Открыть сервис

Обработчик данных

Обработчик данных — это физическое или юридическое лицо, орган государственной власти, муниципальный орган, иное юридическое или физическое лицо, которое осуществляет обработку персональных данных по поручению оператора. В отличие от оператора, который самостоятельно определяет цели и состав обрабатываемых данных, обработчик действует строго в рамках поручения, полученного от оператора, и не вправе использовать данные для собственных целей. Понятие является ключевым в законодательстве о защите персональных данных, в том числе в Федеральном законе «О персональных данных» (№ 152-ФЗ) и в Общем регламенте по защите данных (GDPR) Европейского союза.

Правовой статус и определение

В российском законодательстве понятие «обработчик данных» введено Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Согласно статье 3 этого закона, обработчик — это лицо, осуществляющее обработку персональных данных по поручению оператора. Оператором же признаётся государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В европейском праве (GDPR) аналогичные понятия — «контролёр» (controller) и «обработчик» (processor). Контролёр определяет цели и средства обработки, а обработчик действует от имени контролёра. Разграничение прав и обязанностей между ними является одним из центральных принципов GDPR.

Ключевое отличие обработчика от оператора заключается в отсутствии у первого самостоятельной воли в отношении целей и средств обработки. Обработчик не может решать, какие данные собирать, как долго их хранить, кому передавать и для каких целей использовать. Все эти решения принимает оператор, а обработчик лишь выполняет технические и организационные действия по обработке, строго следуя поручению.

Обязанности обработчика

По российскому законодательству

Обработчик данных, согласно 152-ФЗ, обязан:

  • Соблюдать конфиденциальность персональных данных — не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта или иного законного основания.
  • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
  • Обрабатывать персональные данные только в соответствии с поручением оператора, если иное не предусмотрено федеральным законом.
  • Уведомлять оператора о случаях, когда поручение оператора противоречит законодательству.
  • Обеспечивать возможность ознакомления субъекта персональных данных с его данными по запросу, если это предусмотрено поручением.
  • По требованию оператора или субъекта персональных данных вносить изменения, блокировать или уничтожать обрабатываемые данные, если это предусмотрено законом и поручением.
  • Не передавать персональные данные третьим лицам без согласия оператора, за исключением случаев, предусмотренных федеральным законом.
  • Обеспечивать раздельное хранение персональных данных, обрабатываемых для разных целей, если это предусмотрено поручением.
  • Уничтожать персональные данные по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.

По европейскому законодательству (GDPR)

Обработчик по GDPR обязан:

  • Обрабатывать персональные данные только по документированному поручению контролёра.
  • Обеспечивать конфиденциальность лиц, уполномоченных на обработку.
  • Принимать необходимые технические и организационные меры безопасности.
  • Соблюдать требования к привлечению суб-обработчиков (требуется предварительное согласие контролёра).
  • Оказывать содействие контролёру в выполнении его обязанностей, в частности по ответам на запросы субъектов данных, уведомлению об утечках, проведению оценки воздействия на защиту данных.
  • По выбору контролёра уничтожить или вернуть все персональные данные после завершения оказания услуг.
  • Предоставлять контролёру всю информацию, необходимую для демонстрации соблюдения GDPR.

Ответственность обработчика

В России

Обработчик данных несёт ответственность за нарушение законодательства о персональных данных наравне с оператором. Административная ответственность предусмотрена статьёй 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Штрафы для должностных лиц составляют от 5 000 до 20 000 рублей, для юридических лиц — от 30 000 до 75 000 рублей за отдельные нарушения. За повторные нарушения или нарушения, связанные с обработкой специальных категорий персональных данных, штрафы могут достигать 300 000 рублей для должностных лиц и 500 000 рублей для юридических лиц. Уголовная ответственность (статья 137 Уголовного кодекса РФ) наступает за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.

В Европейском союзе

По GDPR обработчик несёт ответственность за нарушение своих прямых обязательств. Штрафы могут достигать 10 000 000 евро или 2 % от годового мирового оборота компании (в зависимости от того, какая сумма больше). Кроме того, обработчик может быть привлечён к ответственности за ущерб, причинённый субъекту данных в результате нарушения GDPR, если он не соблюдал свои обязанности или действовал вопреки законным указаниям контролёра.

Примеры обработчиков данных

Обработчиками данных могут выступать:

  • Облачные провайдеры (например, Яндекс.Облако, VK Cloud, Amazon Web Services, Microsoft Azure) — предоставляют инфраструктуру для хранения и обработки данных.
  • Центры обработки данных (ЦОД) — обеспечивают физическое размещение серверов и оборудования.
  • Аутсорсинговые бухгалтерские и кадровые компании — обрабатывают персональные данные сотрудников клиентов.
  • Колл-центры — обрабатывают данные клиентов по поручению оператора.
  • Разработчики и поставщики CRM-систем — могут обрабатывать данные в рамках технической поддержки или обслуживания.
  • Организации, осуществляющие доставку товаров — получают персональные данные получателей для выполнения заказа.
  • Медицинские лаборатории — обрабатывают биоматериалы и связанные с ними персональные данные пациентов по поручению медицинских учреждений.

Договорные отношения между оператором и обработчиком

Отношения между оператором и обработчиком оформляются договором поручения (в России) или договором обработки данных (Data Processing Agreement, DPA — в терминах GDPR). В договоре должны быть указаны:

  • Предмет и срок действия поручения.
  • Перечень действий (операций) с персональными данными, которые будет осуществлять обработчик.
  • Цели обработки (определяются оператором).
  • Обязанности обработчика по соблюдению конфиденциальности и обеспечению безопасности.
  • Порядок уведомления оператора об инцидентах.
  • Условия привлечения суб-обработчиков (если допускается).
  • Порядок возврата или уничтожения данных после завершения обработки.
  • Ответственность сторон.

Суб-обработчики

Обработчик вправе привлекать третьих лиц (суб-обработчиков) для выполнения части работ по обработке данных, если это предусмотрено договором с оператором. В этом случае обработчик обязан:

  • Получить предварительное согласие оператора на привлечение конкретного суб-обработчика.
  • Заключить с суб-обработчиком договор, содержащий те же обязательства по защите данных, что и основной договор.
  • Обеспечить контроль за соблюдением суб-обработчиком требований законодательства.
  • Нести ответственность перед оператором за действия суб-обработчика как за свои собственные.

Особенности регулирования в России

В России понятие обработчика данных тесно связано с требованиями к локализации персональных данных. Согласно статье 18 152-ФЗ, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Это означает, что обработчик, действующий по поручению оператора, также должен обеспечивать обработку данных на территории РФ, если иное не предусмотрено законом.

Кроме того, обработчик обязан уведомлять Роскомнадзор о начале обработки персональных данных, если он выступает в качестве оператора для собственных целей. Однако если он действует исключительно как обработчик, такое уведомление подаётся оператором.

Критика и проблемы

Основные проблемы, связанные с институтом обработчика данных:

  • Размывание ответственности. На практике бывает сложно определить, где заканчивается ответственность оператора и начинается ответственность обработчика, особенно в сложных цепочках суб-обработки.
  • Недостаточный контроль. Операторы не всегда эффективно контролируют деятельность обработчиков, особенно при использовании облачных сервисов, где инфраструктура может быть распределена по разным юрисдикциям.
  • Сложность соблюдения требований локализации. Для международных компаний, использующих глобальные облачные платформы, выполнение требования о хранении данных на территории РФ может быть технически сложным и дорогостоящим.
  • Неравенство в договорных отношениях. Крупные обработчики (например, глобальные облачные провайдеры) часто диктуют условия договоров, что может ограничивать возможности оператора по контролю за обработкой данных.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Регламент Европейского парламента и Совета Европейского союза 2016/679 от 27 апреля 2016 г. «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (General Data Protection Regulation, GDPR).
  3. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), статья 13.11.
  4. Уголовный кодекс Российской Федерации, статья 137.
  5. Разъяснения Роскомнадзора по вопросам обработки персональных данных (официальный сайт rkn.gov.ru).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →