Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» - страница 33

При этом вопросы распределения ответственности и предъявления регрессных требований вполне могут быть решены со-операторами в соглашении между собой.

7. От оператора персональных данных следует отличать лицо, которое осуществляет обработку данных по его поручению. В европейском законодательстве в этой связи наряду с термином «оператор» (data controller) используется термин «обработчик» (data processor). В российском законодательстве такой термин специально не выделен, однако в ч. 3 ст. 6 Закона о персональных данных упоминается «лицо, осуществляющее обработку персональных данных по поручению оператора». Ключевыми характеристиками такого лица являются: 1) наличие самостоятельной правосубъектности, т.е. это лицо должно быть юридически самостоятельным по отношению к оператору, что позволяет исключить из сферы его работников оператора и обособленные подразделения организации; 2) обработка данных осуществляется таким лицом в интересах оператора.

В качестве лиц, осуществляющих обработку персональных данных по поручению оператора, обычно выступают различного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат), а также провайдеры «облачных» сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных57. Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве операторов таких данных58.

Главным отличием оператора от «лица, осуществляющего обработку персональных данных по поручению оператора», является распределение ответственности между ними. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку. Оператор несет ответственность перед субъектом персональных данных за действия указанного лица, а оно, в свою очередь, − перед оператором (ч. 4 и 5 ст. 6 Закона о персональных данных). Подробнее о правовом статусе лица, осуществляющего обработку персональных данных по поручению оператора, см. в комментарии к ч. 3 ст. 6 настоящего Закона.

1. Приведенная в Законе о персональных данных дефиниция воспроизводит аналогичное положение Директивы 1995 г. Данное определение отличается от понятия автоматизированной обработки, которое содержится в Конвенции 1981 г. и охватывает «следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение». Во многом это связано с тем, что сфера действия Директивы 1995 г. и Закона о персональных данных не ограничивается исключительно автоматизированной обработкой данных. Кроме того, развитие технологий привело к появлению новых способов обработки данных, что сделало нецелесообразным ограничение их видов каким-либо закрытым перечнем.

2. Первоначально в Законе о персональных данных обработка персональных данных понималась несколько иначе, а именно как «действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных». Последующие изменения в дефиницию конкретизировали ее посредством (1) прямого указания на то, что обработка представляет собой любое действие (в данном случае делается акцент на действии человека) или операцию (акцент на автоматизированной обработке) с персональными данными, и (2) пополнения перечня возможных способов обработки записью, извлечением, передачей данных в различных формах (распространение, предоставление, доступ).