Договор поручения на обработку персональных данных третьим лицом

Договор поручения на обработку персональных данных

Договор поручения N _____ на обработку персональных данных

1.2. Поручение по настоящему Договору должно быть исполнено в срок не позднее «__»___________ ____ г.

1.3. Доверитель гарантирует:

— персональные данные получены законными способами, цели сбора персональных данных совместимы с целями, указанными в п. 1.1 настоящего Договора;

— имеется согласие субъектов персональных данных на их обработку;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, в том числе по настоящему Договору;

— обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки в рамках настоящего Договора или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

— своевременное доведение до Поверенного информации в случае отзыва субъектом персональных данных согласия на обработку его персональных данных.

1.4. Поверенный гарантирует обеспечение условий обработки персональных данных, установленных ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.5. Перечень действий (операций) по обработке персональных данных в рамках Поручения:

1.6. Поверенный выполняет Поручение лично.

1.7. В случае обращения к Поверенному субъекта персональных данных с запросом, основанным на ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Поверенный информирует об этом Доверителя и действует в соответствии с его инструкциями.

1.8. Лицо Доверителя, ответственное за организацию обработки персональных данных, и куратор исполнения настоящего Договора — ____________________.

1.9. Лицо Поверенного, ответственное за организацию обработки персональных данных, и куратор исполнения настоящего Договора — ____________________.

2. КОНФИДЕНЦИАЛЬНОСТЬ

2.1. Поверенный при выполнении Поручения обязуется соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных, а также соблюдать следующие требования:

2.2. Стороны обязуются соблюдать режим конфиденциальности в отношении данных, ставших им известными при исполнении настоящего Договора.

2.3. Персональные данные подлежат уничтожению (или: обезличиванию) по достижении целей обработки.

2.4. Режим конфиденциальности в отношении настоящего Договора действует в течение _____ лет с момента его прекращения.

3. ОБЯЗАННОСТИ И ПРАВА СТОРОН

3.1. Поверенный обязуется:

3.1.1. Своевременно и качественно выполнить Поручение в соответствии со ст. ст. 18, 18.1, 21 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

3.1.2. Принимать исчерпывающие меры по обеспечению безопасности персональных данных при выполнении Поручения.

3.1.3. Передавать Доверителю без промедления все результаты, полученные при исполнении Поручения.

3.1.4. Возвратить Доверителю доверенность, срок действия которой не истек, и представить ему Отчет об исполнении Поручения (Приложение N 1) не позднее _____ (__________) дней со дня его исполнения.

3.2. Доверитель обязуется:

3.2.1. Выдать Поверенному персональные данные и доверенность, удостоверяющую его полномочия, необходимые для исполнения Поручения.

3.2.2. Не позднее _____ дней с момента заключения Договора передать Поверенному следующие документы, необходимые для исполнения Поручения: _________________________.

3.2.3. Принять от Поверенного все полученное при исполнении Поручения.

3.2.4. Ознакомиться с Отчетом Поверенного и утвердить его либо сообщить Поверенному о своих возражениях по Отчету в течение _____ (__________) дней со дня его получения. При отсутствии возражений со стороны Доверителя в указанный срок Отчет Поверенного считается принятым.

3.2.5. Уплатить Поверенному вознаграждение в порядке и сроки, предусмотренные п. 4.2 Договора, а также возместить Поверенному понесенные им расходы в срок не позднее _____ дней со дня утверждения Отчета.

3.3. К расходам Поверенного, подлежащим возмещению за счет Доверителя, относятся расходы, непосредственно связанные с исполнением Поручения, суммы государственной пошлины, уплаченной Поверенным при исполнении Поручения, расходы на проезд к месту исполнения Поручения.

4. ВОЗНАГРАЖДЕНИЕ ПОВЕРЕННОГО

4.1. Вознаграждение Поверенного по настоящему Договору составляет _____ (__________) рублей, в том числе НДС — _____ (__________) рублей.

4.2. Сумма вознаграждения уплачивается _________________________ (в срок не позднее _____ (__________) дней с момента подписания Договора (авансом)/в срок не позднее _____ (__________) дней со дня утверждения Отчета Поверенного/в следующем порядке: _____ процентов вознаграждения, что составляет _____ (__________) рублей, в том числе НДС — _____ (__________) рублей/в срок не позднее _____ (__________) дней с момента подписания Договора (авансом)/_____ процентов вознаграждения, что составляет _____ (__________) рублей, в том числе НДС — _____ (__________) рублей/в срок не позднее _____ (__________) дней со дня утверждения Отчета Поверенного).

5. ОТВЕТСТВЕННОСТЬ СТОРОН

5.1. За нарушение сроков исполнения Поручения Доверитель вправе требовать с Поверенного уплаты штрафа в размере _____ (__________) рублей.

5.2. За нарушение сроков представления Отчета Доверитель вправе требовать с Поверенного уплаты штрафа в размере _____ (__________) рублей.

5.3. За нарушение сроков оплаты, предусмотренных п. 4.2 Договора, Поверенный вправе требовать с Доверителя уплаты неустойки (пени) в размере _____ процентов от неуплаченной суммы за каждый день просрочки.

5.4. Сторона, не исполнившая или ненадлежащим образом исполнившая обязательства по Договору, обязана возместить другой Стороне _________________________ (убытки в полной сумме сверх предусмотренных Договором неустоек/убытки в части, не покрытой предусмотренными Договором неустойками/только убытки/только предусмотренные Договором неустойки).

5.5. Во всех других случаях неисполнения обязательств по Договору Стороны несут ответственность в соответствии с действующим законодательством РФ.

6. СРОК ДЕЙСТВИЯ, ИЗМЕНЕНИЕ И ДОСРОЧНОЕ РАСТОРЖЕНИЕ ДОГОВОРА

6.1. Договор заключен _________________________ (на срок до _______________/на неопределенный срок).

6.2. Все изменения и дополнения к Договору действительны, если совершены в письменной форме и подписаны обеими Сторонами. Соответствующие дополнительные соглашения Сторон являются неотъемлемой частью Договора.

7. РАЗРЕШЕНИЕ СПОРОВ

7.1. Стороны будут стремиться к разрешению всех возможных споров и разногласий, которые могут возникнуть по Договору или в связи с ним, путем переговоров.

7.2. Споры, не урегулированные путем переговоров, передаются на рассмотрение суда в порядке, предусмотренном действующим законодательством РФ.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Все уведомления, предусмотренные Договором, должным быть вручены под подпись либо направлены заказным письмом с уведомлением о вручении.

8.2. Договор вступает в силу с момента его подписания Сторонами.

8.3. Договор составлен в двух экземплярах, по одному для каждой из Сторон.

— Отчет об исполнении поручения (Приложение N 1).

Договор поручения на обработку персональных данных третьим лицом

на обработку персональных данных третьим лицом

[место заключения договора] [число, месяц, год]

[Наименование организации-оператора], именуемое в дальнейшем «Доверитель», в лице [должность, Ф. И. О.], действующего на основании [устава, положения, доверенности], с одной стороны, и [Наименование организации], именуемое в дальнейшем «Поверенный», в лице [должность, Ф. И. О.], действующего на основании [устава, положения, доверенности], с другой стороны, а вместе именуемые «Стороны», заключили договор о нижеследующем:

1. Предмет договора

1.1. Поверенный обязуется по поручению, от имени и за счет Доверителя совершить действия по обработке персональных данных, которые включают следующее: [указать перечень действий (операций) с персональными данными; такими действиями могут быть, например: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных] (далее Поручение).

1.2. Состав персональных данных, подлежащих обработке, включает [вписать нужное].

1.3. Обработка персональных данных осуществляется в целях [вписать нужное].

1.4. Обработка персональных данных должна быть осуществлена в срок [вписать нужное].

1.5. Передача Доверителем персональных данных для обработки Поверенному осуществляется с согласия субъекта персональных данных по акту приема-передачи.

2. Обязанности сторон договора

2.1. Доверитель обязан:

2.1.1. В течение [значение] дней с даты подписания настоящего договора передать Поверенному персональные данные для обработки.

2.1.2. Возмещать Поверенному понесенные в связи с исполнением поручения издержки, подтвержденные документами, оформленными надлежащим образом.

2.1.3. Принять отчет Поверенного, все предоставленные им документы и все исполненное им в соответствии с настоящим договором.

2.1.4. Уплатить Поверенному вознаграждение в порядке, установленном разделом 3 настоящего договора.

2.2. Поверенный обязан:

2.2.1. Лично исполнять данное ему поручение.

2.2.2. Соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. N 152-ФЗ «О персональных данных».

2.2.3. Осуществлять обработку персональных данных в соответствии с целями, определенными Сторонами в настоящем договоре.

2.2.4. Осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

2.2.5. Соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также соблюдать требования к защите обрабатываемых персональных данных.

2.2.6. Представлять Доверителю по его требованию информацию о ходе исполнения поручения.

2.2.7. По исполнении поручения или при прекращении настоящего договора до его исполнения без промедления возвратить Доверителю персональные данные и представить отчет о выполненном поручении с приложением документов, подтверждающих издержки Поверенного, связанные с обработкой персональных данных.

3. Цена договора и порядок оплаты

3.1. Размер вознаграждения Поверенного составляет [цифрами и прописью] рублей.

3.2. Вознаграждение по настоящему договору выплачивается Доверителем Поверенному следующим образом: [единовременно, не позднее (значение) дней с даты предоставления отчета о выполненном поручении /(значение) % суммы, указанной в п. 3.1. настоящего договора, оплачиваются авансом в течение (значение) дней с даты подписания настоящего договора; оставшиеся (значение) % суммы — в течение (значение) дней с даты принятия отчета о выполненном поручении].

3.3. Издержки Поверенного, понесенные в ходе исполнения настоящего договора, подлежат возмещению Доверителем в полном объеме на основании представленных Поверенным документов, подтверждающих обоснованность расходов.

Возмещение указанных расходов осуществляется Доверителем не позднее [значение] дней с даты предоставления отчета о выполненном поручении.

