'
Научный журнал «Вестник науки»

Режим работы с 09:00 по 23:00

zhurnal@vestnik-nauki.com

Информационное письмо

  1. Главная
  2. Архив
  3. Вестник науки №6 (51) том 3
  4. Научная статья № 22

Просмотры  74 просмотров

Воронков Н.А., Бородушко И.В.

  


ПРОБЛЕМА РАЗГРАНИЧЕНИЯ ОПЕРАТОРОВ И ОБРАБОТЧИКОВ ПЕРСОНАЛЬНЫХ ДАННЫХ *

  


Аннотация:
в данной статье рассматривается проблемный вопрос российского законодательства – разграничение операторов и обработчиков персональных данных. Для решения этого вопроса автор предлагает использовать трёхэтапный тест, позволяющий понять какую конкретно роль играет организация в обработке персональных данных   

Ключевые слова:
персональные данные, оператор персональных данных, обработчик персональных данных   


УДК 347

Воронков Н.А.

студент 2 курса магистратуры,

Ленинградский государственный университет им. А.С. Пушкина

(Россия, г. Санкт-Петербург)

 

Научный руководитель:

Бородушко И.В.

д.э.н., доцент, профессор кафедры

гражданского и международного частного права

Ленинградский государственный университет им. А.С. Пушкина

(Россия, г. Санкт-Петербург)

 

ПРОБЛЕМА РАЗГРАНИЧЕНИЯ ОПЕРАТОРОВ

И ОБРАБОТЧИКОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Аннотация: в данной статье рассматривается проблемный вопрос российского законодательства – разграничение операторов и обработчиков персональных данных. Для решения этого вопроса автор предлагает использовать трёхэтапный тест, позволяющий понять какую конкретно роль играет организация в обработке персональных данных.

 

Ключевые слова: персональные данные, оператор персональных данных, обработчик персональных данных.

 

Законом о персональных [1] данных предусмотрено наличие двух абсолютно противоположных сторон, взаимодействующих с персональными данными. Лицо, которое выполняет операции с персональными данными – оператор и лицо, которое осуществляет обработку персональных данных по поручению оператора.

Так, согласно пункту 2 ст. 3 Закона оператором персональных данных является лицо, организующее или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, которые обработке, действия, совершаемые с персональными данными. Таким образом, оператор — это лицо, которое определяет каким образом и с какой целью будут обрабатываться персональные данные. Исходя из этого следует, что лицо, которое таких решений не принимает, не может считаться оператором персональных данных.

Согласно части 3 ст. 6 Закона о персональных данных оператор может поручить обработку персональных данных другому лицу, предварительно заключив с этим лицом договор. В дальнейшем для удобства изложения я буду называть такое лицо «обработчик персональных данных».

Законодательство о персональных данных не содержит дефиниции обработчика персональных данных, а только лишь называет эту роль. Главное различие между обработчиком персональных данных и оператором персональных данных заключается в том, что обработчик не определяет цели обработки персональных данных, а лишь выполняет саму обработку информации на основании заключённого ранее договора с оператором. Более того, чаще всего обработчик не определяет способы обработки персональных данных, и следует указаниям оператора. Но как это часто бывает, из этого правила существуют исключения, когда обработчик предлагает оператору свои варианты обработки персональных данных, а оператор может с ними согласиться. Чаще всего такое происходит, когда оператором используется технически сложный, например, облачный, сервис, который находится в зоне контроля обработчика как профессионала в той или иной сфере деятельности. Учитывая вышеизложенное, более веским критерием отличия оператора от обработчика является момент определения кто именно занимается определением цели обработки персональных данных, так как способ обработки персональных данных является лишь вспомогательным критерием.

Выбор роли, которую будет исполнять организация при работе с персональными данными зависит от фактических обстоятельств, а не от желания самой организации. Таким образом, если договором предусмотрено что обе его стороны считаются самостоятельными операторами персональных данных, но при исполнении договора выяснилось, что цели обработки персональных данных определяет только одна сторона, а другая лишь исполняет инструкции иной стороны, то невзирая на содержание договора, одна из сторон фактически является оператором персональных данных, а вторая сторона – обработчиком персональных данных.

