Оператор и обработчик персональных данных
Подборка наиболее важных документов по запросу Оператор и обработчик персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Договор поручения на обработку персональных данных: как его использовать, несмотря на правовые пробелы и риски?
(Румянцев С.А.)
("Закон", 2025, N 9)5. Обязанность обработчика уведомлять оператора
(Румянцев С.А.)
("Закон", 2025, N 9)5. Обязанность обработчика уведомлять оператора
Статья: Правовое регулирование оборота данных в цифровом виде в Индии: изменения последних лет и тенденции развития
(Лескина Э.И., Солдаткина О.Л.)
("Закон", 2025, N 8)При этом Закон DPDP разделяет понятие обработчика и оператора (доверенного лица). Конкретные обязательства, возлагаемые на обработчиков персональных данных, отсутствуют в Законе, что нехарактерно для европейского и российского законодательств. Так, ст. 28 GDPR возлагает на обработчиков обязанность по предоставлению гарантий в отношении соответствующих технических и организационных мер для выполнения предписанных требований и по обработке только в соответствии с обязательным договором с контролером данных. Российское законодательство хоть и выделяет третье лицо, осуществляющее по поручению оператора и с согласия субъекта персональных данных обработку, не проводит четкую дифференциацию правовых статусов оператора персональных данных и обработчика.
(Лескина Э.И., Солдаткина О.Л.)
("Закон", 2025, N 8)При этом Закон DPDP разделяет понятие обработчика и оператора (доверенного лица). Конкретные обязательства, возлагаемые на обработчиков персональных данных, отсутствуют в Законе, что нехарактерно для европейского и российского законодательств. Так, ст. 28 GDPR возлагает на обработчиков обязанность по предоставлению гарантий в отношении соответствующих технических и организационных мер для выполнения предписанных требований и по обработке только в соответствии с обязательным договором с контролером данных. Российское законодательство хоть и выделяет третье лицо, осуществляющее по поручению оператора и с согласия субъекта персональных данных обработку, не проводит четкую дифференциацию правовых статусов оператора персональных данных и обработчика.
Нормативные акты
"Договор на оказание услуг почтовой связи (N 10/21-ТФДд)"Оператор передает Персональные данные Обработчику посредством используемого Сторонами сервиса Обработчика (личного кабинета Заказчика на сайте Обработчика), системы электронного документооборота или в бумажной письменной форме.
"Договор на оказание услуг почтовой связи, дополнительных и иных услуг (Типовая форма договора N 18-23-ТФДд)"Оператор передает Персональные данные Обработчику посредством используемого Сторонами сервиса Обработчика (личного кабинета Заказчика на сайте Обработчика), системы электронного документооборота или в бумажной письменной форме.
Статья: Автоматизированное принятие решений в государственном управлении: теоретический разбор возможностей
(Талапина Э.В.)
("Журнал российского права", 2022, N 11)3) от управления приватностью - к информационному самоопределению. Privacy Rights Management - термин, используемый для описания применения методов управления цифровыми правами (DRM) к личной, персональной информации, чтобы достичь безопасного распространения этой информации за пределами одного административного домена. Эти методы используются операторами и обработчиками данных; считается, что данная политика позволяет соблюсти необходимые предписания законодательства о персональных данных.
(Талапина Э.В.)
("Журнал российского права", 2022, N 11)3) от управления приватностью - к информационному самоопределению. Privacy Rights Management - термин, используемый для описания применения методов управления цифровыми правами (DRM) к личной, персональной информации, чтобы достичь безопасного распространения этой информации за пределами одного административного домена. Эти методы используются операторами и обработчиками данных; считается, что данная политика позволяет соблюсти необходимые предписания законодательства о персональных данных.
Статья: Отдельные аспекты правового регулирования защиты персональных данных по законодательству Китая в эпоху цифровых технологий
(Севальнев В.В., Гун Нань, Лю Цзяфан)
("Международное публичное и частное право", 2023, N 4)В связи с непрерывным и быстрым развитием международной цифровой торговли спрос на трансграничную передачу личной информации все возрастает. Закон КНР ЗПД устанавливает Правила трансграничного предоставления персональных данных. Разработан набор четких и систематизированных правил трансграничного перемещения персональной информации, которые учитывают потребности защиты прав и интересов персональной информации. Объективные требования безопасности отвечают реальным потребностям международных экономических и торговых обменов. Существуют четыре юридических сценария для трансграничного предоставления личной информации. Закон КНР ЗПД предусматривает, что, если обработчикам персональных данных необходимо предоставить личную информацию зарубежным странам в связи с деловыми и другими потребностями, они должны пройти оценку на предмет безопасности, организованную национальным департаментом сетевых телекоммуникаций, или пройти сертификацию в профессиональной организации по защите персональных данных, или заключить договор, когда обе стороны соглашаются с правами и обязательствами или выполняют иные условия, предусмотренные законами, административными регламентами (ст. 38). Данные условия являются факультативными для трансграничного предоставления персональных данных, исходя из чего также должны быть выполнены два необходимых условия, а именно получение отдельного согласия субъекта - физического лица на трансграничное предоставление своих персональных данных и принятие необходимых мер по защите обработки персональных данных зарубежными получателями. Закон КНР ЗПД устанавливает ограничительные требования к трансграничному предоставлению нескольких видов специальной персональной информации. Во-первых, для персональной информации, обрабатываемой государственными органами, - она по умолчанию должна храниться на территории Китайской Народной Республики; во-вторых, для операторов критической информационной инфраструктуры и обработчиков персональной информации, обрабатывающих персональную информацию в определенном объеме, - в принципе персональная информация, собираемая и генерируемая этими организациями. Для вышеперечисленных типов субъектов, если действительно существует ситуация, когда необходимо предоставить личную информацию за рубеж, проводится оценка безопасности (ст. 36, 41). В КНР были усовершенствованы правила предоставления персональной информации зарубежным судебным или правоохранительным органам. В Законе КНР ЗПД приняты положения, которые согласуются с требованиями к обеспечению соблюдения законодательства о трансграничных данных Закона КНР "О безопасности данных". Для тех, кто нуждается в предоставлении личной информации за рубеж в связи с международной судебной помощью или административной правоприменительной помощью, четко указано, что они должны подать заявление для утверждения в соответствующих компетентных органах в соответствии с законом. Закон КНР ЗПД предусматривает систему черного списка для трансграничного перемещения личной информации, а также систему контроля за дискриминационными мерами в отношении других стран или регионов. В случае если зарубежные организации или физические лица занимаются деятельностью по обработке персональных данных, которая нарушает права и интересы китайских граждан в области персональных данных или ставит под угрозу национальную безопасность или общественные интересы, они могут быть включены в перечень ограничений или запретов на предоставление персональных данных (ст. 42).
(Севальнев В.В., Гун Нань, Лю Цзяфан)
("Международное публичное и частное право", 2023, N 4)В связи с непрерывным и быстрым развитием международной цифровой торговли спрос на трансграничную передачу личной информации все возрастает. Закон КНР ЗПД устанавливает Правила трансграничного предоставления персональных данных. Разработан набор четких и систематизированных правил трансграничного перемещения персональной информации, которые учитывают потребности защиты прав и интересов персональной информации. Объективные требования безопасности отвечают реальным потребностям международных экономических и торговых обменов. Существуют четыре юридических сценария для трансграничного предоставления личной информации. Закон КНР ЗПД предусматривает, что, если обработчикам персональных данных необходимо предоставить личную информацию зарубежным странам в связи с деловыми и другими потребностями, они должны пройти оценку на предмет безопасности, организованную национальным департаментом сетевых телекоммуникаций, или пройти сертификацию в профессиональной организации по защите персональных данных, или заключить договор, когда обе стороны соглашаются с правами и обязательствами или выполняют иные условия, предусмотренные законами, административными регламентами (ст. 38). Данные условия являются факультативными для трансграничного предоставления персональных данных, исходя из чего также должны быть выполнены два необходимых условия, а именно получение отдельного согласия субъекта - физического лица на трансграничное предоставление своих персональных данных и принятие необходимых мер по защите обработки персональных данных зарубежными получателями. Закон КНР ЗПД устанавливает ограничительные требования к трансграничному предоставлению нескольких видов специальной персональной информации. Во-первых, для персональной информации, обрабатываемой государственными органами, - она по умолчанию должна храниться на территории Китайской Народной Республики; во-вторых, для операторов критической информационной инфраструктуры и обработчиков персональной информации, обрабатывающих персональную информацию в определенном объеме, - в принципе персональная информация, собираемая и генерируемая этими организациями. Для вышеперечисленных типов субъектов, если действительно существует ситуация, когда необходимо предоставить личную информацию за рубеж, проводится оценка безопасности (ст. 36, 41). В КНР были усовершенствованы правила предоставления персональной информации зарубежным судебным или правоохранительным органам. В Законе КНР ЗПД приняты положения, которые согласуются с требованиями к обеспечению соблюдения законодательства о трансграничных данных Закона КНР "О безопасности данных". Для тех, кто нуждается в предоставлении личной информации за рубеж в связи с международной судебной помощью или административной правоприменительной помощью, четко указано, что они должны подать заявление для утверждения в соответствующих компетентных органах в соответствии с законом. Закон КНР ЗПД предусматривает систему черного списка для трансграничного перемещения личной информации, а также систему контроля за дискриминационными мерами в отношении других стран или регионов. В случае если зарубежные организации или физические лица занимаются деятельностью по обработке персональных данных, которая нарушает права и интересы китайских граждан в области персональных данных или ставит под угрозу национальную безопасность или общественные интересы, они могут быть включены в перечень ограничений или запретов на предоставление персональных данных (ст. 42).
Статья: Персональные данные и возможности их использования: из опыта стран БРИКС
(Карцхия А.А.)
("Наследственное право", 2022, N 1)С 1 июля 2020 г. в ЮАР вступил в силу Закон о защите личной информации (Protection of Personal Information Act, POPIA) <11>, который предусматривает общий механизм защиты информации, применимый к организациям государственного и частного сектора. Подобно Директиве ЕС о защите персональных данных 95/46/EC, POPIA устанавливает восемь условий для законной обработки персональных данных: (1) подотчетность, (2) ограничение обработки, (3) спецификация цели, (4) дальнейшее ограничение обработки, (5) качество информации, (6) открытость, (7) гарантии безопасности и (8) участие субъекта данных. POPIA применяется к обработке личной информации, внесенной в запись, ответственной стороной, которая обрабатывает информацию в ЮАР и имеет домицилий в ЮАР или находится в другом месте, но использует автоматизированные или неавтоматизированные средства в ЮАР для обработки личных данных. POPIA применяется к основным обработчикам персональных данных, которые определяют цель и средства обработки, а также распространяются на "операторов", обработчиков данных. Закон содержит открытое определение "личной информации", которое обычно означает информацию, относящуюся к идентифицируемому физическому лицу или юридическому лицу, и включает данные частной переписки и информацию о возрасте, поле и расе, а также идентификационные номера, номера телефонов, информацию о местоположении, онлайн-идентификаторы, а также личные мнения и предпочтения. Персональные данные должны обрабатываться законным и разумным образом, который не нарушает конфиденциальность субъекта данных. Личная информация может собираться только для законных, конкретных и четко определенных целей, связанных с функцией или деятельностью ответственной стороны, собирающей информацию. Субъекты данных должны быть проинформированы о цели сбора, за исключением исключительных обстоятельств, например, когда ответственная сторона обязана соблюдать обязательство, установленное законом. Обработка персональных данных допустима только в порядке и случаях, предусмотренных законом.
(Карцхия А.А.)
("Наследственное право", 2022, N 1)С 1 июля 2020 г. в ЮАР вступил в силу Закон о защите личной информации (Protection of Personal Information Act, POPIA) <11>, который предусматривает общий механизм защиты информации, применимый к организациям государственного и частного сектора. Подобно Директиве ЕС о защите персональных данных 95/46/EC, POPIA устанавливает восемь условий для законной обработки персональных данных: (1) подотчетность, (2) ограничение обработки, (3) спецификация цели, (4) дальнейшее ограничение обработки, (5) качество информации, (6) открытость, (7) гарантии безопасности и (8) участие субъекта данных. POPIA применяется к обработке личной информации, внесенной в запись, ответственной стороной, которая обрабатывает информацию в ЮАР и имеет домицилий в ЮАР или находится в другом месте, но использует автоматизированные или неавтоматизированные средства в ЮАР для обработки личных данных. POPIA применяется к основным обработчикам персональных данных, которые определяют цель и средства обработки, а также распространяются на "операторов", обработчиков данных. Закон содержит открытое определение "личной информации", которое обычно означает информацию, относящуюся к идентифицируемому физическому лицу или юридическому лицу, и включает данные частной переписки и информацию о возрасте, поле и расе, а также идентификационные номера, номера телефонов, информацию о местоположении, онлайн-идентификаторы, а также личные мнения и предпочтения. Персональные данные должны обрабатываться законным и разумным образом, который не нарушает конфиденциальность субъекта данных. Личная информация может собираться только для законных, конкретных и четко определенных целей, связанных с функцией или деятельностью ответственной стороны, собирающей информацию. Субъекты данных должны быть проинформированы о цели сбора, за исключением исключительных обстоятельств, например, когда ответственная сторона обязана соблюдать обязательство, установленное законом. Обработка персональных данных допустима только в порядке и случаях, предусмотренных законом.
Статья: Специфика правомочий субъектов персональных данных в современном российском и зарубежном праве
(Досаева А.О.)
("Юрист", 2025, N 11)<4> В Законе о персональных данных существуют различия в правовом положении оператора и обработчика; в Общем регламенте о защите персональных данных (General Data Protection Regulation) ЕС существуют различия в правовом положении контролера и обработчика ("обрабатывающее данные лицо"). В исследовании не учитываются особенности правового положения всех этих специально обозначенных участников.
(Досаева А.О.)
("Юрист", 2025, N 11)<4> В Законе о персональных данных существуют различия в правовом положении оператора и обработчика; в Общем регламенте о защите персональных данных (General Data Protection Regulation) ЕС существуют различия в правовом положении контролера и обработчика ("обрабатывающее данные лицо"). В исследовании не учитываются особенности правового положения всех этих специально обозначенных участников.
Статья: Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами
(Белякова Ю., Лукаш Д.)
("Внутренний контроль в кредитной организации", 2025, N 1)- Наемное кадровое агентство, работающее по поручению на обработку персональных данных, может самостоятельно определять методики оценки кандидата на вакантную должность (в рамках ТК РФ) и предлагать вносить необходимые перечни персональных данных в поручение на обработку. Клиенту-оператору может быть важен только конечный результат.
(Белякова Ю., Лукаш Д.)
("Внутренний контроль в кредитной организации", 2025, N 1)- Наемное кадровое агентство, работающее по поручению на обработку персональных данных, может самостоятельно определять методики оценки кандидата на вакантную должность (в рамках ТК РФ) и предлагать вносить необходимые перечни персональных данных в поручение на обработку. Клиенту-оператору может быть важен только конечный результат.
"Правовые аспекты разработки и коммерциализации программного обеспечения"
(Савельев А.И.)
("Статут", 2024)Как отмечалось ранее, поскольку провайдер SaaS в ряде случаев будет осуществлять обработку персональных данных, то необходимо включение в соглашение с ним положений, предусмотренных ч. 3 ст. 6 Закона о персональных данных, об осуществлении обработки персональных данных по поручению оператора (клиента SaaS). Данная норма содержит, помимо прочего, перечень существенных условий, которые должны быть отражены в соглашении между оператором (клиентом SaaS) и "обработчиком" (провайдером SaaS). Часть данных условий касается самих персональных данных: перечень персональных данных, которые будут обрабатываться с использованием программы, предоставляемой по модели SaaS; перечень действий (операций) с такими персональными данными, которые будут совершаться провайдером SaaS (например, хранение на серверах провайдера SaaS); цели обработки таких данных (например, осуществление авторизации в личном кабинете SaaS-сервиса, использование программы по функциональному назначению). Другая часть условий, предусмотренных ч. 3 ст. 6 Закона о персональных данных, касается выполнения провайдером SaaS ряда обязанностей: соблюдать конфиденциальность персональных данных, выполнять требования по локализации и организационно-технические меры по защите персональных данных (ст. 18.1 Закона о персональных данных) и их безопасности (ст. 19 Закона о персональных данных); обязанность по запросу клиента предоставлять документы и иную информацию, подтверждающие выполнение вышеуказанных обязанностей, в том числе информацию, связанную с утечкой данных из сервиса SaaS, за которую может нести ответственность сам клиент как оператор таких данных. Схожие по своей сути положения содержатся и в зарубежном законодательстве о персональных данных, в частности в GDPR <1>. Нередко данные положения включаются в отдельное соглашение или приложение к договору SaaS <2>.
(Савельев А.И.)
("Статут", 2024)Как отмечалось ранее, поскольку провайдер SaaS в ряде случаев будет осуществлять обработку персональных данных, то необходимо включение в соглашение с ним положений, предусмотренных ч. 3 ст. 6 Закона о персональных данных, об осуществлении обработки персональных данных по поручению оператора (клиента SaaS). Данная норма содержит, помимо прочего, перечень существенных условий, которые должны быть отражены в соглашении между оператором (клиентом SaaS) и "обработчиком" (провайдером SaaS). Часть данных условий касается самих персональных данных: перечень персональных данных, которые будут обрабатываться с использованием программы, предоставляемой по модели SaaS; перечень действий (операций) с такими персональными данными, которые будут совершаться провайдером SaaS (например, хранение на серверах провайдера SaaS); цели обработки таких данных (например, осуществление авторизации в личном кабинете SaaS-сервиса, использование программы по функциональному назначению). Другая часть условий, предусмотренных ч. 3 ст. 6 Закона о персональных данных, касается выполнения провайдером SaaS ряда обязанностей: соблюдать конфиденциальность персональных данных, выполнять требования по локализации и организационно-технические меры по защите персональных данных (ст. 18.1 Закона о персональных данных) и их безопасности (ст. 19 Закона о персональных данных); обязанность по запросу клиента предоставлять документы и иную информацию, подтверждающие выполнение вышеуказанных обязанностей, в том числе информацию, связанную с утечкой данных из сервиса SaaS, за которую может нести ответственность сам клиент как оператор таких данных. Схожие по своей сути положения содержатся и в зарубежном законодательстве о персональных данных, в частности в GDPR <1>. Нередко данные положения включаются в отдельное соглашение или приложение к договору SaaS <2>.
Статья: Правовое регулирование цифровых следов и цифровых теней при обработке больших данных
(Карлаш Д.С.)
("Вестник арбитражной практики", 2023, N 6)Но в случае цифровой тени возникает проблема несанкционированного доступа к данным: в ходе обработки данных могут быть затронуты, получены и иным образом предоставлены данные, которые лицо изначально не предоставляло обработчику. Соответственно, лицо, предоставившее данные, не знает, кто является обработчиком данных, и не может предъявить к нему требования в целях защиты своих интересов. Более того, в случае формирования цифровой тени данные раскрываются неопределенному кругу лиц без согласия субъекта (лица, их предоставившего), соответственно, применяются нормы ст. 5 (уничтожение или обезличивание персональных данных), ст. 7 (конфиденциальность персональных данных), ст. 18 (обязанности оператора при сборе персональных данных) Закона о персональных данных, а также нормы об ограничении информации в соответствии со ст. 9 Закона о защите информации.
(Карлаш Д.С.)
("Вестник арбитражной практики", 2023, N 6)Но в случае цифровой тени возникает проблема несанкционированного доступа к данным: в ходе обработки данных могут быть затронуты, получены и иным образом предоставлены данные, которые лицо изначально не предоставляло обработчику. Соответственно, лицо, предоставившее данные, не знает, кто является обработчиком данных, и не может предъявить к нему требования в целях защиты своих интересов. Более того, в случае формирования цифровой тени данные раскрываются неопределенному кругу лиц без согласия субъекта (лица, их предоставившего), соответственно, применяются нормы ст. 5 (уничтожение или обезличивание персональных данных), ст. 7 (конфиденциальность персональных данных), ст. 18 (обязанности оператора при сборе персональных данных) Закона о персональных данных, а также нормы об ограничении информации в соответствии со ст. 9 Закона о защите информации.
Статья: Персональные данные в кадрах: что и кому можно обрабатывать, а что грозит миллионными штрафами
(Лагутин М.)
("Делопроизводство", 2025, N 2)Закон не предусматривает унифицированных бланков для согласий в письменной форме на обработку персональных данных, но устанавливает строгие требования к их содержанию. В документе обязательно должно быть отражено 8 пунктов:
(Лагутин М.)
("Делопроизводство", 2025, N 2)Закон не предусматривает унифицированных бланков для согласий в письменной форме на обработку персональных данных, но устанавливает строгие требования к их содержанию. В документе обязательно должно быть отражено 8 пунктов:
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)При наличии у оператора интернет-ресурсов или мобильных приложений, посредством которых осуществляется сбор и обработка персональных данных, ему необходимо быть готовым, помимо прочего, предоставить Роскомнадзору: 1) информацию о назначении и функционале таких ресурсов; 2) перечень данных, собираемых и обрабатываемых с их использованием; 3) сведения о привлеченных оператором обработчиках персональных данных, обслуживающих такие ресурсы (провайдерах облачных сервисов, хостинга, сервисов аналитики данных и т.п.), с приложением договоров, заключенных с ними; 4) сведения об используемых базах данных с указанием их местонахождения и принадлежности, на которых хранятся и обрабатываются данные, полученные с помощью интернет-сервисов; копии документов и локальных актов, изданных оператором, по вопросам обработки персональных данных пользователей интернет-сервиса или мобильного приложения; копии договоров, заключенных с рекламными организациями и иными лицами, которым предоставляются собираемые данные о пользователях, в том числе в обезличенном виде.
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)При наличии у оператора интернет-ресурсов или мобильных приложений, посредством которых осуществляется сбор и обработка персональных данных, ему необходимо быть готовым, помимо прочего, предоставить Роскомнадзору: 1) информацию о назначении и функционале таких ресурсов; 2) перечень данных, собираемых и обрабатываемых с их использованием; 3) сведения о привлеченных оператором обработчиках персональных данных, обслуживающих такие ресурсы (провайдерах облачных сервисов, хостинга, сервисов аналитики данных и т.п.), с приложением договоров, заключенных с ними; 4) сведения об используемых базах данных с указанием их местонахождения и принадлежности, на которых хранятся и обрабатываются данные, полученные с помощью интернет-сервисов; копии документов и локальных актов, изданных оператором, по вопросам обработки персональных данных пользователей интернет-сервиса или мобильного приложения; копии договоров, заключенных с рекламными организациями и иными лицами, которым предоставляются собираемые данные о пользователях, в том числе в обезличенном виде.
Вопрос: Кто может быть оператором информационной системы?
(Подготовлен для системы КонсультантПлюс, 2026)Применительно к информационным системам персональных данных таким лицом может выступать так называемый обработчик - лицо, осуществляющее обработку персональных данных по поручению оператора (ч. 3 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", далее - Закон о персональных данных).
(Подготовлен для системы КонсультантПлюс, 2026)Применительно к информационным системам персональных данных таким лицом может выступать так называемый обработчик - лицо, осуществляющее обработку персональных данных по поручению оператора (ч. 3 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", далее - Закон о персональных данных).