Оператор VS уполномоченное лицо: как правильно определить роль

Кажется, про персональные данные мы слышим практически каждый день по новостям, в транспорте или разговоре с друзьями и коллегами. Мы все чаще применяем на практике правила цифровой конфиденциальности. Однако мы не задумываемся, что за безопасностью наших персональных данных стоит работа DPO и специалистов по информационной безопасности. 

Один из вопросов, который задает себе DPO, при работе с новым контрагентом - а какая у него роль: оператор, сооператор, часть оператора или уполномоченное лицо. 

Напомним, от установления правильной роли зависит документальное оформление отношений между компаниями. Если контрагент является уполномоченным лицом, то необходимо закрепить в отдельном договоре либо в разделе действующего договора следующее: 

• цели обработки персональных данных (например, проведение фотосъемки мероприятия 5 мая 2026 года);
• перечень конкретных действий, которые будут совершаться с персональными данными уполномоченным лицом (например, сбор посредством фотографирования, предоставление и трансграничная передача МКПАО «ЯНДЕКС» при выгрузке готовых фотографий на Яндекс.Диск, хранение в течение 1 месяца);
• обязанности по соблюдению конфиденциальности персональных данных (например, не разглашать персональные данные без надлежащего правового основания);
• меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о персональных данных (например, привлечение субуполномоченных лиц с письменного согласия оператора, издание политики в отношении обработки персональных данных, предоставление информации о порядке обработки персональных данных по запросу оператора в течение 5 рабочих дней).

Сегодня мы хотим напомнить несколько ключевых пунктов, которые важны для разграничения. 

1. Оператор организует обработку персональных данных, то есть цели и сроки, объем обрабатываемых данных, круг лиц, которым предоставляются персональные данные. 
Например, компания - оператор онлайн-платформы по обучению физических лиц организует обработку персональных данных. Саму обработку осуществляют ее подрядчики: поставщики платежных услуг при оплате, облачные сервисы и т.д. 

2. Оператор сам обрабатывает персональные данные.
Например, наниматель обрабатывает персональные данные своих работников (ФИО, дата рождения, паспортные данные, сведения об образовании, фотография и др.) самостоятельно без привлечения третьих лиц. Порядок обработки персональных данных в рамках трудовых отношениях устанавливается законодательством.

3. Оператор комбинирует две формы: организация и обработка персональных данных. 
Например, медицинский центр при заключении договора с пациентами обрабатывает их персональные данные (ФИО, паспортные данные, анализы крови, информация о диагнозах и др.), самостоятельно определяя объем и порядок таких данных.

Напомним, сооператоры - операторы, которые организуют и (или) осуществляют обработку персональных данных, совместно с единой целью и обработкой одинакового объема персональных данных. 

Например, совместная программа лояльности двух компаний, когда потребитель приобретает платье в магазине и получает купон в пиццерию (обрабатываются имя и адрес электронной почты с целью участия в программе лояльности "Taste & Style Club"). 

• Несмотря на то, что в законодательстве не установлены требования к договору между сооператорами, рекомендуем отразить в нем следующее: - Цели обработки (например, участие в программе лояльности "Совместный путь")
•  Перечень обрабатываемых персональных данных (например, сбор путем заполнения электронной анкеты, предоставление сооператору “название и УНП компании”, хранение в течение 1 года после получения согласия)
• Права и обязанности каждого сооператора    
• Порядок рассмотрения заявлений субъектов персональных данных

Важно! В политике в отношении обработки персональных данных должна быть ссылка на сооператора. 

Классическим примером взаимодействия может стать "оператор-оператор". Это означает, что у каждого лица собственные интересы и самостоятельное определение каждым лицом ключевых параметров обработки. В такой ситуации в законодательстве нет определенных требований к установлению правоотношений между такими лицами.
Например, организация-продавец и организация-покупатель указывают в договоре имя и почту своих работников как представителей. Каждая из организаций обрабатывает данные работников контрагента как самостоятельный оператор. 

Таким образом, часто при анализе правоотношений действительно сложно определить правильно правовую роль и правовое основание обработки. Однако именно от ее установления зависит договорная обвязка.