Множественность лиц на стороне оператора проявляется и в случае размещения пользователями персональных данных в социальной сети: поскольку социальная сеть устанавливает общие цели обработки данных, состав персональных данных и способы обработки, а пользователь – конкретный состав размещаемых персональных данных, также он может выбирать способы обработки из состава сделанных доступными провайдером сервиса социальной сети, оба указанных лица совместно могут признаваться оператором (в единственном числе) в отношении обрабатываемых персональных данных третьих лиц. Конечно, при условии, что в данном случае в отношении пользователя не будет действовать исключение из правил об обработке персональных данных только для личных и семейных нужд (п. 1 ч. 2 ст. 1 Закона о персональных данных, см. также комментарий к ней).

6. Наличие на стороне оператора множественности лиц вызывает вопрос о распределении ответственности между ними. Тот факт, что Закон о персональных данных говорит об операторе в единственном числе, может быть интерпретирован как несение обязанностей и ответственности каждым со-оператором в полном объеме. С гражданско-правовой точки зрения такой вид ответственности именуется солидарной обязанностью (ст. 323 ГК РФ устанавливает, что «при солидарной обязанности должников кредитор вправе требовать исполнения как от всех должников совместно, так и от любого из них в отдельности, притом как полностью, так и в части долга»). И хотя Закон о персональных данных не оперирует данным термином и не предполагает возможности субсидиарного применения положений гражданского законодательства, принципы солидарной ответственности вполне могут быть применимы и к распределению ответственности между со-операторами. Европейская практика также исходит из принципа солидарной ответственности со-операторов (jointly and severally liable)56.

При этом вопросы распределения ответственности и предъявления регрессных требований вполне могут быть решены со-операторами в соглашении между собой.

7. От оператора персональных данных следует отличать лицо, которое осуществляет обработку данных по его поручению. В европейском законодательстве в этой связи наряду с термином «оператор» (data controller) используется термин «обработчик» (data processor). В российском законодательстве такой термин специально не выделен, однако в ч. 3 ст. 6 Закона о персональных данных упоминается «лицо, осуществляющее обработку персональных данных по поручению оператора». Ключевыми характеристиками такого лица являются: 1) наличие самостоятельной правосубъектности, т.е. это лицо должно быть юридически самостоятельным по отношению к оператору, что позволяет исключить из сферы его работников оператора и обособленные подразделения организации; 2) обработка данных осуществляется таким лицом в интересах оператора.

В качестве лиц, осуществляющих обработку персональных данных по поручению оператора, обычно выступают различного рода аутсорсинговые организации (например, по ведению бухгалтерии или расчету зарплат), а также провайдеры «облачных» сервисов, которые предоставляют оператору вычислительные мощности для обработки персональных данных57. Однако если такие провайдеры осуществляют обработку персональных данных своих клиентов для собственных нужд, то они будут выступать в качестве операторов таких данных58.

Главным отличием оператора от «лица, осуществляющего обработку персональных данных по поручению оператора», является распределение ответственности между ними. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на их обработку. Оператор несет ответственность перед субъектом персональных данных за действия указанного лица, а оно, в свою очередь, − перед оператором (ч. 4 и 5 ст. 6 Закона о персональных данных). Подробнее о правовом статусе лица, осуществляющего обработку персональных данных по поручению оператора, см. в комментарии к ч. 3 ст. 6 настоящего Закона.