Энциклопедия решений. Оператор персональных данных (май 2025)

Оператор персональных данных

Смотрите в этом материале:

- общие положения;

- множественность лиц на стороне оператора;

- обработка персональных данных третьим лицом по поручению оператора

Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персональных данных.

Таким образом, в качестве оператора будет выступать любое лицо, которое приняло решение осуществлять обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки. Полагаем, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных.

Множественность лиц на стороне оператора

Из определения оператора персональных данных, приведенного в п. 2 ст. 3 Закона N 152-ФЗ, следует, что обработка персональных данных может осуществляться им как самостоятельно, так и совместно с другими лицами. Например, такая ситуация возникает при совместной обработке персональных данных работников или клиентов в общих целях несколькими операторами, действующими в рамках одной группы компаний (холдинга). Однако допуская множественность на стороне оператора, законодатель никак не регламентирует вопрос о распределении ответственности между ними. Полагаем, что в подобной ситуации в отсутствие правового регулирования каждый оператор будет нести ответственность за свои противоправные действия (бездействие) при обработке персональных данных субъектов.

К примеру, в ст. 26 Регламента (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 указано, если два или более контролера (в контексте Закона N 152-ФЗ - оператора) совместно определяют цели и средства обработки, они должны считаться контролерами, осуществляющими совместную обработку. Они должны посредством соглашения и с соблюдением принципов прозрачности определить соответствующие обязанности для соблюдения обязательств согласно Регламенту, в частности, в отношении осуществления прав субъекта данных, а также определить соответствующие обязанности по предоставлению информации согласно ст.ст. 13 и 14, за исключением случаев, когда и поскольку соответствующие обязанности контролера определены законодательством Союза или государства-члена ЕС, под действие которого подпадают контролеры. При этом о существовании соглашения должно быть доведено до сведения субъекта данных. Субъекту данных, в свою очередь, дозволяется осуществлять свои права в рамках указанного Регламента в отношении каждого из контролеров и в противовес каждому из них.

Обработка персональных данных третьим лицом по поручению оператора

От оператора персональных данных следует отличать лицо, обрабатывающее персональные данные по поручению оператора. В ч. 3 ст. 6 Закона N 152-ФЗ указано, что оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.

К сожалению, законодатель не раскрывает статус такого обработчика, но в контексте Закона N 152-ФЗ основными признаками, отличающими его от оператора персональных данных, являются: во-первых, наличие самостоятельной правосубъектности, то есть обработчик должен быть юридически независимым по отношению к оператору, и, во-вторых, обработка им персональных данных должна осуществляться в интересах оператора. Примерами обработчиков персональных данных могут быть организации, осуществляющие расчеты и начисления заработной платы работникам оператора; ведение кадрового документооборота оператора; лица, привлеченные оператором для взыскания задолженности с физических лиц по гражданско-правовым договорам; провайдеры "облачных" сервисов, предоставляющие оператору виртуальные вычислительные ресурсы для обработки персональных данных физических лиц, и т.п.

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом N 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом. При этом обработчик не обязан получать согласие субъекта персональных данных на их обработку (см. определения Ленинградского облсуда от 23.01.2019 по делу N 33-410/2019, Приморского краевого суда от 18.09.2013 по делу N 33-7976, решение АС Иркутской области от 04.12.2018 по делу N А19-6583/2017), поскольку ответственность перед гражданином за действия обработчика несет именно оператор, а не обработчик, который, в свою очередь, отвечает за собственное неправомерное поведение непосредственно перед оператором (ч.ч. 2, 5 ст. 6 Закона N 152-ФЗ).

Однако, если оператор поручает обработку персональных данных иностранному лицу (физическому или юридическому), то ответственность перед субъектом персональных данных за действия указанных лиц несет и оператор, и лицо, осуществляющее обработку персональных данных по поручению оператора (ч. 6 ст. 6 Закона N 152-ФЗ).

Отметим, что форма и характер поручения на обработку персональных данных законодательством не установлена. Поэтому, на наш взгляд, оно может представлять собой как отдельный договор, заключаемый между оператором и обработчиком персональных данных, так и совокупность условий, включенных в содержание другого договора (например, агентского). В ч. 3 ст. 6 Закона N 152-ФЗ зафиксированы лишь требования, соблюдение которых обязательно для оператора при поручении обработки персональных данных третьему лицу. Так, в поручении должны быть определены:

- перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;

- цели их обработки;

- обязанность обработчика соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона N 152-ФЗ;

- обязанность по запросу оператора персональных данных в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных Законом N 152-ФЗ;

- обязанность обеспечивать безопасность персональных данных при их обработке;

- обязанность соблюдать требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях, установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав физических лиц в порядке, предусмотренном ч. 3.1 ст. 21 Закона N 152-ФЗ.

Отсутствие хотя бы одного из перечисленных требований может быть квалифицировано как обработка персональных данных с нарушением законодательства (решение Кировского райсуда г. Екатеринбурга Свердловской области от 26.10.2016 по делу N 12-629/2016, постановления ФАС Северо-Западного округа от 29.04.2013, Кировского облсуда от 24.04.2012 N 7-А-98/2012).

Тема

Персональные данные

См. также

Направление уведомления в Роскомнадзор о начале обработки персональных данных

Реестр операторов, осуществляющих обработку персональных данных

Понятие и виды персональных данных

Подтверждение уничтожения персональных данных

Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных

Организационно-правовые меры оператора по обеспечению безопасности персональных данных, обрабатываемых без использования средств автоматизации

Проверки Роскомнадзора в сфере обработки персональных данных (общие сведения)

Формы документов

Примерный перечень документов, необходимых оператору персональных данных

Договор поручения на обработку персональных данных третьим лицом

Приказ о назначении лица, ответственного за организацию обработки персональных данных

Практические ситуации

Построить список