Операторы и обработчики персональных данных: мастер-класс от Дениса Лукаша

3 октября в 18.00 в рамках прикладного исследовательского проекта по теме: «Защита приватности на онлайн-платформах» в НИУ ВШЭ, (далее – ПДн) на онлайн-платформах и подходов онлайн-платформ к защите цифровой приватности субъектов персональных данных, прошел мастер-класс «Операторы и обработчики персональных данных». Спикером выступил Денис Лукаш, DPO Infobip в странах Евразии, Средней Азии и Северной Африки, эксперт со стороны Роскомнадзора, автор статей и комментариев в СМИ по вопросам защиты цифровой частной жизни, приглашенный лектор и спикер.

DPO – это аббревиатура должности Data Protection Officer, что дословно переводится как «уполномоченный по защите данных». Иными словами, DPO – это лицо, ответственное за бизнес-процессы и правовую защиту персональных данных в компании.

Компания Infobip – облачная коммуникационная платформа B2B сегмента, мировой лидер рынка мобильных сообщений. Infobip выстраивает стабильное и безопасное взаимодействие бизнеса в цифровых каналах связи – от простой отправки сообщений до полноценного диалога бренда с потребителями. Работая в такой компании, DPO сталкивается с множеством вызовов в разных юрисдикциях. На мастер-классе Денис Лукаш рассказал об особенностях применения Федерального закона № 152 «О персональных данных» в Российской Федерации.

Спикер подчеркнул, что законодательство о персональных данных:

• выстраивает баланс прав и обязанностей между участниками отношений в области ПДн;
• описывает принципы и условия обработки ПДн, права, обязанности субъектов правоотношений.

Спикер предложил рассмотреть более подробно схемы поручения оператором обработки ПДн и передачи ПДн между операторами.

Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, передачу (распространение, предоставление, доступ) персональных данных.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора (далее – поручение оператора). Спикер выразил мнение, что вместо согласия лучше поискать законное основание.

Понимание передачи в России и ЕС разное: согласно позиции Роскомнадзора (далее – РКН) передача ПДн разделяется на передачу ПДн без поручения и с ним. В то время европейская практика смотрит на это с другой стороны, выделяя передачу и поручение как два подвида общего понятия транзита ПДн.

Спикер выделил ключевой признак Обработчика: у него нет права или обязанности самостоятельно определять цели перед субъектом персональных данных, его деятельность заключается исключительно в обеспечении интересов Оператора ПДн.

Также важно отметить, что, если в холдинге существует передача ПДн между компаниями, мы должны применить общие требования к передаче (поручению оператора), «законный интерес» не сработает. Полная privacy-легальность оперативного управления закладывается на этапе архитектуры корпоративных отношений.

Чтобы структурировать правоотношения по передаче ПДн в холдинге, спикер рекомендовал ответить на вопрос «На ком лежит легализация поручения Обработчику?» Оператор ПДн отвечает за правовые основания сбора и привлечение Обработчиков, Обработчик контактирует с субъектами ПДн от имени Оператора, а не от себя, согласие (основание) для поручения дается субъектом ПД Оператору.

Есть три стратегии легализации поручения оператора:

• если требуется согласие в обязательной письменной форме (в нем указываем Обработчика в соответствии с п. 6 ч. 4 ст. 9 152-ФЗ);
• если согласие субъекта ПДн не требуется в обязательной письменной форме, то применяем ч. 1 ст. 9 152-ФЗ: «согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.»;
• если имеет место договор, то помним, что к нему не применяются требования закона, которые применимы к согласию (по ст.9 152-ФЗ). РКН не уполномочен оспаривать сделки (договоры) операторов ПД, но изменить договор сложнее.
• законное основание.

Также спикер просит обратить внимание на 266-ФЗ (прим.: законом 266-ФЗ внесено немало изменения в 152-ФЗ, поэтому его принято считать реформаторским). Если Обработчик за рубежом, то Оператор должен уведомить о трансграничной передаче РКН, предоставив ему следующие сведения:

«3) правовое основание и цель трансграничной передачи ПДн дальнейшей обработки переданных ПДн;

4) категории и перечень передаваемых ПДн;

5) категории субъектов ПДн, ПДн которых передаются;

6) перечень иностранных государств, на территории которых планируется трансграничная передача ПДн.».

Если компания использует WhatsApp, то это тоже трансграничная передача данных: компания-Обработчик – WhatsApp., с локализацией у нее не все хорошо.

Чтобы легализовать правоотношения с Обработчиками ПДн Денис Лукаш рекомендует

1. разработать/дополнить политику и процедуры проверки контрагентов на предмет законности обработки ПДн;

2. провести аудит контрагентов по данной процедуре, идентифицировать риски;

3. оценить риски работы с контрагентами, возможности их снижения, при необходимости внедрить контроли и метрики;

4. принять решение о работе с конкретным контрагентом, где это возможно, заключать договоры с полной передачей (без поручения), обновить поручение оператора по новым требованиям 152-ФЗ (если не обновлено);

5. прописать бизнес-процесс контрагента в договорах.

6. периодически переоценивать контрагентов.

Что делать Обработчикам ПДн?

1. Отделять обязанность предоставления документов и информации о мерах и требованиях от предоставления иных данных.

2. Убирать неустойки и штрафы из текстов договоров/поручений, ограничивать сроки, глубину, порядок аудита, сужать толкование ч. 3 ст. 6.

3. Создавать маркетинговые инструменты в сфере приватности.

Мастер-класс обратил внимание слушателей на

• риски обмена персональных данных в группах компаний;
• вопросы гражданско-правовых отношений операторов и обработчиков данных при использовании интернет-сервисов;
• практические аспекты передачи персональных данных через Интернет российским и иностранным юридическим лицам.

Больше о правом регулирования конфиденциальности данных и о бизнес-процессах, связанных с обработкой данных, можно узнать в телеграм-канале Дениса Privacy Expert.

Команда проекта «Защита приватности на онлайн-платформах» в НИУ ВШЭ благодарит Дениса Лукаша за встречу и готовится к работе со следующим спикером.

Автор статьи: Черкашина Анастасия, студентка 3 курса НИУ ВШЭ