Необходимость разработки письменной политики обработки ПД при заключении договора на разработку программного обеспечения.

Здравствуйте, Светлана! В договоре делается отдельный пункт или раздел для соблюдения законодательства о персональных данных (Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"), а как их соблюдать, решается на уровне локального нормативно-правового акта исполнителя, либо делаются доп. соглашения к трудовым договорам с сотрудниками этого исполнителя. Как конкретно, не суть важно, главное, чтобы соблюдалась конфиденциальность и законодательство о персональных данных, чтобы не было допущено их утечки (ст.13.11 КоАП РФ).

Здравствуйте!

Каждый оператор персональных данных (ПД), то есть каждая организация, обязан издать документ, определяющий его политику в отношении обработки персональных данных (далее — Политика). Это же требование относится и к предпринимателям, у которых есть хотя бы один работник или которые в ходе своей деятельности имеют дело с ПД покупателей, клиентов и пр.ст. 3 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ) Следование Политике должно обеспечить конфиденциальность и безопасность обрабатываемых персональных данных.

Также организация обязана предоставить всем желающим неограниченный доступ к Политике. Проще всего выполнить это требование, разместив указанный документ на своем сайтеч. 1 ст. 18 Закона № 152-ФЗ.

Компания, кроме того, должна ознакомить с Политикой сотрудников, работающих с персональными данными, а также контролировать ее выполнениепп. 4, 6 ч. 1 ст. 18.1 Закона № 152-ФЗ. Несоблюдение этого требования может быть расценено как нарушение, за которое предусмотрен штраф. Организация может быть оштрафована на сумму от 25 000 до 50 000 руб., а ее руководитель — на сумму от 4000 до 10 000 руб. ч. 6 ст. 13.11 КоАП РФ Ведь именно оператор обязан обеспечить сохранность персональных данных и исключить несанкционированный доступ к ним.

Светлана, здравствуйте.

Нужно закон о персональных данных переложить на программу.

Тогда будет по закону.

Желательно разработать Политику обработки персональных данных. Обязательно то, что уже указано в законе.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных"

Статья 6. Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски арбитражных споров и споров в суде общей юрисдикции. Ситуации, связанные со ст. 6

Развернуть

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

(п. 3 в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

(см. текст в предыдущей редакции)

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

(п. 3.1 введен Федеральным законом от 29.07.2017 N 223-ФЗ)

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

(см. текст в предыдущей редакции)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

Форма согласие обязательна!

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Не вполне понятно, какая связь между разработкой ПО и обработкой заказчиком персональных данных. При этом Вы не указали, а кто - субъекты этих данных.

И давным-давно всё освоено всюду - если персональные данные гражданина надо кому-то передать на обработку то гражданин подписывает согласие на это. Или своему работодателю сразу даёт согласие на передачу третьим лицам. Примерно так - и всё по закону, разумеется!

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных"

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

...

К договору приложением - форма согласия на 1 стр...

Исходя из статьи 421 Гражданского кодекса РФ, которая называется свобода договора, Вы имеете право внести в договор разработку программного обеспечения, пункты обязывающие Исполнителя разработать письменную политику обработки ПД..

Есть и другой вариант, организация Заказчик сама разрабатывает документ об обработке персональных данных. Это документ можно оформить как Приложение к договору на разработку программного обеспечения.

А в договоре указать: Исполнитель обязан соблюдать этот документ, приложение к настоящему договору.

В договоре можете прописать санкции за несоблюдение требований этого документа Исполнителем. Как назвать этот документ Вы сами определяйте.

В организации необязательно разрабатывать политику обработки данных.

Достаточно в договоре указать пункт, что заказчик будет обрабатывать данные, а исполнитель даёт свое согласие на их обработку.

- см. ст. 9 ФЗ "О персональных данных", ст. 421 ГК РФ, ст. 13.11 КоАП РФ.