Закладки

Официальная правовая информация
Информационно-поисковая система ”ЭТАЛОН-ONLINE“, 20.07.2024
Национальный центр законодательства и правовой информации Республики Беларусь

НАЦИОНАЛЬНЫЙ ЦЕНТР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РЕСПУБЛИКИ БЕЛАРУСЬ

28 ноября 2022 г.

Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных

Настоящие Рекомендации подготовлены на основании абзаца восьмого пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) в целях установления единообразных подходов при определении статуса оператора и уполномоченного лица в связи с обработкой персональных данных.

Отнесение лица к оператору или уполномоченному лицу имеет важное практическое значение, поскольку Закон по-разному определяет их правовое положение, характер обязанностей и степень ответственности, требования к наличию правовых оснований для обработки персональных данных субъектов персональных данных.

Так, в отличие от оператора, уполномоченному лицу не требуется наличия отдельных от оператора правовых оснований для обработки персональных данных. Такое лицо обрабатывает персональные данные на том же юридическом основании, что и оператор.

Правильное понимание статуса субъектов, участвующих в обработке персональных данных, также важно в ситуациях, связанных с нарушением законодательства о персональных данных.

Справочно.

Ответственность перед субъектами персональных данных в случае нарушения их прав при обработке персональных данных несет оператор (пункт 3 статьи 7 Закона), в том числе если обработка персональных данных поручена уполномоченному лицу. В свою очередь, уполномоченное лицо несет ответственность перед оператором.

В этой связи принципиально важным является определение статуса лиц, осуществляющих обработку персональных данных, до начала такой обработки. Оно должно осуществляться в каждом конкретном случае с учетом анализа конкретного бизнес-процесса, сопровождающегося обработкой персональных данных, исходя из фактических обстоятельств такой обработки независимо от того, как упомянутые лица названы, например, в договоре.

 

1. Оператор

 

В соответствии с абзацем восьмым статьи 1 Закона оператором является государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.

Исходя из названного определения, оператору присущи следующие признаки:

1.1. статус.

В качестве оператора может выступать как организация, в том числе государственный орган, так и физическое лицо, осуществляющее обработку персональных данных, связанную с профессиональной или предпринимательской деятельностью.

Организация может являться оператором независимо от наличия либо отсутствия коммерческой выгоды от обработки персональных данных, а также от объема обрабатываемых персональных данных.

Физическое лицо признается оператором в случаях, когда такое лицо осуществляет обработку персональных данных в связи со своей деятельностью в качестве:

индивидуального предпринимателя;

лица, осуществляющего деятельность, направленную на получение прибыли, но не имеющего статуса индивидуального предпринимателя (ремесленник, лицо, осуществляющее деятельность по оказанию услуг в сфере агроэкотуризма или иные виды деятельности, не являющиеся предпринимательской в соответствии с частью четвертой пункта 1 статьи 1 Гражданского кодекса Республики Беларусь (например, репетиторство, фотосъемка, изготовление фотографий; видеосъемка событий, аренда, прокат развлекательного и спортивного оборудования и т.п.)).

Физические лица, осуществляющие обработку персональных данных в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью, не являются операторами, поскольку в соответствии с абзацем вторым пункта 2 статьи 2 Закона на такие отношения действие Закона не распространяется.

Примеры.

а) Физическое лицо осуществляет сбор персональных данных своих родственников для составления «генеалогического дерева» в личных целях. Такая деятельность осуществляется для личного использования, не связана с профессиональной или предпринимательской деятельностью, и, соответственно, действие Закона на нее не распространяется. Следовательно, данное физическое лицо, осуществляющее обработку персональных данных для указанной цели, не является оператором.

б) Профессиональный фотограф оказывает услуги по проведению семейной фотосессии. Несмотря на то что лица, заказавшие такую услугу, будут использовать фотографии исключительно для личных целей, для фотографа такая деятельность является профессиональной. Следовательно, обработка персональных данных заказчиков фотосессии фотографом должна осуществляться в соответствии с положениями Закона, а сам фотограф в данном случае будет являться оператором и нести обязанности в соответствии с Законом.

в) Физическое лицо ведет свою страницу в социальной сети, не монетизирует ее и размещает на ней фото- и видеоизображения, отражающие происходящие в его личной жизни события (фото с совместных мероприятий и др.). Такая деятельность не является профессиональной или предпринимательской деятельностью и, соответственно, действие Закона на нее не распространяется.

Вместе с тем неприменение Закона к обработке персональных данных в процессе исключительно личного, семейного, домашнего и иного подобного их использования не означает наличие правового пробела в регулировании данного вопроса. В данной ситуации для определения правомерности обработки персональных данных следует учитывать положения статьи 18 Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» (далее – Закон об информации, информатизации и защите информации), Гражданского кодекса Республики Беларусь, Кодекса Республики Беларусь об административных правонарушениях и Уголовного кодекса Республики Беларусь;

1.2. оператор организует и (или) осуществляет обработку персональных данных.

В самом общем виде оператор – это лицо, которое ответственно за обработку персональных данных.

Примеры.

Операторами, в частности, являются:

наниматель при обработке персональных данных своих работников;

учреждение образования при оказании образовательных услуг обучающимся;

учреждение здравоохранения при оказании медицинской помощи пациентам;

организация торговли при обработке персональных данных покупателей при реализации им товаров;

страховщик по отношению к застрахованным лицам.

Используемый оборот «и (или)» означает, что на практике могут иметь место следующие варианты действий операторов:

1.2.1. оператор только организует обработку персональных данных.

В данном случае он определяет ключевые параметры обработки персональных данных (цели и сроки, объем обрабатываемых данных, круг лиц, которым предоставляются персональные данные). При этом непосредственно все действия по обработке персональных данных осуществляет уполномоченное лицо.

Следует отметить, что в Законе об информации, информатизации и защите информации используется термин «оператор информационной системы», под которым понимается субъект информационных отношений, осуществляющий эксплуатацию информационной системы и (или) оказывающий посредством ее информационные услуги. В этой связи недопустим механический перенос терминологии Закона об информации, информатизации и защите информации на сферу обработки персональных данных, поскольку в большинстве случаев оператор информационной системы не будет являться оператором по смыслу законодательства о персональных данных. Такие лица, как правило, выступают в качестве уполномоченных лиц.

Пример.

В соответствии с Инструкцией о порядке формирования и ведения единой базы данных обучающихся в учреждениях образования Республики Беларусь, утвержденной постановлением Министерства образования Республики Беларусь от 16 апреля 2019 г. № 36, эта база данных является государственным информационным ресурсом, владельцем которого является Министерство образования Республики Беларусь, а оператором  – учреждение «Главный информационно-аналитический центр Министерства образования Республики Беларусь». Данные статусы определены с учетом положений Закона об информации, информатизации и защите информации.

Вместе с тем для целей Закона Министерство образования будет являться оператором, а учреждение «Главный информационно-аналитический центр Министерства образования Республики Беларусь» – уполномоченным лицом;

1.2.2. оператор организует и осуществляет обработку персональных данных.

Это означает, что оператор не только организует обработку персональных данных (то есть определяет ее ключевые параметры), но и непосредственно осуществляет с персональными данными необходимые операции (например, сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление и т.п.).

Пример.

Организация занимается продажей мебели и ведет базу данных клиентов для осуществления рекламной рассылки. В данном случае организация как оператор самостоятельно организует и осуществляет сбор сведений у клиентов (например, при заключении договоров), вносит соответствующие сведения в базу данных, пользуется такой базой, осуществляет при необходимости удаление персональных данных клиентов.

Тем не менее, это не означает, что оператор при данной модели все действия по обработке осуществляет исключительно самостоятельно. Так, в рассматриваемой ситуации организация может хранить базу своих клиентов на сервере, арендованном у хостинг-провайдера, который будет выступать по отношению к ней уполномоченным лицом;

1.2.3. оператор осуществляет обработку персональных данных.

Как правило, в качестве таких операторов выступают государственные органы и иные организации, которые осуществляют обработку персональных данных для реализации возложенных на них государственно-властных полномочий или иных публичных функций, а цели и порядок такой обработки определяются законодательством.

При этом для признания организации оператором в понимании законодательства о персональных данных не требуется, чтобы в нормативном правовом акте это было прямо предусмотрено.

Пример.

Исполкомы первичного уровня являются операторами, осуществляющими обработку данных, при ведении учета личных подсобных хозяйств граждан в пределах своей компетенции, а объем обрабатываемых персональных данных, цели и порядок такой обработки определяются законодательством (в частности, форма похозяйственных книг установлена постановлением Совета Министров Республики Беларусь от 15 октября 2005 г. № 1273 «Об организации ведения похозяйственного учета»).

При направлении запросов и предоставлении запрашиваемых персональных данных обработка персональных данных может осуществляться как в силу требований законодательства, так и на основании согласия. В подобных ситуациях отношения «оператор – уполномоченное лицо» не возникают. Как в первом, так и во втором случае организации, запрашивающие информацию, и организации, ее предоставляющие, являются самостоятельными операторами.

Пример.

В соответствии со статьей 49 Закона Республики Беларусь от 12 декабря 2013 г. № 94-З «О противодействии монополистической деятельности и развитии конкуренции» хозяйствующие субъекты, должностные лица хозяйствующих субъектовюридических лиц обязаны представлять в антимонопольный орган по его запросу и в установленный им срок необходимые антимонопольному органу в соответствии с возложенными на него полномочиями документы, объяснения, информацию в письменной и (или) устной формах, в том числе информацию, составляющую коммерческую, служебную, иную охраняемую законом тайну, включая конфиденциальную информацию о депонентах и сведения из реестра владельцев ценных бумаг.

При выполнении данных функций и юридические лица, и антимонопольный орган выступают в качестве самостоятельных операторов.

Оператор может организовывать и (или) осуществлять обработку персональных данных как самостоятельно, так и совместно с иными операторами. Информация о совместных операторах изложена в пункте 6 настоящих Рекомендаций.

 

2. Уполномоченное лицо

 

В соответствии с абзацем шестнадцатым статьи 1 Закона уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.

К основным признакам уполномоченного лица можно отнести следующие:

2.1. статус.

Уполномоченным лицом, равно как и оператором, может являться как организация (государственный орган, юридическое лицо Республики Беларусь, иная организация), так и физическое лицо.

Уполномоченное лицо должно быть отдельным юридическим или физическим лицом по отношению к оператору. При этом на возможность признания организации уполномоченным лицом не влияет ее взаимосвязь с оператором (аффилированное лицо, зависимое хозяйственное общество, дочернее хозяйственное общество, статус учредителя и др.).

С точки зрения законодательства о персональных данных не рассматриваются в качестве самостоятельных операторов или уполномоченных лиц работники организации. Оператором в данном случае выступает наниматель, у которого работник работает по трудовому договору, а работник, выполняя свою трудовую функцию, действует от имени оператора и является его «частью».

Пример.

Отделу по работе с клиентами организации поручено ведение базы данных клиентов по заданным параметрам. Наличие такого поручения не означает, что работники данного отдела приобретают статус уполномоченных лиц по отношению к организации, поскольку выполняют такую функцию в силу своих должностных обязанностей. В данной ситуации организация выступает в качестве оператора и осуществляет обработку персональных данных посредством своих работников.

Что касается физических лиц, выполняющих работу на основании гражданско-правового договора, то их статус при обработке персональных данных должен определяться в каждом конкретном случае. Если такое лицо осуществляет обработку персональных данных под контролем оператора и с использованием принадлежащих оператору информационных ресурсов, то его по аналогии с работниками оператора следует рассматривать как «часть» оператора. Данный подход подтверждается и положениями статьи 17 Закона, в соответствии с которыми на оператора возложена обязанность по ознакомлению с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, а также по обучению не только работников, но и иных лиц, осуществляющих обработку персональных данных.

Примеры.

а) На период проведения мероприятий по подготовке и проведению переписи населения на основании гражданско-правовых договоров привлекается временный переписной персонал, который выполняет свои обязанности в соответствии с требованиями законодательства и инструкциями оператора.

В этой связи лица, входящие в состав временного переписного персонала, равно как и работники оператора, не рассматриваются как уполномоченные лица.

б) Организация заключила гражданско-правовой договор с физическим лицом для оказания услуги по подготовке годового балансового отчета. Договором предусмотрено, что работа будет выполняться с использованием информационных ресурсов физического лица, для чего ему будут предоставлены все необходимые документы.

В данном случае физическое лицо следует рассматривать в качестве уполномоченного лица;

2.2. уполномоченное лицо осуществляет обработку персональных данных от имени оператора или в его интересах.

В отличие от оператора, уполномоченное лицо не определяет ключевые параметры обработки персональных данных (цели и сроки обработки, объем обрабатываемых данных, круг лиц, которым предоставляются персональные данные), а действует от имени или в интересах оператора в соответствии с его поручениями, как правило, за вознаграждение.

Примеры.

а) Организация «А» продает товары через интернет, предлагая доставку товара курьером. С целью исполнения обязательств по доставке организация «А» запрашивает у покупателя контактные данные, необходимые для доставки: адрес, собственное имя и контактный телефон. Поскольку организация «А» не имеет собственной курьерской службы, она нанимает организацию «Б», которая имеет свой штат курьеров и занимается доставкой товаров. Организация «А» передает собранные ею персональные данные покупателей организации «Б» для доставки товара.

В данном случае организация «А» определила цель обработки (доставка товара), лиц, чьи персональные данные будут обрабатываться (покупатели), и перечень обрабатываемых персональных данных (адрес, имя и контактный телефон). В свою очередь, организация «Б», используя собранные персональные данные, от имени организации «А» доставила товар.

В этой связи организация «А» является оператором, организация «Б» – уполномоченным лицом.

б) В организации персональные данные первично обрабатываются (в том числе собираются) с использованием средств автоматизации и хранятся в базе данных программного обеспечения 1С, размещенного на сервере, арендованном организацией у поставщика услуг 1С. В данной ситуации арендодатель сервера осуществляет обработку (хранение) персональных данных в интересах организации (оператора) на основании заключенного с ней договора и выступает в качестве уполномоченного лица.

в) Организация «А» передала системное администрирование локальной сети на аутсорсинг организации «Б».

Для организации «Б» обработка персональных данных, содержащихся в локальной сети организации «А», не является целью, однако возложение обязанностей по администрированию локальной сети не может осуществляться без доступа к ним.

В данной ситуации организация «А» является оператором, а организация «Б»уполномоченным лицом, осуществляющим обработку персональных данных в интересах оператора.

В одних случаях оператор определяет, какие персональные данные подлежат обработке, и предоставляет подробные указания (инструкции) по обработке, которым должно следовать уполномоченное лицо. Соответственно, уполномоченное лицо ограничено в том, какие действия оно может осуществлять с персональными данными.

Пример.

Клиент-оператор может предоставить поставщику услуг точные инструкции о том, как хранить персональные данные, в том числе о том, какие серверы следует использовать, какие меры защиты персональных данных применять.

В иных случаях (что чаще всего имеет место на практике) уполномоченные лица могут принимать свои собственные повседневные оперативные решения, использовать свои знания и навыки, чтобы решить, как выполнять определенные действия в интересах оператора (например, выбор конкретного типа аппаратного или программного обеспечения для обработки персональных данных, в том числе для обеспечения защиты информации).

Тем не менее, уполномоченные лица не могут определять ключевые параметры обработки персональных данных, например, о целях и сроках обработки, объеме обрабатываемых персональных данных, передаче персональных данных третьим лицам.

Пример.

Банк нанимает организацию, предоставляющую IT-услуги, для хранения архивных данных клиентов. Банк определяет, как, для каких целей и какие персональные данные используются, а также определяет сроки их хранения. Соответственно, банк является оператором.

Организация, предоставляющая IT-услуги, использует собственный профессиональный и технический опыт для решения вопросов о безопасном хранении персональных данных. Однако, несмотря на эту свободу принятия технических решений, IT-организация не является оператором в отношении персональных данных, предоставленных банком, поскольку не может решать вопросы о том, надо ли хранить персональные данные, сколько их хранить, кому передавать и т.п.

При этом передача уполномоченным лицом персональных данных третьим лицам в силу требований законодательных актов не может рассматриваться как определение ключевых параметров обработки.

Передача части своих функций, связанных с обработкой персональных данных, на аутсорсинг другой организации (ведение бухгалтерского учета, системное администрирование локальной сети, транспортные услуги, IT-поддержка и т.п.) является распространенной практикой для организаций. В большинстве таких случаев организация – исполнитель услуг действует в соответствии с инструкциями (поручениями, указаниями и т.п.) организации-заказчика, закрепленными в договоре, от его имени или в его интересах. В подобных ситуациях организация-заказчик выступает оператором, а организация-исполнитель является уполномоченным лицом.

Вместе с тем не во всех случаях взаимоотношения организации-заказчика и организации-исполнителя соответствуют конструкции «оператор – уполномоченное лицо». Отношения могут также строиться и по модели «оператор – оператор», когда каждая организация действует в своих интересах и самостоятельно определяет ключевые параметры обработки персональных данных.

Пример.

Организации заключили договор поставки. В договоре, доверенности и первичных учетных и иных документах, прилагаемых к договору, содержатся в том числе персональные данные представителей этих организаций (сторон договора). При передаче персональных данных организациями друг другу каждая из них осуществляет обработку этих персональных данных для собственных целей (заключение договора и т.п.) и, соответственно, при данной обработке каждая из них выступает в качестве оператора.

В отдельных ситуациях порядок обработки персональных данных организацией-исполнителем, являющейся по статусу оператором, четко определен законодательством.

Пример.

Организация обращается к адвокату за получением юридической помощи и предоставляет ему документы, в том числе содержащие персональные данные своих работников, а также персональные данные работников контрагентов, с которыми она заключила договоры.

Адвокат, используя эти сведения, составляет заключения по правовым вопросам, документы правового характера (например, проекты договоров и т.п.), а также представляет интересы организации в соответствующих органах. При этом адвокат действует со значительной степенью независимости в соответствии с обязанностями (полномочиями), предоставленными ему Законом Республики Беларусь от 30 декабря 2011 г. № 334-З «Об адвокатуре и адвокатской деятельности в Республике Беларусь». В частности, адвокат имеет право:

самостоятельно собирать и представлять сведения, касающиеся обстоятельств дела;

запрашивать справки, характеристики и иные документы, необходимые в связи с оказанием юридической помощи, у государственных органов и иных организаций, которые обязаны в установленном порядке выдавать эти документы или их копии;

заявлять ходатайства, подавать в установленном порядке жалобы на действия суда, государственных органов и иных организаций, должностных лиц, ущемляющие права, свободы и интересы клиента, а также права адвоката при осуществлении им профессиональных обязанностей;

применять в своей профессиональной деятельности технические средства (компьютеры, видео- и звукозаписывающую аппаратуру, фото- и киноаппаратуру, множительную и иную технику) с учетом требований, установленных процессуальным законодательством.

В этой связи при обработке персональных данных, которую адвокат осуществляет для оказания юридической помощи на основании и в порядке, предусмотренными законодательством об адвокатуре и адвокатской деятельности, он выступает в роли самостоятельного оператора.

Важной особенностью взаимоотношений между оператором и уполномоченным лицом является то, что после окончания обработки уполномоченное лицо должно прекратить обработку соответствующих персональных данных (такие данные передаются оператору либо удаляются (блокируются).

Порядок подтверждения передачи, удаления или блокирования персональных данных целесообразно определить в договоре между оператором и уполномоченным лицом. Как правило, эти процессы оформляются соответствующим актом или отчетом.

Законодательными актами могут быть предусмотрены исключения из правила о необходимости удаления (блокирования) персональных данных, обрабатываемых уполномоченным лицом. Например, если организация (уполномоченное лицо) заключала по поручению оператора договоры, то в силу требований законодательства в сфере архивного дела и делопроизводства она обязана сохранять такие договоры в течение определенного срока.

Закон не устанавливает запрета на привлечение уполномоченным лицом иных лиц (субуполномоченных лиц) для выполнения порученной ему работы, сопровождающейся обработкой персональных данных. Однако такое привлечение может иметь место только в случае, если рассматриваемая возможность предусмотрена в договоре с оператором. При этом договор между уполномоченным и субуполномоченным лицами должен содержать положения, обеспечивающие уровень защиты персональных данных, эквивалентный условиям договора между оператором и уполномоченным лицом.

Факт привлечения уполномоченным лицом субуполномоченного лица не меняет статуса уполномоченного лица на оператора, поскольку общий контроль над обработкой остается за первоначальным оператором. Уполномоченное лицо несет ответственность перед оператором за обработку персональных данных субуполномоченным лицом.

 

3. Правовая основа отношений между оператором и уполномоченным лицом

 

Исходя из определения уполномоченного лица, содержащегося в абзаце шестнадцатом статьи 1 Закона, взаимоотношения оператора и уполномоченного лица могут опосредоваться:

актом законодательства;

решением государственного органа, являющегося оператором.

В большинстве случаев уполномоченными лицами, осуществляющими обработку персональных данных на основании акта законодательства или решения государственного органа, являются подчиненные (входящие в состав данного органа) государственные органы (организации);

договором между оператором и уполномоченным лицом.

Это могут быть самостоятельный договор или положения в заключенном для достижения какой-либо цели договоре, так как обычно обработка персональных данных является сопутствующей деятельностью по отношению к предмету взаимоотношений оператора и уполномоченного лица.

Такой договор должен заключаться в том числе с уполномоченным лицом, расположенным на территории иностранного государства, независимо от того, является ли иностранное государство с ненадлежащим или надлежащим уровнем защиты прав субъектов персональных данных.

Пунктом 1 статьи 7 Закона установлены требования к содержанию упомянутых акта законодательства, решения государственного органа или договора. В них должны быть определены:

цели обработки персональных данных;

перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

обязанности по соблюдению конфиденциальности персональных данных;

меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона.

Цели обработки персональных данных уполномоченным лицом должны соответствовать целям, заявленным в документе, определяющем политику оператора в отношении обработки персональных данных, и не должны быть абстрактными или общими.

Справочно.

Более подробная информация о требованиях к целям обработки персональных данных содержится в Рекомендациях по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, размещенных на официальном сайте Национального центра защиты персональных данных по адресу: https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/.

При определении перечня действий, которые будут совершаться с персональными данными, целесообразно указать конкретные действия, совершаемые с персональными данными (информацию об использовании обезличивания персональных данных в целях повышения их защищенности (при использовании обезличивания), условия, при которых возможно распространение или предоставление персональных данных (если предполагается их распространение или предоставление) и т.п.).

В случае если решение государственного органа, являющегося оператором, о поручении обработки персональных данных подчиненным (входящим в состав) государственным органам (организациям) дополнительно опосредуется заключением договора, требования, предусмотренные пунктом 1 статьи 7 Закона, достаточно предусмотреть в данном договоре.

В договоре также целесообразно предусмотреть:

условия о привлечении уполномоченным лицом иных лиц для обработки персональных данных (например, недопустимость привлечения к обработке персональных данных субуполномоченных лиц с территории государств с ненадлежащим уровнем защиты прав субъектов персональных данных);

механизм участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных;

обязанность уполномоченного лица прекратить по окончании договора обработку соответствующих персональных данных и передать такие данные оператору либо удалить (блокировать) их. При этом в силу требований абзаца седьмого пункта 1 статьи 16 Закона данная обязанность должна распространяться в том числе на случаи, когда уполномоченное лицо находится за пределами Республики Беларусь.

В договор также включаются иные стандартные положения согласно приложению к настоящим Рекомендациям.

Следует учитывать, что статус уполномоченного лица предопределяется выполняемыми им функциями по отношению к оператору и не зависит от наличия у оператора отдельного договора с уполномоченным лицом (включения необходимых условий об обработке персональных данных в основной договор). Отсутствие такого договора (положений договора) является нарушением Закона, но не изменяет статус лиц, осуществляющих обработку персональных данных.

 

4. Обязанности оператора и уполномоченного лица

 

Поскольку и оператор, и уполномоченное лицо осуществляют обработку персональных данных, на них в равной степени возлагаются обязанности, в том числе предусмотренные пунктами 3 и 4 статьи 17 Закона, по принятию правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Вместе с тем, поскольку ключевые параметры обработки персональных данных определяет оператор, именно он обязан обеспечивать права субъектов персональных данных и несет согласно пункту 3 статьи 7 Закона ответственность перед субъектом персональных данных как за свои действия, так и за действия уполномоченного лица в случае, если поручает обработку персональных данных уполномоченному лицу.

В этой связи ряд обязанностей возложен Законом (статья 16) именно на оператора. Так, оператор обязан, в частности:

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

получать согласие субъекта персональных данных в случаях, когда отсутствуют иные правовые основания для обработки персональных данных;

предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;

вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных Национальным центром защиты персональных данных;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию Национального центра защиты персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами.

Кроме того, в соответствии с подпунктом 3.6 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» и приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных» оператор обязан вносить с 1 января 2024 г. сведения в Реестр операторов персональных данных.

Возложение указанных обязанностей на оператора не препятствует, по общему правилу, принятию им решения о поручении исполнения этих обязанностей уполномоченному лицу.

В случае если договором между оператором и уполномоченным лицом предусматривается возможность подачи заявлений наряду с оператором уполномоченному лицу, при поступлении заявления субъекта персональных данных уполномоченному лицу оно предоставляет заявителю информацию об обработке персональных данных.

При этом, несмотря на наличие для субъекта персональных данных указанной дополнительной возможности, в силу императивной нормы статьи 14 Закона о том, что заявления о реализации прав подаются оператору, оператор не может устраниться от рассмотрения заявлений субъектов персональных данных. В случае поступления такого заявления он обязан его рассмотреть и дать ответ, в том числе с использованием информации, полученной от уполномоченного лица, не ссылаясь на договор и не пересылая заявление уполномоченному лицу для ответа субъекту персональных данных.

 

5. Ответственность за несоблюдение Закона

 

Операторы и уполномоченные лица несут ответственность за непринятие правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Таким образом, независимо от статуса этих лиц (оператор или уполномоченное лицо) они будут нести предусмотренную законодательными актами ответственность, в частности по статье 23.7 Кодекса Республики Беларусь об административных правонарушениях.

Вместе с тем, если субъекту персональных данных причинен вред, в том числе моральный, действиями оператора или уполномоченного лица, то, исходя из статьи 7 Закона, этот субъект может обратиться с иском к оператору, который, в свою очередь, может требовать привлечения уполномоченного лица к ответственности за нарушение условий договора.

Оператор также несет ответственность за случаи «утечки» персональных данных, допущенные уполномоченным лицом на территории иностранного государства.

В этой связи операторам следует тщательно подходить к выбору уполномоченных лиц и привлекать к обработке персональных данных только тех из них, которые предоставляют достаточные гарантии принятия ими соответствующих правовых, организационных и технических мер для обеспечения обработки персональных данных в соответствии с требованиями Закона.

 

6. Совместные операторы (сооператоры)

 

Абзацем восьмым статьи 1 Закона предусмотрено, что оператор может организовывать и (или) осуществлять обработку персональных данных как самостоятельно, так и совместно с другими государственными органами, юридическими лицами Республики Беларусь, иными организациями или физическими лицами.

Таким образом, совместные операторы (сооператоры) – это операторы (юридические и (или) физические лица), которые совместно организуют и (или) осуществляют обработку персональных данных.

Типичным примером сооператорства является ведение (использование) общей базы данных несколькими операторами.

Пример.

В торговой сети действует программа лояльности (бонусная, скидочная), в которой участвуют все субъекты торговли, входящие в одну группу лиц. При участии в данной программе субъекты торговли являются сооператорами.

Само по себе наличие взаимной выгоды (например, коммерческой), возникающей в результате деятельности, связанной с обработкой персональных данных, не приводит к сооператорству. Так, если юридическое лицо, участвующее в обработке персональных данных, не преследует собственных целей в отношении деятельности по обработке персональных данных, а просто получает оплату за оказанные услуги, оно действует как уполномоченное лицо, а не как совместный оператор.

В отличие от взаимоотношений «оператор – уполномоченное лицо», правовая основа отношений между совместными операторами Законом отдельно не определена. Поэтому на каждого из них возлагаются все обязанности, предусмотренные Законом в отношении операторов, и каждый из них самостоятельно несет полную ответственность за несоблюдение его требований.

В этой связи при организации и осуществлении совместной обработки персональных данных принципиально важным является распределение между такими операторами ролей (функций) в совместной обработке.

Прозрачность такого распределения обеспечивается, как правило, посредством заключения между совместными операторами соответствующего соглашения (договора), в котором будут, в частности, отражены:

цели обработки;

персональные данные, которые подлежат обработке;

права и обязанности каждого из операторов в отношении обработки персональных данных;

порядок рассмотрения заявлений субъектов персональных данных, направленных в соответствии со статьей 14 Закона (например, рассмотрение заявлений субъектов персональных данных осуществляется одним из сооператоров независимо от того, кому они адресованы, или же каждый оператор самостоятельно рассматривает адресованные ему заявления субъектов персональных данных). В любом случае ответ на заявление направляется субъекту персональных данных тем оператором, к которому поступило заявление.

Распределение в упомянутом соглашении (договоре) компетенции сооператоров может быть гибким и не зависеть напрямую от объема обрабатываемых каждым из них персональных данных.

Для обеспечения принципа прозрачности обработки персональных данных (пункт 6 статьи 4 Закона) информация о совместной обработке персональных данных отражается в документе, определяющем политику каждого оператора в отношении обработки персональных данных. При этом в отношении обработки персональных данных для реализации конкретного бизнес-процесса (например, участие в программах лояльности торговой сети) совместными операторами может быть подготовлен общий такой документ.

Если основанием для обработки персональных данных сооператорами является согласие, то субъект персональных данных выражает его для достижения конкретной цели всем сооператорам. Такое согласие может собирать один из сооператоров в отношении всех сооператоров в рамках конкретной цели. В случае несогласия с участием в обработке персональных данных конкретного оператора субъект персональных данных отказывает в даче согласия всем сооператорам. При этом каждый из них несет самостоятельное бремя доказывания получения согласия субъекта персональных данных в отношении себя.

Субъекты персональных данных могут требовать восстановления своих нарушенных прав от совместных операторов точно так же, как и от любого единоличного оператора. Распределение ответственности перед субъектами персональных данных между совместными операторами может быть отражено в заключенном ими соглашении (договоре).

 

Директор

А.А.Гаев

 

 

Приложение

СТАНДАРТНЫЕ ПОЛОЖЕНИЯ
для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных

1. Цели обработки персональных данных.

Цели обработки персональных данных должны соответствовать целям, заявленным в документе, определяющем политику оператора в отношении обработки персональных данных, и не должны быть абстрактными или общими.

2. Перечень действий, которые будут совершаться с персональными данными уполномоченным лицом.

В договоре следует, в частности, указать:

конкретные действия, совершаемые с персональными данными, поручаемые уполномоченному лицу (например, сбор персональных данных для заключения договора с определением перечня необходимых персональных данных; внесение сведений в информационный ресурс; хранение персональных данных с указанием сроков и условий хранения; их актуализация путем сопоставления с дополнительной информацией и т.п.);

информацию об использовании обезличивания персональных данных в целях повышения их защищенности (при использовании обезличивания);

условия, при которых возможно предоставление персональных данных третьим лицам или их распространение (если предполагается их предоставление или распространение).

3. Обязанность уполномоченного лица по соблюдению конфиденциальности персональных данных.

В соответствии с Законом об информации, информатизации и защите информации конфиденциальность информации – это требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами.

Соответственно, в договоре следует предусмотреть требование о том, что уполномоченное лицо не вправе распространять и (или) предоставлять персональные данные, которые стали ему (им) известны в связи с исполнением договора о поручении обработки, в том числе после прекращения обработки без наличия правового основания, предусмотренного законодательными актами.

4. Меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона.

В договор включаются положения о том, что уполномоченное лицо гарантирует принятие мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Такие меры должны быть приняты до заключения договора.

Одновременно в качестве механизма контроля оператором выполнения уполномоченным лицом указанных мер может быть закреплена обязанность уполномоченного лица предоставлять оператору информацию, необходимую для подтверждения реализации мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Если договор является долгосрочным, то предоставление такой информации может быть периодическим.

К такой информации могут быть отнесены сведения о:

наличии аттестата соответствия системы защиты информации информационной системы требованиям по защите информации;

наличии структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

наличии документов, определяющих политику уполномоченного лица в отношении обработки персональных данных, соответствующих положениям пункта 6 статьи 4 Закона;

разработке порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

прохождении обучения работников уполномоченного лица по вопросам защиты персональных данных и т.п.

5. Условия о привлечении уполномоченным лицом иных лиц (субуполномоченных) для обработки персональных данных.

В договоре следует предусмотреть условие о невозможности привлечения таких лиц либо о возможности привлечения с (без) предварительного письменного разрешения оператора или письменного уведомления оператора.

В случае допустимости привлечения субуполномоченных лиц необходимо предусмотреть:

условие об обеспечении субуполномоченным лицом защиты персональных данных на уровне не ниже, чем обеспечено уполномоченным лицом;

обязанность уполномоченного лица обеспечить соблюдение субуполномоченным лицом обязательств, возложенных на уполномоченное лицо.

6. Механизм участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных.

В договоре целесообразно определить порядок действий уполномоченного лица в случае поступления к нему или к оператору заявлений субъектов персональных данных.

Например, может быть предусмотрено, что в случае поступления заявления уполномоченному лицу оно может предоставлять субъекту персональных данных информацию об обработке персональных данных.

Кроме того, для обеспечения оператора полной и достоверной информацией об обработке персональных данных могут быть предусмотрены следующие обязанности уполномоченного лица с установлением сроков их исполнения (например, в трехдневный срок со дня поступления запроса, с момента, когда стало известно, и т.п.):

отвечать на запросы оператора о текущей обработке персональных данных;

в случае поступления к оператору заявления субъекта персональных данных предоставлять оператору информацию об обработке персональных данных, необходимую для подготовки ответа, оказывать иную помощь, необходимую для реализации оператором обязанностей перед субъектом персональных данных, предусмотренных Законом;

уведомлять оператора о любом заявлении (запросе), полученном от субъекта персональных данных;

информировать оператора в случае, если стало известно, что персональные данные, обработку которых осуществляет уполномоченное лицо, являются неполными, устаревшими или неточными;

уведомлять оператора в случае, если имеются основания полагать, что поручения оператора по обработке персональных данных не соответствуют требованиям законодательства.

7. Обязанность уполномоченного лица по окончании договора прекратить обработку персональных данных, передать все персональные данные оператору либо удалить (блокировать) персональные данные, за исключением случаев, когда законодательными актами предусмотрена обязанность их хранения, а также удалить (блокировать) все имеющиеся копии персональных данных и подтвердить оператору, что это сделано.

Подтверждение передачи, удаления или блокирования персональных данных может быть, например, оформлено отдельным актом, либо соответствующая информация может быть указана в акте сдачи-приемки выполненных работ, либо представлен письменный отчет о выполненном поручении.

8. Иные обязанности сторон.

В договоре могут быть предусмотрены также иные обязанности сторон, направленные на обеспечение защиты персональных данных, прав и свобод граждан при обработке их персональных данных, в зависимости от характера и особенностей обработки персональных данных, в том числе:

8.1. обязанность оператора уведомлять уполномоченное лицо о необходимости прекращения обработки персональных данных в связи с утратой оснований для их обработки (например, в случае отзыва субъектом персональных данных согласия на обработку персональных данных);

8.2. обязанности уполномоченного лица:

осуществлять обработку персональных данных только для целей, предусмотренных договором;

незамедлительно уведомлять оператора о нарушениях систем защиты персональных данных, в том числе о:

– примерном количестве субъектов персональных данных, затронутых нарушением;

– вероятных неблагоприятных последствиях нарушения системы защиты персональных данных;

– мерах, принятых или предлагаемых для устранения нарушения системы защиты персональных данных.

 

Здравствуйте, данный браузер не поддерживается нашей системой, для продолжения работы воспользуйтесь другим браузером.