НЦЗПД подготовил Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных от 28.11.2022. Они разработаны в целях установления единообразных подходов при определении статуса оператора и уполномоченного лица. Рассмотрим основные моменты.

Справочно
С текстом Рекомендаций можно ознакомиться на сайте НЦЗПД.

1. Каких лиц можно отнести к операторам

Оператор характеризуется следующими признаками (абз. 8 ст. 1 Закона о защите персональных данных):

1) определенным статусом. Оператором может быть как организация, в т.ч. госорган, так и физлицо. При этом организация может являться оператором независимо от наличия либо отсутствия коммерческой выгоды от обработки персональных данных, а также от объема обрабатываемых данных. Физлицо же признается оператором, если оно обрабатывает персональные данные в связи с деятельностью в качестве:

— ИП;

— лица, осуществляющего деятельность, направленную на получение прибыли, но не имеющего статуса ИП. Например, ремесленная деятельность, репетиторство, фотосъемка, изготовление фотографий, аренда, прокат развлекательного и спортивного оборудования и иные виды деятельности, предусмотренные ч. 4 п. 1 ст. 1 ГК.

Физлица, которые обрабатывают персональные данные только в процессе личного, семейного, домашнего и иного подобного использования, не связанного с профессиональной или предпринимательской деятельностью, не являются операторами (абз. 2 п. 2 ст. 2 Закона о защите персональных данных).

Пример 1
Профессиональный фотограф оказывает услуги по проведению семейной фотосессии. Несмотря на то, что лица, заказавшие такую услугу, будут использовать фотографии исключительно для личных целей, для фотографа такая деятельность является профессиональной. Следовательно, сам фотограф будет являться оператором. Обработка персональных данных заказчиков фотосессии должна осуществляться в соответствии с положениями Закона о защите персональных данных.

Пример 2
Физлицо ведет свою страницу в социальной сети, не монетизирует ее и размещает на ней фото- и видеоизображения, отражающие происходящие в его личной жизни события (фото с совместных мероприятий и др.). Такая деятельность не является профессиональной или предпринимательской. Соответственно, Закон о защите персональных данных на нее не распространяется;

2) оператор организует и (или) осуществляет обработку персональных данных. Здесь могут быть следующие варианты:

— оператор только организует обработку персональных данных. То есть он определяет ключевые параметры обработки персональных данных. Это цели и сроки, объем обрабатываемых данных, круг лиц, которым предоставляются персональные данные. Все же действия по обработке персональных данных осуществляет уполномоченное лицо;

— оператор не только организует обработку персональных данных (то есть определяет ее ключевые параметры), но и непосредственно осуществляет с персональными данными необходимые операции. Например, такие операции, как сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление и т.п.

Пример
Организация занимается продажей мебели и ведет базу данных клиентов для осуществления рекламной рассылки. В данном случае организация как оператор самостоятельно организует и осуществляет сбор сведений у клиентов (например, при заключении договоров), вносит соответствующие сведения в базу данных, пользуется такой базой, осуществляет при необходимости удаление персональных данных клиентов.

Однако это не означает, что оператор все действия по обработке осуществляет исключительно самостоятельно. Например, организация может хранить базу данных своих клиентов на сервере, арендованном у хостинг-провайдера, который будет выступать по отношению к организации уполномоченным лицом;

— оператор осуществляет обработку персональных данных. Как правило, это госорганы и иные организации, обрабатывающие персональные данные для реализации государственно-властных полномочий или иных публичных функций. При этом цели и порядок такой обработки определяются законодательством.

Обратите внимание!
К операторам относятся, в том числе:
— наниматель при обработке персональных данных своих работников;
— учреждение образования при оказании образовательных услуг обучающимся;
— учреждение здравоохранения при оказании медицинской помощи пациентам;
— организация торговли при обработке персональных данных покупателей при реализации им товаров;
— страховщик по отношению к застрахованным лицам.

2. Кто считается уполномоченным лицом

Уполномоченное лицо характеризуется следующими признаками (абз. 8 ст. 1 Закона о защите персональных данных):

1) определенным статусом. Уполномоченное лицо должно быть отдельным юрлицом или физлицом по отношению к оператору. При этом на возможность признания организации уполномоченным лицом не влияет ее взаимосвязь с оператором (аффилированное лицо, зависимое хозяйственное общество, дочернее хозяйственное общество, статус учредителя и др.).

В качестве самостоятельных операторов или уполномоченных лиц не рассматриваются работники организации. Работник, выполняя свою трудовую функцию, действует от имени оператора и является его «частью». Статус же физлиц, с которыми заключен гражданско-правовой договор, должен определяться в каждом конкретном случае. Если такое лицо обрабатывает персональные данные под контролем оператора и с использованием принадлежащих оператору информационных ресурсов, то его по аналогии с работниками оператора следует рассматривать как «часть» оператора.

Пример 1
На период переписи населения привлечен временный переписной персонал на основании гражданско-правовых договоров. Такие лица выполняют свои обязанности в соответствии с требованиями законодательства и инструкциями оператора. В этой связи они не рассматриваются как уполномоченные лица.

