Требуется юрист для юридической проверки и правки договоров по персональным данным с учётом рисков по ст. 13.11 КоАП в IT-интеграциях

<h4 id="it-"><strong>Правовой аудит и корректировка договора и поручения на обработку персональных данных в рамках IT-интеграции</strong></h4> <p>Вы абсолютно правы в оценке рисков. Нечеткие формулировки в договорах, регулирующих обработку персональных данных (ПДн), являются одной из основных причин привлечения к административной ответственности по статье 13.11 КоАП РФ. Ваша цель — привести документы в соответствие с законодательством — является ключевой для минимизации этих рисков.</p> <p>На основе предоставленных вами документов и норм права проведем анализ ситуации и сформулируем основные направления для корректировки документов.</p> <h5 id="1"><strong>1. Правовой статус сторон и распределение ответственности</strong></h5> <p>В рамках отношений по обработке ПДн, исходя из законодательства, складывается следующая картина:<br /> * <strong>Заказчик</strong> является <strong>Оператором персональных данных</strong>. Именно он определяет цели, состав и действия по обработке ПДн. &gt;"Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).<br /> * <strong>Вы (ИП)</strong> выступаете в роли <strong>лица, обрабатывающего ПДн по поручению Оператора</strong>.</p> <p>Это принципиально важно, так как закон четко устанавливает распределение ответственности:</p> <blockquote> <p>"В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 5).</p> </blockquote> <p>Таким образом, в случае утечки данных или иного нарушения, претензии субъектов ПДн (физических лиц) и регулятора (Роскомнадзора) в первую очередь будут предъявлены к Заказчику. Однако в вашем договоре с Заказчиком может быть закреплена ваша ответственность перед ним за нарушения, допущенные по вашей вине.</p> <h5 id="2-6-152-"><strong>2. Ключевые требования к содержанию Поручения на обработку ПДн (на основе ст. 6 152-ФЗ)</strong></h5> <p>Закон устанавливает императивные требования к документу, которым оператор поручает обработку. В вашем случае это "Поручение на обработку ПДн". Согласно норме, в нем должны быть определены:</p> <blockquote> <p>"В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 3).</p> </blockquote> <p><strong>Ваши риски и необходимые правки:</strong><br /> 1. <strong>Сроки хранения и уничтожения ПДн:</strong> Закон связывает срок хранения с целями обработки.<br /> &gt; "Хранение персональных данных должно осуществляться... не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором... Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5, часть 7).<br /> * <strong>Рекомендация:</strong> В Поручении необходимо четко прописать конкретный срок хранения ПДн после завершения работ (например, "30 дней с даты подписания акта сдачи-приемки услуг") или указать, что данные уничтожаются/возвращаются Заказчику немедленно по достижении цели обработки. <strong>Нельзя оставлять формулировки "в течение срока, необходимого для обработки" без конкретики.</strong></p> <ol start="2"> <li> <p><strong>Обязанности по защите ПДн:</strong> Требования к защите должны быть конкретными.<br /> &gt; "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1).</p> <ul> <li><strong>Рекомендация:</strong> В Поручении следует либо детально перечислить минимально необходимые меры безопасности (шифрование, контроль доступа, антивирусная защита и т.д.), либо сделать отсылку к утвержденной Заказчиком (как Оператором) политике безопасности или регламенту, с которым вы обязуетесь ознакомиться и соблюдать. Это распределит бремя по определению адекватных мер защиты на Заказчика.</li> </ul> </li> <li> <p><strong>Обязанность уведомлять об инцидентах:</strong> Это критически важный пункт.<br /> &gt; "Оператор обязан в порядке, определенном федеральным органом исполнительной власти... обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу... персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 12).