Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договор либо путем принятия государственным органом или муниципальным органом соответствующего акта (ч. 3 ст. 6 №152-ФЗ).
Требования к форме и содержанию поручения также установлены ч. 3 ст. 6 №152-ФЗ.
В свою очередь, бремя ответственности оператора и обработчика распределяется следующим образом:
- Оператор отвечает перед субъектом ПДн за действия обработчика;
- Обработчик отвечает перед оператором ПДн (ч. 5 ст. 6 №152-ФЗ).
Отсутствие одного из указанных условий толкуется судами как нарушение ч. 3 ст. 6 №152-ФЗ оператором:
- В деле №А40-81171/17-149-793 оператор был привлечен к ответственности за отсутствие отдельного согласия субъектов ПДн на поручение обработки.
- В деле №А40-7530/18-139-40 оператор был привлечен к ответственности не только за отсутствие согласия на поручение, но и за отсутствие в поручении перечня (операций) с персональными данными, которые будут совершаться обработчиком, отсутствия указания требований к защите ПДн и иных нарушений.
Таким образом, несоблюдение требований ч. 3 ст. 6 №152-ФЗ в части наличия согласия на поручение обработки ПДн или формы такого поручения, вероятнее всего, будет являться зоной риска оператора ПДн, а не обработчика.