«Технически я не обрабатываю персональные данные, потому что я не вижу имён. Организационно я их не собираю. Контрактно моя роль — поставщик сервиса. Судя по всему, статус оператора ПДн — это не про программный код, а про фактический контроль и цели. Если данных нет на моих носителях, а выгода из них не извлекается, то требования 152-ФЗ должны обходить меня стороной. Этот путь требует доказательств, но он легален».
Можно ли не быть оператором, работая с данными
Ситуация, при которой организация взаимодействует с информацией, содержащей признаки персональных данных, но юридически не признаётся их оператором, не является теоретической. Это узкий, но существующий правовой коридор. Его основа — чёткое разграничение между формальным наличием данных в системе и фактическим осуществлением действий, которые закон определяет как обработку в целях, делающих организацию оператором.
Ключевой критерий — цель. Оператор ПДн определяется как лицо, которое организует и (или) осуществляет обработку персональных данных, а также определяет цели их обработки. Если ваша организация не определяет цели обработки, а лишь технически обеспечивает функционирование системы по инструкции другого лица (заказчика), вы можете подпадать под определение обработчика. Но есть более глубокая стратегия: доказать, что обрабатываемая информация в конкретном контексте вашей деятельности не обладает признаками персональных данных для вас, либо что обработка как таковая отсутствует.
Сценарии, где статус оператора ставится под вопрос
Рассмотрим ситуации, которые часто ошибочно принимают за обязательную обработку ПДн.
Работа с обезличенными или псевдонимизированными данными
Если система работает исключительно с идентификаторами (например, внутренними ID пользователя, хешами), не позволяющими напрямую или с использованием дополнительной информации, доступной вашей организации, идентифицировать субъекта, это может быть обезличенными данными. Важно: обезличивание должно быть необратимым именно для вас. Если у заказчика есть ключ для деобезличивания, а у вас — нет, то с вашей точки зрения данные являются обезличенными. Ваша документация должна фиксировать этот факт — отсутствие у вас технической и организационной возможности связать идентификатор с конкретным физическим лицом.
Обработка данных в интересах и под контролем заказчика (модель обработчика)
Вы предоставляете платформу или программное обеспечение. Заказчик загружает в него данные, определяет цели и правила их обработки. Вы лишь обеспечиваете функционирование инфраструктуры согласно SLA. В этой модели вы — обработчик. Ваши обязанности регулируются договором с оператором (заказчиком), а не напрямую 152-ФЗ. Однако чтобы остаться в этой роли, необходимо:
- Чётко прописать в договоре, что заказчик является оператором ПДн и несёт всю ответственность за законность обработки.
- Исключить из своих действий любое определение целей и способов обработки сверх технического задания.
- Не использовать обрабатываемые данные для собственных целей (аналитики, улучшения сервиса без явного обезличивания).
Данные транзитом или временное хранение без цели их использования
Технические логи, содержащие IP-адреса, могут считаться ПДн. Но если эти логи автоматически ротируются и удаляются через короткое время (например, 24 часа) исключительно для целей диагностики инцидентов, и у организации отсутствует намерение использовать их для идентификации пользователей или иных целей, указанных в политике, можно строить аргументацию об отсутствии целенаправленной обработки. Сложность в том, что Роскомнадзор может трактовать даже кратковременное хранение как обработку. Укрепить позицию помогает внутренний регламент, явно ограничивающий цель использования таких логов и сроки их хранения.
Как собрать доказательную базу
Утверждение «мы не операторы» должно подкрепляться документами и техническими решениями, а не только словами. Доказательства формируются на трёх уровнях.
1. Договорной уровень
- Явное указание в договорах с клиентами на их статус оператора ПДн.
- Описание ваших услуг как «предоставление технической платформы» или «оказание услуг хостинга/обработчика».
- Отсутствие в договоре пунктов, дающих вам право использовать данные клиентов для каких-либо собственных целей.
2. Организационно-распорядительный уровень
- Внутренние политики и приказы, которые разграничивают процессы. Например, «Положение об обработке логов», где чётко указано, что логи с IP-адресами не используются для идентификации субъектов и хранятся не более N часов».
