Изменения в Рекомендациях НЦЗПД: как корректно выстраивать отношения с уполномоченными лицами при обработке персональных данных

Конец октября оказался активен на новости в сфере персональных данных. НЦЗПД внес корректировки в Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных. 

На практике часто возникают вопросы при работе с нерезидентами, которые являются уполномоченными лицами. Например, белорусская компания хочет заказать маркетинговое исследования у иностранной компании. Исследование представляет собой анализ данных и разработку маркетинговой стратегии. Для этой цели будет заключаться договор возмездного оказания услуг. 

1. Что же включить в такой договор для соблюдения белорусского Закона «О защите персональных данных»? 

Все просто! Ст. 7 данного Закона предусматривает обязательные условия для договора с уполномоченным лицом: цели обработки, перечень передаваемых персональных данных и др. 

Справочно: Рекомендуем указывать еще право белорусской компании привлекать третьих лиц, включая иностранные компании, для обработки персональных данных и осуществления действий, связанной с ней (например, прекратить обработку по окончании отношений или удалить персональные данные). 
При согласовании условий договора важно определить не только порядок оказания услуг и ее оплату, но и запросить подтверждение и гарантии соблюдения требований белорусского законодательства в части обработки персональных данных, в том числе, в части технической и криптографической защиты. 

Что же делать, если иностранная компания не может обеспечить их исполнение?  

Белорусская компания должна оценить принимаемые ей меры и соотнести с требованиями ст. 7 Закона. Особое внимание следует уделять контрагентам из государств, которые не обеспечивают надлежащий уровень защиты прав субъектов персональных данных (например, США). В связи с этим важно проанализировать законодательство, практику его применения, разъяснения специального органа, требования к технической защите самостоятельно или путем запроса контрагенту. 

Почему это важно?
Именно белорусская компания будет нести ответственность за деятельность иностранной компании в части обработки персональных данных по договору.

2. Как влияет наличие доступа к персональным данным на вашего контрагента?

Часто складывается впечатление, что если IT-компания, работая на аутсорсинге, оказывает услуги по техническому обслуживанию, то она не является уполномоченным лицом. 

Это не всегда так. Для определения статуса контрагента необходимо оценить, имеют ли работники IT-компании доступ к персональным данным, в том числе даже потенциальный. Например, IT-компания может только видеть макеты документов или уже заполненные бланки с фамилиями работников, то она будет являться уполномоченным лицом. Если все данные скрыты или технически не настроен доступ, то такого статуса нет. 

Почему это важно?
В случае наличия доступа вам нужно включить в договор условия для уполномоченного лица, о которых писали выше. Это значит, что в договоре с IT-компанией должен появиться еще один раздел, отсутствие которого грозит штрафом до 2100,00 белорусских рублей. 

Как следует поступить? 
Компаниям нужно проводить комплаенс договоров не только на соблюдение гражданского законодательства, но и законодательства о персональных данных (статус контрагента, перечень передаваемых персональных данных, цель обработки, отдельные условия в договоре).