Пример 2
Организация заключила гражданско-правовой договор с физлицом для оказания услуги по подготовке годового балансового отчета. Договором предусмотрено, что услуга будет выполняться с использованием информационных ресурсов физлица, для чего ему будут предоставлены все необходимые документы. В данном случае физлицо будет являться уполномоченным лицом;

2) уполномоченное лицо осуществляет обработку персональных данных от имени оператора или в его интересах. В отличие от оператора, уполномоченное лицо не определяет ключевые параметры обработки персональных данных. Оно действует от имени или в интересах оператора в соответствии с его поручениями, как правило, за вознаграждение.

Пример 1
Организация «А» продает товары через интернет, предлагая доставку товара курьером. Организация «А» запрашивает у покупателя контактные данные, необходимые для доставки: адрес, собственное имя и контактный телефон. Собранные данные передаются организации «Б», которая непосредственно и осуществляет доставку товара.
В данном случае организация «А» определила цель обработки (доставка товара), лиц, чьи персональные данные будут обрабатываться (покупатели), и перечень обрабатываемых персональных данных (адрес, имя и контактный телефон). В свою очередь, организация «Б», используя собранные персональные данные, от имени организации «А» доставила товар. В этой связи организация «А» является оператором, организация «Б» — уполномоченным лицом.

Пример 2
В организации персональные данные первично обрабатываются (в том числе собираются) с использованием средств автоматизации и хранятся в базе данных программного обеспечения 1С, размещенного на сервере, арендованном организацией у поставщика услуг 1С. В данной ситуации арендодатель сервера осуществляет обработку (хранение) персональных данных в интересах организации (оператора) на основании заключенного с ней договора и выступает в качестве уполномоченного лица.

Чаще всего уполномоченные лица могут принимать свои собственные повседневные оперативные решения, использовать свои знания и навыки, чтобы решить, как выполнять определенные действия в интересах оператора. Например, выбор конкретного типа аппаратного или программного обеспечения для обработки персональных данных, в том числе для обеспечения защиты информации. Но они не могут определять, например, цели и сроки обработки, объемы обрабатываемых персональных данных, вопросы передачи таких данных третьим лицам.

Пример
Банк нанимает организацию, предоставляющую IT-услуги, для хранения архивных данных клиентов. Банк определяет, как, для каких целей и какие персональные данные используются, а также определяет сроки их хранения. Соответственно, банк является оператором. Организация, предоставляющая IT-услуги, использует собственный профессиональный и технический опыт для решения вопросов о безопасном хранении персональных данных. Однако, несмотря на эту свободу принятия технических решений, IT-организация не является оператором в отношении персональных данных, предоставленных банком, т.к. не может решать вопросы о том, надо ли хранить персональные данные, сколько их хранить, кому передавать и т.п.

Достаточно распространена практика передачи функций, связанных с обработкой персональных данных, на аутсорсинг. Например, ведение бухучета, системное администрирование локальной сети, IT-поддержка и т.п. В большинстве таких случаев организация — исполнитель услуг действует в соответствии с инструкциями (поручениями, указаниями и т.п.) организации-заказчика, закрепленными в договоре, от его имени или в его интересах. В подобных ситуациях организация-заказчик выступает оператором, а организация-исполнитель является уполномоченным лицом.

3. Что нужно включить в договор между оператором и уполномоченным лицом

Договор между оператором и уполномоченным лицом обязательно должен содержать (п. 1 ст. 7 Закона о защите персональных данных):

1) цели обработки персональных данных. Такие цели должны соответствовать целям, указанным в политике оператора в отношении обработки персональных данных, и не должны быть абстрактными или общими.

Справочно
Подробнее о требованиях к целям обработки персональных данных можно ознакомиться в Рекомендациях НЦЗПД по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных на сайте НЦЗПД;

2) перечень действий, которые будут совершаться с персональными данными уполномоченным лицом. Помимо конкретных действий, здесь следует указать информацию об использовании обезличивания персональных данных (при использовании обезличивания), условия, при которых возможно предоставление персональных данных третьим лицам или их распространение, если предполагается такое предоставление, распространение.

3) обязанности по соблюдению конфиденциальности персональных данных;

4) меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных. В качестве механизма контроля может быть закреплена обязанность уполномоченного лица предоставлять оператору информацию, необходимую для подтверждения реализации мер по обеспечению защиты.

Обратите внимание!
Оператор и уполномоченное лицо могут не заключать отдельный договор, а включить положения, касающиеся персональных данных, в иной договор между ними. Например, в договор на оказание услуг по курьерской доставке товаров. Ведь обычно обработка персональных данных является сопутствующей деятельностью по отношению к предмету взаимоотношений оператора и уполномоченного лица.

В договоре целесообразно предусмотреть:

1) условия о привлечении уполномоченным лицом иных лиц для обработки персональных данных. В договоре следует предусмотреть условие о невозможности привлечения таких лиц либо о возможности привлечения с (без) предварительного письменного разрешения оператора или письменного уведомления оператора;

2) механизм участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных. В договоре целесообразно определить порядок действий уполномоченного лица в случае поступления к нему или к оператору заявлений субъектов персональных данных. Например, может быть предусмотрено, что в случае поступления заявления уполномоченному лицу оно может предоставлять субъекту персональных данных информацию об обработке персональных данных.

