Страница 16 из 22
Кроме того, множественность лиц на стороне оператора может иметь место при создании несколькими лицами (к примеру, туристическим агентством, сетью отелей и авиакомпанией) единого интернет-портала, где клиент может централизованно заказать услуги каждого из указанных лиц. При этом такие лица определяют объем собираемых данных, порядок размещения заказа, кто из них и в каком объеме может иметь доступ к собранным персональным данным. В этом случае все указанные лица будут совместно выступать в качестве оператора («со-операторы») по отношению к таким персональным данным, что не исключает квалификации каждого из них в качестве самостоятельного оператора по отношению к иным обрабатываемым персональным данным (например, своих работников). Однако если совместного определения целей или иных элементов обработки персональных данных нет, например, в случае, когда туристическое агентство само отправляет персональные данные своих клиентов в отель для подтверждения брони, то нет и множественности лиц на стороне оператора. Каждое из указанных лиц является самостоятельным оператором, обрабатывающим персональные данные для собственных нужд.
Множественность лиц на стороне оператора проявляется и в случае размещения пользователями персональных данных в социальной сети: поскольку социальная сеть устанавливает общие цели обработки данных, состав персональных данных и способы обработки, а пользователь – конкретный состав размещаемых персональных данных, также он может выбирать способы обработки из состава сделанных доступными провайдером сервиса социальной сети, оба указанных лица совместно могут признаваться оператором (в единственном числе) в отношении обрабатываемых персональных данных третьих лиц. Конечно, при условии, что в данном случае в отношении пользователя не будет действовать исключение из правил об обработке персональных данных только для личных и семейных нужд (п. 1 ч. 2 ст. 1 Закона о персональных данных, см. также комментарий к ней).
6. Наличие на стороне оператора множественности лиц вызывает вопрос о распределении ответственности между ними. Тот факт, что Закон о персональных данных говорит об операторе в единственном числе, может быть интерпретирован как несение обязанностей и ответственности каждым со-оператором в полном объеме. С гражданско-правовой точки зрения такой вид ответственности именуется солидарной обязанностью (ст. 323 ГК РФ устанавливает, что «при солидарной обязанности должников кредитор вправе требовать исполнения как от всех должников совместно, так и от любого из них в отдельности, притом как полностью, так и в части долга»). И хотя Закон о персональных данных не оперирует данным термином и не предполагает возможности субсидиарного применения положений гражданского законодательства, принципы солидарной ответственности вполне могут быть применимы и к распределению ответственности между со-операторами. Европейская практика также исходит из принципа солидарной ответственности со-операторов (jointly and severally liable)56.
При этом вопросы распределения ответственности и предъявления регрессных требований вполне могут быть решены со-операторами в соглашении между собой.
7. От оператора персональных данных следует отличать лицо, которое осуществляет обработку данных по его поручению. В европейском законодательстве в этой связи наряду с термином «оператор» (data controller) используется термин «обработчик» (data processor). В российском законодательстве такой термин специально не выделен, однако в ч. 3 ст. 6 Закона о персональных данных упоминается «лицо, осуществляющее обработку персональных данных по поручению оператора». Ключевыми характеристиками такого лица являются: 1) наличие самостоятельной правосубъектности, т.е. это лицо должно быть юридически самостоятельным по отношению к оператору, что позволяет исключить из сферы его работников оператора и обособленные подразделения организации; 2) обработка данных осуществляется таким лицом в интересах оператора.
В качестве лиц, осуществляющих обработку персональных данных по поручению оператора, обычно выступают различного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат), а также провайдеры «облачных» сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных57. Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве операторов таких данных58.
Главным отличием оператора от «лица, осуществляющего обработку персональных данных по поручению оператора», является распределение ответственности между ними. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку. Оператор несет ответственность перед субъектом персональных данных за действия указанного лица, а оно, в свою очередь, − перед оператором (ч. 4 и 5 ст. 6 Закона о персональных данных). Подробнее о правовом статусе лица, осуществляющего обработку персональных данных по поручению оператора, см. в комментарии к ч. 3 ст. 6 настоящего Закона.
Понятие обработки персональных данных
1. Приведенная в Законе о персональных данных дефиниция воспроизводит аналогичное положение Директивы 1995 г. Данное определение отличается от понятия автоматизированной обработки, которое содержится в Конвенции 1981 г. и охватывает «следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение». Во многом это связано с тем, что сфера действия Директивы 1995 г. и Закона о персональных данных не ограничивается исключительно автоматизированной обработкой данных. Кроме того, развитие технологий привело к появлению новых способов обработки данных, что сделало нецелесообразным ограничение их видов каким-либо закрытым перечнем.
2. Первоначально в Законе о персональных данных обработка персональных данных понималась несколько иначе, а именно как «действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных». Последующие изменения в дефиницию конкретизировали ее посредством (1) прямого указания на то, что обработка представляет собой любое действие (в данном случае делается акцент на действии человека) или операцию (акцент на автоматизированной обработке) с персональными данными, и (2) пополнения перечня возможных способов обработки записью, извлечением, передачей данных в различных формах (распространение, предоставление, доступ).
В настоящее время под обработкой персональных данных понимается любое действие (операция), совершаемое с персональными данными, как с использованием средств автоматизации, так и без них. К таковым относятся, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В принципе, невозможно придумать ни одного действия или операции с персональными данными, которые бы не могли быть охвачены понятием «обработка». Аналогичный и столь же широкий подход к данному понятию используется в Директиве 1995 г. и Регламенте 2016 г.
Таким образом, к обработке персональных данных в полной мере можно отнести любое действие, носящее волевой характер и сопряженное с воздействием на данные в период их жизненного цикла: обычное хранение персональных данных на жестком диске компьютерного устройства; использование компьютерных алгоритмов по глубинному анализу данных (data mining).
56
Opinion 1/2010 On the concepts of «controller» and «processor». Article 29 Data Protection Working Party. 16 February 2010. P. 24.
57
Подробнее об «облачных» сервисах см.: Савельев А.И. Правовая природа «облачных» сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. 2015. № 5. С. 62−99.
58
Opinion 05/2012 on Cloud Computing. Article 29 Data Protection Working Party. 1 July 2012.