- Должностные инструкции сотрудников, исключающие операции по целенаправленной работе с ПДн.
- Регламенты инцидент-менеджмента, показывающие, что доступ к потенциально персональным данным осуществляется только в рамках расследования сбоев.
3. Технический уровень
- Архитектура системы: схема потоков данных, наглядно показывающая, где данные обезличиваются или где ваша компания не имеет доступа к ключам шифрования/деобезличивания. [ИЗОБРАЖЕНИЕ: Схема архитектуры с выделенными границами ответственности и точками обезличивания]
- Настройки систем мониторинга и логгирования, исключающие запись явных персональных данных (имён, номеров телефонов).
- Политики хранения и автоматического удаления данных.
С какими сложностями можно столкнуться
Попытка избежать статуса оператора сопряжена с рисками.
Главный риск — оспаривание вашей позиции контролирующим органом. Роскомнадзор исходит из презумпции, что любое действие с данными, позволяющими идентифицировать лицо, является обработкой. Вам придётся доказывать обратное. Судьи также склонны к широкому толкованию понятия обработки.
Второй риск — репутационный. Для клиентов, особенно крупных и находящихся под надзором регуляторов (банки, госорганы), статус их поставщика как «не-оператора» может вызвать дополнительные вопросы при аудитах. Вам потребуются готовые разъяснения и пакет документов для их служб безопасности.
Третий риск связан с масштабированием бизнеса. Модель, работающая для SaaS-продукта, может дать сбой, если вы решите запустить собственную аналитику на агрегированных данных пользователей или внедрить систему персональных рекомендаций. Это мгновенно изменит ваши цели обработки.
Альтернатива: формальный статус оператора с минимальной нагрузкой
Иногда проще и безопаснее признать себя оператором, но максимально минимизировать объём и риски обработки. Это избавляет от споров с проверяющими.
Вы можете быть оператором лишь в отношении данных ваших сотрудников (что неизбежно) и, например, контактных данных представителей клиентов (ИП, генеральных директоров) для целей договорной работы. Для этого необходимо:
- Уведомить Роскомнадзор об обработке (если не подпадаете под исключения).
- Разработать минимально необходимый пакет документов: политику в отношении ПДн, согласие на обработку для посетителей сайта (при сборе cookies).
- Назначить ответственного за организацию обработки ПДн (не обязательно внешнего DPO).
- Чётко ограничить перечень обрабатываемых данных и целей в этих документах, исключив всё, что не является абсолютно необходимым.
Этот путь снимает напряжение вокруг спорных ситуаций с данными пользователей вашего продукта, так как они остаются в зоне ответственности вашего клиента-оператора, а ваша зона ответственности как оператора чётко очерчена и мала.
Практические шаги для анализа вашей ситуации
- Инвентаризация данных: Составьте карту всех информационных потоков в компании. Для каждого потока запишите: тип данных, источник, куда передаются, цель использования, срок хранения.
- Квалификация данных: Для каждого потока задайте вопрос: «Можем ли мы, используя эти данные самостоятельно (без запроса к сторонней системе, доступ к которой нам закрыт), идентифицировать физическое лицо?». Если ответ «нет», данные могут не быть ПДн в вашем контексте.
- Анализ целей: Определите, кто ставит цель обработки для каждого потока. Если цель ставит клиент через свой личный кабинет — это аргумент в пользу вашей роли обработчика.
- Аудит договоров и документов: Проверьте, все ли договоры содержат корректное распределение ролей оператора/обработчика. Приведите в соответствие внутренние политики.
- Консультация с юристом: Подготовленную карту и анализ обсудите с юристом, специализирующимся на 152-ФЗ и ИТ. Его задача — оценить риски и помочь сформулировать окончательную позицию.
Окончательное решение — быть или не быть оператором — это баланс между юридическими рисками, операционными издержками и бизнес-моделью. Техническая возможность доказать отсутствие статуса есть, но этот путь требует последовательной и документированной работы на всех уровнях компании.