Logo Logo
info@lukash.partners

Об ответственности за отсутствие поручения

К ответственности за отсутствие согласия на поручение обработки персональных данных или несоответствие содержания поручения требованиям ч. 3 ст. 6 Закона №152-ФЗ будет привлечен оператор.

Денис Лукаш

Проверено экспертом

Денис Лукаш

Профессиональный DPO, юрист в области информационного права

23.05.2024

Кто будет привлечен к ответственности в случае несоответствия поручения обработки персональных данных требованиям Закона №152-ФЗ: оператор или обработчик данных?

В данном случае будет привлечен к ответственности оператор. 

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договор либо путем принятия государственным органом или муниципальным органом соответствующего акта (ч. 3 ст. 6 Закона №152-ФЗ). 

Требования к форме и содержанию поручения также установлены ч. 3 ст. 6 Закона №152-ФЗ.

В свою очередь, бремя ответственности оператора и обработчика распределяется следующим образом:

  • оператор отвечает перед субъектом персональных данных за действия обработчика;
  • обработчик отвечает перед оператором персональных данных (ч. 5 ст. 6 Закона №152-ФЗ).

Отсутствие одного из указанных условий толкуется судами как нарушение ч. 3 ст. 6 Закона №152-ФЗ оператором:

  • в деле №А40-81171/17-149-793 оператор был привлечен к ответственности за отсутствие отдельного согласия субъектов персональных данных на поручение обработки;
  • в деле А40-7530/18-139-40 оператор был привлечен к ответственности не только за отсутствие согласия на поручение, но и за отсутствие в поручении  перечня  (операций) с персональными данными, которые будут совершаться обработчиком, отсутствия указания требований к защите персональных данных и иных нарушений. 

В свою очередь, Роскомнадзор полагает, что в ситуации отсутствия поручения:

  • есть два оператора персональных данных, а не оператор и обработчик;
  • виновные в нарушении требований Закона №152-ФЗ будут нести административную ответственность, предусмотренную ст. 13.11 КоАП РФ.

Развивая логику надзорного органа, можно прийти к выводу, что виновен в отсутствии поручения “изначальный” оператор, поскольку:

  • именно у оператора была возможность для соблюдения правил поручения обработки;
  • именно оператор не принял все зависящие от него меры по их соблюдению (ч. 2 ст. 2.1. КоАП РФ).

Читайте аналитические заметки в телеграм-канале Privacy Expert

Свяжитесь с нами

Я бот
Я человек
Logo
Юридическая компания "Лукаш и партнеры"
Услуги DPO и юристов в области защиты персональных данных и TMT

Контакты

info@lukash.partners
Telegram
г.Москва, ул. Правды, д.24
(м. Белорусская, м. Савёловкая, RE:WORK)
пн.-пт. с 10:00 до 19:00
Подписывайтесь на ресурсы
Канал Privacy expert
Активный чат экспертов по ПД