Правовое основание предоставления услуги

Настоящий раздел целиком и полностью посвящен правовым аспектам предоставления услуг нашим сервисом. Настоятельно рекомендуем внимательно ознакомиться с материалами, опубликованными ниже, т.к. именно от выполнений указанных положений будет зависеть возможность предоставления услуги TotalReport Вашей компании.

Услуга проверки автомобиля, собственника и представителя по доверенности в большей части регламентируется ФЗ №152 от 27.07.2006 (в последней редакции от 21.07.2014) - ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ. Данный закон охватывает основные понятия сбора и обработки персональных данных, вводит определения всех участвующих в обработке субъектов, а также устанавливает ответственность за несоблюдение закона.

Со всеми положениями закона Вы можете ознакомиться по приведенной выше ссылке, мы же рассмотрим только статьи, регулирующие взаимоотношения между субъектом проверки, оператором и третьим лицом, которому делегировано право осуществлять обработку персональных данных.

Для более удобного восприятия информации страница разделена на две части. В левой будет отображаться содержание закона, а в правой - наши комментарии. Выдержка из закона, к которой имеет отношение комментарий будет выделена тем-же цветом, что и блок комментария.

Терминология, использующаяся в описании

Субъект персональных данных

Владелец автомобиля или его представитель по доверенности, участвующий в сделке купли-продажи. Т.е. клиент, данные которого будем проверять.

Оператор

Юридическое или физическое лицо, которое осуществляет обработку персональных данных. В данном случае оператором является Ваша компания или Вы лично.

Третье лицо:)

Юридическое лицо, которому оператор делегирует право проверки персональных данных субъекта. TotalReport как раз является тем самым "Третьим лицом".

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

VIN автомобиля, номер СТС владельца и государственный регистрационный номер являются персональной информацией, т.к. косвенно относятся к владельцу автомобиля. Поэтому не забываем вносить эти данные в "Согласие субъекта на проверку персональных данных" (см. далее).

Оператором может выступать как юридическое так и физическое лицо - главное соблюдать закон.

Статья 6. Условия обработки персональных данных

1.Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Таким образом, основанием для проверки персональных данных выступает тот факт, что собственник или его представитель намереваются заключить какой-либо договор (например, ДКП или комиссии) с оператором, а оператор имеет право проверить его персональные данные.

Оператор имеет право поручить обработку персональных данных субъекта третьему лицу только с согласия субъекта и наличии договора между оператором и третьим лицом.

Это означает, что нет никакой необходимости пересылать нам согласия субъектов на обработку персональных данных. Документы, подтвеждающие факт согласия субъекта хранятся только у в вашей компании на бумажных носителях и ТОЛЬКО вы несете полную ответсвенность за их сохранность.

Пункт 6.5 устнавливает цепочку ответственности "TotalReport->Оператор->Субъект". Т.е. мы несем ответственность перед вашей компанией, а вы, в свою очередь, перед суъектом.

Статья 9. Согласие субъекта персональных данных на обработку

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Согласие субъекта является обязательным и предоставляется в письменной форме.

Реквизиты доверенности обязательно добавляем в согласие, если от имени субъекта действует его представитель.

Почему-то все забывают тот факт, что в согласии суъекта обязательно должны присутствовать название оператора (для юридического лица) или ФИО оператора (для физического лица), а также наименование компании, которой перепоручена функция обработки персональных данных.

Следует отметить, что TotalReport формирует "Согласие субъекта" автоматически, подставляя все необходимые поля, в случае использования программы SimpleCheck для Windows или Web-интерфейса. Менеджеру только нужно будет проконтролировать непосредственно факт подписания документа.

Статья 18. Меры на обеспечение выполнения оператором обязанностей...

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Данный параграф относится только к юридическим лицам. Несмотря на то, что уведомлять Роскомнадзор о деятельности оператора не требуется (см. Статья 22.2 ниже), но сформировать соответсвующий пакет документов все таки нужно. Документы, о которых упоминается в тексте обычно называются "Политика обработки персональных данных". Данный документ разработан нашей компанией и передается всем клиентам, являющимися юридическими лицами.

Публикация "Политики обработки персональных данных" является обязательной. Достаточно создать отдельную страницу на сайте Вашей компании, и разместить на ней требуемый текст. "Политики обработки персональных данных" предоставляется нами также в HTML-формате для быстрого добавления на сайт.

Статья 20. Обязанности оператора при обращении к нему субъекта...

1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Вы обязаны предоставить повторно субъекту данные отчета о проверке и сформированного сертификата. Таким образом, необходимо иметь возможность этот сертификат найти в системе. Если Вы уже пользуетесь аналогичным сервисом, уточните есть ли возможность из интерфейса пользователя найти требуемые данные по фамилии или паспортным данным субъекта.

В течение 7-ми рабочих дней клиент может обратиться к вам с заявлением, что его кредитная история изменилась и на этом основании потребовать внесения изменений в сформированный сертификат или отчет. Понятно что сертификат нельзя изменить задним числом, поэтому его придется удалить из системы или проверить данные заново (что, конечно, лишено смысла). Вы всегда можете отозвать сертификат и удалить все персональные данные с ним связанные безвозмездно (как и требует закон).

Статья 22. Уведомление об обработке персональных данных

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

На этом пункте следует остановиться подробнее, т.к. он крайне важен для деятельности ВАШЕЙ компании в рамках правового поля. Выступая оператором, Вы можете НЕ уведомлять Роскомнадзор что занимаетесь сбором и обработкой персональных данных.

Право не уведомлять Роскомнадзор вам предоставляется в связи с тем, что субъект персональных данных является стороной договора (см. ст. 6.1.5 выше).

И при этом имеете право передать информацию третьим лицам (т.е. нам), но главное не забыть уведомить об этом клиента или его представителя.