Зачем в договор с заказчиком из ЕС добавлять раздел про обработку персональных данных?
Когда IT-компания получает информацию о сотрудниках и клиентах европейского заказчика, начинают действовать правила регламента GDPR. Документ регулирует процессы сбора и обработки персональных данных.
Минимальное действие для выполнения требований — пункты в договоре на оказание IT-услуг про обработку персональных данных.
Как внедрить GDPR в контракт?
Ниже найдете советы по составлению пунктов в договоре.
Определение персональных данных
Классический договор начинается с определений. Добавьте в этот разел трактовку персональный данных. Например, обозначьте, что это любая информация, которая касается конкретного лица или лица, которое может быть идентифицировано. - сослаться на GDPR
Двустороннее обязательство по защите личных данных
Ответственность за сохранность информации несет не только IT-компания, но и заказчик. Ведь он тоже получает доступ к данных о команде проекта. Сформулировать пункт в договоре можно так: стороны соглашаются обеспечивать безопасность информации об идентифицированных лицах.
Цель обработки
IT-компания имеет право обрабатывать личную информацию только в целях предоставления услуг по договору, а также в случаях, предусмотренных законодательством (включая борьбу с отмыванием денег, законами о финансах, валюте и взыскании долгов).
Как спроектировать раздел про обработку данных в аутстаффинговом контракте?
Если в аутсорсинговой модели больше информации получает IT-компания, то в аутстаффинге — заказчик, который нанимает удаленную команду и менеджерит разработку IT-продукта самостоятельно. В этом случае IT-юристы советуют добавить перечень конфиденциальной информации о сотрудниках. Например:
- имя, фамилия, отчество, дата рождения, паспортные данные;
- идентификационный номер, данные выписки из единого государственного реестра юридических лиц и физических лиц-предпринимателей, в т.ч. по системе налогообложения;
- информация о квалификации;
- номер средств связи, электронных идентификационных данных (IP-адрес, телефон, e-mail).
Какие еще требования может выдвинуть заказчик?
Раздел о доступе к персональным данным — это минимальное требование для IT-бизнеса. Часто, заказчики из ЕС присылают GDPR-опросники, в которых вы найдете требование по GDPR Compliance: подписание Data Protection Agreement, разработка политики информационной безопасности, политики уровней доступа, порядка поведения с персональными данными и процедуры международной передачи данных.
Такие документы требуют те заказчики, которые предоставляют разработчикам доступ к подробной информации о клиентах. Например, FinTech, MedTech и InsurTech проекты. IT-компания получает доступ к сенситив данным, за утечку и нарушение сохранности которых заказчику придется заплатить штраф.