Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
2023-11-27
Комитет ГД одобрил штрафы до 1,5 млн рублей за нарушения обработки личных данных
2023-11-30
Дума ввела штрафы до 1,5 млн рублей за нарушения при обработке персональных данных
2023-12-01
Роскомнадзор напомнил о предоставлении уведомлений об обработке персональных данных
2023-12-05
ГД ввела штрафы до 1,5 млн рублей за нарушения при обработке персональных данных
2023-12-07
В ГД поддержали проект о порядке обезличивания персональных данных ко II чтению
2023-12-11
Роскомнадзор напоминает о необходимости подачи уведомления об обработке персональных данных
2023-12-13
Рекомендации по работе с персональными данными после увеличения штрафов за неправильную работу с ними
2023-12-19
В СФ хотят запретить сайтам ограничивать информацию при отказе от обработки личных данных
2023-12-22
Состояние цифровых прав потребителей в России
2023-12-28
Файлы cookie и персональные данные: терминология и основания для обработки
2024-01-29
Скопировать и продать: работник сотового оператора воровал персональные данные
2024-02-01
Хинштейн заявил, что ГД может в феврале обсудить порядок обезличивания персданных
2024-02-12
О необходимости подачи уведомления об обработке персональных данных
2024-02-14
В Думу внесут законопроект о запрете избыточной обработки персональных данных
2024-02-15
И. Рукавишникова: Мы предлагаем сократить объем необоснованного сбора и обработки персональных данных граждан
2024-02-20
Российские сайты забыли про политики конфиденциальности
2024-02-26
Юридические документы на сайте: что и как размещаем?
2024-02-27
Является ли заработная плата персональными данными работника?
2024-03-04
Обзор ключевых изменений в законодательстве о персональных данных
2024-04-03
Состоялся очередной рейд по выявлению граждан, не вставших на воинский учет
2024-04-17
Роскомнадзор по Самарской области предупреждает всех, кто осуществляет обработку персональных данных
2024-04-18
Из-за оборотных штрафов операторы данных могут скрывать утечки
2024-04-22
Думе предложили упростить отзыв согласия на обработку персональных данных
2024-04-23
Регистрация в реестре ОПД обязательна для всех
2024-05-14
Роскомнадзор напоминает о необходимости подачи уведомления об обработке персональных данных
2024-05-31
Рекомендации для рекрутера: всё об обработке персональных данных в 2024 году
2024-06-03
Отслеживание сотрудников на карте. Законно. Логично. Этично?
2024-06-07
При прогулке в парке часто слышу, как несовершеннолетние выражаются нецензурной бранью. Можно ли сделать видео в подтверждение данного факта, чтобы показать видеозапись родителям?
2024-06-11
В России планируют внести изменения в части обработки персональных данных
2024-06-13
Ассоциация больших данных нанесла ответный удар
2024-06-26
Согласие на обработку персональных данных при необходимости их передачи нескольким операторам
2024-07-02
Защита персональных данных в мобильных приложениях: как не нарушить закон
2024-07-04
Обработка персональных данных водителя в договоре транспортной экспедиции
2024-07-24
В Госдуму внесли проект о согласии на обработку персональных данных
2024-08-02
Матрица ответственности, конфиденциальность и хранение данных: как прошел Avito Privacy Day
2024-10-20
Обработка и «обработчик» - терминологические и практические нюансы
2024-10-29
Дополнительная защита персональных данных одобрена Госдумой в первом чтении
2024-10-31
Российским операторам по обработке персональных данных напомнили о необходимости направления уведомлений в Роскомнадзор
2024-11-26
Согласие на обработку персданных нельзя будет брать "заодно" - Госдума приняла закон
2024-11-27
В России ужесточат штрафы за утечку и обработку персональных данных
2024-12-28
Правовой Консультант #504
2025-04-24
Соглашение о конфиденциальности
2025-05-19
Новости: В Роскомнадзоре напомнили о штрафах за неисполнение изменившегося закона
2025-05-28
Усиление защиты персональных данных вряд ли спасёт российский бизнес от утечек
2025-05-29
Философия защиты персональных данных: долгая дорога к безопасности
2025-05-30
Как уведомить Роскомнадзор об обработке персональных данных: пошаговая инструкция для ИТ-компаний и стартапов
2025-06-09
Сбор персональных данных в 2025 году: как избежать штрафа в 20 миллионов
2025-06-11
Бизнесу могут запретить создавать профайлы клиентов на базе персональных данных
2025-07-01
С 1 июля нельзя хранить персональные данные россиян в базах, находящихся за границей
2025-08-27
Свежее судебное дело о не подаче уведомления в Роскомнадзор
3 дня назад
Может ли работодатель понуждать работника дать согласие на обработку биометрических персональных данных?
Назад
Zakon.ru - Закон.ру
10 месяцев назад

Обработка и «обработчик» - терминологические и практические нюансы

Самое важное для корректного понимания, соблюдения и применения закона - системное, последовательное, аргументированное, устойчивое понимание фундаментальных концепций и, конечно, используемых терминов. Поэтому прежде, чем начать, раз уж это первый очерк тут, определимся с терминологическим аппаратом законодательства в области персональных данных и тем, как его вижу я.

Может показаться, что старина Оккам не одобрил бы такого подхода к снаряду и ловко отрезал бы половину предложенных интерпретаций своей бритвой, но я смотрю на приведенные определения как на инструменты систематизации и восстановления последовательности в понимании закона, а не как на дополнительно утяжеляющие регулирование / практику сущности.

Кстати, приведенные ниже рассуждения в равной степени актуальны и для других юрисдикций, где присутствует концепция "обработки по поручению" (например, ЕС или РБ).

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

То есть, по сути, любая информация, связанная с физическим лицом, независимо от объема, актуальности, истинности и способа сохранения, подробнее см. мою статью об объеме понятия "персональные данные".

Оператор - лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

То есть, по сути, тот, кто определяет основное содержание...обработки. Так, постойте, а что такое "обработка"? 

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая...

То есть, в объем понятия включаются только сами действия (операции)? Но на практике термин "обработка" используют, чтобы обозначать отдельный процесс обработки, то есть, совокупность действий по обработке, объединенных составом участников, единой целью, составом данных и категориями субъектов данных.

Можно выделить и больше "объединяющих факторов" - для этого достаточно посмотреть в требования к содержанию согласия на обработку персональных данных. В России такие требования установлены только для согласия в обязательной письменной форме (подробнее о различии форм см. мою статью) и содержатся в ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

В согласии в обязательной письменной форме должны быть, в частности, указаны данные оператора, субъекта и его представителя (при наличии), данные о целях, составе данных, лицах, которым поручена обработка ("обработчики", см. далее), перечень действий с данными и срок, на который дается согласие.

Европейский EDPB перечисляет наименование оператора, цель обработки, тип данных, наличие права на отзыв, наличие автоматизированной обработки, трансграничной передачи (если применимо) и третьих лиц (см. пп. 64-65 Guidelines 05/2020 on consent under Regulation 2016/679).

По сути, это значит, что "обработка" персональных данных определяется не только действиями, но и контекстом, в который включаются указанные выше сведения. Это отражается и в требованиях к политикам обработки (в РФ они содержатся в п. 2 ч. 1 ст. 18.1 и ч. 2 ст. 18.1 152-ФЗ). 

Далее по тексту термин "обработка" будет подразумевать обработку как процесс, а не обработку как действия (операции) с данными, если иное не указано прямо в тексте.

Обработка как процесс - это совокупность действий (операций) с персональными данными, объединенных, как минимум, составом участников, обрабатывающих данные, единой целью, составом данных и категориями субъектов данных.

Остался еще один термин - "правовое основание обработки", которое, как следует из формулировки, должно быть у каждой обработки. В 152-ФЗ у этого термина легального определения нет, а в ст. 6, где как раз перечислены базовые основания обработки, такого термина в принципе нет. Тем не менее, он встречается по тексту, например, в чч. 2 - 3, 8 ст. 9 и чч. 4 - 5 ст. 21 152-ФЗ. Можно определить правовое основание обработки следующим образом:

Правовое основание необходимое условие обработки персональных данных, связывающее соответствующую обработку с конкретной целью обработки.

Итак, оператор определяет основное содержание обработки и может привлекать для нее третьих лиц - тех самых "обработчиков", для которых в 152-ФЗ не нашлось легального определения, поэтому неизбежно приходится сформулировать и его самостоятельно:

Обработчик - лицо, осуществляющее действия по обработке персональных данных от имени, в интересах (on behalf) и в соответствии с поручением оператора.

В этом определении намеренно указаны именно "действия по обработке", потому что ключевым для ответа на вопрос о том, какое у обработчика правовое основание и нужно ли оно ему в принципе,  является ответ на вопрос о том, делят ли оператор с обработчиком одну обработку или каждый осуществляет свою. 

Возможны три подхода к ответу на эти вопросы:

  1. "Все обработчики - операторы". Вариант, в котором мы рассматриваем обработчика как полноценного оператора со своей обработкой. В этом случае ему неизбежно нужно самостоятельное правовое основание обработки. Можно предположить, что его обеспечивает оператор, который поручает обработку.
  2.  "Каждому своя обработка". Вариант, в котором мы признаем, что у оператора и обработчика - разные обработки, но обработка обработчика (простите за неизбежную тавтологию) осуществляется в соответствии с прямым указанием закона.
  3. "Одна обработка, чтоб править всеми". Вариант, в котором мы считаем, что содержимое обработки определяет оператор, а значит, решение о привлечении обработчика - часть реализации права оператора на определения содержимого той же обработки.

 

Важно отметить, чем отличаются варианты № 1 и № 3: в первом варианте мы предполагаем, что у каждого из участников правоотношений есть самостоятельное основание обработки, например, у каждого по согласию, то есть, у участников одинаковые основания; в третьем варианте мы считаем, что одно основание обеспечивает правомерность обработки, независимо от того, кто осуществляет действия по обработке, то есть, участников одно основание на двоих, а какое - важно только оператору.

Вариант № 1 утилитарно привлекателен с точки зрения "устойчивости" обработки, в которой всегда заинтересованы и операторы, и обработчики, особенно если они является коммерческими организациями и находятся в возмездных правоотношениях по поводу этой самой обработки. Действительно, если у каждого - оператора и обработчика - есть по согласию, субъекту придется отозвать два согласия, прежде чем обработка должна будет прекратиться!

Тем не менее, данная интерпретация прямо противоречит и букве, и духу закона. Во-первых, оператор по умолчанию является "единой точкой входа" для субъекта (см. ч. 5 ст. 6 152-ФЗ). Во-вторых, дальнейшее взаимодействие с обработчиком по закону осуществляет именно оператор (см. чч. 1 - 6 ст. 21 152-ФЗ). В-третьих, подобная интерпретация противоречила бы требованиям прозрачности обработки, так как, например, одно действие субъекта порождало бы два самостоятельных основания (не слишком информировано и сознательно, верно?).

Вариант № 1, таким образом, не подходит в связи с драматичным несоответствием закону, несмотря на свою неоспоримую креативность. 

Вариант № 2 привлекает степенью правовой определенности. Несмотря на то, что обработка обработчика (вновь тавтология) возникает в связи с обработкой оператора, эти обработки не тождественны: у оператора может быть несколько обработчиков, оператор может привлекать обработчиков для осуществления только части обработки и т. д. По сути, происходит "выделение обработки" для ее дальнейшего осуществления обработчиком.

Так как у каждой обработки должно быть основание, а возможность просто "клонировать" изначальное правовое основание не получила поддержки при анализе Варианта № 1, перед нами предстает выбор правового основания для обработки обработчика.

Необходимо сразу отметить, что хотя обязанность продемонстрировать наличие правового основания по общему правилу ложится на оператора (ч. 3 ст. 9 152-ФЗ, Art. 24 GDPR), вопрос о правовом основании может стать актуальным и для обработчика.

Деятельность обработчика может быть объектом контрольной (надзорной) деятельности (пп. "а" п. 7 ППРФ от 29.06.2021 № 1046), что подтверждается и судебной практикой (см., например, устоявшее Решение Арбитражного суда Кемеровской области от 22.02.2023 по делу N А27-10550/2022, в котором предписание было выдано именно обработчику).

Согласие точно не подходит, ведь не будут соблюдены требования к его информированности и сознательности, да и в ч. 4 ст. 6 152-ФЗ уже указано, что обработчик не обязан получать согласие. Что это значит? 

На мой взгляд, ч. 4 ст. 6 152-ФЗ - не самая удачная с точки зрения юридической техники попытка указать на то, что обработчик обрабатывает данные постольку, поскольку это предусмотрено поручением, в рамках, установленных законом. Говоря максимально близко к тексту, оператор реализует предоставленное ему полномочие поручить обработку, а обработчик осуществляет обработку, которая "необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей". Основание - п. 2 ч. 1 ст. 6 152-ФЗ.

Такой подход позволит еще больше усилить контроль оператора и даже РКН за широтой усмотрения обработчика, сводя ее к императивно установленным границам. Начало обработки - после надлежащего поручения, конец обработки - как только поручение заканчивается или оператор требует прекращения обработки (в случаях, предусмотренных ст. 21 152-ФЗ, то есть, в том числе в связи с требованием субъекта или РКН).

У такого подхода, тем не менее, есть и недостатки, основной из которых заключается в том, что на законодателя возлагается дополнительная ответственность целенаправленно, если не казуистически урегулировать те самые "рамки, установленные законом", причем едва ли удастся уместиться в чч. 3 - 6 ст. 6 152-ФЗ.

В противном же случае возможны проблемы, связанные с оценкой "пропорциональности" осуществляемой обработчиком обработки с точки зрения положений закона, ведь для обработчика "избыточной" будет обработка, выходящая за рамки положений закона (что бы это ни значило), а не за рамки изначального основания оператора. Представляется, что эта проблема решаема, но решение ее займет немало усилий профессионального сообщества и РКН.

Для ЕС вопрос более спорный, так как там формулировка основания и его интерпретация более ограничительные, речь идет об обработке во исполнение "требований закона" (legal obligation), за рамками которых, скорее, лежит домен законного интереса (legitimate interest, подробнее см. Para. 3.8 WP29, Opinion 06/2014 on the notion of legitimate interests of the data controller; Para 25 EDPB Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR)

Вариант № 2, таким образом, подходит, но с комментарием по поводу ряда возможных сложностей при его применении. Осилит ли дорогу идущий? 

Наконец, Вариант № 3, безусловно привлекающий своей простотой. Обработка в Варианте № 3 - она одна на двоих (или даже больше, чем на двоих). Оператор - единственный участник, имеющий право "создавать" новые обработки и он же - единственный, кому законом дозволено отвечать за них. Остальные по общему правилу отвечают перед оператором.

Оператор определяет содержимое обработки, остальные - простые исполнители, не имеющие права в рамках этой обработки выйти за пределы установленных оператором ограничений. Выйдут - станут операторами новой обработки и, вполне вероятно, нарушат поручение оператора и понесут за это ответственность.

Более того, обработчик не обязан знать правовое основание обработки, так как его определяет и за него отвечает оператор (см. выше), на практике наиболее вероятным ответом обработчика о том, на основании чего он обрабатывает данные, будет "на основании поручения оператора".

Исходя из этих посылок и во имя целостности обработки, "организованной и / или осуществляемой" оператором (см. п. 2 ст. 3 152-ФЗ), можно признать особый статус обработчика как не нуждающегося в основании до тех пор, пока он находится под "зонтиком" обработки оператора.

В таком случае единственным возможным недостатком такой интерпретации будет невозможность получить от обработчика какую-либо информацию о правовых основаниях обработки, но это, как было продемонстрировано выше, не противоречит концепции обработчика как такового. Перефразируя известную шутку, "если бы у обработчика было основание, он был бы оператором".

Вариант № 3, таким образом, представляется наиболее оптимальным с точки зрения практической масштабируемости и распределения операционной нагрузки между операторами и обработчиками

Итого, есть два перспективных варианта, из которых один отличается невероятной правовой определенностью, но требует изменения или закона, или практики, а другой - просто удобный и логичный. 

Думайте сами, решайте сами...

P. S. Особое спасибо Алексею Грибанову, Артему Дмитриеву, Елизавете Воронцовой, Дмитрию Якименко и Елизавете Затейщиковой за то, что навели на интересные мысли и не дали сойти с ума при их обсуждении...

Назад