Обязанности оператора по обработке персональных данных

Кто должен получать статус оператора по обработке персональных данных? Каковы обязанности оператора? Когда допускается обработка персональных данных? В каком случае обработка персональных данных может быть поручена оператором иному лицу?

Порядок получения статуса оператора по обработке персональных данных и его обязанности предусмотрены ст. 1, п. 2 ст. 3, ст. 5, 6, 18 – 22.1 Федерального закона от 27.07.06 № 152-ФЗ “О персональных данных”. Его должны получать любые федеральные, региональные и муниципальные органы власти, юридические и физические лица, включая ИП, если они выполняют обработку персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, либо без такого использования, если по своему характеру это соответствует автоматической обработке.

Под автоматической обработкой понимается поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) предоставление доступа к ним в соответствии с заданным алгоритмом.

Особенности обработки персональных данных без использования средств автоматизации предусмотрены Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.08 № 687. Например, без использования средств автоматизации обработка персональных данных осуществляется при непосредственном участии человека. Такие данные должны обособляться от иной информации и храниться на отдельных материальных носителях. При несовместимости обработки различных персональных данных должна быть обеспечена их раздельная обработка.

Оператор обязан направить уведомление в Роскомнадзор, выполняющий функции регулятора в указанной сфере, о своем намерении осуществлять обработку персональных данных. Направления уведомления не требуется, если обработка персональных данных осуществляется в соответствии с трудовым законодательством Российской Федерации либо на основании договора с субъектом, при этом они не передаются третьим лицам, а также в иных случаях, предусмотренных п. 2 ст. 22 Закона № 152-ФЗ. В случае прекращения обработки персональных данных оператор также сообщает об этом в Роскомнадзор посредством направления соответствующего уведомления.

Роскомнадзор может обратить внимание на любую организацию, деятельность которой предполагает обработку персональных данных, и потребовать от нее выполнения предусмотренных законом обязанностей, организовать и провести проверку в соответствии с Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденными постановлением Правительства РФ от 13.02.19 № 146. Подача уведомления о статусе оператора не имеет определяющего значения, поскольку закон связывает данный статус с фактическим выполнением действий по обработке персональных данных, а не с подачей уведомления и совершением иных формальностей.

Если, например, в ЕГРЮЛ содержится информация об основных и дополнительных видах деятельности организации, которые предполагают обработку персональных данных (консультационные услуги в сфере компьютерных технологий, размещение информации, обработка данных и т. д.), то она признается оператором. Ненаправление уведомления в Роскомнадзор, равно как и несовершение иных обязанностей, которые законом возложены на оператора, не свидетельствуют о том, что организация, занимающаяся обработкой персональных данных, фактически не приобрела данный статус (постановление Пятого ААС от 21.02.20 № 05АП-65/2020).

Если организация ошибочно сочла, что является оператором и направила уведомление в Роскомнадзор, то само по себе совершение указанного действия не наделяет ее данным статусом и не влечет за собой соответствующие правовые последствия. В таком случае уполномоченный орган не вправе требовать от организации выполнения обязанностей оператора, а также привлекать ее к ответственности, поскольку для этого отсутствуют необходимые основания.

Например, в одном деле организация предоставляла услуги телематической связи своим клиентам по договору, для чего у партнера арендовала серверные мощности, используемые для размещения собственного сайта и сведений общего характера. Персональные данные организация не хранила, однако уведомление о получении статуса оператора она ошибочно направила в Роскомнадзор. В дальнейшем уполномоченный орган счел, что организация представила неполные и недостоверные сведения, выдав ей соответствующее предписание на устранение нарушений.

Признавая предписание уполномоченного органа незаконным, суд исходил из того, что предоставление сведений, в том числе неполных или недостоверных, в отсутствие обязанности их представлять, исключает право уполномоченного органа требовать их раскрытия и применять к организации меры воздействия, установленные законом. При отсутствии доказательств фактической обработки персональных данных со стороны организации выданное ей предписание суд счел незаконным и отменил его (постановление АС Северо-Кавказского округа от 14.06.17 № Ф08-3596/2017).

Оператор должен утвердить документы, связанные с обработкой персональных данных, назначить ответственное лицо, которое подчиняется непосредственно исполнительному органу оператора, что позволяет обеспечить независимость такого сотрудника от руководителей иных структурных подразделений организации-оператора.

Оператор должен самостоятельно определить состав и содержание организационных, технических и правовых мер для обеспечения защиты персональных данных, осуществлять внутренний контроль и (или) аудит, знакомить своих работников с принятыми правилами работы, оценивать возможный вред, который он может причинить субъектам персональных данных. Детальный перечень мер, который обязан принимать оператор, представлен в постановлении Правительства РФ от 21.03.12 № 211.

На своем сайте оператор должен разместить политику обработки персональных данных с указанием в ней всех необходимых параметров, которые представляют интерес для неопределенного круга лиц, использующих его товары или услуги. В данном документе оператор должен описать все способы обработки персональных данных, включая перечень используемых им для этой цели интернет-ресурсов (например, “Google Аналитика”, “Яндекс Метрика” и др.), а также указать адрес для обратной связи.

Обязанность по размещению на сайте оператора политики обработки персональных данных может считаться выполненной только при условии наличия в таком документе достаточных сведений, позволяющих установить ее порядок и условия (решение Таганского районного суда г. Москвы от 19.12.18 по делу № 2-4261/2018). Кроме того, оператор обязан в течение 30 дней представлять документы, регламентирующие процедуры обработки им персональных данных, по запросу Роскомнадзора.

Наилучшей практикой оператора будет размещение на своем сайте политики обработки персональных данных, формы согласия на такую обработку, всплывающего окошка о работе с файлами “cookies”. Нарушение законодательства о защите персональных данных может послужить причиной для обращения в суд прокурора в защиту интересов неопределенного круга лиц с требованием возложить на оператора обязанность по размещению на сайте необходимых документов (решение Чаплыгинского районного суда Липецкой области от 16.05.19 по делу № 2-393/2019).

Сотрудники или партнеры оператора должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, а также об особенностях таких операций, предусмотренных нормативными правовыми актами в этой сфере. В используемых типовых формах и иных документах (карточках, реестрах, журналах и инструкциях) должны быть представлены цели и сроки обработки персональных данных, перечень действий оператора, а также иная информация, предусмотренная постановлением Правительства РФ № 687.

Получения статуса оператора не требуется в случае, когда обработка персональных данных осуществляется в соответствии с определенными процедурами, регламентированными специальными законами, например, при организации работы Архивного фонда РФ или деятельности российских судов, размещающих обезличенную информацию на своих официальных интернет-сайтах.

Физические лица освобождаются от обязанности получить статус оператора по обработке персональных данных в случае, если они совершают такие операции для своих личных и семейных нужд, при условии соблюдения прав субъектов персональных данных. Типичным нарушением со стороны физических лиц является размещение негативной информации о других людях в социальных сетях, в группах или конкретных профайлах. За нарушение законодательства о защите персональных данных оператор поисковой системы, который осуществляет индексацию сведений с различных интернет-сайтов и обеспечивает выдачу ссылок по поисковым запросам, не отвечает.

Оператор поисковой системы не участвует в создании, размещении и редактировании такой информации, не имеет технической возможности по ее блокированию и удалению (решение Хамовнического районного суда г. Москвы от 28.04.17 по делу № 02-1488/2017). Администратор социальной сети, со своей стороны, создает лишь технические условия для размещения информации, так же не имея возможности влиять на ее содержание. Поэтому все свои претензии субъект персональных данных, пострадавший от нарушения, должен адресовать конкретному лицу, по вине которого оно было допущено.

Оператор самостоятельно или совместно с иными лицами осуществляет обработку персональных данных, определяет состав соответствующих сведений, цели обработки и перечень совершаемых им операций. Обработка персональных данных должна быть законной и справедливой, причем ограничиваться достижением конкретных, заранее определенных и законных целей. Это очень важно, учитывая повсеместный характер сбора данных в отсутствие на то действительной необходимости.

