В первой части большого интервью для руководителей организаций с Ириной Анатольевной Пырко, начальником управления методологии защиты персональных данных Национального центра защиты персональных данных (НЦЗПД; Центр), поговорим о следующем:

— Закон «О защите персональных данных» касается всех субъектов хозяйствования, и не только;

— как разобраться, являетесь ли вы оператором или же уполномоченным лицом, и почему это важно конкретно для вашего бизнеса;

— как распределить ответственность при передаче функций по обработке персональных данных (ПД) на аутсорсинг;

— что меняется для вас, если уполномоченный орган находится на территории иностранного государства.

Закон от 7 мая 2021 г. № 99-З «О защите персональных данных» (Закон о ПД) вступил в силу 15 ноября 2021 г. 

Но до сих пор не все субъекты хозяйствования (а тем более ИП или ремесленники) обратили внимание на то, что отныне они становятся операторами (либо уполномоченными лицами) по обработке ПД. 

Любая совокупность действий оператора или уполномоченного лица, связанных с ПД, а это сбор, учет, систематизация, хранение, использование, обезличивание, распространение и предоставление (в том числе обработка данных о своих сотрудниках), подпадает под сферу регулирования Закона. 

Вместе с тем НЦЗПД как уполномоченный по защите прав субъектов ПД орган уже осуществляет проверки соблюдения субъектами хозяйствования законодательства в этой части. 

– Добрый день, Ирина Анатольевна! Можно ли на конкретных примерах проиллюстрировать, что организация работы по соблюдению норм Закона о ПД касается абсолютно всех субъектов хозяйствования?

– Закон о ПД выделяет двух субъектов, которые обрабатывают персональные данные и на которых распространяются требования, установленные этим Законом, – оператор и уполномоченное лицо.

При этом согласно ст. 1 Закона под оператором понимается госорган, белорусское юрлицо, иная организация, физлицо, в том числе ИП, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку ПД.

В свою очередь, уполномоченными лицами для целей Закона о ПД являются госорган, белорусское юрлицо, иная организация, физлицо, которые в соответствии с актом законодательства, решением госоргана, являющегося оператором, либо на основании договора с оператором осуществляют обработку ПД от имени оператора или в его интересах.

Очевидно, что любой субъект хозяйствования при осуществлении своей деятельности в той или иной степени осуществляет обработку персональных данных. И даже если организация занимается исключительно производством продукции и не работает напрямую с клиентами – физическими лицами (соответственно, не ведет базы данных клиентов), она как минимум осуществляет обработку ПД своих работников, работников других организаций, сведения о которых содержатся в заключаемых ею договорах (закупки, поставки и т.п.).

Таким образом, действительно, все организации, в том числе госорганы, обязаны соблюдать требования Закона о ПД.

Более того, исходя из определения терминов «оператор» и «уполномоченное лицо», наряду с организациями требования Закона о ПД должны соблюдать и физические лица, в том числе ИП, если обработка ими ПД связана с их профессиональной или предпринимательской деятельностью.

Например, физическое лицо осуществляет профессиональную деятельность, направленную на получение прибыли, но не имеет статуса ИП.

Это может быть ремесленник, адвокат, нотариус, репетитор, логопед, лица, оказывающие услуги в сфере агроэкотуризма или иные виды деятельности, которые не относятся к предпринимательской деятельности в соответствии с ГК. Такое физическое лицо также признается оператором, и на него распространяется действие Закона о ПД.

– Некоторые субъекты хозяйствования – операторы по обработке ПД, иные – уполномоченные лица. Приведите, пожалуйста, примеры, когда субъект хозяйствования выступает в качестве оператора, а когда – в качестве уполномоченного лица.

– Отнесение лица к оператору или уполномоченному лицу имеет важное правоприменительное значение, поскольку Закон о ПД по-разному определяет правовой статус таких лиц, характер их обязательств и степень ответственности. От этого зависит:

— надлежащее определение правовых оснований обработки;

— определение обязанностей лица, осуществляющего обработку ПД, в том числе перед субъектами ПД и уполномоченным органом по защите прав субъектов ПД;

— ответственность за нарушение Закона;

— а также правильная организация сотрудничества с другими организациями и физическими лицами, осуществляющими обработку ПД.

Ключевым отличием оператора от уполномоченного лица является то, что именно оператор в силу требований законодательства или по собственной инициативе принимает решение об обработке ПД (например, о сборе тех или иных сведений о субъектах ПД), а также определяет основные параметры обработки ПД (о целях и сроках обработки, объеме обрабатываемых ПД, передаче их третьим лицам).

Классическими примерами операторов являются:

— наниматель при обработке персональных данных своих работников;

— учреждение образования при оказании образовательных услуг обучающимся;

— учреждение здравоохранения при оказании медицинской помощи пациентам;

— организация торговли при обработке персональных данных покупателей при реализации им товаров;

— страховщик по отношению к застрахованным лицам.

При этом распространенной практикой для организаций является передача части своих функций, связанных с обработкой ПД, на аутсорсинг другой организации. Например, ведение бухучета, системное администрирование локальной сети, транспортные услуги, IT-поддержка и т.п.

В большинстве таких случаев организация-исполнитель действует в соответствии с инструкциями (поручениями, указаниями и т.п.) организации-заказчика, закрепленными в договоре, от его имени или в его интересах. В подобных ситуациях организация-заказчик выступает оператором, а организация-исполнитель является уполномоченным лицом.

Вместе с тем не во всех случаях взаимоотношения организации-заказчика и организации-исполнителя соответствуют конструкции «оператор – уполномоченное лицо».

Отношения могут также строиться и по модели «оператор – оператор», когда каждая организация действует в своих интересах и самостоятельно определяет ключевые параметры обработки ПД.

Пример
Организации заключили договор поставки. В договоре, доверенности и первичных учетных и иных документах, прилагаемых к договору, содержатся в том числе ПД представителей этих организаций (сторон договора). При передаче ПД организациями друг другу каждая из них осуществляет обработку этих ПД для собственных целей (заключение договора и т.п.), и, соответственно, при данной обработке каждая из них выступает в качестве оператора.

Важной особенностью взаимоотношений между оператором и уполномоченным лицом является то, что после окончания обработки уполномоченное лицо должно либо передать эти данные оператору, либо удалить или заблокировать их.

Организации не делятся только на операторов или только на уполномоченных лиц.  Одна и та же организация применительно к одним обработкам может выступать оператором, а к другим – уполномоченным лицом.

Пример
Организация оказывает другим организациям услуги по IT-поддержке. В данном процессе по отношению к организации-заказчику она выступает в качестве уполномоченного лица. В то же время эта же организация осуществляет обработку персональных данных своих работников, осуществляет закупку материальных ценностей для создания собственной материально-технической базы, предоставляет различные отчеты о своей деятельности в государственные органы. Применительно к обработке ПД в этих случаях она является оператором.

Поэтому статус лица, обрабатывающего ПД, нужно определять в каждом конкретном случае с учетом анализа всех обстоятельств, связанных с обработкой ПД.

– Как правильно оформить взаимоотношения между оператором и уполномоченным лицом?  Как сформулировать условия договора, чтобы распределить ответственность между ними в случае утечки ПД? Кто и в какой мере будет нести ответственность в случае такой утечки?

– В большинстве случаев применительно к субъектам хозяйствования взаимоотношения оператора и уполномоченного лица опосредуются договором.

Это может быть самостоятельный договор или положения в заключенном для достижения какой-либо цели договоре, так как обычно обработка ПД является сопутствующей деятельностью по отношению к предмету взаимоотношений оператора и уполномоченного лица.

Такой договор должен заключаться в том числе с уполномоченным лицом, расположенным на территории иностранного государства, независимо от того, является ли иностранное государство с ненадлежащим или надлежащим уровнем защиты прав субъектов ПД.

Требования к содержанию такого договора установлены п. 1 ст. 7 Закона о ПД.  В нем должны быть определены:

— цели обработки ПД;

— перечень действий, которые будут совершаться с ПД уполномоченным лицом;

— обязанности по соблюдению конфиденциальности ПД;

— меры по обеспечению защиты ПД в соответствии со ст. 17 Закона о ПД.

Более детальные стандартные положения для включения в договор о поручении обработки ПД приведены в приложении к Рекомендациям НЦЗПД о взаимоотношениях операторов и уполномоченных лиц при обработке ПД.

Что касается ответственности, то как на оператора, так и на уполномоченное лицо в равной степени возлагаются обязанности, в том числе принимать правовые, организационные и технические меры по обеспечению защиты ПД от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления ПД, а также от иных неправомерных действий в отношении ПД.

Таким образом, независимо от статуса этих лиц (оператор или уполномоченное лицо) они будут нести ответственность, в частности, по ст. 23.7 КоАП.

Вместе с тем, поскольку ключевые параметры обработки ПД определяет оператор, именно он обязан обеспечивать права субъектов ПД и несет согласно п. 3 ст. 7 Закона о ПД ответственность перед субъектом ПД как за свои действия, так и за действия уполномоченного лица в случае, если поручает обработку ПД уполномоченному лицу.

В этой связи обязанность по незамедлительному уведомлению НЦЗПД о нарушениях систем защиты персональных данных ст. 16 Закона о ПД возложена непосредственно на оператора.

В случае, если субъекту ПД причинен вред, в том числе моральный, действиями оператора или уполномоченного лица, то, исходя из ст. 7 Закона о ПД, этот субъект может обратиться с иском к оператору, который, в свою очередь, может требовать привлечения уполномоченного лица к ответственности за нарушение условий договора.

Оператор также несет ответственность за случаи утечки ПД, допущенные уполномоченным лицом на территории иностранного государства. В этой связи операторам следует тщательно подходить к выбору уполномоченных лиц и привлекать к обработке ПД только тех из них, которые предоставляют достаточные гарантии принятия ими соответствующих правовых, организационных и технических мер для обеспечения обработки ПД в соответствии с требованиями Закона о ПД.

– Как должен выглядеть документ, определяющий политику в отношении обработки ПД, какие положения содержать, кем он должен быть утвержден?

– Это может быть один общий документ, определяющий политику оператора (уполномоченного лица) в отношении обработки ПД в виде отдельного (самостоятельного) документа.

Также это могут быть несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора (уполномоченного лица) порядок обработки ПД в определенных сферах или в связи с определенными бизнес-процессами (например, в рамках обработки ПД на сайте, обработки ПД работников и т.п.).

При этом следует обеспечить соотносимость информации о целях, правовых основаниях обработки и круге обрабатываемых ПД.

Основная цель издания такого документа – предоставить субъектам ПД информацию о том, кем, как и для каких целей их ПД собираются, используются или иным образом обрабатываются, разъяснить имеющиеся у них права в контексте этой обработки и механизм их реализации. Поэтому важно, чтобы политика была изложена простым и доступным для среднестатистического гражданина языком.

Не следует превращать политику в цитирование положений Закона о ПД, в том числе содержащихся в нем терминов и определений, подробно описывать технические аспекты обработки ПД. Это должен быть максимально доступный для восприятия документ, но в то же время позволяющий любому гражданину найти ответ на вопрос, зачем и какие сведения о нем организация обрабатывает.

НЦЗПД разработал и разместил в открытом доступе Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки ПД, где подробно описано, что и как следует отразить в этом документе.

Читайте также

Персональные данные. Найти баланс интересов. Интервью с директором НЦЗПД А.А. Гаевым

Персональные данные: риски и ответственность, судебная практика

Внутренний контроль за обработкой персональных данных: анализ практики и перспективы развития