Контролер и процессор – это две роли, которые, в соответствие с GDPR, приписываются физическим и юридическим лицам, государственным органам, учреждениям и другим компаниям, которые обрабатывают данные либо принимают решения в отношении этого. Самая близкая метафора – корабль с капитаном и матросами. Капитан решает, куда корабль плывет (то есть цель обработки персональных данных) и какую команду нанять (то есть использовать Google Drive или Яндекс.Диск). А процессор – это тот, кто по вашему поручению обрабатывает данные, которые вы контролируете. Он не определяет цели обработки, а просто предоставляет сервис либо выполняет заказ.
Например, вы устанавливаете на сайт счетчик Google-аналитики. Google является компанией, которая может сопоставить данные пользователя вашего сайта с хранимой у себя информацией и определить его имя и возраст. Только благодаря тому, что он пользуется Gmail. Информация с вашего сайта передается в Google, где ее обрабатывают и выдают в анонимизированном виде. И когда заходим в интерфейс Google-аналитики, не видим конкретного пользователя. Бизнес распорядился персональными данными, сказав: "Google, иди ко мне на сайт, бери персональные данные этих пользователей и отдавай мне отчет в анонимизированном виде". И в таком случае, бизнес является контролером, а Google - процессором, потому что действовал по поручению.
Контролер обязан предоставить информацию субъекту о том, как обрабатываются его данные, с помощью политики приватности. Необходимо указать среди обработчиков Google. Процессор действует по поручению и от имени контролера, который сам определяет цели и способы обработки. А вот защитить персональные данные обязаны оба, хоть и каждый по-своему.
Мы открыты к сотрудничеству с развивающимися, инициативными компаниями.
Контролер может быть один или их может быть несколько (со-контролеры), а также есть вариант с отдельными контролерами в одной обработке, которые индивидуально определяют свои цели и средства обработки.
Joint controllers – со-контролеры – определены в 26 статье GDPR. Это те, кто совместно определяет цели и средства обработки. У со-контролеров такая же ответственность, как и контролеров.
Например, туристическое агентство берет у вас деньги и покупает билет от вашего имени в авиакомпании. И для этого нужны паспортные данные, номер рейса, дата вылета и прочее. Таким образом, авиакомпания сама определила цели и средства обработки. Турагентство тоже само определило их и запросило у вас дату вылета, чтобы купить билет. У них не было договоренности, как у нас с ВШЭ, поэтому они являются не со-контролерами, а двумя отдельными контролерами. Со-контролеры совместно решают, какие данные нужны.
Кто больше несет ответственность?
Кто больше несет ответственность за защиту персональных данных и за выполнение Регламента? Контролер, потому что он определяет цели и средства обработок. Он главный здесь – у него больше и полномочий, и ответственности.
Обязательства перед субъектами данных несёт контролер – он должен реализовывать их права и заставить процессора помочь в этом. Перед надзорными органами в первую очередь будет отвечать контролер. Через него пойдут с аудитами ко всем его процессорам, но сначала все же к нему самому.
А для лучшего усвоения информации, делимся с вами полезной схемой, в которой наглядно показано, кто есть кто и за что несет ответственность. К слову, после завершения курса GDPR Data Privacy Professional, вы получите большое количество авторских схем и раздаток от автора и тренера Сергея Воронкевича, CIPP/E, CIPM, CIPT, FIP.
Оставайтесь с нами на связи!
Подробнее о предоставляемых услугах вы можете узнать здесь.
Остались вопросы? Свяжитесь с нами для консультации (это абсолютно бесплатно). Будем рады стать вашим партнёром в адаптации бизнеса к новой реальности 💙
P.S. Для того, чтобы оставаться с нами на связи и узнавать о последних апдейтах в мире приватности, подпишитесь на наш Telegram “PRO Приватность”.
