Оператор и уполномоченный по обработке персональных данных: определяем обязанности и ответственность

Главное в статье:

• Национальный центр защиты персональных данных Республики Беларусь (далее – НЦЗПД) установил признаки и критерии определения статуса оператора и уполномоченного лица в связи с обработкой персональных данных.

Кто является оператором по обработке персональных данных

Организация, занимающаяся обработкой персональных данных, является оператором. К операторам относятся не только государственные организации, но и любое иное юридическое лицо, а также индивидуальный предприниматель или физическое лицо, если последние самостоятельно или совместно с иными лицами организуют и (или) осуществляют обработку персональных данных (абзац восьмой ст. 1 Закона № 99-З).

Справочно:

Рекомендации НЦЗПД о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных (далее – Рекомендации) размещены по адресу: https://etalonline.by/docum­ent/­?regnum=u02202440&q_id=6354165.

В Рекомендациях выделены следующие признаки оператора:

1) статус;

2) осуществление обработки персональных данных.

Статус определяется организационно-правовой формой субъекта. Это:

‒ юридическое лицо (государственная или негосударственная организация, в т.ч. государственный орган);

‒ физическое лицо (как имеющее, так и не имеющее статуса индивидуального предпринимателя).

Организация может являться оператором независимо от наличия либо отсутствия коммерческой выгоды от обработки персональных данных, а также от объема обрабатываемых персональных данных.

Пример 1 / услуги

Организация имеет в штате 6 сотрудников и занимается техническим дизайном компьютерных игр. Несмотря на то что данная организация не имеет клиентов ‒ физических лиц и не работает непосредственно с их данными, она все равно имеет штатных сотрудников, данные которых собираются и хранятся этой организацией. Таким образом, она является оператором по работе с персональными данными.

Физическое лицо признается оператором в случаях, когда такое лицо осуществляет обработку персональных данных в связи со своей деятельностью в качестве:

‒ индивидуального предпринимателя;

‒ лица, осуществляющего деятельность, направленную на получение прибыли, но не имеющего статуса индивидуального предпринимателя (ремесленник, лицо, осуществляющее деятельность по оказанию услуг в сфере агроэкотуризма или иные виды деятельности, не являющиеся предпринимательской в соответствии с частью четвертой п. 1 ст. 1 ГК). В частности, это репетиторство, фотосъемка, изготовление фотографий; видеосъемка событий, аренда, прокат развлекательного и спортивного оборудования и т.п.

Обратите внимание!

Физические лица, осуществляющие обработку персональных данных в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью, не являются операторами, поскольку в соответствии с абзацем вторым п. 2 ст. 2 Закона № 99-З на такие отношения его действие не распространяется.

Пример 2 / услуги

Профессиональный фотограф оказывает услуги по проведению семейной фотосессии. Несмотря на то что лица, заказавшие такую услугу, будут использовать фотографии исключительно для личных целей, для фотографа такая деятельность является профессиональной. Следовательно, фотограф в данном случае будет являться оператором и иметь обязанности в соответствии с Законом № 99-З.

Пример 3

Физическое лицо ведет свою страницу в социальной сети, не монетизирует ее и размещает на ней фото- и видеоизображения, отражающие происходящие в его личной жизни события. Такая деятельность не является профессиональной или предпринимательской деятельностью, соответственно такое лицо не несет обязанности оператора.

Вторым признаком оператора является деятельность по организации обработки и (или) непосредственно обработка им персональных данных.

Субъект может только организовывать обработку персональных данных, но не заниматься ею непосредственно, например, определять ключевые параметры обработки персональных данных (цели и сроки, объем обрабатываемых данных, круг лиц, которым предоставляются персональные данные), а саму обработку поручать уполномоченному лицу. Такая деятельность относится к деятельности оператора.

Пример 4 / промышленность

Организация, занимающаяся производством бытовой техники, организует маркетинговое исследование облика и характеристик потребителя определенной кухонной техники. Само исследование она заказывает у специализированной организации, но результаты исследования и все данные по договору будут переданы ей для использования в коммерческой деятельности. Такая организация-производитель считается оператором.

Обратите внимание!

В Законе об информации используется термин «оператор информационной системы», под которым понимается субъект информационных отношений, осуществляющий эксплуатацию информационной системы и (или) оказывающий посредством нее информационные услуги. В связи с этим недопустим механический перенос терминологии Закона об информации на сферу обработки персональных данных, поскольку в большинстве случаев оператор информационной системы не будет являться оператором по смыслу законодательства о персональных данных. Такие лица, как правило, выступают в качестве уполномоченных лиц.

Оператором является и такой субъект, который осуществляет только обработку персональных данных. Как правило, в качестве таких операторов выступают государственные органы и иные организации, которые осуществляют обработку персональных данных для реализации возложенных на них государственно-властных полно­мочий или иных публичных функций, а цели и порядок такой обработки определяются законодательством. При этом для признания организации оператором в понимании законодательства о персональных данных не требуется, чтобы в нормативном правовом акте это было прямо предусмотрено.

Пример 5

Исполкомы первичного уровня являются операторами, осуществляющими обработку данных, при ведении учета личных подсобных хозяйств граждан в пределах своей компетенции, а объем обрабатываемых персональных данных, цели и порядок такой обработки определяются законодательством.

Но в большинстве случаев оператором по работе с персональными данными является субъект, который и организует, и осуществляет обработку персональных данных. Это означает, что оператор не только организует обработку персональных данных (т.е. определяет ее ключевые параметры), но и непосредственно осуществляет с персональными данными необходимые операции (например, сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление и т.п.).

Пример 6 / медицина

Медицинская организация ведет учет обслуживаемых физических лиц, формирует, хранит и использует их медицинские карты и иные данные, результаты лабораторных исследований, обследований и т.д. Такая организация является оператором по работе с персональными данными.

Кто является уполномоченным лицом

Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абзац 16 ст. 1 Закона № 99-З).

Признаками уполномоченного лица, как и оператора, являются статус и характер осуществляемой с персональными данными деятельности.

Уполномоченное лицо должно быть отдельным юридическим или физическим лицом по отношению к оператору. При этом на возможность признания организации уполномоченным лицом не влияет ее взаимосвязь с оператором (аффилированное лицо, зависимое хозяйственное общество, дочернее хозяйственное общество, статус учредителя и др.).

Обратите внимание!

Работники не рассматриваются в качестве самостоятельных операторов или уполно­моченных лиц! Оператором в данном случае выступает наниматель, у которого работник работает по трудовому договору, а работник, выполняя свою трудовую функцию, действует от имени оператора и является его «частью».

Пример 7 / образование

Секретарь директора учреждения образования выдает справки, содержащие персональные данные учащихся. В этом случае работник занимается обработкой персональных данных, но он не является уполномоченным лицом. Оператором персональных данных является организация, в которой он работает.

Уполномоченное лицо осуществляет обработку персональных данных от имени оператора или в его интересах.

В отличие от оператора, уполномоченное лицо не определяет ключевые параметры обработки персональных данных (цели и сроки обработки, объем обрабатываемых данных, круг лиц, которым предоставляются персональные данные), а действует от имени или в интересах оператора в соответствии с его поручениями, как правило, за вознаграждение.

Пример 8 / торговля

Магазин предоставляет свое помещение для проведения акции по дегустации товаров молочного завода. В процессе дегустации участники заполняют небольшую анкету, где указывают свои ФИО и контактные данные. По договору с магазином молочный завод предоставит ему часть данных, полученных в ходе дегустации. В этой ситуации молочный завод является уполномоченным лицом, осуществляющим обработку персональных данных в интересах оператора.

Важной особенностью взаимоотношений между оператором и уполномоченным лицом является то, что после окончания обработки уполномоченное лицо должно прекратить обработку соответствующих персональных данных (такие данные передаются оператору либо удаляются (блокируются)).

Правовая основа отношений между оператором и уполномоченным лицом

Взаимоотношения оператора и уполномоченного лица основываются:

‒ на акте законодательства;

‒ решении государственного органа, являющегося оператором;

‒ договоре между оператором и уполномоченным лицом.

В Рекомендациях указываются условия, которые целесообразно предусмотреть в договоре:

‒ о привлечении уполномоченным лицом иных лиц для обработки персональных данных (например, недопустимость привлечения к обработке персональных данных субуполномоченных лиц с территории государств с ненадлежащим уровнем защиты прав субъектов персональных данных);

‒ механизме участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных;

‒ обязанности уполномоченного лица прекратить по окончании договора обработку соответствующих персональных данных и передать такие данные оператору либо удалить (блокировать) их.

В договор также рекомендуется включать иные стандартные положения согласно приложению к Рекомендациям.

Ответственность

Операторы и уполномоченные лица несут ответственность за непринятие правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Административная ответственность установлена ст. 23.7 КоАП.

Если субъекту персональных данных причинен вред, в т.ч. моральный, действиями оператора или уполномоченного лица, то он может обратиться с иском к оператору, который, в свою очередь, может требовать привлечения уполномоченного лица к ответственности за нарушение условий договора (ст. 7 Закона № 99-З).

Оператор также несет ответственность за случаи «утечки» персональных данных, допущенные уполномоченным лицом на территории иностранного государства.

В связи с этим операторам следует тщательно подходить к выбору уполномоченных лиц и привлекать к обработке персональных данных только тех из них, которые предоставляют достаточные гарантии принятия ими соответствующих правовых, организационных и технических мер для обеспечения обработки персональных данных в соответствии с требованиями Закона № 99-З.

Документы:

Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).

Гражданский кодекс Республики Беларусь (ГК).

Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (Закон об информации).

Кодекс Республики Бела­русь об административных правонарушениях (КоАП).