Чем отличается оператор ПДн от обработчика ПДн?

Основное различие между оператором и обработчиком персональных данных заключается в том, кто принимает решения о целях и средствах обработки.

Оператор персональных данных — это организация или физическое лицо, которое:

• самостоятельно определяет цели обработки персональных данных (зачем собираются данные);
• устанавливает состав обрабатываемых данных (какие именно сведения собираются);
• принимает решения о действиях с этими данными (сбор, хранение, передача, уничтожение).

Пример: компания-работодатель обрабатывает персональные данные своих сотрудников — в этой ситуации она оператор. Интернет-магазин, собирающий данные клиентов для доставки заказов, также является оператором.

Обработчик персональных данных — это организация или физическое лицо, которое действует по поручению оператора и обрабатывает данные исключительно в рамках поставленных задач. Обработчик не определяет цели и состав данных — он лишь выполняет технические или организационные функции.

Пример: аутсорсинговая бухгалтерская фирма, которая ведёт расчёт зарплаты сотрудников клиента; хостинг-провайдер, обрабатывающий данные пользователей сайта по поручению владельца; колл-центр, принимающий звонки и фиксирующий данные клиентов для оператора.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — оператор персональных данных — организация или физическое лицо, самостоятельно определяющее цели и средства обработки.
• Ст. 6 ФЗ-152 — допускает обработку персональных данных обработчиком на основании поручения оператора.
• Ст. 18.1, ч. 3 ФЗ-152 — оператор обязан поручить обработку персональных данных другому лицу только на основании договора, где прописаны обязанности по обеспечению безопасности и конфиденциальности.

Практика взаимодействия

На практике Роскомнадзор обращает внимание на наличие договора поручения между оператором и обработчиком. Если такой договор отсутствует, оператор несёт ответственность за незаконную передачу и обработку ПДн.

Пример: интернет-магазин поручает колл-центру обзванивать клиентов. Если договор не оформлен должным образом, ответственность за утечку персональных данных несёт сам интернет-магазин (оператор), а не подрядчик.

Почему важно различать

Ошибки в квалификации могут привести к нарушению закона:

• оператор несёт полную ответственность перед субъектами и государством за законность обработки данных;
• обработчик отвечает только в рамках договора, но обязан соблюдать требования по защите ПДн;
• если оператор неправильно оформит отношения с обработчиком, он рискует получить штраф за нарушение требований 152-ФЗ.

Рекомендации и выводы

Чтобы правильно выстроить работу с персональными данными:

1. Определите, кто является оператором (тот, кто определяет цели обработки).
2. При передаче данных подрядчику оформите письменный договор, где прописаны: перечень данных, цели обработки, обязанности по обеспечению безопасности.
3. Убедитесь, что обработчик принимает меры защиты данных (иначе ответственность останется на операторе).
4. Разработайте полный пакет документов по защите персональных данных, включающий шаблоны договоров с подрядчиками.

Компания ICTech помогает организациям правильно разграничить роли оператора и обработчика, а также подготовить пакет документов по 152-ФЗ. Это позволит выстроить работу с подрядчиками в соответствии с законом, избежать штрафов и защитить бизнес от претензий со стороны Роскомнадзора и клиентов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге