Правовой статус и обязанности IT-компании при обработке персональных данных

Мы, “АКАМ” - аккредитованная IT-компания, специализирующаяся на интеграции CRM-систем в 1C. Несмотря на специфику отрасли и рода деятельности, компания также работает с персональными данными физических лиц (далее - ПД). К ним относятся, например: ПД сотрудников, пользователей сайта, ПД, находящиеся в CRM-системах компании, так и системах, разрабатываемых по заказу клиентов или контрагентов. Однако правовой статус IT-компании при обработке ПД не всегда очевиден, что мешает грамотно выстраивать и регламентировать свою деятельность.

Законодательство

Обратимся к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных».

Федеральный закон выделяет следующие стороны по обработке ПД:

Уточним, что под обработкой ПД понимается - действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

На основании определений рассмотрим различия между оператором персональных данных и уполномоченным лицом с помощью таблицы.

Признак	Оператор	Уполномоченное лицо
Согласие	Получает согласие каждого субъекта на обработку ПД	Не получает согласие каждого субъекта. Основание обработки - двусторонний документ (поручение)
Ответственность	Несет самостоятельно полную ответственность (административную, гражданско-правовую, уголовную) перед субъектами ПД.	Не несёт прямой ответственности за нарушение законодательства, если действовало в пределах полномочий и под контролем оператора. Однако отвечает перед Оператором в пределах договорных отношений.
Цель обработки	Сам определяет цель и способы обработки	Сам не определяет цель и способы обработки, руководствуется поручением
Обязанности	На операторе лежит полный комплекс обязанностей по организации обработки ПД.	Уполномоченное лицо обязано соблюдать требования оператора и законодательства при непосредственной обработке данных.

Таким образом, различие сторон заключается в том, что оператор это независимый субъект, который несет полную ответственность, а уполномоченное лицо действует по поручению оператора и не обладает таким же правовым статусом.

Исходя из анализа деятельности АКАМ, можно сделать вывод, что в процессе обработки персональных данных компания выступает как в роли оператор, так и в роли уполномоченного лица.

Поясним утверждение.

В случае обработки ПД сотрудников и их семей, пользователей сайта компании, а также представителей и работников клиентов и контрагентов, АКАМ выступает в роли оператора. Это связано с тем, что компания самостоятельно проводит обработку ПД, устанавливает цели этой обработки, определяет перечень обрабатываемых данных и действия, которые будут осуществляться с ними. При этом основание для обработки - согласие субъекта на использование ПД.

При обработке ПД физических лиц по поручению клиентов и контрагентов АКАМ выступает в роли уполномоченного лица, поскольку компания, обрабатывая ПД, не определяет сама цель обработки и действует в исключительно интересах оператора. То есть. замещает оператора в отдельных действиях с ПД. Законное основание для такой обработки - поручение на обработку персональных данных (ч. 3 ст. 6 ФЗ “О персональных данных”), которое заключается между АКАМ и клиентом или контрагентом.

Оформляется поручение, как правило, в виде дополнительного соглашения или приложения к договору, а также в виде отдельного документа (простая письменная форма). Главное, чтобы содержание соответствовало требованиям закона.

Поручение должно содержать:

Независимо от статуса, Компания обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”.

Состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей установлен Статья 18.1. Федерального закона, к ним относятся:

Этот перечень мер не исчерпывающий, Компания может предпринять дополнительные меры.

Что сделано в АКАМ?

В Компании “АКАМ” разработан следующий основной пакет локальных актов:

1. Политика ООО “АКАМ” в отношении обработки персональных данных (Политика конфиденциальности);
2. Положение об обработке и защите персональных данных;
3. Положение о порядке обработки персональных данных пользователей интернет-магазина, расположенного на доменном имени akam.ru;
4. Регламент оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», соотношения указанного возможного вреда и принимаемых ООО “АКАМ” мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;
5. Регламент определения уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных ООО “АКАМ”;
6. Перечень информационных систем персональных данных (ИСПДн);
7. Положение о порядке уничтожения персональных данных;
8. Форма дополнительного соглашения на обработку персональных данных.

Выводы

Таким образом, в зависимости от статуса, компания имеет разные права в бизнес-процессах, разный доступ к средствам и ресурсам, а также разные возможности для участия в контрактах и соглашениях.

Источники:
1. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».