Например, получение персональных данных гражданина при посещении им общественных мест связано с обеспечением безопасности иных лиц и контроля за ситуацией, что делает необходимой их обработку. Иным образом обстоит дело в случае, когда предприниматель осуществляет сбор персональных данных по поводу и без такового.

В нашей практике был случай, когда сотрудники банка в телефонном разговоре на вопрос обо всех условиях банковского депозита, которые заранее в рекламном сообщении не раскрываются (лестничные вклады, наличие необходимости открытия инвестиционного счета, подключения инвестиционного страхования жизни и других дополнительных условий), запросили у нас конкретные персональные данные.

Нас интересовала только информация о депозитном продукте, и если бы он оказался невыгодным, то от заключения договора банковского вклада мы бы отказались. Между тем сотрудники банка были готовы ее сообщить только при условии раскрытия персональных данных, что являлось совершенно недопустимым и не соответствовало целям обращения, которое не предполагало обязательного начала сотрудничества.

Именно поэтому от субъекта персональных данных может быть получена только та информация, которая соответствует заявленным целям их обработки и не является избыточной. Стимулировать операторов к уменьшению избыточного объема собираемых персональных данных, возможно, поможет предлагаемая экспертами возможность взыскания компенсаций от 500 000 до 5 млн руб. за каждый доказанный случай их утечки, а также увеличение размера существующих административных штрафов.

Оператор обязан обеспечивать полноту, точность и актуальность используемых данных, их достаточность, а при необходимости – удалять или уточнять неполные данные.

По достижении целей обработки персональных данных или утраты необходимости достижения таких целей оператор должен их уничтожать или обезличивать, а при нарушении данной обязанности он может быть привлечен к ответственности. Например, в одном деле организация в своих информационных системах продолжала обрабатывать персональные данные уволенных работников по истечении сроков хранения бухгалтерских и налоговых документов (5 лет и 4 года соответственно), установленных п. 1, 2 ст. 29 Закона # 402-ФЗ и подп. 8 п. 1 ст. 23 НК РФ.

С даты окончания сроков хранения данных документов, содержащих персональные данные уволенных работников организации, достигаются цели такой обработки, в связи с чем в соответствии со ст. 21 Закона № 152-ФЗ указанные данные подлежат уничтожению. Поскольку организация обрабатывала персональные данные с нарушением установленных требований, уполномоченный орган правомерно выдал предписание на устранение допущенных нарушений (постановление АС Московского округа от 15.01.18 № Ф05-18981/2017).

Для обработки персональных данных оператор должен заручиться предварительным согласием субъекта, за исключением случаев, когда его получения не требуется. К числу таких случаев относятся участие субъекта в различных видах судопроизводства, исполнение судебных актов и актов иных государственных органов, обработка персональных данных в соответствии с международными договорами с участием нашей страны, осуществление полномочий государственных и муниципальных органов, защита жизни и здоровья субъекта, когда получение согласия не представляется возможным (например, при возникновении чрезвычайной ситуации, нахождении гражданина в опасной ситуации и в иных случаях, когда ему требуется безотлагательная помощь).

Обработка персональных данных допускается в случае, когда субъект является стороной договора, выгодоприобретателем или поручителем по нему, и контрагент или кредитор на законном основании получают доступ к ним для целей исполнения такого договора. Например, принимая условия комплексного банковского обслуживания, клиент выражает согласие на обработку банком сообщаемых ему персональных данных, поскольку это необходимо для целей исполнения такого договора.

Обработка персональных данных допускается для обеспечения профессиональной деятельности журналиста, статистического учета и исследовательской деятельности, а также для достижения общественно значимых целей. Кроме того, допускается обработка общедоступных персональных данных, а также тех данных, которые подлежат раскрытию в установленном порядке (например, сведений о лицах, входящих в состав органов управления хозяйственного общества, раскрываемых в составе ежеквартального отчета эмитента и иных корпоративных документов).

Обработка персональных данных может быть поручена оператором иному лицу на основании договора при условии, что тем выполняются требования конфиденциальности, безопасности и обеспечения прав субъектов таких данных. В договоре между оператором и третьим лицом должны быть указаны требования к защите персональных данных. Отдельного согласия субъекта третье лицо получать не обязано. Об этом должен позаботиться сам оператор, отразив в тексте согласия на обработку персональных данных перечень совершаемых с ними операций, а также свое право на их передачу третьим лицам для определенных целей.

Третье лицо, получившее на основании договора с оператором доступ к персональным данным субъектов, несет перед ним ответственность, а оператор отвечает перед субъектами как за свои действия (бездействие), так и за поведение партнера. Например, интернет-магазин при оформлении заказа должен взять с покупателя согласие на обработку его персональных данных не только им самим, но также и его партнерами, вовлеченными на основании договоров в процесс исполнения такого договора (курьерская служба, факторинговые и иные финансовые организации, предоставляющие финансирование на покрытие кассовых разрывов).

По требованию субъекта персональных данных оператор должен подтвердить факт их обработки, предоставить ему информацию о ее целях, сроках хранения, источнике получения персональных данных, если оператор получает их не от самого субъекта, а также иные сведения, предусмотренные п. 7 ст. 14 и п. 3 ст. 18 Закона № 152-ФЗ. Такая обязанность у оператора отсутствует в случае, если он уведомил об обработке персональных данных самого субъекта, либо совершает указанные операции в общественно значимых целях, либо сообщение такой информации может нарушать права иных лиц.

Срок предоставления оператором ответа или мотивированного отказа на обращение субъекта персональных данных составляет 30 дней с момента получения от него или его представителя соответствующего запроса согласно ст. 20 Закона № 152-ФЗ. Срок продолжительностью 7 рабочих дней предусмотрен законом для предоставления субъекту персональных данных оператором возможности с ними ознакомиться, а также на внесение изменений и актуализацию неполных или некорректных сведений.

В обязанности оператора входит также блокирование неправомерно обрабатываемых персональных данных или обеспечение такой блокировки по обращению самого субъекта или уполномоченного органа с момента получения запроса и до окончания соответствующей проверки. Блокировке также подлежат неточные персональные данные, если это не приведет к нарушению прав иных лиц. Оператор обязан в срок не более 3 рабочих дней с момента получения требования прекратить обработку неправомерно обрабатываемых персональных данных, а если это невозможно, то в срок не более 10 дней с момента выявления данного факта он обязан их удалить либо обеспечить принятие таких мер третьим лицом, которому он поручил обработку персональных данных.

Обо всех принятых мерах должен быть проинформирован субъект персональных данных или уполномоченный орган в зависимости от того, кем их них был направлен запрос. Данные процедуры особо актуальны в широко распространенной ситуации, когда банки при выдаче потребительских кредитов не проверяют указываемые заемщиками в анкетах номера телефонов для обратной связи и контактные данные других лиц, в результате чего от их звонков страдают посторонние люди.

Оператор должен прекратить обработку персональных данных и уничтожить их в течение 30 дней с момента достижения целей такой обработки или отзыва согласия на обработку персональных данных, если иной срок не установлен законодательством Российской Федерации или его соглашением с субъектом персональных данных. При отсутствии возможности выполнения этих мер в указанный срок оператор должен заблокировать персональные данные и уничтожить их в течение 6 месяцев.

Субъект персональных данных в начале сотрудничества с оператором может отказаться от сообщения своих персональных данных. В тех случаях, когда это является обязательным, оператор должен разъяснить ему соответствующие последствия такого отказа.

Особенности обработки персональных данных установлены для операторов, являющихся участниками экспериментального правового режима, который с целью разработки и развития технологий искусственного интеллекта с 1 июля 2020 г. начался в Москве. Персональные данные, получаемые в результате обезличивания, не могут передаваться третьим лицам, которые не имеют статуса участника указанного эксперимента. Причем сам оператор после прекращения названного статуса, а также в случае прекращения эксперимента также утрачивает право осуществлять обработку таких персональных данных и должен их уничтожить (п. 6, 7 ст. 4 Федерального закона от 24.04.20 № 123-ФЗ).

Запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных российских граждан оператор вправе осуществлять только с использованием баз данных, находящихся на территории Российской Федерации, если только такие операции не совершаются в рамках выполнения международных договоров или в иных случаях, предусмотренных п. 5 ст. 18 Закона № 152-ФЗ.

В ином случае Роскомнадзор может принять меры по ограничению доступа к соответствующему ресурсу посредством включения доменных имен, указателей страниц сайтов в интернете и сетевых адресов, позволяющих идентифицировать сайты, в реестр нарушителей прав субъектов персональных данных (ст. 15.5 Федерального закона от 27.07.06 № 149-ФЗ “Об информации, информационных технологиях и защите информации”).

Такие меры в 2016 г. были приняты в отношении широко известных интернет-ресурсов “http://www.linkedin.com” и “http:// linkedin.com”, принадлежащих американской корпорации “Linkedin Corporation”, в связи с тем, что, помимо зарегистрированных пользователей сервиса, предоставляющих согласие на обработку персональных данных, администратор получал доступ также к сведениям третьих лиц, не являющихся пользователями. Такой доступ был возможен благодаря синхронизации данных с электронной почтой и устройствами пользователей.

Сам интернет-сайт был физически размещен на технических площадках, расположенных на территории США и принадлежащих американской корпорации, что подтверждалось данными сервиса “http://www. 1whois.ru”. Администратор интернет-ресурса осуществлял свою деятельность по всему миру, включая территорию Российской Федерации, о чем свидетельствовали наличие русскоязычной версии сайта, а также возможность использования рекламы на русском языке. Данные обстоятельства позволяли сделать вывод о вовлеченности российской аудитории в сферу бизнес-интересов администратора сайта.

В ходе судебного разбирательства администратор сайта ссылался на отсутствие нарушения прав субъектов персональных данных, поскольку никаких жалоб от них предоставлено не было. Между тем ответчик не учитывал, что основанием для принятия в отношении него специальных мер воздействия со стороны регулятора было нарушение им требования об обработке персональных данных с использованием баз данных, находящихся на территории Российской Федерации (определение Московского городского суда от 10.11.16 по делу № 33-38783/16).

В дальнейшем американская корпорация отказалась от планов развивать бизнес на российском рынке из-за неготовности локализовать базы данных на территории Российской Федерации, видимо, посчитав, что финансовые и организационные издержки несопоставимы с возможной выручкой. Административному преследованию были также подвергнуты и другие американские корпорации, собирающие персональные данные российских пользователей и не выполняющие требования закона о локализации баз данных в Российской Федерации.

Например, в конце 2019 г. небольшой административный штраф был назначен организации “Twitter, Inc” за невыполнение требования регулятора о предоставлении информации о результатах принятия мер по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных российских пользователей социальной сети “Twitter” с использованием баз данных, находящихся на территории Российской Федерации.

Организация не предоставила регулятору заверенную блок-схему размещения рабочих мест, на которых осуществляется хранение персональных данных российских пользователей; справку о постановке на ее балансовый учет приобретенных серверных мощностей; договоры их купли-продажи, а также копии договора аренды технических площадок, используемых для размещения центра обработки данных и серверных мощностей на территории Российской Федерации.

Как и в случае с интернет-ресурсами “http://www.linkedin.com” и “http:// linkedin.com”, в рассматриваемом деле суд исходил из того, что о направленности сайта “www.twitter.com” в информационно-телекоммуникационной сети “Интернет” на территорию Российской Федерации свидетельствует наличие русскоязычной версии данного сайта. При таких обстоятельствах организация “Twitter, Inc” была обязана локализовать базы данных на территории нашей страны (постановление ВС РФ от 27.12.19 № 5-АД19-239).

Поделиться ссылкой: