СЗПДн. Анализ. Поручение обработки ПДн. Часть 1.


Наверное, все видели, что 152-ФЗ 2.0 ввел нового участника обработки ПДн – лицо, осуществляющее обработку персональных данных по поручению оператора (далее, Обработчик). Но не все сделали необходимые выводы о последствиях и ввели необходимые мероприятия, связанные с данным нововведением. Попробую разобрать вопрос подробнее.
Во-первых обратимся к статье 3 федерального закона, вводящей определения:
“2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными”
Из этого определения видно, что:
·        Для попадания в число Операторов – не обязательно участвовать в обработке ПДн. Достаточно принять участие в организации такой обработки, определении целей, состава ПДн и действий с ПДн.
·        Не все лица участвующие в обработке ПДн являются Операторами. Если лицо не определяет цели обработки ПДн, состав ПДн подлежащего обработке или действий, совершаемых с ПДн – его нельзя назвать Оператором.

Вы спросите, как можно участвовать в обработке ПДн и не определять целей обработки? Такие случаи возникают, если Лицо обязано вести обработку ПДн в соответствии с каким-либо федеральным законом, приказом, постановлением или договором, в котором определены цели обработки ПДн, состав и  действия совершаемые с ПДн.
Например, часть 3 статьи 6 подтверждает такую возможность:
“3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). … В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, …”

Вы спросите, а может ли Лицо, которому никто не поручал обработки ПДн, специально не определять цели, чтобы не попасть в категорию Оператор?
 Ответ – не может. Подтверждает его часть 2, 4 и 5 статьи 5.
“2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. …
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. …”
Из которых следует, что если цели и содержание ПДн не определены  лицом, обрабатывающим ПДн, и не определены в поручении, то Лицо, участвующее в обработке ПДн, нарушает принципы обработки ПДн.

Если обработка осуществляется Лицом по поручению Оператора, но в поручении не определены цели и содержание ПДн, то принципы нарушает и Оператор и Обработчик.

Рассмотрим пример с медицинским страхованием. Федеральный закон от 29.11.2010 N 326-ФЗ  "Об обязательном медицинском страховании в Российской Федерации"  определяет, что в целях целях обязательного медицинского страхования должен проводится персонифицированный учет (обработка ПДн), определяет содержание ПДн и дает право фонду обязательного медицинского страхования организовать обработку данных (статья 33, 43, 44).
В свою очередь территориальные ФОМС выпускают Акты, в которых поручают участникам системы обязательного медицинского страхования обработку ПДн:
·        Приказ ДЗКК/ТФОМСКК N°3275/389-П от 07.09.2011 "Об утверждении Порядка передачи сведений о лицах, застрахованных по обязательному медицинскому страхованию на территории Краснодарского края, в медицинские организации, осуществляющие деятельность в сфере обязательного медицинского страхования на территории Краснодарского края" 
·        Приказ ДЗ КК/КТФОМС N°1666/172-П от 28.06.2010 "О введении Положения о порядке информационного обмена в системе обязательного медицинского страхования на территории Краснодарского края"

Таким образом, все остальные участники системы обязательного медицинского страхования являются Обработчиками:
·        страхователи (а это любая организация имеющая сотрудников);
·        страховые медицинские организации;
·        медицинские организации.

Опять же есть  нюансы:
·        Если в поручении Обработчику содержаться определенные цели и определенно содержание ПДн, а обрабатывается ПДн другого содержания и в большем количестве целей – то Обработчик становится Оператором.
·        Если Обработчик, поручает обработку ПДн другим лицам, то он становится Оператором.
·        Организация может по одним процессам обработки ПДн быть Оператором (ПДн сотрудников), а по другим – Обработчиком (ПДн клиентов).

Обязанности Оператора и Обработчика существенно различаются, поэтому в следующей заметке сделаю их сравнение и приведу некоторые мысли по организации взаимодействия между ними.

Комментарии

Artem Ageev написал(а)…
не совсем понятна идея самой статьи.
Да папа является одновременно сыном дедушки, а дедушка - отцом папы.

Но что из этого следует - узнаем в следующей серии. так? :)
Artem Ageev написал(а)…
опять же, думаю уродское "ЛООПДППО" можно вполне безболезненно заменить на "обработчик"..
Игорь Бурцев написал(а)…
Кроме того, регуляторы, судя по их высказываниях на различных мероприятиях, не разделяют точку зрения с однозначным разделением операторов и обработчиков - насколько я понял их мысль, то все обработчики являются операторами, поэтому должны выполнять обязанности оператора, но с учетом тех поблажек, что сделаны для обработчика (например, в части неуведомления субъекта ПДн о передаче ему их на обработку).
Сергей Борисов написал(а)…
Собственно решил написать заметку, Потому что Роскомнадзор никак не может прочитать новую версию ФЗ и продолжает требовать с Обработчика согласия и другие мероприятия вмененные только Оператору.

Многие интеграторы так-же не вполне переварили новую версию ФЗ и внедряют Обработчикам такие комплекты документов (организационные мероприятия) как и для Оператров.
Сергей Борисов написал(а)…
Перед тем как продолжить обсуждение, как раз интересно услышать - есть ли другие аргументированные мнения?

Не хотелось бы строить сложные цепочки рассуждений на основе неверных предпосылок.
Сергей Борисов написал(а)…
Артем, на счет обработчика ты верно заметил. В своем блоге пожалуй можно любые обозначения использовать.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3