Возникает ли необходимость регистрироваться в качестве обработчика ПД у всех компаний в цепочке обработки ПД

Здравствуйте, Даниил.

Начнем с того, что в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» нет такого понятия, как «обработчик ПД», есть термин «оператор»:

В целях настоящего Федерального закона используются следующие основные понятия:
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

1. Возникает ли необходимость регистрироваться в качестве обработчика ПД у всех компаний в цепочке обработки ПД. Дилеры, сотрудники коллцентра, компания предоставляющая разработку ПО, непосредственно программистам?

 оператор — это то лицо, кто непосредственно находится в определенных правоотношениях с субъектом ПД. Лица, которым оператор поручает обработку ПД не являются операторами ПД (см. ч. 3-6 ст. 6 Закона 152-ФЗ). Перед субъектом ПД ответственность несет только оператор, а «порученцы» отвечают перед оператором в рамках договорных отношений по договору поручения. 

Субъект ПД должен дать согласие на поручение обработки ПД иному лицу (не оператору). 

Чтобы понять, кто в описанной Вами цепочке является оператором, нужно понять, что за деятельность планируется вести, какой порядок взаимодействия с субъектами ПД предполагается, какие способы обработки ПД и т.д. — много нюансов. 

2. Допускается ли хранение копии баз данных на компьютере разработчика (с целью разработки, или запасной копии) или на серверах разработчика в качестве “запасной копии” в зашифрованном или не зашифрованном виде?

 если разработчик не является ни оператором, ни лицом, которому поручена обработка ПД, то хранить какие-либо ПД у себя он вообще не вправе.

3. Возникает ли необходимость регистрироваться в качестве обработчика ПД у разработчика (программиста) в случае если целью его работ не является непосредственная обработка ПД, но при этом у него есть доступ (логин\пароль) к базе данных.

 нет, не возникает, в силу выше указанного. Либо у него есть доступ как у лица, которому поручена обработка ПД, либо не должен иметь такого доступа.

4. Как осуществляется проверка компаний на предмет соблюдения закона о защите ПД, стоит ли ожидать внеплановых или плановых проверок, предоставлять доступ к серверам и персональным компьютерам спецслужбам?

 это тема отдельной лекции, часов на 5 -6...  В рамках практически бесплатной консультации можно только обозначить какие-то моменты...

Органы Роскомнадзора контролируют соблюдение требований в сфере персональных данных в рамках контрольных (надзорных) мероприятий в соответствии с Федеральным законом от 31.07.2020 N 248-ФЗ («О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации». Они проводятся с взаимодействием с контролируемым лицом.

Но также контроль (надзор) осуществляется и иными способами. Например, сотрудники РКН проводят мероприятия без взаимодействия с контролируемым лицом и профилактические мероприятия. На такие мероприятия, осуществляемые без взаимодействия с контролируемым лицом, не распространяются положения Закона N 248-ФЗ.

Роскомнадзор может запросить у оператора информацию, если она необходима для реализации его полномочий (например, для рассмотрения и ответа гражданину по его жалобе). При этом оператор обязан предоставить такую информацию в течение 10 рабочих дней (если этот срок не был продлен) с даты получения запроса (ч. 4 ст. 20, п. 1 ч. 3 ст. 23 Закона о персональных данных). Если этого не сделать, то могут привлечь к ответственности по ст. 19.7 КоАП РФ.

В 2023 г. Роскомнадзор может проводить внеплановые контрольные (надзорные) мероприятия только по определенному перечню оснований. В ряде случаев они проводятся по согласованию с органами прокуратуры, например при выявлении индикаторов риска нарушения обязательных требований (пп. «а» п. 3 Постановления Правительства РФ от 10.03.2022 N 336).

5. В договоре об обработке ПД размещенном на сайте должны присутствовать все операторы ПД участвующие в процессе обработки ПД, насколько подробная должна быть информация о них?

 оператор может быть только один (по сути этот тот, кому будет «принадлежать» клиентская база).  На своем сайте оператор обязан опубликовать политику обработки ПД и сведения о реализуемых оператором требованиях к их защите.

Закон не определяет, в каком объеме оператор должен предоставить субъекту ПД сведения о лицах, которым поручена обработка (ст. 4 Закона №152-ФЗ):

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

6. Если google уберет сервер из России, то мы станем нарушителями закона из-за использования их метрик?

 этот вопрос не поняла, потому что не знаю, что такое «метрика» применительно к деятельности Гугл. 

7. В случае если данные зашифрованы, возможно ли их хранение в другой стране или на компьютерах\серверах владельцы которых не являются обработчиками\операторами ПД?

 не важно, зашифрованы данные или нет. Во-первых, к ним не может иметь доступ «кто попало», во-вторых, трансграничная передача ПД в принципе  очень ограничена.

Оператор до начала осуществления деятельности по трансграничной передаче персональных данных будет обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется в виде документа на бумажном носителе или в форме электронного документа отдельно от уведомления о намерении осуществлять обработку персональных данных.

Оператор до подачи уведомления обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, ряд сведений.

Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ, суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене с даты принятия Роскомнадзором соответствующего решения.

Также буду рад ссылкам на трактовки и пояснения этого закона, т.к. есть и другие вопросы.

 поскольку законодательство о перс. данных значительно обновилось за последний год-полтора, полагаю, старые разъяснения во многом устарели. Ищите информацию, исходящую непосредственно из Роскомнадзора за последнее время. Подпишитесь на телеграм-канал, соцсети, направляйте запросы непосредственно в ведомство, тогда ответами из официальных источников Вы сможете «прикрываться» в случае проблем.

С учетом стоимости вопроса — на трех юристов гонорар 840 руб. (после удержания сайтом комиссии), больше мне добавить нечего. 

Здравствуйте, Даниил!

1. Возникает ли необходимость регистрироваться в качестве обработчика ПД у всех компаний в цепочке обработки ПД. Дилеры, сотрудники коллцентра, компания предоставляющая разработку ПО, непосредственно программистам?

 Как я полагаю, под обработчиками Вы имеете в виду операторов — это лица (физические, юридические), которые осуществляют обработку персональных данных, как следует из п. 2 ст. 3 Федеральный закон от 27.07.2006 №152-ФЗ. Никакой регистрации при этом не предполагается: как только вы начинаете обрабатывать ПД — вы становитесь оператором. В некоторых случаях ст. 22 обязывает уведомлять Роскомнадзор, но если не используются средства автоматизации, в этом нет необходимости.

Уточню, что, согласно п. 1 Положения, утв. Постановлением Правительства РФ от 15.09.2008 №687, обработка ПД без средств автоматизации — это

если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Этот вопрос на самом деле — очень спорный: не всегда можно однозначно определить границу. Например, по моему мнению, можно подойти буквально: сбор здесь не указан, значит, собирать через средства автоматизации без уведомления можно.

А вот дальше все операции — только при участии человека. Если вы, к примеру, будете делать рассылки через SendPulse или подобные сервисы, будет считаться, что вы используете ПД с помощью средства автоматизации. Или если зададите функцию удаления из базы адресатов, которые не открывали N количество писем за M дней.

В целом тут лучше перебдеть, как говорится, и уведомление отправить.