3.4. Расчеты по настоящему договору осуществляются в безналичной форме путем перечисления денежных средств на расчетный счет Поверенного, указанный в настоящем договоре.

3.5. В случае прекращения настоящего договора до того, как поручение будет исполнено, Доверитель обязан возместить Поверенному понесенные при исполнении поручения издержки и уплатить ему вознаграждение соразмерно выполненной им работе.

4. Ответственность сторон

4.1. В случае неисполнения или ненадлежащего исполнения своих обязательств по настоящему договору Стороны несут ответственность в соответствии с действующим законодательством Российской Федерации.

4.2. В случае неисполнения или ненадлежащего исполнения поручения Поверенным в сроки, предусмотренные настоящим договором, он лишается права на получение вознаграждения, предусмотренного разделом 3 настоящего договора.

4.3. В случае просрочки в уплате вознаграждения Поверенному Доверитель выплачивает последнему пени в размере [значение] процентов от просроченной суммы за каждый день просрочки, но не более [значение] процентов от суммы вознаграждения Поверенного по настоящему договору.

4.4. В случае просрочки Доверителем в возмещении расходов Поверенного в соответствии с п. 3.3. настоящего договора Доверитель выплачивает последнему пени в размере [значение] процентов от просроченной суммы за каждый день просрочки, но не более [значение] процентов от просроченной суммы.

  Льготы для детей при перевозке

4.5. Ответственность перед субъектом персональных данных за действия Поверенного несет Доверитель. Поверенный, осуществляющий обработку персональных данных по поручению Доверителя, несет ответственность перед Доверителем.

4.6. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 г. N 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

5. Конфиденциальность персональных данных и требования к защите обрабатываемых персональных данных

5.1. Стороны, получившие доступ к персональным данным по настоящему договору, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

5.2. Стороны при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.3. Обеспечение безопасности персональных данных Поверенным достигается [указать методы и способы защиты информации].

6. Основания и порядок прекращения договора

6.1. Настоящий договор подлежит прекращению вследствие:

6.1.1. Отмены поручения Доверителем.

6.1.2. Отказа Поверенного от исполнения поручения.

6.1.3. Вступления в действие решения суда о признании Доверителя несостоятельным (банкротом).

6.1.4. Вступления в действие решения суда о признании Поверенного несостоятельным (банкротом).

6.2. Доверитель вправе отменить поручение, а Поверенный отказаться от него во всякое время. Соглашение об отказе от этого права ничтожно.

6.3. В случае, если настоящий договор поручения прекращается до того, как поручение исполнено Поверенным полностью, Доверитель обязан возместить Поверенному понесенные им при исполнении поручения издержки и уплатить вознаграждение соразмерно выполненной им работе.

6.4. В случае одностороннего отказа Поверенного от исполнения поручения он обязан возместить Доверителю все причиненные этим убытки в случае, если Доверитель будет лишен возможности иначе обеспечить свои интересы.

7. Порядок разрешения споров

7.1. Споры и разногласия, которые могут возникнуть при исполнении настоящего договора, будут по возможности разрешаться путем переговоров между Сторонами.

7.2. В случае, если Стороны не придут к соглашению, споры разрешаются в судебном порядке в соответствии с действующим законодательством Российской Федерации.

8. Заключительные положения

8.1. Настоящий договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждой из Сторон.

8.2. Договор вступает в силу с момента подписания и действует до полного выполнения обязательств по данному договору.

8.3. Все изменения и дополнения оформляются дополнительными соглашениями Сторон в письменной форме, которые являются неотъемлемой частью настоящего договора.

Договор поручения на обработку персональных данных третьим лицом

Договор поручения на обработку персональных данных третьим лицом

г. Москва «_____»__________2017 г.

ООО «Компания Аввита», именуемое в дальнейшем «ЗАКАЗЧИК», в лице генерального директора Ковалевой Елены Владимировны, действующей на основании Устава и

_____________________________________, именуемое в дальнейшем «Поверенный», в лице ________________________, действующего на основании Устава, с другой стороны, а вместе именуемые «Стороны», заключили договор о нижеследующем:

1. ПРЕДМЕТ ДОГОВОРА

1.1. Поверенный обязуется по поручению и от имени Доверителя в целях обслуживания сайтов Доверителя http://www.avvita.ru http://bonus.avvita.ru совершать действия по обработке персональных данных Доверителя.

1.2. Состав персональных данных субъектов персональных данных, подлежащих обработке Поверителем, представлен в приложении № 1 к Договору поручения.

1.3. Поверенный с персональными данными Доверителя совершает следующий перечень действий: сбор, запись, систематизация, накопление, хранение, копирование, уточнение (обновление, изменение), извлечение, использование, блокирование, уничтожение (удаление).

1.4. Доверитель гарантирует:

1.4.1. Персональные данные получены законными способами, цели сбора персональных данных совместимы с целями, указанными в п.1.1. настоящего Договора.

1.4.2. Имеется согласие субъектов персональных данных на их обработку.

1.4.3. Своевременное доведение до Поверенного информации в случае отзыва субъектом персональных данных согласия на обработку его персональных данных.

1.5. Поверенный гарантирует:

1.5.1. Размещение персональных данных Доверителя на технических средствах, размещенных на территории Российской Федерации.

1.5.2. Соответствие доработок и изменений сайта требованиям законодательства Российской Федерации.

1.5.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, в том числе по настоящему Договору.

1.5.4. Обрабатываемые персональные данные уничтожаются с письменного разрешения Доверителя по достижении целей обработки в рамках настоящего Договора или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.5.5. Обеспечение условий обработки персональных данных, конфиденциальности и безопасности персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2. ОБЯЗАННОСТИ СТОРОН

2.2. Поверенный обязан:

2.2.1. Лично исполнять данное ему поручение согласно представленному списку лиц (приложение № 2 к настоящему договору).

2.2.2. Соблюдать принципы и правила обработки персональных данных, предусмотренные Главой 2 Федерального закона от 27.07.2006 г. N 152-ФЗ «О персональных данных».

2.2.3. Осуществлять обработку персональных данных в соответствии с целями, определенными Сторонами в п.1.1 настоящего договора.

2.2.4. Осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

2.2.5. Соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также соблюдать требования к защите обрабатываемых персональных данных, предусмотренные Главой 4, статьей 18.1 и 19 Федерального закона от 27.07.2006 г. N152-ФЗ «О персональных данных».

2.2.6. Представлять Доверителю по его требованию информацию о ходе исполнения поручения.

2.2.7. По исполнении поручения или при прекращении настоящего договора до его исполнения без промедления прекратить обработку персональных данных субъектов персональных данных.

2.2.8. Не осуществлять обработку персональных данных субъектов персональных данных вне информационной системы Доверителя без получения согласия Доверителя.

2.2.9. Не передавать, не распространять, не предоставлять доступ к персональным данным субъектов персональных данных третьим лицам.

2.2.10. Не удалять и не блокировать персональные данные субъектов персональных данных без получения соответствующего разрешения Доверителя.

3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТРЕБОВАНИЯ К ЗАЩИТЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Стороны, получившие доступ к персональным данным по настоящему договору, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

3.2. Стороны при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.3. Обеспечение безопасности персональных данных Поверенным достигается операционной системой с настроенной политикой безопасности и программными комплексами защиты, исключающими вирусные и сетевые атаки на сайт Доверителя.

Поверенный должен использовать сертифицированные средства защиты от внедрения вирусных программ.

Список лиц Поверенного, допущенных к обработке персональных данных субъектов персональных данных на сервере Доверителя, представлен в приложении № 2 к настоящему договору.

3.4. Режим конфиденциальности в отношении настоящего Договора действует в течение 3 лет с момента его прекращения.

4. ОТВЕТСТВЕННОСТЬ СТОРОН

4.1. В случае неисполнения или ненадлежащего исполнения своих обязательств по настоящему договору Стороны несут ответственность в соответствии с действующим законодательством Российской Федерации.

4.2. Ответственность перед субъектом персональных данных за действия Поверенного несет Доверитель. Поверенный, осуществляющий обработку персональных данных по поручению Доверителя, несет ответственность перед Доверителем.

4.3. Стороны освобождаются от ответственности за неисполнение или ненадлежащее исполнение своих обязательств по Договору, если оно произошло вследствие непреодолимой силы, то есть чрезвычайных и непредотвратимых обстоятельств, включая, но не ограничиваясь, наводнение, землетрясение, ураган, смерч, пожар и другие стихийные бедствия, военные действия и гражданские волнения, изменения законодательства РФ, препятствующие сторонам в исполнении своих обязательств по договору.

5.СРОК ДЕЙСТВИЯ, ИЗМЕНЕНИЕ И ДОСРОЧНОЕ РАСТОРЖЕНИЕ ДОГОВОРА

5.1.Настоящий Договор заключен на срок исполнения договора № _____от «_____»____________2017 г.

5.2. Все изменения и дополнения к настоящему Договору действительны, если совершены в письменной форме и подписаны обеими Сторонами. Соответствующие дополнительные соглашения Сторон являются неотъемлемой частью Договора.

6. Разрешение споров

6.1. Стороны будут стремиться к разрешению всех возможных споров и разногласий, которые могут возникнуть по Договору или в связи с ним, путем переговоров.

6.2. Споры, не урегулированные путем переговоров, передаются на рассмотрение суда в порядке, предусмотренном действующим законодательством РФ.

7. Заключительные положения

7.1. Договор вступает в силу со дня его подписания Сторонами.

7.2. Договор составлен в двух экземплярах, по одному для каждой из Сторон.

Поручение на обработку ПДн и согласие

Согласно 152-ФЗ закону:
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Насколько мне известно зарплатные карты, т.е. договора на обслуживание карт считаются поручением на обработку — об этом говорил начальник из Федеральной службы — РКН (не регионального управления, а именно из ФС).

Нужно брать согласие на обработку ПД (с работников).

Согласие действует пока действует в течение трудовых отношений.
Т.е. если человек уволился, то Оператор больше не должен обрабатывать ПДн этого субъекта в части зарплатной карты.
Оператор больше не передает такую инфу, но в банке то данные о субъекте остались и насколько мне извстно (а здесь я не уверен), то банки хранят ПДн в течении какого-то срока согласно какому-то там закону (?).
И получается, что вроде бы как Оператор больше не совершает передачу, а так же юридически значимых действий с ПДн этого субъекта, но банк продолжает их обрабатывать (как минимум хранить и систематизировать)

Вопрос вот в чем:
Обязан ли оператор требовать от Банка удаления всех сведений о таких лицах или на это отношения, связанные с Поручением, уже не распространяются?

Думаю, что не обязан. Отношения с банком регулируются заключенным договором, в котором обязанности сторон прописаны, в т.ч. обязанность банка соблюдать конфид-ть и безоп-ть ПДн в ходе обработки. Сроки обработки ПДн в банке определяются не только договором, но и законодательством (Налоговый кодекс, пенсионка и т.п.). Поэтому даже если потребовать от банка уничтожить ПДн, он не сможет этого сделать.

Вообще, является ли зарплатный договор случаем поручения на обработку — вопрос спорный. Банк занимается банковской деятельностью и сам определяет цели обработки ПДн. Он же не в интересах работодателя хранит ПДн, а в интересах его работников, а что и как делать с ПДн, цель обработки — определяет сам банк.
Существует мнение довольно авторитетных экспертов, что этот случай не есть поручение обработки, а имеет место два разных оператора.
Что до мнения РКН- то оно часто меняется: был Шередин — было одно, пришла Приезжева — совсем другое.

  Договор ренты ипотека

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Т.е., если «банки хранят ПДн в течении какого-то срока согласно какому-то там закону» (к сожалению, здесь я тоже ничего конкретного сказать не могу, банк может осуществлять обработку ПДн субъекта в течение необходимого срока (согласно ФЗ) после достижения цели обработки.

Кроме того, если субъект подписывает с банком договор на обслуживание, в нем также могут быть оговорены дополнительные условия и сроки уничтожения ПДн

«. если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных. «

Соответственно, нужно смотреть, что указано в договоре между субъектом и оператором и (если он есть) между субъектом и банком на обслуживание карты.

«. либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами»

Опять же, если есть ФЗ, регламентирующий срок хранения банком ПДн клиентов, банк не только вправе, но и обяза руководствоваться этим ФЗ

to Мозговой Андрей
В типовом случае между субъектом и оператором имеется только трудовой договор + согласие на передачу ПДн в банк для оформления карты. В других случаях, да, нужно смотреть остальные пункты аля «кто под чем подписывался не глядя».
А по второму приведенному пункту. Ключевое тут «без согласия на основании ФЗ-152 или других ФЗ». Т.е. что делать, если ОПЕРАТОР (а не третье лицо, которому он передал ПДн) изначально не имел права на обработку/хранение ПДн, не взяв письменного согласия с субъекта ПДн, на основании ФЗ-152 или иных ФЗ? Ответ — блокировать, уничтожать, запрещать обработку — и все в течении 30 дней.

Еще раз повторю, что согласно ФЗ-152 оператор обязан принять меры по уничтожению/запрету обработки ПДн в тех организациях, которым он (оператор) это поручил. Как? Это уже другой вопрос. Который подводит нас к моим прошлым постам — на основании договорных отношений между, в нашей ситуации, банком и оператором. Если в договоре есть лазейка — банк имеет право хранить/обрабатывать ПДн столько, сколько установил для себя сам (посмотрите положения по ПДн для разных банков — на что только они не ссылаются). А виноватым будет оператор ПДн, потому как он несет полную ответственность в соответствии с ФЗ-152.

2 oko.
А вот с.9, ч.2.
» В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. «

В пунктах, на которую ссылается данная статья как раз и указано, что обработка может вестись без согласия, если «обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей».

Да и в процитированная Вами статья явно предусматривает исполнение и других законов, определяющих цели, сроки обработки и др.

Так что Законы, не относящиеся к ФЗ-152, очень даже при чем.

А вопрос как раз и упирается в то, является банк оператором или нет. Если является — выполняет все, что лежит на операторе, если нет — только то, что прописано в договоре на поручение обработки.

Товарищи.
Очень интересная беседа.

Каждый работник заключал отдельныое соглашение с Банком.

А Оператор заключил отдельный договор на обслуживание, где осуществлялась передача ПДн.

Были взятысогласия, при том с пометкой, что Оператор поручает обработку.

Тут загвоздка в том, что
в согласии было указанно, что согласие действует в течение трудовых отношений.
Значит, когда трудовые отношения прекратились, то Оператор обязан был прекратить обработку, что и было сделано. Но Банк об этом в письменной форме (!) уведомлен не был.
С другой стороны сам банк имел (может быть и имеет) собственные договора с ФЛ (сотрудниками) и после увольнения лица договор с банком автоматически не расторгался, т.е. сотрудник уже целиком и полностью переходил на автономные договорные отношения с банком.

Вопрос в том: нужно ли было СОГЛАСНО 152-ФЗ уведомлять Банк, которому поручена обработка, об этом факте (письменно) или достаточно было просто по факту прекратить передавать в банк какие-либо данные по конкретному лицу?

Т.е. приедт проверяющий из РКН.
Увидит, что имеет место быть договор-поручение с Банком. Спросит про то, были ли увольнения. Когда узнает. что были, попросит показать документ, подстверждающий, что Оператор надлежащим образом обеспечил прекращение обработки ПДн банком в рамках договора-поручения, т.е. на практике предьявил бумажку: письмо с требованием опрекращении соотвествующей обработки по конкретному лицу (лицам).

По поводу сроков хранения ПДн почитайте разъяснения РКН:
http://rkn.gov.ru/news/rsoc/news17877/

Банк кроме того, что он получил ПДн на обработку, еще и ведет банковскую деятельность. Со всем и вытекающими. И чтоб перечислить работникам зарплату, банк выполняет определенные действия с ПДн. Что это за действия — решает банк, а не другой дядя. А коли так — банк правильнее считать оператором, который ПДн получает не от самого субъекта, а от третьей стороны, действует банк в интересах субъекта. И под определение «оператор» банк подпадает довольно хорошо.

Практика показывает, что при проверках РКН банк рассматривается именно как оператор, а не как лицо, которому кто-то поручил обработку.

Коли имеет место договора между работниками и банком, значит, банк однозначно оператор и сам решает, когда и что ему прекращать (в рамках закона, разумеется).

Нужно читать договор. Если там так и написано «на обслуживание», то это еще не есть поручение обработки банку. Это договор о передаче ПДн от одного ЮЛ другому ЮЛ. Закон в этом случае обязывает получить согласие субъекта НА ПЕРЕДАЧУ ПДн другому ЮЛ (оператору, коим является банк). Эта обязанность вытекает из требования конфиденциальности ПДн. Поручения обработки здесь нет.

Если в договоре написано «Фирма А поручает обработку ПДн Банку Б» и прописано, что и как с ними делать — это другое дело. Но возникает вопрос «на хрена?», если отношения между банком и работниками регулируются отдельными договорами?

» Вопрос в том: нужно ли было СОГЛАСНО 152-ФЗ уведомлять Банк, которому поручена обработка, об этом факте (письменно) или достаточно было просто по факту прекратить передавать в банк какие-либо данные по конкретному лицу? «

Надежнее конечно, уведомить банк о том, что гражданин уволился и даже потребовать прекратить обработку ПДн гражданина, но это останется без последствий: у банка свой договор с данным гражданином, и он прекратит обработку, когда исчезнут законные ее основания.

1) Каждый сотрудник заключает с Банком типовое соглашение на банковскую карту.
(в договоре с Предприятием это оговаривается).
2) Сам договор с Предприятием — это, в том чиле, порядок передачи сведений в банк: какие, когда, как, а так же вопросы финансов.
3) В договоре имеется ссылка на 152-ФЗ и определены цели, способы обработки ПДн, а так же требование о соблюдении конфиденциальности, но там нет ни слова про поручение.
4) С чего я взял про Поручение? Да года 3 назад об этом говорил начальник из РКН, что такие договора с Банком — это де факто Поручение. С тех пор эти отношения рассматриваются именно так.
5) Исходя из п. 4. в Согласии, по мимо всего прочего есть указание, что Оператор Поручил обработку ПДн тому-то тому-то.
6) Опасения на счет НЕ уведомления есть не по отношению к Банку, а к теоретическому проверяющему из РКН, который, исходя из момента в п. 4 потребует подтвердить, что оператор предпринял необходимые меры для обеспечения прекращения обработки ПДн в рамках договора поручения.

Из всего этого можно попробовать сформулировать (очередные версии) вопросы:
1) А вообще-то, раз сотрудники заключают с Банком отдельные соглашения, стоит ли бояться наказания со стороны РКН (не Банка) за то, что не уведомили и тем самым, обрабатываем ПДн без согласия?

2) Если-таки написать письмо спустя год (по некоторым сотрудникам — год, по некоторым, пара месяцев, а по некоторым итого — неделя) написать в Банк можно ли считать инцедент (перед РКН, не банком) исчерпаным или таки факт, что вроде бы как обработка ПДн осуществлялсь аж целый год — уже нарушение и никуда от него недеться?

» 1) А вообще-то, раз сотрудники заключают с Банком отдельные соглашения, стоит ли бояться наказания со стороны РКН (не Банка) за то, что не уведомили и тем самым, обрабатываем ПДн без согласия? «

Бояться всегда стоит по той причине, что сотрудники РКН зачастую так глубоко в закон не вникают. Они могут тупо сказать, что вы поручили банку обработку, а вы уже будете доказывать, что Вы не верблюд (ссылаясь на договоры с банком самих работников, формулировки Закона и проч.).

» 2) Если-таки написать письмо спустя год (по некоторым сотрудникам — год, по некоторым, пара месяцев, а по некоторым итого — неделя) написать в Банк можно ли считать инцедент (перед РКН, не банком) исчерпаным или таки факт, что вроде бы как обработка ПДн осуществлялсь аж целый год — уже нарушение и никуда от него надеяться? «

Мне кажется, можно: будет лишний аргумент в разговоре с РКН (см. выше): мол, все, что могли сделали, меры приняли, а ежели банк чего-то обрабатывает — так это в рамках договора с самим работником.

  Требования к прокладке кабельных трасс

А вообще не худо бы договор переписать и вообще убрать из него цели обработки ПДн, способы и др. А оставить только то, что мы, мол, вам передаем ПДн наших работников, а посему требуем соблюдать их конфиденциальность и безопасности в соответствии с ФЗ.

to Беркут
Спасибо за разъяснения! А то уже голову сломал, должны ли быть договора или не обязательны.

to Лапоть
Опасения понятны, от них, к сожалению, не застрахуешься, даже если в целом прав.
Если фактическая обработка не проводилась (а она не проводилась, ибо сотрудник больше не сотрудник), то ради успокоения души можно отправить единую бумагу в Банк сейчас. Но, исходя из того, что имеются прямые договора, такое уведомление вовсе не обязательно. Потому как что оно есть, что его нет — банк обязан самостоятельно решить вопросы со своим клиентом в рамках заключенного договора. И, получается, что вины оператора ПДн как таковой на работодателе нет.
Могу, конечно, ошибаться. Но логика выходит очевидной.

«А вообще не худо бы договор переписать и вообще убрать из него цели обработки ПДн, способы и др. А оставить только то, что мы, мол, вам передаем ПДн наших работников, а посему требуем соблюдать их конфиденциальность и безопасности в соответствии с ФЗ.»

К сожалению, «. в поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона» (152-фз, ст.6 ч.3)

Соответственно, если указанный выше договор с банком является поручением на обработку ПДн, то убрать из него эту информацию нельзя.

» Соответственно, если указанный выше договор с банком является поручением на обработку ПДн, то убрать из него эту информацию нельзя. «

Этот вопрос, насколько я понял, прорабатывался ранее:
«4) С чего я взял про Поручение? Да года 3 назад об этом говорил начальник из РКН, что такие договора с Банком — это де факто Поручение. С тех пор эти отношения рассматриваются именно так.»

Или Вы предлагаете убрать указанную информацию как раз для того, чтобы договор перестал считаться поручением?
Но тогда возникает вопрос об основаниях и целях передачи ПДн в Оператором в банк в принципе.

Если верить этому начальнику, то любой договор, в рамках которого ПДн передаются из фирмы А в фирму Б — это уже поручение.

Цель формулируется произвольным образом. Вовсе не обязательно писать в договоре «передать персональные данные для . «. Цель — реализация зарплатного проекта, перечисление з/п и т.п.

Закон 152 не определяет, что для передачи ПДн нужны какие-то основания, он устанавливает условия их передачи: соблюдение конфиденциальности и прав субъектов.

Для Мозговой Андрей
«Или Вы предлагаете убрать указанную информацию как раз для того, чтобы договор перестал считаться поручением?»

На самом деле я хотел (да и сейчас 100% понимания нет) понять вот если расценивать договор с банком в рамках зарплатного проекта, как поручение, то при увольнении сотрудника (при условии, что согласие действует в течении трудовых отношений) нужно ли предпринимать дополнительные действия (письмо писать, с битой приходить — шутка и т.д.) в банк (стороной, которому поручена обработка ПДн) для прекращения этой обработки банком ли достаточно просто перестать передавать сведения в банк, а банк будет уже обрабатывать ПДн лиц, не как сотрудников, а согласно своим (ранее заключенным) договорам.

Для WORM
К сожалению. в России слово начальника, почти закон. (((

Беркут
1-я и единственная передача — это довольно обширный пакет документов на ФЛ — сотрудника.
Т.е. так предусмотренна пресловутым договором, который расценивается, как поручение.
Вообще-то это все может и сам сотрудник передать при заключение отдельного договора с банком, но, как я понимаю, в целях упрощения (для бухгалтерии и банка, но не для отвественного за обработку ПДн) процедуры всё передается одним пакетом от ЮЛ.

2-я и последующие передачи это фио, номер счета и (вроде бы!) дата рождения и суммы для перечисления — т.н. реестры.

» К сожалению. в России слово начальника, почти закон. «

Тогда чего Вы паритесь? Делайте все, что сказал начальник. И поменьше думайте ))

WORM
Хочу жить в правовом государстве и соблюдать заоны. ))

К тому же начальник про такие нюансы не рассказывал.

Вот ведь развели флейм на пустом месте.

> Обязан ли оператор требовать от Банка удаления всех сведений о таких лицах или на это отношения, связанные с Поручением, уже не распространяются?

Не только не обязан, но и не имеет права, даже при наличии такого требования от держателя карты.

Хранение сведений банками регулируется нормативными документами Банка России (во исполнение ФЗ «О банках и банковской деятельности») и ФСФМ (во исполнение ФЗ «О противодействии легализации. «). Документы устанавливают состав сведений и сроки их хранения. Требования клиентов, в том числе — бывших, по их удалению до истечения этих сроков, юридически ничтожны.

Пустом или нет, но есть один нюанс, который и не дает покоя (как в том самом анекдоте про Чапаева).
ПДн — отдельная категория защищаемой информации. Никаким другим ФЗ, кроме 152-ФЗ, она регулироваться в полной мере не может (об этом, собственно, написано в самом 152-ФЗ).
Главное — что считать достижением цели обработки ПДн работника в нашей ситуации? И чьей цели? Какой из связок: «работник-работодатель», «работник-банк» и «работодатель-банк»?
Положим, работаю я в ОАО «Рога-и-копыта». Предлагают оформить зарплатную карту. Оформляю (договором и с работодателем, и, как подсказывают, с банком — не важно, читайте дальше). Мои ПДн некоторое время моей работы в ОАО «РиК» пересылают в банк, мне, соответственно, банк переводит деньги на карту. Но тут, ужас, я уволился и, главное, мне теперь эта карта без надобности. Работодатель обязан обработку (не хранение!) моих ПДн прекратить. А банк? Он по-идее тоже обязан. Только каково основание?
Короче, внимательно читаем договоры между «мной» и банком, между банком и работодателем, выясняем, а не остаюсь ли я клиентом банка и дальше (за счет, например, перевода имеющейся карты в качестве зарплатной, но уже в другой организации, куда «я» позже устроился). И думаем. Если ни в одном договоре про сроки обработки ПДн банком ничего не сказано + я выбросил (снял с «учета») карту за ненадобностью + на мне «не висит» каких-либо задолженностей перед банком = банк обязан прекратить обрабатывать мои ПДн в тридцатидневный срок согласно 152-ФЗ. Ибо цель обработки формально достигнута. И никакой другой ФЗ или иной подзаконный акт не сможет этому воспрепятствовать.

Могу быть не прав, конечно. Но видится все это мне именно так.

Блин, не проснулся ещё:

Почему все всегда читают только то, что им нравится? В 152-ФЗ же ясно написано, что согласие на обработку — это НЕ единственное основание для обработки. Есть ещё куча других оснований по которым согласия субъекта никто спрашивать и не будет.
То же самое касается и отзыва согласия. Чётко прописано, что оператор может продолжить обработку при наличии других оснований. А в случае, если такими основаниями является федеральный закон, то не просто может, но и обязан продолжить.

> Частный случай (уволился, и карта больше не нужна), конечно, но все же.

По карте проводились операции, среди них были операции на сумму >15000 р. (т.е. подлежащие обязательному контролю по линии «противодействия легализации»). Нормативные акты по противодействую легализации определяют, какие именно данные (включая данные о карте и ее держателе) и в течение какого срока после закрытия счета должны храниться. Вот вам и обработка на основании закона. не требующая согласия клиента.

И даже если (гипотетически) возникнет конфликт между «антиотмывочными» нормами и требованиями ФЗ-152, то банк будет исполнять первые: ФСФМ по объему и оперативности применения карательоных мер кроет Роскомнадзор, как бык овцу.

Пообщался с представителями кредитных отделов, отдела кадров и т.п. в знакомом банке. Суть дела в том, что да, договор «работник-банк» напрямую при открытии зарплатной карты может и не заключаться. Допускается договор «работодатель-банк» без прямого участия работника (это не означает необходимости письменного согласия работника на передачу его ПДн в банк, но подписанного между работником и работодателем). Прикол тут в оплате услуг обслуживания карты — льгота зарплатного статуса перекладывает ответственность за обслуживание с работника на работодателя (оператора ПДн в нашем случае). Во время увольнения работодатель обязательно сообщает в банк об уволенном сотруднике. И, внимание, карта автоматически переводится из разряда зарплатной в разряд обычной. Банк сообщает об этом держателю карты (читай, работнику). И работник должен либо подтвердить свой статус в банке (согласиться являться клиентом банка до, положим, истечения срока действия бывшей зарплатной карты), либо отказаться от обслуживания. В случае отказа работник сам (без участия бывшего оператора ПДн) обязан явиться в банк и подписать отказ от согласия на обработку своих ПДн. И, в случае, если иное не установлено банковскими стандартами (ФЗ, приказы, внутренние акты) — банк прекращает обработку ПДн данного субъекта. Но хранение осуществляет. И, более того, предоставляет ПДн в сторонние организации по запросу, включая другие банки, в которые позже субъект, положим, обращается за выдачей кредита или новым оформлением карты.

Резюмируем: работодатель (оператор ПДн) обязан только уведомить банк об увольнении работника. Никаких доп.действий он совершать не должен (в плане запрета обработки ПДн и т.п.). Банк в такой ситуации является «третьей стороной», которой (если это было указано в договоре) была именно «поручена» обработка ПДн субъектов-работников. Но буквальные правила ФЗ-152 в части запрета обработки от лица работодателя на банк не действуют и не распространяются (по специфике направления выдачи зарплатных карт). А ключевое звено — как обычно в нашей жизни — сам работник. Хочет запрета? Должен сам идти и оформлять (при этом не имея задолженностей и иных оказий с банком для положительного вердикта). Хочется процитировать «спасение утопающих — дело рук самих утопающих».