Большая часть обязанностей, содержащаяся в Законе о персональных данных, выполняется операторами персональных данных. В конкретных случаях, только оператор может обеспечить законность обработки персональных данных, а именно получить согласие субъекта персональных данных заключить с ним договор и т.д., локализовать в Российской Федерации обработку персональных данных граждан Российской Федерации, установить неограниченный доступ к своей политике конфиденциальности и т.д. Обработчик персональных данных является второстепенным участником этих правоотношений, который помогает оператору в обработке персональных данных. На основании вышеизложенного, можно сделать вывод что ввиду того, что оператор в большей степени несёт ответственность за обработку персональных данных, правильное определение роли, которую будет играть организация, имеет ключевое значение на практике.

Директива № 95/46/ЕС Европейского парламента и Совета Европейского союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» [2] привнесла в отечественное законодательство такое явление как разграничение ролей оператора и обработчика персональных данных, но к настоящему моменту данная директива утратила силу. В пункте «e» ст. 2 Директивы обработчик определялся как лицо, которое обрабатывает персональные данные по поручению оператора. Действующий по сегодняшний день Регламент № 2016/679 Европейского парламента и Совета Европейского союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС» (Общий Регламент о защите персональных) [3] (далее – GDPR) тоже распределяет роли оператора и обработчика персональных данных и определяет правовой статус обработчиков и требования к составлению договоров между операторами и обработчиками намного подробнее нежели чем российское законодательство.

Уполномоченными органами Европейского союза был подготовлен ряд разъяснений, призванных помочь различить операторов от обработчиков персональных данных. Наиболее важным среди них является проект Руководства Европейской коллегии по защите персональных данных (EDPB) 07/2020 о концепциях оператора и обработчика в Общем регламенте Европейского союза о защите данных (GDPR), который был опубликован для общественного обсуждения в сентябре 2020 года [4]. Также можно выделить Руководство английского уполномоченного органа по защите персональных данных (ICO) об операторах и обработчиках [5]. В указанных выше документах не содержатся однозначные критерии, которые позволят безошибочно определить роль организации в правоотношениях, связанных с обработкой персональных данных и требуют конкретной проверки в каждом отдельно взятом случае. На данный момент в Российской Федерации подобные разъяснения отсутствуют.

В российской судебной практике пока не выработана система чётких критериев исходя из которых можно было бы выделить разграничить операторов и обработчиков персональных данных. Так на практике во многих делах, где субъект персональных данных согласен на передачу его персональных данных оператором третьему лицу, суды исходят из того, что письменное согласие субъекта на передачу его персональных данных оператором иному оператору должно содержать наименование и адрес этого другого оператора [6]. Однако, оператор, который получает персональные данные, не будет являться их обработчиком, а передача персональных данных не будет являться поручением обработки персональных данных.

Считаю важным обратить внимание на различие таких понятий как «передача персональных данных» и «поручение обработки персональных данных». Так, например, если речь идёт о передаче персональных данных, то она заключается в лишь одной из возможных операций, связанных с персональными данными (п. 3 ст. 3 Закона о персональных данных). Во втором же случае речь идёт о договоре, заключаемый между оператором персональных данных и другим лицом, (б) обязывает это другое лицо совершать от имени оператора персональных данных операции с персональными данными и (в) определяет непосредственно перечень операций, цели обработки, требования к обеспечению конфиденциальности, безопасности и защиты данных (ч. 3 ст. 6 Закона о персональных данных). Оператор вправе передать персональные данные как лицу, которому он поручил обработку персональных данных (обработчику), так и лицу, которому он такую обработку не поручал (т.е. другому оператору).

Таким образом, определять роль организации в том или ином конкретном случае, связанном с обработкой персональных данных, стоит в зависимости от обстоятельств того или иного случая. Английской юридической фирмой Fieldfisher.

1)    с какой целью обрабатываются данные? Ответив на данный вопрос, можно выяснить для чего обрабатываются персональные данные, кто поставил цели обработки персональных данных, и исходя из этого выяснить кто является оператором персональных данных;

2)    кто является инициатором обработки персональных данных? Как показывает практика оператор чаще всего является инициатором;

3)    каков уровень автономии лиц, которые участвуют в обработке персональных данных? Автономия в этом случае является возможность самостоятельно решать, зачем и каким образом обрабатывать персональные данные. Оператор персональных данных обладает автономией в отношении обработки персональных данных, а обработчик либо не обладает вовсе, либо весьма ограниченной.

Таким образом, три вышеуказанных вопроса можно свести к одному общему: кто «командует» обработкой персональных данных? А тот, кто «командует» и является оператором персональных данных.

 

СПИСОК ЛИТЕРАТУРЫ:

 

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» // СЗ РФ. – 31.07.2006. – № 31 (1 ч.). – ст. 3451

Директива N 95/46/ЕС Европейского парламента и Совета Европейского Союза "О защите физических лиц при обработке персональных данных и о свободном обращении таких данных" [Электронный ресурс]. Режим доступа: URL: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=INT&n=49528#qn4Wc7TVVdQh5Mi4 (дата обращения: 20.05.2022).

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 «On the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) » [Электронный ресурс]. –Режим доступа: URL: http://ec.europa.eu/justice/dataprotection/reform/files/regu lation_oj_en.pdf (дата обращения: 20.05.2022)

Guidelines 07/2020 on the concepts of controller and processor in the GDPR // [Электронный ресурс]. -Режим доступа:URL: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_en (дата обращения: 20.05.2022)

Controllers and processors // [Электронный ресурс]. –Режим доступа: URL: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/controllers-and-processors/ (дата обращения: 20.05.2022)

Постановление Девятого арбитражного апелляционного суда от 11 февраля 2020 г. по делу № А40-275719/2019 // [Электронный ресурс]. –Режим доступа: URL: https://sudact.ru/arbitral/doc/O4I6vX92x5N/ (дата обращения: 20.05.2022)

 

Voronkov N.A.

2nd year student of the Master, in the direction of preparation Jurisprudence

Leningrad State University A.S. Pushkin

(Russia, St. Petersburg)

 

Scientific supervisor:

Borodushko I.V.

Doctor of Economics, Associate Professor,

Professor of the Department of Civil and International Private Law

Leningrad State University A.S. Pushkin

 (Russia, St. Petersburg)

 

THE PROBLEM OF DIFFERENTIATION

OF OPERATORS & PROCESSORS OF PERSONAL DATA

 

Abstract: this article discusses the problematic issue of Russian legislation – the differentiation of operators and processors of personal data. To solve which, the author suggests using a three-stage test that allows you to understand what specific role an organization plays in the processing of personal data.

 

Keywords: personal data, operator of personal data, processor of personal data.

  


Полная версия статьи PDF

Номер журнала Вестник науки №6 (51) том 3

  


Ссылка для цитирования:

Воронков Н.А., Бородушко И.В. ПРОБЛЕМА РАЗГРАНИЧЕНИЯ ОПЕРАТОРОВ И ОБРАБОТЧИКОВ ПЕРСОНАЛЬНЫХ ДАННЫХ // Вестник науки №6 (51) том 3. С. 150 - 156. 2022 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/5900 (дата обращения: 28.03.2024 г.)


Альтернативная ссылка латинскими символами: vestnik-nauki.com/article/5900



Нашли грубую ошибку (плагиат, фальсифицированные данные или иные нарушения научно-издательской этики) ?
- напишите письмо в редакцию журнала: zhurnal@vestnik-nauki.com


Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2022.    16+




* В выпусках журнала могут упоминаться организации (Meta, Facebook, Instagram) в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25 июля 2002 года № 114-ФЗ 'О противодействии экстремистской деятельности' (далее - Федеральный закон 'О противодействии экстремистской деятельности'), или об организации, включенной в опубликованный единый федеральный список организаций, в том числе иностранных и международных организаций, признанных в соответствии с законодательством Российской Федерации террористическими, без указания на то, что соответствующее общественное объединение или иная организация ликвидированы или их деятельность запрещена.