menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Модель «Оператор — Обработчик» персональных данных: экспертный анализ, практика и особенности правоприменения

лонгриды
13.01.2023
25/09/25
Б-152
Лонгриды
События /
Модель «Оператор — Обработчик» персональных данных
В условиях стремительной цифровизации экономики и повсеместного внедрения информационных технологий в бизнес и государственное управление вопросы защиты персональных данных становятся ключевыми как для обеспечения прав субъектов данных, так и для стабильной работы организаций. 
Модель взаимодействия «Оператор — лицо, обрабатывающее ПДн по поручению оператора (далее — Обработчик)» является наиболее популярным видом взаимодействия между организациями, стремящимися к оптимизации процессов обработки персональных данных посредством делегирования функций обработки персональных данных.
Такая модель позволяет операторам сконцентрироваться на ключевых бизнес-процессах, переложив на плечи обработчика задачи, требующие высокой квалификации и соответствия требованиям законодательства
В российском законодательстве основной нормативный акт — Федеральный закон № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) — задает рамки и принципы регулирования обработки. Однако в отличие от зарубежного законодательства, например Европейского Регламента GDPR, российский закон часто оставляет отдельные понятия и роли не вполне четко определенными, что создает пространство для различных интерпретаций и требует глубокого экспертного анализа и практического подхода.
Цели этой статьи: всесторонне раскрыть суть модели «Оператор — Обработчик», проанализировать основные функции и обязанности, разграничить роли, осветить правовые риски и нормативные пробелы, а также показать актуальную практику применения законодательства в России.
Роль и понятие оператора персональных данных
Сооператорство: практика и вызовы
Содержание
Обработчик персональных данных: сущность и юридический статус
Субобработчики: практика и вызовы регулирования
Как правильно разграничить роли: оператор или обработчик?
Практические рекомендации для организаций
В качестве итога рассуждения
Роль и понятие оператора персональных данных
Сооператорство: практика и вызовы
Содержание
Обработчик персональных данных: сущность и юридический статус
Субобработчики: практика и вызовы регулирования
Как правильно разграничить роли: оператор или обработчик?
Практические рекомендации для организаций
В качестве итога рассуждения

Роль и понятие оператора персональных данных

Определение оператора
Согласно статье 3 ФЗ-152, оператором является любое юридическое или физическое лицо (включая государственные и муниципальные органы), которое самостоятельно или совместно с другими лицами:
  • организует,
  • осуществляет обработку персональных данных,
  • а также определяет цели, состав и способы такой обработки.
Это означает, что оператор — не просто лицо, владеющее данными, а субъект, принимающий решения о том, зачем и как будут обрабатываться персональные данные. Такая организация включает в себя создание технологических и процедурных процессов, контроль качества обработки, обеспечение прав субъектов данных и ответственность за безопасность.
  • Определение целей — оператор отвечает за формулирование конкретных и законных целей обработки. Цели должны быть ясными, достижимыми и соответствовать законодательным требованиям.
  • Определение способов обработки — оператор выбирает методы, технические и организационные средства обработки, обеспечивает их соответствие принципам минимизации и безопасности.
  • Ответственность — оператор несет полную ответственность перед субъектами данных и надзорными органами за соответствие процессов требованиям закона.
  • Виды операторов — от индивидуальных предпринимателей и блогеров с обширной аудиторией до крупных корпораций и государственных учреждений.
Таким образом, оператор — это «инициатор и руководитель» процесса обработки, который устанавливает правила игры.
Особенности роли оператора

Классификация операторов

Различают несколько основных категорий операторов, каждая из которых имеет свои особенности:
  • Государственные и муниципальные органы, обрабатывающие данные в рамках своих полномочий, реализуя функции государственного управления и предоставления услуг населению.
  • Коммерческие организации и некоммерческие объединения, обрабатывающие данные в целях ведения бизнеса, оказания услуг, маркетинга и других коммерческих и общественных задач.
  • Физические лица, включая индивидуальных предпринимателей и самозанятых, обрабатывающих данные в личных или профессиональных интересах.
  • Совместная обработка (сооператорство) — модель, допускающая участие нескольких операторов, совместно определяющих цели и средства обработки, с последующим солидарным разделением ответственности. Несмотря на то, что основа для использования такой модели в 152-ФЗ заложены даже в определении термина «оператор» («самостоятельно или совместно с другими лицами»), на практике она не используется: отсутствие достаточной нормативной базы и неоднозначные разъяснения со стороны надзорного органа делают ее использование по сути невозможным.

Сооператорство: практика и вызовы

Сооператорство предполагает, что несколько субъектов совместно принимают решения относительно обработки персональных данных. В этом случае каждый из них:
  • несет полную юридическую ответственность перед субъектами данных и контролирующими органами,
  • участвует в разработке и реализации мер защиты,
  • обеспечивает совместный контроль за процессами обработки.
Для корректной реализации необходимы комплексные договорные соглашения, определяющие зоны ответственности, порядок взаимодействия и алгоритмы реагирования на инциденты.
Отсутствие однозначного регулирования и примеров применения этой модели исключает возможность ее использования.

Обработчик персональных данных: сущность и юридический статус

Отсутствие прямого определения в законодательстве
В российском законе ФЗ-152 отсутствует четкое определение понятия «обработчик персональных данных». В международной практике (например, в GDPR) обработчик (там он именуется «процессором») — это лицо, которое обрабатывает данные от имени оператора, без права самостоятельно определять цели и средства обработки.
Исходя из практики российских судов и контролирующих органов, можно выделить следующие характеристики обработчика:
  • это лицо (юр. лицо или физическое лицо), действующее строго по поручению оператора,
  • не имеет права самостоятельно принимать решения о целях и способах обработки,
  • заключает с оператором договор, регулирующий порядок и условия обработки,
  • несет ответственность за выполнение технических и организационных мер безопасности перед оператором,
  • обязан прекращать обработку после окончания договора и по требованию оператора.
Обработчик выполняет широкий спектр задач, необходимых для реализации процесса обработки персональных данных:
  • внедряет и поддерживает технические средства защиты (шифрование, аутентификация, мониторинг),
  • осуществляет операции с данными: сбор, хранение, передачу, уничтожение,
  • соблюдает нормативные требования, включая инструкции оператора  и условия поручения,
  • оперативно реагирует на инциденты и уведомляет о них оператора.
Ключевые функции обработчика

Субобработчики: практика и вызовы регулирования

Субобработчики — третьи лица, которых обработчик привлекает для выполнения части операций с персональными данными. Несмотря на отсутствие прямого упоминания в российском законодательстве, эта практика широко применяется.
Для минимизации рисков необходимо:
  • предусматривать возможность привлечения субобработчиков в договоре между оператором и обработчиком,
  • заключать отдельные договоры с субобработчиками с теми же требованиями по безопасности и конфиденциальности,
  • контролировать и регулярно проводить аудит всей цепочки обработки, включая субобработчиков,
  • обеспечивать передачу персональных данных субобработчикам только в объеме, необходимом для выполнения поручения.
Субобработка усложняет контроль, увеличивает вероятность инцидентов и требует тщательного документирования и мониторинга.

Как правильно разграничить роли: оператор или обработчик?

Разграничение ролей оператора и обработчика является одним из наиболее критичных и часто спорных вопросов при организации обработки персональных данных в российских компаниях и государственных структурах. От корректного определения статуса стороны зависят ее права, обязанности и уровень ответственности перед субъектами данных и контролирующими органами.
В российском законодательстве прямого и исчерпывающего определения обработчика, в отличие от оператора, нет, что дополнительно усложняет ситуацию. Для понимания и правильной квалификации сторон в отношениях по обработке данных специалисты и суды используют ряд ключевых критериев и факторов, которые рассмотрим подробно.
1. Цели обработки персональных данных
Центральный критерий разграничения — это право определять цели обработки.
Например, компания, собирающая данные клиентов для анализа потребительского поведения, сама определяет цели: улучшение маркетинга, оптимизация продаж и пр. Любой внешний подрядчик, который осуществляет техническую обработку этих данных (например, хранение, систематизацию или анализ по поручению компании), является обработчиком.
Важно понимать, что если сторона самостоятельно решает, зачем и для чего обрабатывать персональные данные, она уже перестаёт быть обработчиком и становится оператором с полным пакетом обязанностей и ответственности.
  • Оператор — самостоятельно устанавливает, зачем именно будут обрабатываться персональные данные, формирует конечные задачи, которые должны быть достигнуты посредством обработки.
  • Обработчик — не имеет права самостоятельно формулировать цели. Его задача — обрабатывать данные исключительно в интересах оператора, строго в рамках поставленных оператором целей.
2. Объем и состав обрабатываемых данных
Разграничение ролей также зависит от объема и характера данных, которыми оперирует каждая из сторон.
Например, оператор может собирать широкий спектр информации: ФИО, контактные данные, историю заказов, платежные данные, медицинские сведения и пр. Обработчик может получать только те данные, которые необходимы для выполнения конкретной задачи, например, только контактные данные для рассылки уведомлений.
Если обработчик начинает расширять объём обрабатываемых данных самостоятельно, без согласования с оператором, он автоматически может быть переквалифицирован в оператора по новым целям и объемам обработки.
  • Оператор определяет категории персональных данных, которые будут собираться и обрабатываться. Он контролирует весь жизненный цикл данных, включая их сбор, использование, хранение и уничтожение.
  • Обработчик действует в рамках предоставленного ему доступа и обязанностей. Его полномочия ограничены конкретным перечнем данных, который утвержден оператором и прописан в договоре.
3. Контроль и управление процессом обработки
Управленческий аспект — один из наиболее значимых признаков:
В случае, если субъект обработки самостоятельно определяет методы и порядок обработки данных, он становится оператором.
Например, если компания передает подрядчику задачи по администрированию базы данных, но при этом контролирует все процессы, принимает решения о политике безопасности, то подрядчик — обработчик. Если же подрядчик начинает самостоятельно принимать решения о целях и методах обработки, он выступает как оператор.
  • Оператор организует и управляет всеми процессами обработки персональных данных. В соответствии с ч. 3 ст. 6 152-ФЗ за обработчиком закреплена обязанность по запросу оператора предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, также обязанность обеспечивать безопасность персональных данных при их обработке. Таким образом, оператор обязан контролировать исполнение требований законодательства при обработке персональных данных обработчиком.
  • Обработчик действует строго под контролем оператора. Он выполняет операции с данными в соответствии с инструкциями и условиями договора. Обработчик не имеет самостоятельной инициативы в управлении процессом обработки.
5. Право выхода за рамки поручения
Ключевой момент — границы полномочий обработчика.
Например, если обработчик начинает использовать данные для своих коммерческих целей без согласия оператора, он автоматически становится оператором и несет всю ответственность.
  • Обработчик обязан строго соблюдать условия договора, выполняя лишь те операции, которые в нем предусмотрены.
  • Если обработчик действует за пределами поручения, самостоятельно принимает решения об изменении целей, объемов или способов обработки, то по отношению к новым операциям он становится оператором.
6. Документальное оформление и ответственность
Правильное разграничение ролей должно быть отражено в соглашении о поручении обработки ПДн и внутренних документах:
  • цели и объем обработки,
  • перечень персональных данных,
  • технические и организационные меры безопасности,
  • права и обязанности,
  • ответственность сторон,
  • порядок взаимодействия и отчетности.
Отсутствие четкого поручения может привести к юридическим рискам: обработчик будет признан оператором, а обе стороны — ответственными перед надзорными органами.
  • Соглашение о поручении обработки персональных данных — основной документ, который должен четко регламентировать права и обязанности сторон.
  • В договоре должны быть описаны:
7. Возможность оператора самостоятельно реализовать процесс: делегирование vs. самостоятельная обработка
Важно помнить, что модель «Оператор — Обработчик» предполагает именно делегирование функций обработки персональных данных от оператора третьей стороне — обработчику. 
Если оператор передает персональные данные третьим лицам, предоставляющим услуги или выполняющим работы, которые оператор не может осуществить самостоятельно, такие третьи лица выступают в роли самостоятельных операторов. Модель в этом случае строится по схеме «Оператор — Оператор». Деятельность этих лиц лицензируется и регулируется отдельным законодательством. 
Пример: оператор передает данные сотрудников в банк для оформления карт зарплатного проекта. В данном случае банк выступает в роли оператора персональных данных.
Другими словами, обработчик оказывает услуги аутсорсинга, выполняя те процессы обработки ПДн, которые оператор мог бы осуществлять самостоятельно, однако предпочитает передать на функцию обработки персональных данных третьей стороне (например, для оптимизации затрат или повышения эффективности).
4. Владение базой данных и право распоряжения персональными данными
Оператор является владельцем базы персональных данных. Он распоряжается данными, принимает решения о передаче, изменении или уничтожении данных.
Если лицо создает и владеет собственной базой данных, в которой хранит персональные данные, оно считается оператором по отношению к этой базе.
Обработчик использует базу оператора и не создает собственных независимых баз данных. Все операции с данными осуществляются исключительно по поручению оператора.

Практические рекомендации для организаций

Для успешной реализации модели «Оператор — Обработчик» и соблюдения требований законодательства рекомендуется:
  • тщательно анализировать бизнес-процессы обработки данных, выявлять роли и функции всех участников,
  • оформлять полноценные договоры поручения с обработчиками и субобработчиками, подробно регламентируя права и обязанности,
  • организовывать постоянный мониторинг и аудит соблюдения мер безопасности и законодательства,
  • своевременно адаптировать внутренние документы и процедуры в соответствии с изменениями в законодательстве и судебной практике,

В качестве итога рассуждения

Разграничение ролей оператора и обработчика персональных данных — это комплексный процесс, требующий анализа нескольких взаимосвязанных факторов: определения целей, объема и характера обработки, управления процессами, разграничения правовых обязательств.
Правильное определение статуса не только снижает юридические риски, но и повышает уровень информационной безопасности, упрощает взаимодействие с субъектами данных и контролирующими органами.
Проверьте свою модель «Оператор — Обработчик»
Мы знаем все подводные камни 152-ФЗ и поможем их обойти.
ОСТАВИТЬ ЗАЯВКУ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме