Аутсорсинг персональные данные
Подборка наиболее важных документов по запросу Аутсорсинг персональные данные (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Вопрос: Организация оказывает услуги по бухгалтерскому учету на аутсорсинге, клиент-работодатель получил согласие на обработку и передачу третьим лицам персональных данных работника. Нужно ли организации уведомить Роскомнадзор об обработке персональных данных?
(Консультация эксперта, 2023)Вопрос: Организация оказывает услуги по бухгалтерскому учету на аутсорсинге, клиент-работодатель получил согласие на обработку и передачу третьим лицам персональных данных работника. Нужно ли организации уведомить Роскомнадзор об обработке персональных данных?
(Консультация эксперта, 2023)Вопрос: Организация оказывает услуги по бухгалтерскому учету на аутсорсинге, клиент-работодатель получил согласие на обработку и передачу третьим лицам персональных данных работника. Нужно ли организации уведомить Роскомнадзор об обработке персональных данных?
Статья: Если работник не дает согласия на обработку персданных
(Дячук М.)
("Кадровая служба и управление персоналом предприятия", 2023, N 4)Примечание. Образец согласия работника на передачу персональных данных в случае, если налоговый, кадровый и бухгалтерский учет переданы по аутсорсингу сторонней организации, см. в ответе на вопрос в N 4, 2018, на с. 89.
(Дячук М.)
("Кадровая служба и управление персоналом предприятия", 2023, N 4)Примечание. Образец согласия работника на передачу персональных данных в случае, если налоговый, кадровый и бухгалтерский учет переданы по аутсорсингу сторонней организации, см. в ответе на вопрос в N 4, 2018, на с. 89.
Нормативные акты
"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018"
(принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)При аутсорсинге существенных функций организация БС РФ должна обеспечить выполнение своих обязательств по предоставлению возможности контроля соблюдения требований к защите информации, установленных в рамках законодательства о национальной платежной системе [3, 9, 10], персональных данных [4, 11, 12] и безопасности критической информационной инфраструктуры [13], со стороны уполномоченных органов исполнительной власти РФ и Банка России (в пределах их полномочий, установленных законодательством РФ), в том числе обеспечить доступ к информации, связанной с деятельностью поставщика услуг.
(принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)При аутсорсинге существенных функций организация БС РФ должна обеспечить выполнение своих обязательств по предоставлению возможности контроля соблюдения требований к защите информации, установленных в рамках законодательства о национальной платежной системе [3, 9, 10], персональных данных [4, 11, 12] и безопасности критической информационной инфраструктуры [13], со стороны уполномоченных органов исполнительной власти РФ и Банка России (в пределах их полномочий, установленных законодательством РФ), в том числе обеспечить доступ к информации, связанной с деятельностью поставщика услуг.
<Письмо> Банка России от 08.07.2021 N 44-3-3/2427
"О доведении информации до сведения членов саморегулируемой организации"На основании информации, имеющейся в распоряжении Департамента, существенная часть микрофинансовых организаций (далее - МФО), осуществляющих деятельность на территории Российской Федерации, производит передачу ряда функций внешним исполнителям (аутсорсинг) с целью повышения эффективности бизнеса.
"О доведении информации до сведения членов саморегулируемой организации"На основании информации, имеющейся в распоряжении Департамента, существенная часть микрофинансовых организаций (далее - МФО), осуществляющих деятельность на территории Российской Федерации, производит передачу ряда функций внешним исполнителям (аутсорсинг) с целью повышения эффективности бизнеса.
Статья: Передача кредитными организациями информации компаниям в сфере IT-аутсорсинга: правовые проблемы
(Лаутс Е.Б.)
("Право и цифровая экономика", 2024, N 2)Ключевые слова: рынок банковских услуг, кредитная организация, банк, Банк России, IT-аутсорсинг, банковская тайна, персональные данные, информационная безопасность.
(Лаутс Е.Б.)
("Право и цифровая экономика", 2024, N 2)Ключевые слова: рынок банковских услуг, кредитная организация, банк, Банк России, IT-аутсорсинг, банковская тайна, персональные данные, информационная безопасность.
"Собирание электронных доказательств по уголовным делам на территории России и зарубежных стран: опыт и проблемы: монография"
(под общ. и науч. ред. С.П. Щербы)
("Проспект", 2022)Однако и внутри ЕС высказывается существенная критика подобного аутсорсинга функций органов юстиции с их гарантиями и стандартами защиты персональных данных в пользу трансграничного публично-частного взаимодействия, указывается на недостаточность направления уведомлений компетентным органам государства провайдера <3>.
(под общ. и науч. ред. С.П. Щербы)
("Проспект", 2022)Однако и внутри ЕС высказывается существенная критика подобного аутсорсинга функций органов юстиции с их гарантиями и стандартами защиты персональных данных в пользу трансграничного публично-частного взаимодействия, указывается на недостаточность направления уведомлений компетентным органам государства провайдера <3>.
Статья: Проблемы защиты персональных данных работников на современном этапе
(Бережнов А.А.)
("Трудовое право в России и за рубежом", 2024, N 3)В современном информационном обществе вопросы защиты персональных данных приобретают особую значимость, эти вопросы имеют междисциплинарный характер. В условиях цифровизации экономики, внедрения электронного кадрового документооборота, автоматизированной обработки информации (в том числе с использованием технологий искусственного интеллекта), передачи многими работодателями отдельных процессов на аутсорсинг (например, передача ведения бухгалтерского учета третьим лицам) обостряется необходимость защиты персональных данных работников. Такая информация, особенно в больших объемах, представляет существенную ценность для лиц, желающих использовать ее в корыстных целях.
(Бережнов А.А.)
("Трудовое право в России и за рубежом", 2024, N 3)В современном информационном обществе вопросы защиты персональных данных приобретают особую значимость, эти вопросы имеют междисциплинарный характер. В условиях цифровизации экономики, внедрения электронного кадрового документооборота, автоматизированной обработки информации (в том числе с использованием технологий искусственного интеллекта), передачи многими работодателями отдельных процессов на аутсорсинг (например, передача ведения бухгалтерского учета третьим лицам) обостряется необходимость защиты персональных данных работников. Такая информация, особенно в больших объемах, представляет существенную ценность для лиц, желающих использовать ее в корыстных целях.
Готовое решение: Как составить договор аутсорсинга
(КонсультантПлюс, 2025)Если вы планируете поручить исполнителю по договору аутсорсинга обрабатывать персональные данные, то учтите следующее:
(КонсультантПлюс, 2025)Если вы планируете поручить исполнителю по договору аутсорсинга обрабатывать персональные данные, то учтите следующее:
"Правовые аспекты разработки и коммерциализации программного обеспечения"
(Савельев А.И.)
("Статут", 2024)<1> Данный признак позволяет отграничить облачные вычисления от технического аутсорсинга, при котором заказчик дает сотрудникам аутсорсинговой компании указания, что следует делать. При этом такие сотрудники получают непосредственный доступ к чувствительной информации заказчика, необходимой для выполнения таких указаний (персональным данным, коммерческой тайне, врачебной тайне и пр.). В облачных вычислениях провайдер играет пассивную роль, вместо этого сам заказчик (пользователь) выполняет соответствующие задачи с использованием интерфейса личного кабинета облачного сервиса (см.: Millard C., et al. Cloud Computing Law. 2nd ed. Oxford University Press, 2021. P. 43).
(Савельев А.И.)
("Статут", 2024)<1> Данный признак позволяет отграничить облачные вычисления от технического аутсорсинга, при котором заказчик дает сотрудникам аутсорсинговой компании указания, что следует делать. При этом такие сотрудники получают непосредственный доступ к чувствительной информации заказчика, необходимой для выполнения таких указаний (персональным данным, коммерческой тайне, врачебной тайне и пр.). В облачных вычислениях провайдер играет пассивную роль, вместо этого сам заказчик (пользователь) выполняет соответствующие задачи с использованием интерфейса личного кабинета облачного сервиса (см.: Millard C., et al. Cloud Computing Law. 2nd ed. Oxford University Press, 2021. P. 43).
Статья: Типичные ошибки оператора при обработке и обеспечении защиты персональных данных
(Кузина Т.)
("Внутренний контроль в кредитной организации", 2024, N 2)Ошибки могут возникнуть еще до начала обработки ПДн. Как мы помним (ст. 22 Закона N 152-ФЗ), "оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных". Так вот, самая критичная ошибка - не отправить в территориальный орган Роскомнадзора уведомление о начале обработки ПДн (а также уведомление о намерении осуществлять трансграничную передачу данных, если такая необходимость есть, - также до начала осуществления такой деятельности).
(Кузина Т.)
("Внутренний контроль в кредитной организации", 2024, N 2)Ошибки могут возникнуть еще до начала обработки ПДн. Как мы помним (ст. 22 Закона N 152-ФЗ), "оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных". Так вот, самая критичная ошибка - не отправить в территориальный орган Роскомнадзора уведомление о начале обработки ПДн (а также уведомление о намерении осуществлять трансграничную передачу данных, если такая необходимость есть, - также до начала осуществления такой деятельности).
Статья: 9 согласий на обработку персональных данных
(Краецкая Е.)
("Кадровая служба и управление персоналом предприятия", 2023, N 6)Персональные данные работника можно передавать без его согласия только в надзорные и иные компетентные государственные органы (например, в СФР, налоговую, Роструд, суд, прокуратуру, военкоматы) или когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (ст. 88 ТК РФ). Во всех остальных случаях требуется письменное согласие работника с указанием объема персональных данных и конкретной цели их передачи. Например, для оформления зарплатной карты в банке (пример 7) или передачи кадрового, бухгалтерского и налогового учета на аутсорсинг, заключения кредитного договора работником. Часто встречается ситуация с оформлением пропусков на работника, когда его персональные данные нужно передать в охранную организацию. В крупных компаниях персональные данные работников задействованы сразу во многих сферах - начиная от пропусков, организации питания, заканчивая приобретением проездных билетов (скажем, вахтовикам или руководству организации).
(Краецкая Е.)
("Кадровая служба и управление персоналом предприятия", 2023, N 6)Персональные данные работника можно передавать без его согласия только в надзорные и иные компетентные государственные органы (например, в СФР, налоговую, Роструд, суд, прокуратуру, военкоматы) или когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (ст. 88 ТК РФ). Во всех остальных случаях требуется письменное согласие работника с указанием объема персональных данных и конкретной цели их передачи. Например, для оформления зарплатной карты в банке (пример 7) или передачи кадрового, бухгалтерского и налогового учета на аутсорсинг, заключения кредитного договора работником. Часто встречается ситуация с оформлением пропусков на работника, когда его персональные данные нужно передать в охранную организацию. В крупных компаниях персональные данные работников задействованы сразу во многих сферах - начиная от пропусков, организации питания, заканчивая приобретением проездных билетов (скажем, вахтовикам или руководству организации).
Статья: Работа с персональными данными. Отвечаем на вопросы
(Свистунова Н.)
("Юридический справочник руководителя", 2024, N 7)Во всех остальных ситуациях требуется письменное согласие. Например, когда работодатель направляет сотрудника на длительное обучение, однодневный семинар, командировку, передает кадровый, бухгалтерский, налоговый учет на аутсорсинг и пр.
(Свистунова Н.)
("Юридический справочник руководителя", 2024, N 7)Во всех остальных ситуациях требуется письменное согласие. Например, когда работодатель направляет сотрудника на длительное обучение, однодневный семинар, командировку, передает кадровый, бухгалтерский, налоговый учет на аутсорсинг и пр.
Вопрос: О подходах и предложениях по внедрению новых требований к управлению риском аутсорсинга в кредитных организациях.
(Письмо Банка России от 09.11.2023 N 08-42-8/10688)2.2. Критерию банка, характеризующемуся наличием обязанности аутсорсера размещать, хранить или иным образом обрабатывать конфиденциальную информацию банка (коммерческая, банковская, налоговая тайна, персональные данные клиентов, инсайдерская информация).
(Письмо Банка России от 09.11.2023 N 08-42-8/10688)2.2. Критерию банка, характеризующемуся наличием обязанности аутсорсера размещать, хранить или иным образом обрабатывать конфиденциальную информацию банка (коммерческая, банковская, налоговая тайна, персональные данные клиентов, инсайдерская информация).
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)В качестве лица, осуществляющего обработку персональных данных по поручению оператора, обычно выступают разного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат, по оказанию услуг колл-центров или технической поддержки продукта). Другим примером являются провайдеры "облачных" сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных <1>. Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве оператора таких данных. Данное правило не зафиксировано напрямую в российском законодательстве в отличие от европейского <2>, но оно вытекает из существа статуса обработчика, который в России идентичен европейскому.
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)В качестве лица, осуществляющего обработку персональных данных по поручению оператора, обычно выступают разного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат, по оказанию услуг колл-центров или технической поддержки продукта). Другим примером являются провайдеры "облачных" сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных <1>. Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве оператора таких данных. Данное правило не зафиксировано напрямую в российском законодательстве в отличие от европейского <2>, но оно вытекает из существа статуса обработчика, который в России идентичен европейскому.