</p> <ul> <li><strong>Рекомендация:</strong> В Поручении должна быть закреплена ваша обязанность <strong>немедленно</strong> (в течение 24 часов) уведомлять Заказчика о любом инциденте, связанном с ПДн (утечке, несанкционированном доступе). Это позволит Заказчику исполнить свою обязанность по уведомлению Роскомнадзора.</li> </ul> </li> </ol> <h5 id="3"><strong>3. Корректировка положений Рамочного договора</strong></h5> <ol> <li><strong>Согласованность целей:</strong> Убедитесь, что цели обработки ПДн, указанные в Поручении, полностью соответствуют и вытекают из целей, закрепленных в основном договоре на разработку ПО.</li> <li><strong>Уточнение "спорных" пунктов о передаче данных:</strong> В договоре должна быть однозначная формулировка, что <strong>все действия с ПДн</strong> вы осуществляете <strong>исключительно на основании и в пределах отдельного Поручения на обработку ПДн</strong>, которое является неотъемлемой частью договора. Это исключит вашу ответственность за обработку данных, не санкционированную Поручением.</li> <li><strong>Распределение ответственности между вами и Заказчиком:</strong> В разделе об ответственности рамочного договора целесообразно закрепить положение о том, что:<ul> <li>Заказчик, как Оператор, несет полную ответственность перед субъектами ПДн и регуляторами за соблюдение законодательства о ПДн в целом.</li> <li>Вы несете ответственность перед Заказчиком только за нарушения, произошедшие по вашей вине и в нарушение конкретных инструкций, содержащихся в Поручении.</li> <li>Заказчик обязан возместить вам все убытки (включая штрафы, уплаченные по вашей вине, если это будет доказано), если они возникли вследствие его неправомерных или неполных указаний в Поручении, либо из-за недостатков предоставленных им систем/данных.</li> </ul> </li> </ol> <h5 id="4"><strong>4. Вопрос уведомления Роскомнадзора</strong></h5> <blockquote> <p>"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 1).</p> </blockquote> <p>Обязанность по направлению уведомления лежит <strong>на Заказчике (Операторе)</strong>. Однако, если ваше привлечение в качестве исполнителя меняет ранее заявленные им сведения (например, появляется новый обработчик, меняются способы защиты), он обязан внести изменения в уведомление. В договоре или поручении можно закрепить его обязанность подтвердить факт наличия действующего уведомления в Роскомнадзоре.</p> <h4 id="_1"><strong>Выводы и конкретные рекомендации</strong></h4> <ol> <li><strong>Приоритет — Поручение на обработку ПДн.</strong> Это самый важный документ с точки зрения регулятора. Он должен быть максимально детализированным и соответствовать требованиям ч. 3 ст. 6 152-ФЗ.</li> <li><strong>Обязательные пункты для включения/проверки в Поручении:</strong><ul> <li><strong>Конкретный перечень</strong> обрабатываемых ПДн (категории данных).</li> <li><strong>Исчерпывающий перечень действий</strong> (сбор, запись, систематизация, хранение и т.д.).</li> <li><strong>Четкая цель обработки</strong>, соотнесенная с договором.</li> <li><strong>Конкретные сроки</strong> хранения и порядок уничтожения/возврата ПДн.</li> <li><strong>Детализированные обязанности по защите</strong> (или ссылка на документ Заказчика).</li> <li><strong>Порядок и сроки уведомления</strong> Заказчика об инцидентах с ПДн.</li> </ul> </li> <li><strong>Правки в Рамочный договор:</strong><ul> <li>Прямая ссылка на то, что обработка ПДн осуществляется только на основании Поручения.</li> <li>Четкое распределение ответственности: Заказчик отвечает перед внешним миром, вы — перед Заказчиком в рамках согласованных условий.</li> <li>Механизм возмещения убытков, если штраф на вас наложен из-за ошибок Заказчика.</li> </ul> </li> <li><strong>Обратитесь к адвокату.</strong> Учитывая сложность предмета (пересечение IT-договоров и строгого законодательства о ПДн) и потенциально высокие штрафы, <strong>настоятельно рекомендуется привлечь адвоката</strong>, специализирующегося на информационном праве и защите персональных данных, для окончательной вычитки и внесения правок в оба документа. Это инвестиция в вашу правовую безопасность.</li> </ol> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>