Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» - страница 31

Ключевым отличием дефиниции, содержащейся в Законе о персональных данных, от той, которая содержится в Директиве 1995 г. и Регламенте 2016 г., является использование в Законе о персональных данных словосочетания «состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» вместо обобщенного понятия «средства обработки» (means of the processing of personal data). Однако это не меняет существа используемого критерия, поскольку понятие «средства обработки» в европейском праве охватывает и состав обрабатываемых данных, и действия, которые осуществляются с ними55. В этой связи можно говорить о том, что понятие «оператор персональных данных» в российском и европейском праве является по существу идентичным.

2. Для решения вопроса о том, является ли конкретное лицо оператором персональных данных, необходимо принимать во внимание все обстоятельства, поскольку данный вопрос является вопросом факта. Простого указания в тексте договора на то, что определенная сторона выступает в качестве оператора персональных данных, недостаточно. Как правило, в качестве оператора будет выступать любое лицо, которое решило осуществлять обработку персональных данных в своих интересах и имеет правовую и (или) фактическую возможность определять существенные условия такой обработки. При этом осуществлять непосредственные действия по обработке персональных данных такому лицу для признания его оператором не требуется, на что указывает использование предлогов «и (или)» в выражении «организующие и (или) осуществляющие обработку персональных данных».

Представляется, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Определение состава персональных данных и конкретных способов их обработки, включая используемые программно-аппаратные средства, нередко требует наличия специальной квалификации, в связи с чем данные элементы могут по факту определяться привлеченными оператором лицами. Однако предоставление оператору информации о них, а также последующее продолжение его взаимоотношений с таким привлеченным лицом могут рассматриваться как согласие с указанными действиями и проявление контрольных функций в отношении таких действий. Таким образом, в указанных случаях лицо будет признаваться оператором персональных данных даже несмотря на то, что отдельные аспекты обработки данных были определены иным лицом.

3. Типичными примерами операторов персональных данных являются организации, которые осуществляют обработку данных своих работников (и) или клиентов − физических лиц; лица, которые осуществляют сбор и анализ общедоступных данных в сети «Интернет»; государственные органы и учреждения, которые обрабатывают персональные данные граждан в процессе предоставления государственных услуг; онлайн-сервисы, которые предусматривают регистрацию пользователей и (или) собирают данные о них в процессе использования такого сервиса.

4. В случае если цели обработки, состав персональных данных и способы обработки определяются работником организации, например, лицом, специально назначенным в качестве ответственного за обработку данных, оператором будет признаваться сама организация, а не такое физическое лицо. При этом если такое физическое лицо будет использовать персональные данные в своих целях без ведома организации, то его можно будет признать оператором с возложением всех соответствующих обязанностей и ответственности, однако сама организация также будет нести ответственность за действия такого работника на основании п. 1 ст. 1068 ГК РФ. В данном случае можно говорить о вине организации, выразившейся в том, что она не смогла принять необходимые меры безопасности, направленные на предотвращение несанкционированного доступа и обработки персональных данных своими работниками.