Для начала сравним обязанности иответственность Оператора ПДн и Обработчика ПДн (лицо, осуществляющее обработкуперсональных данных по поручению оператора) при обработке ПДн.
№ | Обязанности и ответственность Оператора | Обязанности и ответственность Обработчика |
Общие | ||
1. | Соблюдение принципов обработки ПДн, определенных в статье 5 | Соблюдение принципов обработки ПДн, определенных в статье 5 |
2. | Ответственность перед субъектомПДн за действия Обработчиков, которым поручал | Ответственность перед Оператором, который поручил обработку |
3. | Назначать ответственного за организацию обработки ПДн | - |
При взаимодействии с Субъектом | ||
4. | Соблюдение условий обработки ПДн, определенных в части 1 статьи 6, в том числе получение согласия на обработку ПДн в случаях, не попадающих под исключения. | - |
5. | Предоставлять доказательства получения согласия | - |
6. | Вести перечень Обработчиков, которым поручил и включать этот перечень в согласие | - |
7. | Вести перечень действий с ПДн выполняемых как Оператором так и Обработчиком, которым поручил и включать этот перечень в согласие | - |
8. | Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн | Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн |
9. | При получении ПДн от третьих лиц соблюдать условия в части 8 статьи 9 (требовать подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11) | Получение ПДн от третьих лиц должно быть разрешено в поручении Оператора |
10. | Разъяснять субъекту ПДн порядки, условия, правила | - |
11. | Рассматривать возражения субъекта ПДн в ряде случаев | - |
12. | Предоставлять субъекту информацию об обработке в ряде случаев | - |
13. | Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн (в том числе обрабатываемыми Обработчиком по поручению) | Предоставлять субъекту возможность ознакомления с обрабатываемыми ПДн, по требованию Оператора, поручившего обработку |
14. | Давать мотивированные ответы субъекту в ряде случаев | - |
15. | Блокировать обработку ПДн в ряде случаев или обеспечить блокирование Обработчиком | Блокировать обработку ПДн по запросу Оператора, поручившего обработку |
16. | Уточнять ПДн в ряде случаев или обеспечить уточнение Обработчиком | Уточнять ПДн по запросу Оператора, поручившего обработку |
17. | Прекратить обработку ПДн в ряде случаев или обеспечить прекращение Обработчиком | Прекратить обработку ПДн по запросу Оператора, поручившего обработку |
18. | Уничтожить ПДн в ряде случаев или обеспечить уничтожение Обработчиком | Уничтожить ПДн по запросу Оператора, поручившего обработку |
19. | Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и подзаконными актами | Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных 152-ФЗ и поручение оператора |
20. | Опубликовать политику обработки ПДн | - |
При взаимодействии с Регуляторами | ||
21. | Предоставить Роскомнадзору набор внутренних нормативных актов по запросу | - |
22. | Предоставить Роскомнадзору информацию по запросу | - |
23. | Уведомить Роскомнадзору об обработке ПДн (в том числе перечень Обработчиков и перечень действий с ПДн, выполняемых обработчиками) | - |
По защите ПДн | ||
24. | Убедится в адекватности защиты ПДн иностранным государством при трансграничной передаче | Трансграничная передача должна быть разрешено в поручении Оператора |
25. | Принимать необходимые меры ОБ ПДн или обеспечивать их принятие Обработчиком | Принимать меры защиты ПДн требуемые поручение Оператора |
26. | В поручении Обработчику определять: · перечень действий c ПДн · цели обработки ПДн · ответственность по обеспечению конфиденциальностиПД · ответственность по обеспечению безопасности при обработке · ответственность за действия с ПДн · требовании по защите ПДн · порядок взаимодействия Оператора и Обработчика при необходимости изменений перечня действий с ПДн · порядок взаимодействия Оператора и Обработчика при ознакомлении Субъекта с ПДн · порядок взаимодействия Оператора и Обработчика по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных. | - |
27. | Выполнять требования ПП 781 и 687 | Принимать меры защиты ПДн требуемые в поручение Оператора |
28. | Выполнять требования подзаконных актов ФСТЭК и ФСБ | Принимать меры защиты ПДн требуемые в поручение Оператора |
1. Из приведенного выше сравнения видно, что большаячасть обязанностей по взаимодействию с Субъектами и Регуляторами ложится наОператора. Фактически Оператор становится посредником между Субъектами,Регуляторами и Обработчиками.
Если говорить о различие вовнутренних документах по обработке, то у Оператора должны быть регламентированымероприятия:
· по организации обработки ПДн
· по обработке ПДн
· по взаимодействию с Субъектами
· по взаимодействию с Регуляторами
· по взаимодействию с Обработчиками
До выхода 152-ФЗ, вопросыорганизации обработки в Обработчике и вопросы взаимодействия с Обработчиком фактическине прорабатывались, всё организации были сами за себя и внедряли своиоригинальные мероприятия. Теперь же Оператор должен анализировать, проектировать,разрабатывать мероприятия для себя и всех кому поручил.
Если раньше Оператор вел перечень ПДн,действий с ПДн, целей, оснований, сроков хранения ПДн только за себя, то теперьон должен вести эти перечни по всем Обработчикам, которым поручил.
У Обработчика же должно бытьрегламентированы мероприятия обработке ПДн и по взаимодействию с Оператором. И то, большей частью они должны быть полученыот Оператора или тесно связаны с ним.
Так что глупо приходить кобработчику и спрашивать, почему он не собирает согласия, не принимает такие-томеры, если эти меры не требует от него Оператор.
Соответственно когда приходитИнтегратор и внедряет Обработчику типовой комплект документов для Оператора этовызывает недоумение.
2. Из приведенного выше сравнения видно, что большаячасть обязанностей Обработчика по обеспечению безопасности ПДн зависит от требованийпредъявляемых в Поручении.
Могут быть варианты, когдатребования для Обработчика окажутся даже более жесткими или более широкими чемдля Оператора. Ведь ничего не мешает Оператору скопировать все требования из 152-ФЗ,подзаконных актов и добавить ещё что-то от себя.
Но в некотором идеальномварианте должно быть наоборот – Оператор может взять на себя такие мероприятиякак проведение обследования ИСПДн, оптимизацию ИСПДн, разработку модели угроз, техническихтребований к СЗПДн, проекта СЗПДн, шаблонов документов. Обработчику жеостанется только выбрать из готового перечня понравившиеся СЗИ и принять у себярекомендованные документы.
Соответственно когда приходит Интегратор и выполняет для Обработчика полный набор мероприятий не имея на руках требований Оператора - это вызывает недоумение.
Соответственно когда приходит Интегратор и выполняет для Обработчика полный набор мероприятий не имея на руках требований Оператора - это вызывает недоумение.