Взаимоотношения операторов и уполномоченных лиц при обработке персональных данных
- 1. Статус оператора и уполномоченного лица
- 2. Договор между оператором и уполномоченным лицом
- В частности, в договоре предлагается предусмотреть:
- 3. Уполномоченное лицо – резидент иностранного государства
- 4. Что еще изменилось в Рекомендациях?
- Напишите нашему юристу, чтобы узнать подробности
В октябре 2025 г. Национальный центр защиты персональных данных Республики Беларусь (далее – Центр) опубликовал дополненные рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных (далее – Рекомендации).
Прежде всего, оператор – это субъект (юридическое или физическое лицо, а также государственный орган), который обрабатывает персональные данные от своего имени и для осуществления своей профессиональной или предпринимательской деятельности.
Уполномоченное лицо – субъект, который обрабатывает персональные данные не для целей собственной деятельности, а в интересах оператора или от его имени.
Внесённые в Рекомендации изменения затронули такие аспекты взаимоотношений операторов и уполномоченных лиц при обработке персональных данных, как статус оператора и уполномоченного лица, договор между оператором и уполномоченным лицом, привлечение уполномоченного лица, являющегося резидентом иностранного государства и иные.
Далее рассмотрим основные изменения.
1. Статус оператора и уполномоченного лица
Основные отличия статусов оператора и уполномоченного лица состоят в следующем:
- Оператор самостоятельно решает, какие персональные данные и для каких целей стоит обрабатывать;
- Уполномоченное лицо действует на основании инструкций или поручений оператора.
- Оператор организует и осуществляет обработку (полностью или частично) персональных данных;
- Уполномоченное лицо осуществляет обработку исходя из организованного оператором процесса;
- Оператор непосредственно несет ответственность перед лицом, чьи данные обрабатывает;
- Уполномоченное лицо при нарушениях несет ответственность перед оператором.
| Рассмотрим на примере: ООО «А» заключило с ООО «Б» договор на оказание услуг по ведению бухгалтерского учета. В данном случае, ООО «А» будет выступать оператором, а ООО «Б» – уполномоченным лицом. Так, ООО «Б» получит доступ к отдельным персональным данным работников и контрагентов ООО «А», однако обрабатывать такие данные ООО «Б» сможет только для целей оказания услуг по ведению бухгалтерского учета. Если ООО «Б», предположим, нарушит порядок доступа своих сотрудников к данным ООО «А» и произойдет незначительная утечка, то нести ответственность ООО «Б» будет непосредственно перед ООО «А» за нарушение порядка оказания услуг. ООО «А», в свою очередь, будет привлечено к ответственности за нарушение законодательства о персональных данных, а также будет нести ответственность перед теми лицами, кто пострадал от такой утечки. |
2. Договор между оператором и уполномоченным лицом
Отношения между оператором и уполномоченным лицом оформляются путем заключения договора. Закон Республики Беларусь 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) содержит перечень необходимых условий для таких договоров, однако в разъяснениях Центра приводятся дополнительные рекомендации.
В частности, в договоре предлагается предусмотреть:
- условия о привлечении уполномоченным лицом иных лиц для обработки персональных данных;
- механизм участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных;
- обязанность уполномоченного лица прекратить по окончании договора обработку соответствующих персональных данных.
3. Уполномоченное лицо – резидент иностранного государства
В соответствии с Законом допускается привлечение уполномоченных лиц, являющихся резидентами иностранных государств. В таком случае возникает трансграничная передача данных, поэтому необходимо убедиться, что в иностранном государстве, куда осуществляется передача, обеспечивается надлежащий уровень защиты персональных данных. Перечень таких государств утверждается Центром.
Обращаем внимание, что в соответствии с обновленными Рекомендациями Центра договор между оператором и уполномоченным лицом, являющимся иностранной организацией, заключается независимо от того, обеспечивается ли иностранным государством надлежащий уровень защиты персональных данных. Кроме того, закрепляется, что оператор несёт ответственность за утечки персональных данных, допущенные уполномоченным лицом за пределами Республики Беларусь.
4. Что еще изменилось в Рекомендациях?
- приведена подробная процедура определения статуса лиц, которые обрабатывают персональные данные или потенциально могут их обрабатывать, включая субуполномоченных лиц, работников организаций, исполнителей по гражданско-правовым договорам;
- расширены и уточнены модели отношений:
- оператора и уполномоченных лиц;
- оператора и оператора;
- сделан акцент на необходимости обеспечения оператором защиты прав субъектов данных и ответственности оператора за действия уполномоченного лица.
Авторы: Людмила Епихова, Александра Маглыш.
В условиях обновления регуляторных подходов к обработке персональных данных операторам и уполномоченным лицам целесообразно пересмотреть действующие договорные модели и внутренние процедуры.
Команда юристов REVERA готова оказать правовую поддержку в анализе и приведении таких процессов в соответствие с актуальными разъяснениями регулятора.
Напишите нашему юристу, чтобы узнать подробности
Написать юристу
