Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Энциклопедия решений. Оператор персональных данных (ноябрь 2024)
Оператор персональных данных
Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.
Таким образом, в качестве оператора будет выступать любое лицо, которое приняло решение осуществлять обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки. Полагаем, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных.
Множественность лиц на стороне оператора
Из определения оператора персональных данных, приведенного в п. 2 ст. 3 Закона N 152-ФЗ, следует, что обработка персональных данных может осуществляться им как самостоятельно, так и совместно с другими лицами. Например, такая ситуация возникает при совместной обработке персональных данных работников или клиентов в общих целях несколькими операторами, действующими в рамках одной группы компаний (холдинга). Однако допуская множественность на стороне оператора, законодатель никак не регламентирует вопрос о распределении ответственности между ними. Полагаем, что во избежание конфликтных ситуаций вопросы ответственности каждого оператора необходимо урегулировать в соглашении между ними.
К примеру, в ст. 26 Регламента (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 указано, если два или более контролера (в контексте Закона N 152-ФЗ - оператора) совместно определяют цели и средства обработки, они должны считаться контролерами, осуществляющими совместную обработку. Они должны посредством соглашения и с соблюдением принципов прозрачности определить соответствующие обязанности для соблюдения обязательств согласно Регламенту, в частности, в отношении осуществления прав субъекта данных, а также определить соответствующие обязанности по предоставлению информации согласно ст.ст. 13 и 14, за исключением случаев, когда и поскольку соответствующие обязанности контролера определены законодательством Союза или государства-члена ЕС, под действие которого подпадают контролеры. При этом о существовании соглашения должно быть доведено до сведения субъекта данных. Субъекту данных, в свою очередь, дозволяется осуществлять свои права в рамках указанного Регламента в отношении каждого из контролеров и в противовес каждому из них.
Обработка персональных данных третьим лицом по поручению оператора
От оператора персональных данных следует отличать лицо, обрабатывающее персональные данные по поручению оператора. В ч. 3 ст. 6 Закона N 152-ФЗ указано, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.
К сожалению, законодатель не раскрывает статус такого обработчика, но в контексте Закона N 152-ФЗ основными признаками, отличающими его от оператора персональных данных, являются: во-первых, наличие самостоятельной правосубъектности, то есть обработчик должен быть юридически независимым по отношению к оператору, и, во-вторых, обработка им персональных данных должна осуществляться в интересах оператора. Примерами обработчиков персональных данных могут быть организации, осуществляющие расчеты и начисления заработной платы работникам оператора; ведение кадрового документооборота оператора; лица, привлеченные оператором для взыскания задолженности с физических лиц по гражданско-правовым договорам; провайдеры "облачных" сервисов, предоставляющие оператору виртуальные вычислительные ресурсы для обработки персональных данных физических лиц, и т.п. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку (см. определения Ленинградского облсуда от 23.01.2019 по делу N 33-410/2019, Приморского краевого суда от 18.09.2013 по делу N 33-7976, решение АС Иркутской области от 04.12.2018 по делу N А19-6583/2017), поскольку ответственность перед гражданином за действия обработчика несет именно оператор, а не обработчик, который, в свою очередь, отвечает за собственное неправомерное поведение непосредственно перед оператором (ч.ч. 2, 5 ст. 6 Закона N 152-ФЗ).
Отметим, что форма и характер подобного поручения законодательством не установлена. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключаемый между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора (например, агентского). В ч. 3 ст. 6 Закона N 152-ФЗ зафиксированы лишь требования, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Так, в поручении должен быть приведен перечень действий (операций) с персональными данными, которые будут совершаться обработчиком; определены цели обработки; установлены обязанности обработчика соблюдать конфиденциальность персональных данных и обеспечивать их безопасность с указанием требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ. Отсутствие хотя бы одного из них может быть квалифицировано как обработка персональных данных с нарушением законодательства (решение Кировского райсуда г. Екатеринбурга Свердловской области от 26.10.2016 по делу N 12-629/2016, постановления ФАС Северо-Западного округа от 29.04.2013, Кировского облсуда от 24.04.2012 N 7-А-98/2012).
Тема
См. также
Направление уведомления в Роскомнадзор о начале обработки персональных данных
Реестр операторов, осуществляющих обработку персональных данных
Понятие и виды персональных данных
Примерный перечень документов, необходимых оператору персональных данных
Проверки Роскомнадзором исполнения требований в области персональных данных
Формы документов
Договор поручения на обработку персональных данных третьим лицом
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
"Энциклопедия решений. Персональные данные" - это совокупность уникальных актуализируемых аналитических материалов по наиболее популярным темам в сфере обработки персональных данных
Каждый материал блока подкреплен ссылками на нормативные правовые акты, учитывает сложившуюся судебную практику и актуализируется по мере изменения законодательства
См. информацию об обновлениях Энциклопедии решений
См. содержание Энциклопедии решений. Персональные данные
При подготовке информационного блока "Энциклопедия решений. Персональные данные" использованы авторские материалы, предоставленные Л. Амировой, И. Разумовой
См. информацию об авторах