В практике исполнения законодательства в области защиты персональных данных помимо оператора и уполномоченного лица используется понятие «субуполномоченное лицо».
Существует ли в рамках взаимоотношений с уполномоченными лицами практика передачи персональных данных субуполномоченному лицу? Есть ли примеры взаимодействия между оператором, уполномоченным лицом и субуполномоченным лицом в таком варианте?
Ответ: Да, такая практика существует. Привлечение уполномоченным лицом иных лиц (субуполномоченных лиц) для выполнения порученной ему работы, сопровождающейся обработкой персональныхданных, возможно.
Обработка персональных данных уполномоченным лицом по поручению оператора регулируется ст. 7 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон).
Закон не устанавливает запрета на привлечение уполномоченным лицом иных лиц (субуполномоченных лиц) для выполнения порученной ему работы, сопровождающейся обработкой персональных данных.
Пример
Организация «А» (оператор) пользуется услугами CRM-системы, предоставленной организацией «В» (уполномоченное лицо). Организация «В», в свою очередь, хранит персональные данные организации «А» на сервере организации «С» (субуполномоченное лицо).
В целях установления единообразных подходов при определении статуса оператора и уполномоченного лица и их взаимодействии в связи с обработкой персональных данных Национальным центром защиты персональных данных Республики Беларусь подготовлены Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных от 28.11.2022 (далее – Рекомендации).
Исходя из анализа п. 2 Рекомендаций взаимодействие между оператором, уполномоченным лицом и субуполномоченным лицом основано на следующих положениях:
Следует отметить, что аналогичные положения о взаимодействии контролера, процессора и субпроцессора установлены ст. 28 Общего регламента защиты персональных данных Европейского союза (GDPR). Официальный текст GDPR на русском языке размещен в сети Интернет по адресу gdpr-text.com/ru/.
