Обработчик персональных данных
Обработчик персональных данных — это юридическое или физическое лицо, которое осуществляет обработку персональных данных по поручению оператора персональных данных. Обработчик действует от имени и в интересах оператора, выполняя конкретные действия с данными (сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение) на основании договора или иного соглашения. В отличие от оператора, обработчик не определяет цели и правовые основания обработки, а лишь реализует технические и организационные функции, заданные оператором. Понятие «обработчик персональных данных» закреплено в Федеральном законе «О персональных данных» (№ 152-ФЗ) и является ключевым элементом правового регулирования защиты данных в Российской Федерации.
Правовой статус
Определение в законодательстве
Согласно статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обработчик персональных данных — это лицо, которое осуществляет обработку персональных данных по поручению оператора. Оператором, в свою очередь, признаётся государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав данных и действия с ними. Таким образом, обработчик является подчинённым звеном, действующим в рамках полномочий, переданных оператором.
Обязанности обработчика
Обработчик обязан соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с требованиями законодательства. В частности, обработчик должен:
- принимать меры, необходимые для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения;
- уведомлять оператора о случаях нарушения защиты данных;
- не передавать данные третьим лицам без согласия оператора, если иное не предусмотрено договором;
- по требованию оператора предоставлять информацию о ходе обработки и принятых мерах защиты.
Ответственность
Обработчик несёт ответственность за нарушение законодательства о персональных данных, если такое нарушение произошло по его вине. В случае утечки данных или неправомерной обработки обработчик может быть привлечён к административной, гражданско-правовой или уголовной ответственности в соответствии с Кодексом Российской Федерации об административных правонарушениях (КоАП РФ) и Уголовным кодексом РФ. Размер штрафов для юридических лиц за нарушение правил обработки персональных данных может достигать нескольких миллионов рублей.
Отличие от оператора
Основное различие между оператором и обработчиком заключается в степени контроля над обработкой данных. Оператор определяет цели, правовые основания, состав данных и перечень действий, которые необходимо выполнить. Обработчик же выполняет эти действия по поручению, не имея права самостоятельно изменять цели или объём обработки. Например, если компания (оператор) нанимает IT-аутсорсера (обработчика) для хранения и резервного копирования баз данных клиентов, то аутсорсер действует исключительно в рамках договора и не может использовать эти данные для собственных нужд.
Поручение на обработку
Содержание поручения
Передача функций обработки от оператора к обработчику оформляется поручением, которое должно быть составлено в письменной форме. В поручении обязательно указываются:
- перечень действий (операций) с персональными данными, которые будет выполнять обработчик;
- цели обработки;
- состав данных, подлежащих обработке;
- сроки обработки;
- требования к обеспечению конфиденциальности и безопасности;
- порядок уведомления оператора о нарушениях;
- условия прекращения обработки и уничтожения данных.
Требования к договору
Если обработчик является юридическим лицом, поручение может быть оформлено как отдельный договор или как часть общего договора (например, договора оказания услуг). В любом случае, оператор обязан убедиться, что обработчик имеет необходимые технические и организационные возможности для выполнения требований закона. В частности, обработчик должен быть внесён в реестр операторов персональных данных Роскомнадзора, если это предусмотрено законом.
Примеры обработчиков
Обработчиками персональных данных могут выступать:
- IT-компании, предоставляющие услуги облачного хранения, хостинга или резервного копирования. Например, сервисы Яндекс.Облако или Mail.ru Cloud Solutions (при условии заключения договора с оператором).
- Колл-центры, которые обрабатывают данные клиентов по поручению банков, страховых компаний или интернет-магазинов.
- Аутсорсинговые бухгалтерские фирмы, обрабатывающие персональные данные сотрудников заказчика.
- Платёжные системы, осуществляющие обработку данных для проведения транзакций.
- Медицинские лаборатории, выполняющие анализы по направлению клиник и обрабатывающие данные пациентов.
Особенности регулирования в России
Закон № 152-ФЗ
В Российской Федерации правовой статус обработчика детально регламентируется Федеральным законом «О персональных данных». Закон устанавливает, что оператор обязан включать в договор с обработчиком обязательство о соблюдении конфиденциальности и безопасности данных. Кроме того, оператор должен контролировать действия обработчика, в том числе путём проведения проверок.
Требования Роскомнадзора
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) осуществляет надзор за соблюдением законодательства о персональных данных. Обработчики, как и операторы, обязаны уведомлять Роскомнадзор о начале обработки данных, если иное не предусмотрено законом. В случае выявления нарушений Роскомнадзор может вынести предписание об устранении нарушений, наложить штраф или приостановить обработку данных.
Локализация данных
Согласно требованиям о локализации персональных данных (статья 18.1 закона № 152-ФЗ), оператор и обработчик обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории РФ. Это означает, что обработчик, действующий по поручению оператора, не может хранить данные российских граждан исключительно за пределами страны без соответствующих технических решений.
Международный контекст
GDPR
В Европейском союзе понятие обработчика (data processor) закреплено в Общем регламенте по защите данных (GDPR). В соответствии с GDPR, обработчик — это физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролёра (аналога оператора). Требования к обработчику в GDPR во многом схожи с российскими: обязательство заключать письменный договор, соблюдать конфиденциальность, уведомлять о нарушениях. Однако GDPR предъявляет более строгие требования к согласию субъекта данных и к уведомлению о нарушениях (72 часа).
Сравнение с российским законодательством
Основное различие между российским и европейским подходами заключается в степени детализации требований. В России акцент сделан на обязательном уведомлении Роскомнадзора и локализации данных, тогда как GDPR больше внимания уделяет правам субъектов данных (право на забвение, право на переносимость данных) и механизмам согласия. Кроме того, в GDPR предусмотрены более высокие штрафы — до 4% от годового оборота компании.
Практические рекомендации
Для операторов, передающих обработку данных третьим лицам, рекомендуется:
- тщательно проверять репутацию и технические возможности потенциального обработчика;
- заключать письменный договор с чётким перечнем действий и требований;
- регулярно проводить аудит соблюдения обработчиком условий поручения;
- обеспечивать возможность расторжения договора и возврата данных в случае нарушения.
Для обработчиков важно:
- соблюдать все требования законодательства, включая локализацию данных;
- вести учёт действий с персональными данными;
- своевременно уведомлять оператора о любых инцидентах;
- не выходить за рамки поручения, даже если это кажется технически удобным.
Источники
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (статья 3, статья 18.1).
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), статья 13.11.
- Регламент Европейского союза 2016/679 (GDPR), статьи 28–29.
- Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по вопросам обработки персональных данных.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →