В чём разница между оператором ПДн и обработчиком ПДн?


(Алексей Комаров) #1

Мнение Ксении Шудровой:

Обратимся к определению:

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Таким образом, оператор:

  • осуществляет обработку;
  • может организовать обработку;
  • определяет цели обработки;
  • определяет состав персональных данных;
  • определяет действия над персональными данными.

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

То есть у лица, которое обрабатывает персональные данные по поручению, должно быть такое поручение, в котором оператор уже указал перечень действий и цели обработки. Если такое поручение есть, то все отлично. Сомнений нет - вы лицо, обрабатывающее персональные данные по поручению. А если его нет? Может быть оператор оказался недобросовестным и передал данные, не оформив все должным образом. В таком случае ошибку нужно исправить и поручение оформить. Но здесь важно понимать - получение данных не от субъекта напрямую не делает вас автоматически лицом, обрабатывающим персональные данные!

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию…

Есть простая истина, которую многие забывают - базы персональных данных могут дублироваться у разных операторов. Из того, что у двух юрлиц одинаковые базы ПДн не следует, что одно юрлицо оператор, а второе обрабатывает по поручению.

На мой взгляд, вы оператор, если не сможете доказать обратное - предоставить поручение на обработку.