Определение статуса оператора и уполномоченного лица при обработке персональных данных

01.12.2022

Определение статуса оператора и уполномоченного лица при обработке персональных данных играет важную роль для разграничения ответственности между ними, понимания, в каких объемах и на каком основании могут обрабатываться персональные данные, кто получает согласие у субъекта персональных данных в случае такой необходимости. Этот вопрос наиболее актуален при передаче части функций компании, связанных с обработкой персональных данных, на аутсорсинг (ведение бухгалтерского учета, транспортные услуги, IT-поддержка и т.п.).

29 ноября 2022 года были опубликованы Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных (Рекомендации), в которых Национальным центром защиты персональных данных определены особенности разграничения статуса оператора и уполномоченного лица.

Юристы REVERA law group Юлия Бурмистрова и Алёна Поторская подготовили обзор Рекомендаций.

Оператор и сооператоры

Оператор

Оператором может быть государственный орган, юридическое лицо Республики Беларусь (независимо от наличия либо отсутствия коммерческой выгоды от обработки персональных данных и объема обработки), иная организация, физическое лицо, в т.ч. ИП.

Оператор в отношении персональных данных может действовать тремя разными способами: 

• только организовывать обработку персональных данных

Оператор определяет основные параметры обработки персональных данных: цели и сроки обработки, объем обрабатываемых персональных данных, круг лиц, которым предоставляются персональные данные. А все действия по обработке персональных данных осуществляет уполномоченное лицо;

• только осуществлять обработку персональных данных

Оператор не определяет порядок обработки персональных данных, а только осуществляет их обработку. Зачастую цели и порядок такой обработки определяются законодательством;

• организовывать и осуществлять обработку персональных данных

Оператор непосредственно определяет параметры обработки персональных данных и в соответствии с заданными параметрами обрабатывает персональные данные (собирает, систематизирует, хранит, изменяет, использует и т.д.).
Основной особенностью оператора в общем виде является то, что это лицо ответственное за обработку персональных данных, даже если обработка персональных данных поручена им уполномоченному лицу. Уполномоченное лицо в свою очередь несет ответственность перед оператором.

Важно: оператор несет ответственность за случаи «утечки» персональных данных, допущенные уполномоченным лицом на территории иностранного государства.

Сооператоры

Рекомендациями закреплено новое понятие «сооператоры», которое ранее не было отражено в Законе Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон).

Сооператоры – это операторы (юридические и (или) физические лица), которые совместно организуют и (или) осуществляют обработку персональных данных. Пример сооператорства – ведение (использование) общей базы данных несколькими операторами (участие в программе лояльности всех субъектов торговли, входящих в одну группу лиц. При участии в программе лояльности такие субъекты торговли являются сооператорами).

При сооператорстве важно обратить внимание на следующие важные особенности: 

• каждый из операторов самостоятельно несет полную ответственность за несоблюдение требований законодательства,
• при обработке персональных данных на основании согласия такое согласие должно быть получено от субъекта персональных данных каждым из операторов. Согласие может получить один из сооператоров в отношении всех сооператоров для конкретной цели. Отказ субъекта персональных данных в обработке его персональных данных для конкретной цели одному из сооператоров означает также отказ в такой обработке всем остальным сооператорам, 
• распределение функций между сооператорами, например, путём заключения между ними соглашения (договора). В таком документе могут быть закреплены  цели обработки, порядок распределения ответственности, рассмотрения заявлений субъектов, иное.
• документ, определяющий политику каждого оператора в отношении обработки персональных данных в целях соблюдения принципа прозрачности обработки дополняется информацией о совместной обработке персональных данных.

Уполномоченное лицо

Оператор может привлекать (в т.ч. на основании договора) уполномоченное лицо для осуществления обработки персональных данных от имени оператора или в его интересах. Уполномоченным лицом может быть государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо.

В Рекомендациях разъяснены особенности статуса уполномоченного лица при обработке персональных данных. 

Так уполномоченное лицо:

• обрабатывает персональных данные на том же юридическом основании, что и оператор, т.е. для уполномоченного лица не нужны отдельные от оператора правовые основания для обработки;
• выступает отдельным от оператора юридическим или физическим лицом:
  работники организации не рассматриваются в качестве самостоятельных операторов или уполномоченных лиц, выполняя свои трудовые функции, они являются «частью» оператора или уполномоченного лица,
  
  физические лица, выполняющие работу на основании гражданско-правового договора, могут быть как «частью» оператора, так и самостоятельными операторами, их статус при обработке персональных данных определяться в каждом конкретном случае;
• ограничено поручениями оператора в действиях, которые оно может осуществлять с персональными данными;
• не определяет ключевые параметры обработки персональных данных. Но для выполнения поручений оператора уполномоченное лицо может принимать свои собственные оперативные решения, использовать свои знания и навыки, чтобы решить, как выполнять определенные действия в интересах оператора;
• после окончания обработки должно прекратить обработку соответствующих персональных данных (передать такие данные оператору, либо удалить (блокировать));
• может привлекать к обработке персональных данных иных лиц – субуполномоченных лиц для выполнения поручений оператора. Привлечь таких лиц возможно только, если это предусмотрено в договоре (положениях договора) между оператором и уполномоченным лицом;
• как и оператор обязано исполнять требования пунктов 3, 4 ст.17 Закона по принятию правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Фиксация отношений между оператором и уполномоченным лицом

Правовой основой отношений между оператором и уполномоченным лицом в том числе может выступать самостоятельный договор или положения в уже заключенном договоре.

Важно: договор (положения в договоре) должен заключаться в том числе с уполномоченным лицом, расположенным на территории иностранного государства, независимо от того, является ли иностранное государство с ненадлежащим или надлежащим уровнем защиты прав субъектов персональных данных.

Отсутствие такого договора (положений в договоре) является нарушением Закона, но не изменяет статус лиц, осуществляющих обработку персональных данных.

Договор должен содержать следующие положения:

• цели обработки персональных данных. Цели обработки персональных данных уполномоченным лицом должны соответствовать целям, заявленным в документе, определяющем политику оператора в отношении такой обработки, не должны быть абстрактными или общими;
• перечень конкретных действий, которые будут совершаться с персональными данными уполномоченным лицом (например, условия, при которых возможно распространение или предоставление персональных данных (если предполагается их распространение или предоставление));
• обязанности по соблюдению конфиденциальности обрабатываемых персональных данных;
• меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона.

Таже в приложении к Рекомендациям приведен полный перечень стандартных положений для включения в текст договора между оператором и уполномоченным лицом.

Подробнее ознакомиться с полным текстом Рекомендаций о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных можно по ссылке.

 

---

Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/iiiihaaaa