Как называется лицо осуществляющее обработку персональных данных

Обновлено: 27.03.2024

Согласно ст.3 ФЗ «О персональных данных», оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Данная норма выделяет два критерия, при наличии которых лицо квалифицируется как оператор персональных данных:

- организация и (или) осуществление обработки персональных данных;

- определение целей обработки персональных данных, состав обрабатываемых персональных данных и действия (операции), совершаемые с персональными данным.

При детальном рассмотрении определения оператора персональных данных встает вопрос о том, должно ли лицо для квалификации в качестве оператора соответствовать обоим или одному из данных критериев.

Зачастую организацию и(или) осуществление обработки персональных данных может выполнять лицо, действующее по поручению иного лица (принципала) и не определяющее цели, состав и операции обработки персональных данных. Типичным примером такого лица является хостинг-провайдер, осуществляющий хранение и иную обработку персональных данных по поручению клиента. В подобных отношениях клиент соответствует обоим критериям оператора, в то время как хостинг-провайдер соответствует только критерию организации и (или) осуществления обработки персональных данных, при условии, что клиент самостоятельно определяет цели, состав и операции по обработке персональных данных, и хостинг-провайдер не использует такие персональные данные в собственных целях. В случае же, когда хостинг-провайдер по тем или иным причинам и основаниям (или без таковых) определяет цели, состав и операции по обработке персональных данных независимо от клиента, такая деятельность хостинг-провайдера соответствует обоим критериями оператора.

В отличие от описанного примера, крайне затруднительно представить ситуацию, при которой лицо будет определять цели, состав и операции по обработке персональных данных, без организации и (или) осуществления обработки персональных данных этим же лицом или иными лицами по его поручению. Учитывая, что закон не содержит прямого запрета на определение целей, состава и операций по обработке персональных данных, любое лицо вправе осуществлять такое определение, но такая деятельность не будет входить в сферу регулирования ФЗ «О персональных данных», поскольку согласно ст.1 указанного закона, закон регулирует отношения, связанные с обработкой персональных данных, для наличия которой очевидно недостаточно только определить цели, состав и способы обработки без осуществления самой обработки.

Таким образом, справедливо утверждать, что для квалификации в качестве оператора лицо должно соответствовать обоим указанным критериям. С другой стороны, закон допускает соответствие обоим критериям не только независимо, но и совместно с другими лицами. И если часть предусмотренных статусом оператора действий осуществляется лицом в рамках поручения принципала, то в таких отношениях можно говорить о совместном выполнении обоих критериев обоими участниками процесса обработки.

Работа с персональными данными в рамках поручения принципала не означает, что хостинг-провайдер не определяет самостоятельные, присущие только ему цели и способы обработки персональных данных. Если целью обработки персональных данных принципала является хранение персональных данных в рамках оказания услуг субъектам персональных данных, то целью хостинг-провайдера является исполнение договора с принципалом. И если способом обработки принципала является обмен цифровыми данными с хостинг-провайдером, то хостинг-провайдер при хранении данных на своих серверах может использовать свои независимые способы обработки, о деталях которых принципал может быть и не осведомлен, если способы обработки касаются, например, защиты данных.

Следовательно, в любых подобных отношениях в рамках российского законодательства и клиент, и хостинг-провайдер могут выступать в качестве операторов. Данный вывод является ключевым для определения правового статуса лиц, осуществляющих обработку персональных данных по поручению оператора, существование которых предусмотрено ч.3 ст.6 ФЗ «О персональных данных». Несмотря на то, что данная норма прямо не называет операторами лиц, действующих по поручению оператора, её положения не исключают возможность наличия статуса оператора у такого лица в рамках обработки персональных данных по поручению.

Такая трактовка законодательства вызывает ряд вопросов, которые, впрочем, вполне поддаются решению. Учитывая, что хостинг-провайдер может быть не осведомлен о том, что обрабатываемые им данные являются персональными (что не освобождает его от исполнения обязанностей оператора), встает вопрос об ответственности за соблюдение обязанностей оператора и о возможности такого соблюдения. Несмотря на то, что неосведомленный оператор может быть привлечен к ответственности и понести убытки, закон не запрещает установить в поручении на обработку персональных данных или ином соглашении механизмы ответственности клиента-принципала перед таким оператором за отсутствие факта передачи оператору сведений, необходимых для исполнения его публичных обязанностей.

Справедливость данного подхода подтверждается также тем, что согласно сч.4 ст.6 ФЗ «О персональных данных», лицо, обрабатывающее персональные данные по поручению оператора, освобождается от обязанности получению согласия субъекта на обработку персональных данных. А согласно ч.5 указанной статьи, лицо, действующее по поручению оператора, не несет ответственности перед субъектами персональных данных, которая полностью возлагается на оператора-принципала (что не исключает публичной ответственности лица, действующего по поручению). Данные исключения позволяют оператору, действующему по поручению, в полном объеме соблюдать требования, предъявляемые законом к оператору.

Такие положения закона, на первый взгляд, противоречат мировой практике, в частности – GDPR (Общему регламенту защиты персональных данных (Регламент (Европейский Союз) 2016/679)), статья 4 которого прямо разделяет понятия «контроллера», определяющего цели и способы обработки персональных данных, и «процессора», обрабатывающего персональные данные от имени контроллера, для каждого из которых закон устанавливает свои обязанности. Но фактически использование отдельного термина «процессор» является техническим приемом, который позволяет упростить описание правового статуса оператора, выполняющего функции процессора, в части его отличий от статуса оператора-контроллера. Можно утверждать, что ФЗ «О персональных данных» следует подходам GDPR, но не вводит отдельный термин, аналогичный процессору, а описывает особенности его статуса через исключения из общих положений об обязанностях оператора.

Логика такого подхода также позволяет избежать неопределенности правового статуса лиц, обрабатывающих персональные данные по поручению процессора, которые не состоят в прямых отношениях с изначальным контроллером. В то время как ст.28 GDPR предусматривает особенности правового статуса процессоров, обрабатывающих персональные данных по поручению процессоров верхнего уровня, в ФЗ «О персональных данных» статус таких процессоров напрямую не описан, и единственным способом определения статуса таких процессоров в рамках российского закона является квалификация отношений между двумя процессорами как отношений между контроллером и процессором, что в совокупности с механизмами гражданского-правовой ответственности контроллера перед процессором и исключениями, предусмотренными для операторов, являющихся процессорами, делает описанный подход жизнеспособным и обоснованным, а также расширяющим возможности привлечения процессоров и контроллеров к субсидиарной публичной ответственности, которые позволяют более эффективно защищать интересы субъектов персональных данных, не ущемляя прав контроллеров и процессоров.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски споров в суде общей юрисдикции. Ситуации, связанные со ст. 3

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

(п. 1.1 введен Федеральным законом от 30.12.2020 N 519-ФЗ)

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Статья 6. Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски арбитражных споров и споров в суде общей юрисдикции. Ситуации, связанные со ст. 6

Споры в суде общей юрисдикции:

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

(п. 3 в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

(см. текст в предыдущей редакции)

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

(п. 3.1 введен Федеральным законом от 29.07.2017 N 223-ФЗ)

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

(см. текст в предыдущей редакции)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

(в ред. Федерального закона от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

О выявлении конституционно-правового смысла п. 8 ч. 1 ст. 6 см. Постановление КС РФ от 25.05.2021 N 22-П.

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

(п. 9.1 введен Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)

(см. текст в предыдущей редакции)

10) утратил силу с 1 марта 2021 года. - Федеральный закон от 30.12.2020 N 519-ФЗ;

(см. текст в предыдущей редакции)

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной охране".

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Как ни странно, в практике встречаются противоположные мнения по вопросу о том, определяет ли российское законодательство о персональных данных статус обработчиков персональных данных как лиц, отличных от операторов персональных данных. На мой взгляд, конечно, определяет.

Закон о персональных данных не использует термин «обработчик», но именно об обработчике идет речь в частях 3 - 5 статьи 6 Закона о персональных данных, в которых говорится о лице, осуществляющем обработку персональных данных по поручению оператора. Аналогичным образом Гражданский кодекс не использует термин «виндикация», но это не означает, что виндикация ему неизвестна.

В основе Закона о персональных данных, принятого в 2006 году, лежат положения директивы Европейского союза 1995 года о защите физических лиц при обработке персональных данных и о свободном движении таких данных. Согласно директиве обработчик – это лицо, которое обрабатывает персональные данные по поручению оператора (статья 2(e)). Нетрудно заметить его сходство с лицом, осуществляющим обработку персональных данных по поручению оператора, из статьи 6 Закона о персональных данных.

Таким образом, Закон о персональных данных взял из европейской директивы концепцию обработчика, хотя и не взял сам этот термин.

Согласно Закону о персональных данных обработчик не является оператором. Оператор персональных данных определяет цели обработки данных (статья 3), а обработчик обрабатывает данные исключительно согласно инструкциям оператора и не определяет цели их обработки (часть 3 статьи 6).

Различие между обработчиком и оператором имеет большое практическое значение, поскольку большинство обязанностей, предусмотренных Законом о персональных данных, адресовано оператору, а не обработчику. Например, именно оператор, а не привлеченный им обработчик, отвечает за соблюдение обязанности по локализации обработки персональных данных граждан России (часть 5 статьи 18). Обязанности обработчика главным образом проистекают из договора с оператором, который несет ответственность за действия обработчика перед субъектами персональных данных (часть 5 статьи 6). Возлагать все обязанности оператора на обработчика неверно, так как обработчик не может их выполнять в силу своей второстепенной роли в обработке данных. Например, обработчик не обладает всей информацией, подлежащей предоставлению субъекту персональных данных (часть 7 статьи 14).

Таким образом, позиция, согласно которой Закон о персональных данных не различает операторов и обработчиков, ошибочна. Она вступает в конфликт с европейскими корнями российского законодательства о персональных данных, создает внутри него противоречия, дезориентирует участников соответствующих отношений и возлагает на обработчиков обязанности, не соответствующие их фактической роли в обработке данных.

В настоящем блоге отражена исключительно личная позиция автора как частного лица.

Все, кто сталкивался с обработкой персональных данных (ПД) знаком с понятием Оператор. И в целом законодательство, а именно ФЗ "О персональных данных" от 27.07.2006 N 152-ФЗ, дает достаточно емкое понятие термина Оператор.

Встает вопрос, кем является организация, получившая данные от Оператора, по отношению к субъекту ПД: тоже Оператор или же просто “Обработчик”, правовой статус которого в N 152-ФЗ не определен?

Пункты 3-5 ст. 6 N 152-ФЗ предусматривают возможность Операторов поручать обработку ПД третьим лицам. Эти третьи лица как раз и являются “Обработчиками”.

Права и обязанности Обработчика сформулированы достаточно кратко: лицо обязано соблюдать принципы и правила обработки персональных данных выполнять требования Оператора.

Также, закон закрепляет, что

“Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных”.

Это ограничивает ответственность Обработчика:

“В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором”.

Европейский GDPR четко выделяет два субъекта обработки ПД: Контроллер и Процессор, аналог российского Оператора и “Обработчика”. GDPR фиксирует правовой статус, права, обязанности и ответственность обоих субъектов обработки ПД.

В России же, изучая административную практику Роскомнадзора и Судебную практику, бросается в глаза, что третьих лиц, занимающихся обработкой, еще ни разу не назвали “Оператором”, но и как-то иначе, чем “третьи лица” они также не именуются.

Бывают ситуации, когда юридическое лицо поручает другому лицу собирать персональные данные и оказывать определенные услуги с использованием таких данных. При этом такое юридическое лицо считает, что оно не является Оператором, а факт того, что оно определяет цели обработки ПД, состав ПД, подлежащих обработке и действия (операции), совершаемые с ПД, его не сильно волнует. И при этом лицо, которому поручили собрать ПД и оказать с ними определенные услуги, также не является Оператором.

Встает вопрос о разграничении ответственности субъектов, обрабатывающих ПД. Также, нередко дискутируется необходимость уведомления РКН и включения в реестр третьих лиц, если они все такие не являются “Операторами”, но обрабатывают ПД по поручению.

Если у организации есть своя база ПД, собранная ей на своем сайте, и база ПД, полученная ей по договору с целью оказания услуг, неужели по отношению к обеим базам ПД она будет выступать Оператором?

Это далеко не единственная неопределенность ФЗ "О персональных данных" от 27.07.2006 N 152-ФЗ, ответ на которую не может дать РКН.

Читайте также: