Является ли неуказание условий в договоре нарушением ФЗ “О персональных данных”

Вопрос: Организация заключила договор о ведении бухгалтерского учета со сторонним бухгалтером. При этом текст договора не содержит условия об обеспечении конфиденциальности и безопасности персональных данных работников при их обработке, перечня действий с персональными данными, которые будут совершаться бухгалтером.

Является ли неуказание данных условий в договоре нарушением Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”?

 

Ответ: Если при заключении организацией договора со сторонним бухгалтером в текст договора не включены условия об обеспечении конфиденциальности и безопасности персональных данных работников при их обработке, перечень действий с персональными данными, которые будут совершаться бухгалтером, имеет место нарушение Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ).

 

Обоснование: В соответствии с ч. 4 ст. 9 Закона N 152-ФЗ в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных.

Согласно ч. 3 ст. 6 Закона N 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ.

В представленном случае оператором не было принято мер по защите персональных данных работников при их передаче стороннему бухгалтеру, что является нарушением Закона N 152-ФЗ. Указанные выводы подтверждаются Постановлением ФАС Северо-Западного округа от 29.04.2013 N А44-5910/2012.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

code