Дата публикации:
30.10.2024
Законодательство
Обратимся к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных».
Федеральный закон выделяет следующие стороны по обработке ПД:
- Субъекта персональных данных - только физическое лицо, в отношении которого осуществляется обработка ПД.
- Оператора - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД
- Уполномоченное лицо - государственный орган, муниципальный орган, юридическое или физическое лицо, которое обрабатывает ПД субъектов от имени или в интересах оператора, например, на основании договора с ним.
Уточним, что под обработкой ПД понимается - действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
На основании определений рассмотрим различия между оператором персональных данных и уполномоченным лицом с помощью таблицы.
|
Признак |
Оператор |
Уполномоченное лицо |
|
Согласие |
Получает согласие каждого субъекта на обработку ПД |
Не получает согласие каждого субъекта. Основание обработки - двусторонний документ (поручение) |
|
Ответственность |
Несет самостоятельно полную ответственность (административную, гражданско-правовую, уголовную) перед субъектами ПД. |
Не несёт прямой ответственности за нарушение законодательства, если действовало в пределах полномочий и под контролем оператора. Однако отвечает перед Оператором в пределах договорных отношений. |
|
Цель обработки |
Сам определяет цель и способы обработки |
Сам не определяет цель и способы обработки, руководствуется поручением |
|
Обязанности |
На операторе лежит полный комплекс обязанностей по организации обработки ПД. |
Уполномоченное лицо обязано соблюдать требования оператора и законодательства при непосредственной обработке данных. |
Таким образом, различие сторон заключается в том, что оператор это независимый субъект, который несет полную ответственность, а уполномоченное лицо действует по поручению оператора и не обладает таким же правовым статусом.
Исходя из анализа деятельности АКАМ, можно сделать вывод, что в процессе обработки персональных данных компания выступает как в роли оператор, так и в роли уполномоченного лица.
Поясним утверждение.
В случае обработки ПД сотрудников и их семей, пользователей сайта компании, а также представителей и работников клиентов и контрагентов, АКАМ выступает в роли оператора. Это связано с тем, что компания самостоятельно проводит обработку ПД, устанавливает цели этой обработки, определяет перечень обрабатываемых данных и действия, которые будут осуществляться с ними. При этом основание для обработки - согласие субъекта на использование ПД.
При обработке ПД физических лиц по поручению клиентов и контрагентов АКАМ выступает в роли уполномоченного лица, поскольку компания, обрабатывая ПД, не определяет сама цель обработки и действует в исключительно интересах оператора. То есть. замещает оператора в отдельных действиях с ПД. Законное основание для такой обработки - поручение на обработку персональных данных (ч. 3 ст. 6 ФЗ “О персональных данных”), которое заключается между АКАМ и клиентом или контрагентом.
Оформляется поручение, как правило, в виде дополнительного соглашения или приложения к договору, а также в виде отдельного документа (простая письменная форма). Главное, чтобы содержание соответствовало требованиям закона.
Поручение должно содержать:
- перечень ПД;
- перечень действий (операций) с ПД;
- цели обработки;
- обязанность соблюдать конфиденциальность;
- требования, предусмотренные ч. 5 ст.18 и ст. 18.1 ФЗ “О персональных данных”;
- обязанность по запросу оператора предоставлять документы и иную информацию, подтверждающие соблюдение требований закона;
- обязанность обеспечивать безопасность ПД при обработке;
- требования к защите обрабатываемых ПД в соответствии со ст. 19 ФЗ “О персональных данных”.
Независимо от статуса, Компания обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”.
Состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей установлен Статья 18.1. Федерального закона, к ним относятся:
- назначение ответственного за организацию обработки ПД;
- издание документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД;
- применение правовых, организационных и технических мер по обеспечению безопасности ПД;
- осуществление внутреннего контроля и (или) аудита соответствия обработки ПД Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД, который может быть причинен субъектам ПД в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
- ознакомление работников, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите ПД, документами, определяющими политику оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных работников;
Что сделано в АКАМ?
В Компании “АКАМ” разработан следующий основной пакет локальных актов:
- Политика ООО “АКАМ” в отношении обработки персональных данных (Политика конфиденциальности);
- Положение об обработке и защите персональных данных;
- Положение о порядке обработки персональных данных пользователей интернет-магазина, расположенного на доменном имени akam.ru;
- Регламент оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», соотношения указанного возможного вреда и принимаемых ООО “АКАМ” мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;
- Регламент определения уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных ООО “АКАМ”;
- Перечень информационных систем персональных данных (ИСПДн);
- Положение о порядке уничтожения персональных данных;
- Форма дополнительного соглашения на обработку персональных данных.
Выводы
- При обработке ПД IT-Компания может быть как оператором , так и уполномоченным лицом.
- Основание обработки ПД оператором - согласие на обработку физического лица. Основание обработки ПД уполномоченным лицом - поручение на обработку.
- Поручение оформляется дополнительным соглашением или приложением к договору. Главное, чтобы содержание соответствовало требованиям закона.
- Независимо от статуса, Компания обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”.
Источники:
1. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
