиц для обработки и анализа личных данных клиентов, что обычно требует наличия DPA.

Например, New York Times (NYT) использует Google BigQuery для сбора и анализа данных о том, какие статьи люди читают, как долго они остаются на сайте и как часто используют приложение NYT. Это значимая информация для принятия бизнес-решений, и между NYT и Google, безусловно, существует DPA, который регулирует использование и управление этими данными.

В связи с этим: узнайте о других основных деловых соглашениях

В соглашении об обработке данных излагаются технические требования, которым контролер и обработчик должны следовать при обработке данных. Это включает в себя настройку условий хранения, защиты, обработки, доступа и использования данных. Соглашение также определяет, что процессор может и не может делать с данными.

DPA является ключевым компонентом соответствия GDPR.

GDPR расшифровывается как Общий регламент по защите данных. Это закон о конфиденциальности и безопасности, принятый Европейским союзом (ЕС). Хотя GDPR был создан ЕС, он применяется к любой организации, которая нацелена или собирает данные о людях в ЕС.

GDPR фокусируется в основном на персональных данных и обработке данных, субъектах, контролерах и обработчиках. Он требует подписания DPA со сторонними обработчиками данных. Если ваша организация использует данные о резидентах ЕС, вы должны соответствовать GDPR и использовать DPA. Невыполнение этого требования может привести к большим штрафам и пени.

Организациям, использующим данные о резидентах ЕС, требуется соглашение об обработке данных GDPR каждый раз, когда они нанимают третью сторону для обработки этих данных. Для компаний, которые не взаимодействуют с пользовательскими данными из ЕС, DPA может оказаться полезным для определения условий ведения бизнеса с внешними обработчиками данных.

Соглашение об обработке данных четко определяет роли и обязанности контролеров и обработчиков. Это полезный контракт для любой договоренности между двумя сторонами, работающими с данными клиентов или пользователей.

Элементы DPA

Вообще говоря, DPA должен включать объем и цель обработки данных, какие данные будут обрабатываться, как они будут защищены, а также отношения между контроллером и процессором.

Соглашения об обработке данных GDPR должны быть особенно подробными. Они должны включать:

  • Общая информация: Сюда входят действия, связанные с обработкой данных, способы использования персональных данных, сторона, ответственная за обеспечение соответствия данных требованиям GDPR, и продолжительность обработки. Он также охватывает определения субъектов данных (клиенты или пользователи), типы данных, подлежащих обработке, способы и место хранения данных, а также условия расторжения договора.
  • Обязанности контролера: Когда речь идет о соблюдении GDPR, установление законного процесса обработки данных и соблюдение прав субъектов данных ложится на контролера.
    Контроллер также отвечает за выдачу инструкций по обработке и определяет, как процессор обрабатывает данные.
  • Обязанности обработчика: В соответствии с GDPR у обработчиков есть длинный список обязанностей. К ним относятся поддержание информационной безопасности, сотрудничество с органами власти в случае запроса, сообщение об утечке данных, предоставление возможностей для аудита, ведение учета, удаление или возврат данных по окончании контракта и многое другое.
  • Технические и организационные требования: Как данные будут шифроваться, получать к ним доступ и тестировать? Могут ли обе стороны обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг обработки? GDPR требует, чтобы контролеры и обработчики учитывали, как современные технологии, затраты на внедрение и различия в личных свободах влияют на их способность обеспечивать постоянную безопасность данных.

Если обработчик планирует использовать субобработчиков, также необходим раздел, описывающий субдоговорные отношения. Обработчику требуется письменное согласие контроллера на использование подпроцессоров, которые должны обеспечивать защиту данных и регулярно проходить проверку соответствия.

Когда организация нанимает или сотрудничает со сторонним обработчиком данных, ее, скорее всего, попросят подписать соглашение об обработке данных с этим обработчиком. Это совершенно нормально и даже необходимо, если организация работает с личными данными людей, проживающих в ЕС.

