Национальным центром защиты персональных данных Республики Беларусь (далее — НЦЗПД) подготовлены новые рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных от 28.11.2022 (далее — Рекомендации).
Указанный документ детально описывает правила разграничения статусов оператора и уполномоченного лица в процессе обработки ими персональных данных (далее — ПД), что требуется для определения обязанностей и ответственности данных субъектов.
Особую значимость Рекомендации имеют для ситуаций, в которых не совсем очевидно, какой статус имеют бизнес-партнеры, обрабатывающие одни и те же ПД.
При этом необходимо учитывать, что статус оператора и уполномоченного лица определяется исходя из существа процессов по обработке ПД и не зависит от того, как формально бизнес-партнеры поименовали себя в документации.
Ниже будут обозначены ключевые выводы, изложенные в Рекомендациях.
1. Оператор
Оператором является субъект, который одновременно соответствует ряду признаков:
1.1. Организация (в т.ч. ЮЛ) или ФЛ (только в связи с профессиональной или предпринимательской деятельностью).
Если ФЛ использует ПД для «личных» целей (например, фото в социальных сетях) — Закон о защите ПД не применяется.
Отметим, что под понятие профессиональной или предпринимательской деятельности подпадают не только ИП, но лица, которые такого статуса не имеют, но занимаются деятельностью, направленной на получение прибыли (ремесленники и др.).
1.2. Организует и (или) осуществляет обработку ПД.
Под организацией обработки ПД понимается установление ключевых параметров обработки ПД (цели и сроки, объем обрабатываемых данных, круг лиц, которым предоставляются ПД).
Под осуществлением обработки ПД понимаются непосредственно все действия по обработке ПД (в частности, сбор, хранение, использование и др).
Пример: компания ведет базу данных клиентов и делает по ней рекламные рассылки. В этом случае компания и организует, и сама осуществляет обработку ПД. При этом, если данные хранятся на арендованном у хостинг-провайдера сервере, хостинг-провайдер является по отношению к компании уполномоченным лицом, т.к. осуществляет обработку указанных ПД в виде хранения.
Выходит, компания осуществляет организацию и обработку ПД, а хостинг-провайдер — только обработку.
2. Уполномоченное лицо
Уполномоченным лицом является субъект, который одновременно соответствует ряду признаков:
2.1. Организация (в т.ч. ЮЛ) или ФЛ (только в связи с профессиональной или предпринимательской деятельностью). Правила здесь такие, как для оператора.
Взаимосвязь с оператором (учредительство, аффилированность и др.) не влияет на статус уполномоченного лица.
Важно отметить, что работники, хоть и являются ФЛ, не рассматриваются как отдельные уполномоченные лица, поскольку действуют от имени своего нанимателя и являются по смыслу Закона о защите ПД «частью» оператора.
Если же с ФЛ заключен не трудовой, а гражданско-правовой договор (услуги, подряд и др.) — он может быть уполномоченным лицам, а может рассматриваться «частью» оператора (если такое ФЛ осуществляет обработку ПД под контролем оператора и с использованием принадлежащих оператору информационных ресурсов).
2.2. Осуществляет обработку ПД от имени оператора или в его интересах.
Уполномоченное лицо может только осуществлять обработку ПД, но не устанавливать ключевые параметров их обработки ПД.
Какие персональные данные обрабатывать, в какой объеме, в какие сроки и др. ключевые вопросы определяет оператор и доносит уполномоченному лицу, который должен придерживаться таких «инструкций».
При этом текущие оперативные решения уполномоченное лицо может принимать самостоятельно (например, как организовать хранение данных с технической точки зрения), и от этого оператором оно не становится.
Пример: компания (оператор) хранит ПД клиентов на арендованном у хостинг-провайдера (уполномоченное лицо) сервере. Хостинг-провайдер в качестве уполномоченного лица может самостоятельно принять решение относительно технических тонкостей обеспечения безопасности хранимых на сервере ПД клиентов компании исходя из собственного опыта, но принять ключевые решения о том, какие данные и сколько их хранить он не может.
Фактически, НЦЗПД отмечает, что передача части функций по обработке ПД на аутсорс (ведение бухгалтерского учета, системное администрирование локальной сети, транспортные услуги, IT-поддержка и т.п.) — типичный пример взаимодействия оператора и уполномоченного лица.
В то же время необходимо учитывать, что на практике возможна и схема взаимодействия «оператор-оператор» (без уполномоченного лица).
Пример: при заключении договора между двумя компаниями они обмениваются персональными данными представителей данных компаний. При этом каждая компания обрабатывает указанные данные для собственных целей, следовательно, они обе является операторами, а не уполномоченными лицами.
Кроме того, Рекомендации определяют, что не запрещается использование в деятельности по обработки ПД привлечение «субуполномоченных» лиц (когда уполномоченное лицо привлекает еще одно) и работу в качестве «сооператоров» (например, работа нескольких компаний в рамках одной программы лояльности). В последнем случае особое значение приобретает принцип прозрачности обработки ПД (п. 6 ст. 4 Закона) — необходима детальная документация по такому бизнес-процессу.
3. Правовая основа отношений между оператором и уполномоченным лицом
Для частного бизнеса в качестве правовой основы отношений между оператором и уполномоченным лицом выступает договор.
Договор может быть составлен как в виде отдельного документа, так и в виде положений в рамках основного договора, по которому передаются ПД.
В обоих случаях необходимо указание определенного «минимума» информации согласно п. 1 ст. 7 Закона о защите ПД (цели обработки ПД, перечень действий и с ними и др.).
Стоит отметить, что такой договор должен заключаться в том числе с уполномоченным лицом, расположенным на территории иностранного государства, независимо от того, является ли иностранное государство с ненадлежащим или надлежащим уровнем защиты прав субъектов персональных данных.
Это значит, что если белорусская компания передает ПД иностранному контрагенту, между ними должен быть заключен подобный договор.
В Рекомендация также содержатся условия, которые, по мнению НЦЗПД, целесообразно было бы указать в договоре между оператором и уполномоченным лицом. Подробные стандартные положения можно изучить в приложении к Рекомендациям.
4. Обязанности и ответственность
Рекомендации разъясняют, что оператору не запрещается поручить исполнение возложенных на него обязанностей (в т.ч. ст. 16 Закона о защите ПД и др.) на уполномоченное лицо, однако оператор в любом случае несет ответственность перед субъектом ПД как за свои действия, так и за действия уполномоченного лица.
В то же время необходимо учитывать, что как оператор, так и уполномоченное лицо могут нести предусмотренную законодательными актами ответственность, в частности ст. 23.7 Кодекса Республики Беларусь об административных правонарушениях.
При возникновении дополнительных вопросов или необходимости консультации в области IP и защита данных, пожалуйста, обращайтесь.
Автор: Матвей Городник