СЗПДн. Анализ. Поручение обработки ПДн. Часть 1.
Наверное, все видели, что 152-ФЗ
2.0 ввел нового участника обработки ПДн – лицо, осуществляющее обработку
персональных данных по поручению оператора (далее, Обработчик). Но не все сделали необходимые
выводы о последствиях и ввели необходимые мероприятия, связанные с данным
нововведением. Попробую разобрать вопрос подробнее.
Во-первых обратимся к статье 3 федерального
закона, вводящей определения:
“2) оператор -
государственный орган, муниципальный орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными”
Из этого определения видно, что:
·
Для попадания в число Операторов – не обязательно
участвовать в обработке ПДн. Достаточно принять участие в организации такой
обработки, определении целей, состава ПДн и действий с ПДн.
·
Не все лица участвующие в обработке ПДн являются Операторами. Если лицо не определяет цели обработки ПДн, состав ПДн подлежащего
обработке или действий, совершаемых с ПДн – его нельзя назвать Оператором.
Вы спросите, как можно
участвовать в обработке ПДн и не определять целей обработки? Такие случаи возникают,
если Лицо обязано вести обработку ПДн в соответствии с каким-либо федеральным
законом, приказом, постановлением или договором, в котором определены цели
обработки ПДн, состав и действия
совершаемые с ПДн.
Например, часть 3 статьи 6
подтверждает такую возможность:
“3. Оператор вправе
поручить обработку персональных данных другому лицу с согласия субъекта
персональных данных, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора, в том числе государственного или
муниципального контракта, либо путем принятия государственным или муниципальным
органом соответствующего акта (далее - поручение оператора). … В поручении
оператора должны быть определены перечень действий (операций) с персональными
данными, которые будут совершаться лицом, осуществляющим обработку персональных
данных, и цели обработки, …”
Вы спросите, а может ли Лицо,
которому никто не поручал обработки ПДн, специально не определять цели, чтобы
не попасть в категорию Оператор?
Ответ – не может. Подтверждает его часть 2, 4
и 5 статьи 5.
“2. Обработка
персональных данных должна ограничиваться достижением конкретных, заранее
определенных и законных целей. …
4. Обработке подлежат
только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем
обрабатываемых персональных данных должны соответствовать заявленным целям
обработки. …”
Из которых следует, что если
цели и содержание ПДн не определены лицом,
обрабатывающим ПДн, и не определены в поручении, то Лицо, участвующее в
обработке ПДн, нарушает принципы обработки ПДн.
Если обработка осуществляется Лицом
по поручению Оператора, но в поручении не определены цели и содержание ПДн, то
принципы нарушает и Оператор и Обработчик.
Рассмотрим пример с медицинским
страхованием. Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании
в Российской Федерации" определяет, что в целях целях обязательного медицинского страхования должен проводится
персонифицированный учет (обработка
ПДн), определяет содержание ПДн и дает право фонду обязательного медицинского
страхования организовать обработку данных (статья 33, 43, 44).
В свою очередь территориальные
ФОМС выпускают Акты, в которых поручают участникам системы обязательного медицинского
страхования обработку ПДн:
·
Приказ ДЗКК/ТФОМСКК N°3275/389-П от 07.09.2011 "Об
утверждении Порядка передачи сведений о лицах, застрахованных по обязательному
медицинскому страхованию на территории Краснодарского края, в медицинские
организации, осуществляющие деятельность в сфере обязательного медицинского
страхования на территории Краснодарского края"
·
Приказ ДЗ КК/КТФОМС N°1666/172-П от 28.06.2010 "О
введении Положения о порядке информационного обмена в системе обязательного
медицинского страхования на территории Краснодарского края"
Таким образом, все остальные
участники системы обязательного медицинского страхования являются Обработчиками:
·
страхователи (а это любая организация имеющая
сотрудников);
·
страховые медицинские организации;
·
медицинские организации.
Опять же есть нюансы:
·
Если в поручении Обработчику содержаться определенные цели и определенно содержание ПДн, а обрабатывается ПДн другого содержания и
в большем количестве целей – то Обработчик становится Оператором.
·
Если Обработчик, поручает обработку ПДн другим
лицам, то он становится Оператором.
·
Организация может по одним процессам обработки
ПДн быть Оператором (ПДн сотрудников), а по другим – Обработчиком (ПДн клиентов).
Обязанности Оператора и Обработчика существенно различаются, поэтому в следующей заметке сделаю их сравнение и приведу
некоторые мысли по организации взаимодействия между ними.
Комментарии
Да папа является одновременно сыном дедушки, а дедушка - отцом папы.
Но что из этого следует - узнаем в следующей серии. так? :)
Многие интеграторы так-же не вполне переварили новую версию ФЗ и внедряют Обработчикам такие комплекты документов (организационные мероприятия) как и для Оператров.
Не хотелось бы строить сложные цепочки рассуждений на основе неверных предпосылок.