Операторы и обработчики персональных данных: мастер-класс от Дениса Лукаша
3 октября в 18.00 в рамках прикладного исследовательского проекта по теме: «Защита приватности на онлайн-платформах» в НИУ ВШЭ, (далее – ПДн) на онлайн-платформах и подходов онлайн-платформ к защите цифровой приватности субъектов персональных данных, прошел мастер-класс «Операторы и обработчики персональных данных». Спикером выступил Денис Лукаш, DPO Infobip в странах Евразии, Средней Азии и Северной Африки, эксперт со стороны Роскомнадзора, автор статей и комментариев в СМИ по вопросам защиты цифровой частной жизни, приглашенный лектор и спикер.
DPO – это аббревиатура должности Data Protection Officer, что дословно переводится как «уполномоченный по защите данных». Иными словами, DPO – это лицо, ответственное за бизнес-процессы и правовую защиту персональных данных в компании.
Компания Infobip – облачная коммуникационная платформа B2B сегмента, мировой лидер рынка мобильных сообщений. Infobip выстраивает стабильное и безопасное взаимодействие бизнеса в цифровых каналах связи – от простой отправки сообщений до полноценного диалога бренда с потребителями. Работая в такой компании, DPO сталкивается с множеством вызовов в разных юрисдикциях. На мастер-классе Денис Лукаш рассказал об особенностях применения Федерального закона № 152 «О персональных данных» в Российской Федерации.
Спикер подчеркнул, что законодательство о персональных данных:
- выстраивает баланс прав и обязанностей между участниками отношений в области ПДн;
- описывает принципы и условия обработки ПДн, права, обязанности субъектов правоотношений.
Спикер предложил рассмотреть более подробно схемы поручения оператором обработки ПДн и передачи ПДн между операторами.
Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.
Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, передачу (распространение, предоставление, доступ) персональных данных.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора (далее – поручение оператора). Спикер выразил мнение, что вместо согласия лучше поискать законное основание.
Понимание передачи в России и ЕС разное: согласно позиции Роскомнадзора (далее – РКН) передача ПДн разделяется на передачу ПДн без поручения и с ним. В то время европейская практика смотрит на это с другой стороны, выделяя передачу и поручение как два подвида общего понятия транзита ПДн.
Спикер выделил ключевой признак Обработчика: у него нет права или обязанности самостоятельно определять цели перед субъектом персональных данных, его деятельность заключается исключительно в обеспечении интересов Оператора ПДн.
Также важно отметить, что, если в холдинге существует передача ПДн между компаниями, мы должны применить общие требования к передаче (поручению оператора), «законный интерес» не сработает. Полная privacy-легальность оперативного управления закладывается на этапе архитектуры корпоративных отношений.
Чтобы структурировать правоотношения по передаче ПДн в холдинге, спикер рекомендовал ответить на вопрос «На ком лежит легализация поручения Обработчику?» Оператор ПДн отвечает за правовые основания сбора и привлечение Обработчиков, Обработчик контактирует с субъектами ПДн от имени Оператора, а не от себя, согласие (основание) для поручения дается субъектом ПД Оператору.
Есть три стратегии легализации поручения оператора:
- если требуется согласие в обязательной письменной форме (в нем указываем Обработчика в соответствии с п. 6 ч. 4 ст. 9 152-ФЗ);
- если согласие субъекта ПДн не требуется в обязательной письменной форме, то применяем ч. 1 ст. 9 152-ФЗ: «согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.»;
- если имеет место договор, то помним, что к нему не применяются требования закона, которые применимы к согласию (по ст.9 152-ФЗ). РКН не уполномочен оспаривать сделки (договоры) операторов ПД, но изменить договор сложнее.
- законное основание.
Также спикер просит обратить внимание на 266-ФЗ (прим.: законом 266-ФЗ внесено немало изменения в 152-ФЗ, поэтому его принято считать реформаторским). Если Обработчик за рубежом, то Оператор должен уведомить о трансграничной передаче РКН, предоставив ему следующие сведения:
«3) правовое основание и цель трансграничной передачи ПДн дальнейшей обработки переданных ПДн;
4) категории и перечень передаваемых ПДн;
5) категории субъектов ПДн, ПДн которых передаются;
6) перечень иностранных государств, на территории которых планируется трансграничная передача ПДн.».
Если компания использует WhatsApp, то это тоже трансграничная передача данных: компания-Обработчик – WhatsApp., с локализацией у нее не все хорошо.
Чтобы легализовать правоотношения с Обработчиками ПДн Денис Лукаш рекомендует
1. разработать/дополнить политику и процедуры проверки контрагентов на предмет законности обработки ПДн;
2. провести аудит контрагентов по данной процедуре, идентифицировать риски;
3. оценить риски работы с контрагентами, возможности их снижения, при необходимости внедрить контроли и метрики;
4. принять решение о работе с конкретным контрагентом, где это возможно, заключать договоры с полной передачей (без поручения), обновить поручение оператора по новым требованиям 152-ФЗ (если не обновлено);
5. прописать бизнес-процесс контрагента в договорах.
6. периодически переоценивать контрагентов.
Что делать Обработчикам ПДн?
1. Отделять обязанность предоставления документов и информации о мерах и требованиях от предоставления иных данных.
2. Убирать неустойки и штрафы из текстов договоров/поручений, ограничивать сроки, глубину, порядок аудита, сужать толкование ч. 3 ст. 6.
3. Создавать маркетинговые инструменты в сфере приватности.
Мастер-класс обратил внимание слушателей на
- риски обмена персональных данных в группах компаний;
- вопросы гражданско-правовых отношений операторов и обработчиков данных при использовании интернет-сервисов;
- практические аспекты передачи персональных данных через Интернет российским и иностранным юридическим лицам.
Больше о правом регулирования конфиденциальности данных и о бизнес-процессах, связанных с обработкой данных, можно узнать в телеграм-канале Дениса Privacy Expert.
Команда проекта «Защита приватности на онлайн-платформах» в НИУ ВШЭ благодарит Дениса Лукаша за встречу и готовится к работе со следующим спикером.
Автор статьи: Черкашина Анастасия, студентка 3 курса НИУ ВШЭ
Нашли опечатку?
Выделите её, нажмите Ctrl+Enter и отправьте нам уведомление. Спасибо за участие!
Сервис предназначен только для отправки сообщений об орфографических и пунктуационных ошибках.