Контролер и процессор Екатерина В 8 марта, 2021

Контролер и процессор

Контролер и процессор – это две роли, которые, в соответствие с GDPR, приписываются физическим и юридическим лицам, государственным органам, учреждениям и другим компаниям, которые обрабатывают данные либо принимают решения в отношении этого. Самая близкая метафора – корабль с капитаном и матросами. Капитан решает, куда корабль плывет (то есть цель обработки персональных данных) и какую команду нанять (то есть использовать Google Drive или Яндекс.Диск). А процессор – это тот, кто по вашему поручению обрабатывает данные, которые вы контролируете. Он не определяет цели обработки, а просто предоставляет сервис либо выполняет заказ.

Например, вы устанавливаете на сайт счетчик Google-аналитики. Google является компанией, которая может сопоставить данные пользователя вашего сайта с хранимой у себя информацией и определить его имя и возраст. Только благодаря тому, что он пользуется Gmail. Информация с вашего сайта передается в Google, где ее обрабатывают и выдают в анонимизированном виде. И когда заходим в интерфейс Google-аналитики, не видим конкретного пользователя. Бизнес распорядился персональными данными, сказав: "Google, иди ко мне на сайт, бери персональные данные этих пользователей и отдавай мне отчет в анонимизированном виде". И в таком случае, бизнес является контролером, а Google - процессором, потому что действовал по поручению.

Контролер обязан предоставить информацию субъекту о том, как обрабатываются его данные, с помощью политики приватности. Необходимо указать среди обработчиков Google. Процессор действует по поручению и от имени контролера, который сам определяет цели и способы обработки. А вот защитить персональные данные обязаны оба, хоть и каждый по-своему.

gdpr
Love to work together
Мы открыты к сотрудничеству с развивающимися, инициативными компаниями.

Контролер может быть один или их может быть несколько (со-контролеры), а также есть вариант с отдельными контролерами в одной обработке, которые индивидуально определяют свои цели и средства обработки.

Joint controllers – со-контролеры – определены в 26 статье GDPR. Это те, кто совместно определяет цели и средства обработки. У со-контролеров такая же ответственность, как и контролеров. 

Например, туристическое агентство берет у вас деньги и покупает билет от вашего имени в авиакомпании. И для этого нужны паспортные данные, номер рейса, дата вылета и прочее. Таким образом, авиакомпания сама определила цели и средства обработки. Турагентство тоже само определило их и запросило у вас дату вылета, чтобы купить билет. У них не было договоренности, как у нас с ВШЭ, поэтому они являются не со-контролерами, а двумя отдельными контролерами. Со-контролеры совместно решают, какие данные нужны.

Кто больше несет ответственность?

Кто больше несет ответственность за защиту персональных данных и за выполнение Регламента? Контролер, потому что он определяет цели и средства обработок. Он главный здесь – у него больше и полномочий, и ответственности.

Обязательства перед субъектами данных несёт контролер – он должен реализовывать их права и заставить процессора помочь в этом. Перед надзорными органами в первую очередь будет отвечать контролер. Через него пойдут с аудитами ко всем его процессорам, но сначала все же к нему самому. 

А для лучшего усвоения информации, делимся с вами полезной схемой, в которой наглядно показано, кто есть кто и за что несет ответственность. К слову, после завершения курса GDPR Data Privacy Professional, вы получите большое количество авторских схем и раздаток от автора и тренера Сергея Воронкевича, CIPP/E, CIPM, CIPT, FIP.

обязанности контролера и процессора
Оставайтесь с нами на связи!

Подробнее о предоставляемых услугах вы можете узнать здесь.  

Остались вопросы? Свяжитесь с нами для консультации (это абсолютно бесплатно). Будем рады стать вашим партнёром в адаптации бизнеса к новой реальности 💙 

P.S. Для того, чтобы оставаться с нами на связи и узнавать о последних апдейтах в мире приватности, подпишитесь на наш Telegram “PRO Приватность”.  

    Write a comment
    Your email address will not be published. Required fields are marked *