Наверное, все видели, что 152-ФЗ2.0 ввел нового участника обработки ПДн – лицо, осуществляющее обработкуперсональных данных по поручению оператора (далее, Обработчик). Но не все сделали необходимыевыводы о последствиях и ввели необходимые мероприятия, связанные с даннымнововведением. Попробую разобрать вопрос подробнее.
Во-первых обратимся к статье 3 федеральногозакона, вводящей определения:
“2) оператор -государственный орган, муниципальный орган, юридическое или физическое лицо,самостоятельно или совместно с другими лицами организующие и (или)осуществляющие обработку персональных данных, а также определяющие целиобработки персональных данных, состав персональных данных, подлежащихобработке, действия (операции), совершаемые с персональными данными”
Из этого определения видно, что:
· Для попадания в число Операторов – не обязательноучаствовать в обработке ПДн. Достаточно принять участие в организации такойобработки, определении целей, состава ПДн и действий с ПДн.
· Не все лица участвующие в обработке ПДн являются Операторами. Если лицо не определяет цели обработки ПДн, состав ПДн подлежащегообработке или действий, совершаемых с ПДн – его нельзя назвать Оператором.
Вы спросите, как можноучаствовать в обработке ПДн и не определять целей обработки? Такие случаи возникают,если Лицо обязано вести обработку ПДн в соответствии с каким-либо федеральнымзаконом, приказом, постановлением или договором, в котором определены целиобработки ПДн, состав и действиясовершаемые с ПДн.
Например, часть 3 статьи 6подтверждает такую возможность:
“3. Оператор вправепоручить обработку персональных данных другому лицу с согласия субъектаперсональных данных, если иное не предусмотрено федеральным законом, наосновании заключаемого с этим лицом договора, в том числе государственного илимуниципального контракта, либо путем принятия государственным или муниципальныморганом соответствующего акта (далее - поручение оператора). … В порученииоператора должны быть определены перечень действий (операций) с персональнымиданными, которые будут совершаться лицом, осуществляющим обработку персональныхданных, и цели обработки, …”
Вы спросите, а может ли Лицо,которому никто не поручал обработки ПДн, специально не определять цели, чтобыне попасть в категорию Оператор?
Ответ – не может. Подтверждает его часть 2, 4и 5 статьи 5.
“2. Обработкаперсональных данных должна ограничиваться достижением конкретных, заранееопределенных и законных целей. …
4. Обработке подлежаттолько персональные данные, которые отвечают целям их обработки.
5. Содержание и объемобрабатываемых персональных данных должны соответствовать заявленным целямобработки. …”
Из которых следует, что еслицели и содержание ПДн не определены лицом,обрабатывающим ПДн, и не определены в поручении, то Лицо, участвующее вобработке ПДн, нарушает принципы обработки ПДн.
Если обработка осуществляется Лицомпо поручению Оператора, но в поручении не определены цели и содержание ПДн, топринципы нарушает и Оператор и Обработчик.
Рассмотрим пример с медицинскимстрахованием. Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страхованиив Российской Федерации" определяет, что в целях целях обязательного медицинского страхования должен проводитсяперсонифицированный учет (обработкаПДн), определяет содержание ПДн и дает право фонду обязательного медицинскогострахования организовать обработку данных (статья 33, 43, 44).
В свою очередь территориальныеФОМС выпускают Акты, в которых поручают участникам системы обязательного медицинскогострахования обработку ПДн:
· Приказ ДЗКК/ТФОМСКК N°3275/389-П от 07.09.2011 "Обутверждении Порядка передачи сведений о лицах, застрахованных по обязательномумедицинскому страхованию на территории Краснодарского края, в медицинскиеорганизации, осуществляющие деятельность в сфере обязательного медицинскогострахования на территории Краснодарского края"
· Приказ ДЗ КК/КТФОМС N°1666/172-П от 28.06.2010 "Овведении Положения о порядке информационного обмена в системе обязательногомедицинского страхования на территории Краснодарского края"
Таким образом, все остальныеучастники системы обязательного медицинского страхования являются Обработчиками:
· страхователи (а это любая организация имеющаясотрудников);
· страховые медицинские организации;
· медицинские организации.
Опять же есть нюансы:
· Если в поручении Обработчику содержаться определенные цели и определенно содержание ПДн, а обрабатывается ПДн другого содержания ив большем количестве целей – то Обработчик становится Оператором.
· Если Обработчик, поручает обработку ПДн другимлицам, то он становится Оператором.
· Организация может по одним процессам обработкиПДн быть Оператором (ПДн сотрудников), а по другим – Обработчиком (ПДн клиентов).
Обязанности Оператора и Обработчика существенно различаются, поэтому в следующей заметке сделаю их сравнение и приведунекоторые мысли по организации взаимодействия между ними.