Например, поставщик медицинских услуг может решить приобрести облачное программное обеспечение для управления пациентами, в котором хранится информация о медицинском обслуживании людей. Хотя программное обеспечение может быть отличным обновлением бумажных систем или электронных таблиц, поставщик программного обеспечения является третьей стороной, которая будет собирать, хранить и передавать личные данные о пациентах. Для этого необходимо соглашение об обработке данных.

При представлении DPA убедитесь, что в нем четко указано, как процессор может использовать данные. Найдите элементы DPA, перечисленные выше, и убедитесь, что они достаточно подробны, чтобы не оставлять места для интерпретации.

В случае соглашения об обработке данных GDPR помните, что контролер может нести ответственность за утечку данных, даже если она вызвана ошибкой процессора. Убедитесь, что процессор имеет пропускную способность, необходимую для обеспечения защиты данных, и примите меры для быстрого реагирования на любые возникающие проблемы.

Если вы обеспечиваете обработку данных, особенно для клиентов, работающих с данными от пользователей в ЕС, вам необходимо ознакомиться с созданием и управлением DPA.

Для начала стоит взглянуть на DPA, используемые в настоящее время корпоративными процессорами. Например, DPA HubSpot легко найти и прочитать. Однако соглашения об обработке данных являются длинными, и чтение даже нескольких из них для составления собственного контракта может занять много времени.

Более того, некоторым из ваших клиентов или каждому из них могут потребоваться уникальные DPA, отвечающие их потребностям в использовании данных. Управление этими различными DPA может снизить производительность вашей юридической команды. Учитывая, насколько важно точно управлять контрактами, касающимися данных потребителей, вам понадобится интеллектуальная система управления, которая предотвращает ошибки и упущения, а также дает возможность любому, кому необходимо создать контракт.

Когда данные контракта хранятся в отдельных системах, которые не взаимодействуют друг с другом, берет верх неэффективность. Обработчикам данных требуется решение, которое объединяет изолированные процессы управления, обеспечивает прозрачность и автоматизирует рабочие процессы управления контрактами.

Лучшее решение — программное обеспечение для управления жизненным циклом контрактов (CLM). Программное обеспечение Agile для контрактов предлагает комплексное решение с единым источником достоверной информации для всех ваших контрактов. Это делает управление контрактами прозрачным и автоматически поддерживает соответствие GDPR.

Готовы вывести DPA и управление контрактами на новый уровень? Подпишитесь на демонстрацию сегодня и узнайте, что управление жизненным циклом контрактов Ironclad может сделать для вашего бизнеса.

Содержание

  • Что такое соглашение об обработке данных?
  • Цель DPA
  • Что такое GDPR?
  • Когда мне нужен DPA?
  • Элементы DPA
  • Подписание DPA в качестве клиента (контроллера)
  • Создание DPA в качестве поставщика услуг (процессора)
  • Следующие шаги
  • Типы контрактов

Что такое соглашение об обработке данных GDPR?

Практически каждый бизнес использует третьи стороны для обработки персональных данных. Будь то клиент электронной почты, служба облачного хранилища или программное обеспечение для веб-аналитики, у вас должно быть соглашение об обработке данных с каждой из этих служб, чтобы обеспечить соответствие требованиям GDPR.

Общий регламент ЕС по защите данных использует более серьезный подход к контрактам, чем предыдущие правила ЕС по защите данных. Если ваша организация подпадает под действие GDPR, у вас должно быть письменное соглашение об обработке данных со всеми вашими обработчиками данных. Да, соглашение об обработке данных — это более раздражающая бумажная волокита. Но это также один из самых основных шагов соблюдения GDPR, необходимый для избежания штрафов GDPR.

Это руководство служит введением в соглашения об обработке данных — что это такое, почему они важны, для кого они предназначены и что они должны сказать. Вы также можете перейти по ссылке, чтобы найти шаблон соглашения об обработке данных GDPR, который вы можете скачать, настроить и использовать в своей компании.

Термин «обработка» встречается в этой статье с отвратительной частотой. В определениях GDPR под обработкой понимается все, что вы можете сделать с чьей-либо личной информацией: ее сбор, хранение, монетизация, уничтожение и т. д.

Основы соглашения об обработке данных

Соответствие GDPR требует от контролеров данных подписать соглашение об обработке данных с любыми сторонами, которые действуют в качестве обработчиков данных от их имени. Если вам нужны некоторые определения этих терминов, вы можете найти их в нашей статье «Что такое GDPR», но обычно обработчик данных — это другая компания, которую вы используете для хранения, анализа или передачи личной информации. Например, если вы являетесь медицинской страховой компанией и делитесь информацией о клиентах по зашифрованной электронной почте, то эта служба зашифрованной электронной почты является обработчиком данных. Или, если вы используете Matomo для анализа трафика на своем веб-сайте, Matomo также будет обработчиком данных.

Соглашение об обработке данных — это юридически обязывающий договор, в котором излагаются права и обязанности каждой стороны в отношении защиты персональных данных (см. «Что такое персональные данные?»). Статья 28 GDPR распространяется на соглашения об обработке данных в соответствии с разделом 3:

. Обработка процессором регулируется договором или другим правовым актом в соответствии с законодательством Союза или государства-члена, который является обязательным для процессора в отношении контроллера и в котором указаны предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролера.

Если вы являетесь владельцем бизнеса, подпадающего под действие GDPR, в ваших интересах иметь действующее соглашение об обработке данных: прежде всего, оно требуется для соблюдения GDPR, но DPA также дает вам гарантии того, что процессор данных, который вы используете, является квалифицированным и способным. Как указано в Декларации 81:

. Поручая обработчику операции по обработке, контролер должен использовать только обработчиков, предоставляющих достаточные гарантии, в частности, с точки зрения экспертных знаний, надежности и ресурсов, для реализации технических и организационных мер, которые будут соответствовать требованиям настоящего Регламента, в том числе по безопасности обработки.

Пример соглашения об обработке данных

Этот веб-сайт, как вы, возможно, знаете, управляется поставщиком зашифрованной электронной почты Proton Mail (и частично финансируется программой Horizon 2020 Европейского Союза). В рамках наших усилий по соблюдению GDPR мы сделали наше собственное соглашение об обработке данных доступным для всех наших корпоративных пользователей для загрузки, просмотра и подписания.

Наш DPA дает ряд гарантий компаниям, которые доверяют нам личные данные. Например, соглашение об обработке данных Proton Mail обещает использование технических мер безопасности, таких как шифрование, как указано в статье 32 GDPR. Оно также предлагает разумную помощь контролерам при проведении оценки воздействия на защиту данных.

Для получения более подробной информации вы можете прочитать соглашение об обработке данных Proton Mail или ознакомиться с общим шаблоном соглашения об обработке данных, который мы разместили на этом веб-сайте.

Что должно быть в соглашении об обработке данных

Статья 28 GDPR, раздел 3, подробно объясняет восемь тем, которые должны быть освещены в DPA. Итак, вот что вам нужно включить:

  • Обработчик соглашается обрабатывать персональные данные только по письменным инструкциям контролера.
  • Каждый, кто соприкасается с данными, клянется хранить конфиденциальность.
  • Для обеспечения безопасности данных используются все соответствующие технические и организационные меры.
  • Обработчик не будет заключать субподряд с другим обработчиком, если только он не получит письменное указание сделать это от контролера, и в этом случае потребуется подписать еще один DPA с обработчиком (в соответствии с разделами 2 и 4 статьи 28).
  • Обработчик поможет контролеру выполнить свои обязательства в соответствии с GDPR, особенно в отношении прав субъектов данных.
  • Обработчик поможет контролеру обеспечить соблюдение GDPR в отношении статьи 32 (безопасность обработки) и статьи 36 (консультации с органом по защите данных перед выполнением обработки с высоким риском).

Об авторе

alexxlab administrator

Оставить ответ

© 2019 ICQ Information Center