Контролер и процессор

Контролер и процессор – это две роли, которые по Регламенту приписываются физическим лицам, юридическим лицам, государственным органам, учреждениям и другим органам, которые обрабатывают данные либо принимают решения в отношении их обработки. Самая близкая метафора – корабль с капитаном и матросами. Капитан решает, куда корабль плывет, то есть цель обработки персональных данных; какую команду нанять, то есть использовать Google drive или яндекс диск. Процессор – это тот, кто по вашему поручению обрабатывает данные, которые вы контролируете. Он не определяет цели обработки, а просто предоставляет сервис либо выполняет заказ. Контролер может и не видеть сами данные.

Например, вы устанавливаете на сайт счетчик Google-аналитики. Google является компанией, которая может сопоставить данные пользователя вашего сайта с хранимой у себя информацией и определить имя пользователя и возраст. Только благодаря тому, что он пользуется gmail. Информация с вашего сайта передается в Google, где ее обрабатывают и выдают в анонимизированном виде. Мы заходим в интерфейс Google-аналитики и не видим конкретного пользователя. Мы распорядились персональными данными, сказали «Google, иди ко мне на сайт, бери персональные данные этих пользователей и отдавай мне отчет в анонимизированном виде». Мы являемся контролером, хотя самих данных не видели. А Google, получивший доступ к персональным данным, является процессором, потому что действовал по нашему поручению.

Контролер обязан предоставить информацию субъекту данных о том, как обрабатываются его данные, с помощью политики приватности. Необходимо указать среди обработчиков Google. Процессор действует по поручению и от имени контролера, который сам определяет цели и способы обработки. А вот защитить персональные данные обязаны оба, хоть и каждый по-своему.

Контролер может быть один, их может быть несколько (соконтролеры) и могут быть отдельные контролеры в одной обработке, которые индивидуально определяют свои цели и средства обработки.

Joint controllers – соконтролеры – определены в 26 статье GDPR. Это те, кто совместно определяет цели и средства обработки. У соконтролеров такая же ответственность, как и контролеров. Например, Дата Прайваси Офис организовывает совместно с ВШЭ мероприятие GDPR Day. Мы вместе определили какие данные будем спрашивать. ВШЭ необходимо знать данные участников, чтобы организовать проход на свою территорию, а нам – чтобы отобрать наиболее заинтересованных участников. У нас две разные цели, мы совместили их в одну форму регистрации и получаем каждый – свои данные. Но мы сделали это по взаимной договоренности друг с другом.

И другой пример. Туристическое агентство берет у вас деньги и покупает билет от вашего имени в авиакомпании. Авиакомпания сказала, что нужны паспортные данные, номер рейса, дата вылета и прочее – сама определила цели и средства обработки. Турагентство тоже само определило их и запросило у вас дату вылета, чтобы купить билет. У них не было договоренности, как у нас с ВШЭ, поэтому они являются не соконтролерами, а двумя отдельными контролерами. Соконтролерам не просто разный состав персональных данных требуется, а они совместно решают, какие данные нужны. 

Кто из них больше ответственность несет за защиту персональных данных и за выполнение Регламента? Контролер, потому что он определяет цели и средства обработок. Он главный здесь – у него больше и полномочий, и ответственности.

Обязательства перед субъектами данных несёт контролер – он должен реализовывать их права и заставить процессора помочь в этом. Перед надзорными органами в первую очередь будет отвечать контролер. Через него пойдут с аудитами ко всем его процессорам, но сначала все же к нему самому.