Контролер и процессор – это две роли, которые, в соответствие с GDPR, приписываются физическим и юридическим лицам, государственным органам, учреждениям и другим компаниям, которые обрабатывают данные либо принимают решения в отношении этого. Самая близкая метафора – корабль с капитаном и матросами. Капитан решает, куда корабль плывет (то есть цель обработки персональных данных) и какую команду нанять (то есть использовать Google Drive или Яндекс.Диск). А процессор – это тот, кто по вашему поручению обрабатывает данные, которые вы контролируете. Он не определяет цели обработки, а просто предоставляет сервис либо выполняет заказ.
Записаться на консультацию 🔔
⚡ Например, вы устанавливаете на сайт счетчик Google-аналитики. Google является компанией, которая может сопоставить данные пользователя вашего сайта с хранимой у себя информацией и определить его имя и возраст. Только благодаря тому, что он пользуется Gmail. Информация с вашего сайта передается в Google, где ее обрабатывают и выдают в анонимизированном виде. И когда заходим в интерфейс Google-аналитики, не видим конкретного пользователя. Бизнес распорядился персональными данными, сказав: "Google, иди ко мне на сайт, бери персональные данные этих пользователей и отдавай мне отчет в анонимизированном виде". И в таком случае, бизнес является контролером, а Google - процессором, потому что действовал по поручению.
Контролер обязан предоставить информацию субъекту о том, как обрабатываются его данные, с помощью политики приватности. Необходимо указать среди обработчиков Google. Процессор действует по поручению и от имени контролера, который сам определяет цели и способы обработки. А вот защитить персональные данные обязаны оба, хоть и каждый по-своему.
|
Разработка политики приватности
Сертифицированные эксперты в сфере защиты персональных разработают для вас политику приватности, которая полностью соответствует GDPR.
Подробнее →
|
 |
Контролер может быть один или их может быть несколько (со-контролеры), а также есть вариант с отдельными контролерами в одной обработке, которые индивидуально определяют свои цели и средства обработки.
Joint controllers – со-контролеры – определены в 26 статье GDPR. Это те, кто совместно определяет цели и средства обработки. У со-контролеров такая же ответственность, как и контролеров.
⚡ Например, туристическое агентство берет у вас деньги и покупает билет от вашего имени в авиакомпании. И для этого нужны паспортные данные, номер рейса, дата вылета и прочее. Таким образом, авиакомпания сама определила цели и средства обработки. Турагентство тоже само определило их и запросило у вас дату вылета, чтобы купить билет. У них не было договоренности, как у нас с ВШЭ, поэтому они являются не со-контролерами, а двумя отдельными контролерами. Со-контролеры совместно решают, какие данные нужны.
