четверг, 12 июля 2018 г.

Оператор или обработчик

Добрый день, дорогие читатели! Несмотря на то, что небо послало нам ФЗ "О персональных данных" уже 12 лет как, споры вокруг него не только не утихают, но и разгораются с новой силой. Очень часто приходят вопросы от специалистов с описанием какой-то жутко мудреной схемы обработки этих самых данных и припиской в конце: "А может мы и не оператор вовсе?" К сожалению, в большинстве своём надежды не оправдываются. Но почему же такие сомнения вообще возникают? Главная причина, на мой взгляд, одна - никто не хочет быть оператором. Здесь все понятно: комплекс организационно-технических мероприятий, работа с субъектами, с регуляторами - все это требует финансовых и временных вложений. С другой стороны манит лёгкая доля лица, обрабатывающего по поручению. Знай себе договор выполняй, а в ответе за все будет оператор.

Обратимся к определению:

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Таким образом, оператор:
- осуществляет обработку;
- может организовать обработку;
- определяет цели обработки;
- определяет состав персональных данных;
- определяет действия над персональными данными.

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

То есть у лица, которое обрабатывает персональные данные по поручению, должно быть такое поручение, в котором оператор уже указал перечень действий и цели обработки. Если такое поручение есть, то все отлично. Сомнений нет - вы лицо, обрабатывающее персональные данные по поручению. А если его нет? Может быть оператор оказался недобросовестным и передал данные, не оформив все должным образом. В таком случае ошибку нужно исправить и поручение оформить. Но здесь важно понимать - получение данных не от субъекта напрямую не делает вас автоматически лицом, обрабатывающим персональные данные!

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию...

Есть простая истина, которую многие забывают - базы персональных данных могут дублироваться у разных операторов. Из того, что у двух юрлиц одинаковые базы ПДн не следует, что одно юрлицо оператор, а второе обрабатывает по поручению.

На мой взгляд, вы оператор, если не сможете доказать обратное - предоставить поручение на обработку.

Заходите обсудить эту и другие темы по защите персональных данных ВК:

https://vk.com/kshudrova