Контролер и процессор

Контролер и процессор – это две роли, которые, в соответствие с GDPR, приписываются физическим и юридическим лицам, государственным органам, учреждениям и другим компаниям, которые обрабатывают данные либо принимают решения в отношении этого. 

Содержание

Подкаст "Про Приватность"

Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности. 

Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave

подкасты про приватность

Что такое контроллер и процессор?

Самая близкая метафора – корабль с капитаном и матросами. Капитан решает, куда корабль плывет (то есть цель обработки персональных данных) и какую команду нанять (то есть использовать Google Drive или Яндекс.Диск). А процессор – это тот, кто по вашему поручению обрабатывает данные, которые вы контролируете. Он не определяет цели обработки, а просто предоставляет сервис либо выполняет заказ.

Например:

Вы устанавливаете на сайт счетчик Google-аналитики. Google является компанией, которая может сопоставить данные пользователя вашего сайта с хранимой у себя информацией и определить его имя и возраст. Только благодаря тому, что он пользуется Gmail. Информация с вашего сайта передается в Google, где ее обрабатывают и выдают в анонимизированном виде. И когда заходим в интерфейс Google-аналитики, не видим конкретного пользователя. Бизнес распорядился персональными данными, сказав: «Google, иди ко мне на сайт, бери персональные данные этих пользователей и отдавай мне отчет в анонимизированном виде». И в таком случае, бизнес является контролером, а Google — процессором, потому что действовал по поручению.

Консалтинг по национальным законам

Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.

Задача контроллера и процессора

Контролер обязан предоставить информацию субъекту о том, как обрабатываются его данные, с помощью политики приватности. Необходимо указать среди обработчиков Google. Процессор действует по поручению и от имени контролера, который сам определяет цели и способы обработки. А вот защитить персональные данные обязаны оба, хоть и каждый по-своему.

Контролер может быть один или их может быть несколько (со-контролеры), а также есть вариант с отдельными контролерами в одной обработке, которые индивидуально определяют свои цели и средства обработки.

Joint controllers – со-контролеры – определены в 26 статье GDPR. Это те, кто совместно определяет цели и средства обработки. У со-контролеров такая же ответственность, как и контролеров. 

Например:

Туристическое агентство берет у вас деньги и покупает билет от вашего имени в авиакомпании. И для этого нужны паспортные данные, номер рейса, дата вылета и прочее. Таким образом, авиакомпания сама определила цели и средства обработки. Турагентство тоже само определило их и запросило у вас дату вылета, чтобы купить билет. У них не было договоренности, как у нас с ВШЭ, поэтому они являются не со-контролерами, а двумя отдельными контролерами. Со-контролеры совместно решают, какие данные нужны.

Кто больше несет ответственность?

Кто больше несет ответственность за защиту персональных данных и за выполнение Регламента? Контролер, потому что он определяет цели и средства обработок. Он главный здесь – у него больше и полномочий, и ответственности.

Обязательства перед субъектами данных несёт контролер – он должен реализовывать их права и заставить процессора помочь в этом. Перед надзорными органами в первую очередь будет отвечать контролер. Через него пойдут с аудитами ко всем его процессорам, но сначала все же к нему самому. 

А для лучшего усвоения информации, делимся с вами полезной схемой, в которой наглядно показано, кто есть кто и за что несет ответственность. К слову, после завершения курса GDPR Data Privacy Professional, вы получите большое количество авторских схем и раздаток от автора и тренера Сергея Воронкевича, CIPP/E, CIPM, CIPT, FIP.

role controller processor gdpg

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.