Ответ: Да, такая практика существует. Привлечение уполномоченным лицом иных лиц (субуполномоченных лиц) для выполнения порученной ему работы, сопровождающейся обработкой персональныхданных, возможно.
Обработка персональных данных уполномоченным лицом по поручению оператора регулируется ст. 7 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон).
Закон не устанавливает запрета на привлечение уполномоченным лицом иных лиц (субуполномоченных лиц) для выполнения порученной ему работы, сопровождающейся обработкой персональных данных.
Пример
Организация «А» (оператор) пользуется услугами CRM-системы, предоставленной организацией «В» (уполномоченное лицо). Организация «В», в свою очередь, хранит персональные данные организации «А» на сервере организации «С» (субуполномоченное лицо).
В целях установления единообразных подходов при определении статуса оператора и уполномоченного лица и их взаимодействии в связи с обработкой персональных данных Национальным центром защиты персональных данных Республики Беларусь подготовлены Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных от 28.11.2022 (далее – Рекомендации).
Исходя из анализа п. 2 Рекомендаций взаимодействие между оператором, уполномоченным лицом и субуполномоченным лицом основано на следующих положениях:
- в договоре между оператором и уполномоченным лицом должна быть предусмотрена возможность привлечения уполномоченным лицом иных лиц (субуполномоченных лиц) для выполнения порученной ему работы, сопровождающейся обработкой персональных данных;
- договор между уполномоченным и субуполномоченным лицами должен содержать положения, обеспечивающие уровень защиты персональных данных, эквивалентный условиям договора между оператором и уполномоченным лицом;
- факт привлечения уполномоченным лицом субуполномоченного лица не меняет статус уполномоченного лица на статус оператора, поскольку общий контроль над обработкой остается за первоначальным оператором. Уполномоченное лицо несет ответственность перед оператором за обработку персональных данных субуполномоченным лицом.
Следует отметить, что аналогичные положения о взаимодействии контролера, процессора и субпроцессора установлены ст. 28 Общего регламента защиты персональных данных Европейского союза (GDPR). Официальный текст GDPR на русском языке размещен в сети Интернет по адресу gdpr-text.com/ru/.