3) обязанность уполномоченного лица прекратить по окончании договора обработку соответствующих персональных данных и передать такие данные оператору либо удалить (блокировать) их, за исключением случаев, когда законодательными актами предусмотрена обязанность их хранения, а также удалить (блокировать) все имеющиеся копии персональных данных и подтвердить оператору, что это сделано. Подтверждение передачи, удаления, блокирования можно оформить отдельным актом, либо указать такую информацию в акте сдачи-приемки выполненных работ, либо подготовить письменный отчет о выполненном поручении.

Обратите внимание!
Статус уполномоченного лица не зависит от наличия у оператора отдельного договора с уполномоченным лицом. Отсутствие такого договора является нарушением законодательства, но не изменяет статус лиц, осуществляющих обработку персональных данных.

4. Как распределяются обязанности, ответственность операторов и уполномоченных лиц

На оператора и уполномоченное лицо в равной степени возлагаются обязанности по принятию мер для защиты персональных данных. Ведь они оба обрабатывают персональные данные (ст. 17 Закона о защите персональных данных). Вместе с тем, оператор определяет ключевые параметры обработки персональных данных, поэтому именно он обязан обеспечивать права субъектов персональных данных. Ответственность перед субъектом персональных данных несет оператор как за свои действия, так и за действия уполномоченного лица (п. 3 ст. 7 Закона о защите персональных данных).

Есть ряд обязанностей, которые законодательство возлагает именно на оператора. Например, обязанности, предусмотренные ст. 16 указанного закона, обязанность по внесению сведений в Реестр операторов персональных данных (ч. 1 подп. 3.6 п. 3 Указа от 28.10.2021 N 422). По общему правилу, это не препятствует поручению таких обязанностей уполномоченному лицу.

Обратите внимание!
Договор между оператором и уполномоченным лицом может предусматривать возможность подачи заявлений от субъекта персональных данных как оператору, так и уполномоченному лицу. В этом случае уполномоченное лицо предоставляет заявителю информацию об обработке персональных данных, если заявление поступит уполномоченному лицу. При этом оператор не может устраниться от рассмотрения заявлений субъектов персональных данных. В случае поступления такого заявления он обязан его рассмотреть и дать ответ, не ссылаясь на договор и не пересылая заявление уполномоченному лицу для ответа.

Операторы и уполномоченные лица несут ответственность за непринятие правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных. Т.е. независимо от статуса этих лиц (оператор или уполномоченное лицо) они несут предусмотренную законодательными актами ответственность, в частности по ст. 23.7 КоАП. Оператор также несет ответственность за случаи «утечки» персональных данных, допущенные уполномоченным лицом на территории иностранного государства.

Обратите внимание!
Если субъекту персональных данных действиями оператора или уполномоченного лица причинен вред, в т.ч. моральный, то этот субъект может обратиться с иском к оператору. Оператор, в свою очередь, может требовать привлечения уполномоченного лица к ответственности за нарушение условий договора (п. 3 ст. 7 Закона о защите персональных данных).

5. Кто такие сооператоры и каков порядок их взаимодействия

Совместные операторы (сооператоры) — это операторы (юрлица и (или) физлица), которые совместно организуют и (или) осуществляют обработку персональных данных.

Пример
В торговой сети действует программа лояльности (бонусная, скидочная), в которой участвуют все субъекты торговли, входящие в одну группу лиц. При участии в данной программе субъекты торговли являются сооператорами.

В отличие от взаимоотношений «оператор — уполномоченное лицо», правовая основа отношений между совместными операторами Законом о защите персональных данных отдельно не определена. Поэтому на каждого из них возлагаются все обязанности, предусмотренные в отношении операторов, и каждый из них самостоятельно несет полную ответственность за несоблюдение требований, установленных законодательством.

Распределения ролей (функций) в совместной обработке обеспечивается, как правило, посредством заключения между сооператорами соответствующего соглашения (договора). Информация о совместной обработке персональных данных отражается в политике каждого оператора в отношении обработки персональных данных. При этом в рамках конкретного бизнес-процесса (например, участие в программах лояльности торговой сети) совместные операторы могут подготовить общий такой документ.

Обратите внимание!
Субъект персональных данных выражает свое согласие всем сооператорам для достижения конкретной цели. Такое согласие может собирать один из сооператоров в отношении всех сооператоров. В случае несогласия с участием в обработке персональных данных конкретного оператора субъект персональных данных отказывает в даче согласия всем сооператорам. При этом каждый из них несет самостоятельное бремя доказывания получения согласия субъекта персональных данных в отношении себя.
Субъекты персональных данных могут требовать восстановления своих нарушенных прав от совместных операторов точно так же, как и от любого единоличного оператора. Распределение ответственности перед субъектами персональных данных между совместными операторами может быть отражено в заключенном ими соглашении (договоре).

Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex