Добрый день, дорогие читатели! Несмотря на то, что небо послало нам ФЗ "О персональных данных" уже 12 лет как, споры вокруг него не только не утихают, но и разгораются с новой силой. Очень часто приходят вопросы от специалистов с описанием какой-то жутко мудреной схемы обработки этих самых данных и припиской в конце: "А может мы и не оператор вовсе?" К сожалению, в большинстве своём надежды не оправдываются. Но почему же такие сомнения вообще возникают? Главная причина, на мой взгляд, одна - никто не хочет быть оператором. Здесь все понятно: комплекс организационно-технических мероприятий, работа с субъектами, с регуляторами - все это требует финансовых и временных вложений. С другой стороны манит лёгкая доля лица, обрабатывающего по поручению. Знай себе договор выполняй, а в ответе за все будет оператор.
Обратимся к определению:
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Таким образом, оператор:
- осуществляет обработку;
- может организовать обработку;
- определяет цели обработки;
- определяет состав персональных данных;
- определяет действия над персональными данными.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
То есть у лица, которое обрабатывает персональные данные по поручению, должно быть такое поручение, в котором оператор уже указал перечень действий и цели обработки. Если такое поручение есть, то все отлично. Сомнений нет - вы лицо, обрабатывающее персональные данные по поручению. А если его нет? Может быть оператор оказался недобросовестным и передал данные, не оформив все должным образом. В таком случае ошибку нужно исправить и поручение оформить. Но здесь важно понимать - получение данных не от субъекта напрямую не делает вас автоматически лицом, обрабатывающим персональные данные!
Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию...
Есть простая истина, которую многие забывают - базы персональных данных могут дублироваться у разных операторов. Из того, что у двух юрлиц одинаковые базы ПДн не следует, что одно юрлицо оператор, а второе обрабатывает по поручению.
На мой взгляд, вы оператор, если не сможете доказать обратное - предоставить поручение на обработку.
Заходите обсудить эту и другие темы по защите персональных данных ВК:
https://vk.com/kshudrova
Комментариев нет:
Отправить комментарий