На ведущем финансовом портале Беларуси вышел комментарий старшего юриста Матвея Городника о правилах работы с персональными данными для бизнеса. Ниже публикуем данный комментарий.
Для чего были разработаны рекомендации
Для начала приведем пример, в каких случаях в обработке персональных данных (ПД) задействованы несколько бизнес-партнеров. Например, база данных клиентов одной фирмы хранится на серверах другой компании, или же сведения о работниках в рамках бухгалтерской работы передаются подрядчику на аутсорс.
В этой связи важно уметь разграничивать правовые статусы оператора и уполномоченного лица в процессе обработки ПД, что требуется для определения обязанностей и ответственности данных субъектов. Для решения этих вопросов и были разработаны рекомендации.
Особую значимость указанный документ имеет для ситуаций, в которых не совсем очевидно, какой статус имеют бизнес-партнеры, обрабатывающие одни и те же ПД. При этом необходимо учитывать, что то, как формально участники процесса именуют себя в документации, не имеет никакого значения. Статус оператора и уполномоченного лица определяется исходя из существа процессов по обработке ПД.
Операторы персональных данных: кто они
Оператором ПД является субъект, который одновременно соответствует ряду признаков:
1. Является организацией (в том числе юридическим лицом) или физическим лицом (но только в связи с предпринимательской или профессиональной деятельностью, то есть предприниматели, ремесленники).
При этом следует иметь в виду, что если физическое лицо использует ПД для «личных» целей (например, фото в социальных сетях), то закон о защите ПД не применяется.
2. Организует и (или) осуществляет обработку ПД. Под организацией обработки ПД понимается установление ключевых параметров обработки ПД (цели, сроки, объем обрабатываемых ПД и др.). Под осуществлением обработки ПД понимаются непосредственно все действия по обработке ПД (сбор, хранение, использование и др.).
В качестве примера можно привести компанию, которая ведет базу данных клиентов и делает по ней рекламные рассылки. В этом случае компания и организует, и сама осуществляет обработку ПД. При этом, если данные хранятся на арендованном у хостинг-провайдера сервере, хостинг-провайдер является по отношению к компании уполномоченным лицом, т.к. осуществляет обработку указанных ПД в виде хранения. Выходит, компания осуществляет организацию и обработку ПД, а хостинг-провайдер – только обработку.
Кого называют «уполномоченными лицами»
Уполномоченным лицом является субъект, который одновременно соответствует ряду признаков:
1. Является организацией (в том числе юридическим лицом) или физическим лицом (но только в связи с предпринимательской или профессиональной деятельностью, то есть предприниматели, ремесленники).
Работники компании не рассматриваются как отдельные уполномоченные лица, поскольку действуют от имени своего нанимателя и в таком случае являются представителем оператора.
Если же с физическим лицом заключен не трудовой, а гражданско-правовой договор (договор оказания услуги, договор подряда и др.), то он может быть уполномоченным лицом, а может находиться в статусе представителя оператора (если такое физическое лицо осуществляет обработку ПД под контролем оператора и с использованием принадлежащих оператору информационных ресурсов).
2. Осуществляет обработку ПД от имени оператора или в его интересах. Уполномоченное лицо может только осуществлять обработку ПД, но не устанавливать ключевые параметры их обработки.
Какие персональные данные обрабатывать, в каком объеме, в какие сроки и др. – определяет оператор и доносит уполномоченному лицу, которое должно придерживаться обозначенных инструкций. При этом текущие оперативные решения уполномоченное лицо может принимать самостоятельно (например, как организовать хранение данных с технической точки зрения), и от этого оператором оно не становится.
Приведу пример компании (оператора), которая хранит ПД клиентов на арендованном у хостинг-провайдера (уполномоченное лицо) сервере. Хостинг-провайдер в качестве уполномоченного лица может самостоятельно принять решение относительно технических тонкостей обеспечения безопасности хранимых на сервере ПД клиентов компании исходя из собственного опыта, но принять ключевые решения о том, какие данные и сколько их хранить, он не может.
В то же время необходимо учитывать, что на практике возможна и схема взаимодействия «оператор – оператор» (без уполномоченного лица). Например, при заключении договора между двумя компаниями они обмениваются персональными данными представителей данных компаний (например, директоров). При этом каждая компания обрабатывает указанные данные для собственных целей, следовательно, они обе является операторами, а не уполномоченными лицами.
Кроме того, не запрещается привлечение «субуполномоченных» лиц (когда уполномоченное лицо привлекает еще одно) и работа в качестве «сооператоров» (например, работа нескольких компаний в рамках одной программы лояльности).
Какова правовая основа отношений между оператором и уполномоченным лицом
Для частного бизнеса в качестве правовой основы отношений между оператором и уполномоченным лицом выступает договор. Договор может быть составлен как в виде отдельного документа (договор об обработке персональных данных), так и в виде пунктов в рамках основного договора, по которому передаются ПД (например, договор об оказании услуг).
Согласно п.1 ст. 7 Закона о защите персональных данных, в обоих случаях необходимо указывать, с какой целью обрабатываются эти данные, какие действия будут с ними совершать, гарантировать сохранность и конфиденциальность данных.
Отмечу, что такой договор должен заключаться в том числе с уполномоченным лицом, расположенным на территории иностранного государства.
Каковы обязанности и ответственность сторон договора
По закону оператор может поручить обработку данных уполномоченному лицу, но ответственность за сохранность данных гражданина во время действий уполномоченного лица остается на операторе.
В то же время статья 23.7 Кодекса об административных правонарушениях устанавливает, что как оператор, так и уполномоченное лицо могут нести административную ответственность. К примеру, часть 1 данной статьи определяет, что умышленные незаконные сбор, хранение, обработка, предоставление ПД физического лица влекут наказание в виде штрафа до 50 базовых величин.
Например, компания формирует базу данных физических лиц для рассылки им рекламных сообщений по СМС и электронной почте, не имея должного на то правового основания (согласие на рекламную рассылку или др.).
С 1 января 2023 года базовая величина составляет 37 белорусских рублей. Следовательно, за нарушение законодательства о ПД могут оштрафовать на сумму до 1 850 белорусских рублей.
Источник: Myfin.by