Взаємодія контролера та обробника в контексті GDPR: на що потрібно звернути увагу контролерам

09 Лютого 2020

Обробка персональних даних досить часто потребує залучення сторонніх компаній та спеціалістів, які мають засоби та можливості для забезпечення належного ведення бізнесу компанією та обробки персональних даних. General Data Protection Regulation (GDPR) передбачає ряд вимог щодо залучення таких сторонніх осіб, про які буде розкрито в цій статті. 

Основи взаємодії між компаніями

Для того аби зрозуміти, які вимоги ставляться перед компаніями-контролерами за-для можливості залучення обробників в процесі ведення свого бізнесу, необхідно вияснити, а хто ж такі ті контролери та обробники. Виходячи з практики, в процесі ведення бізнесу досить часто виникають ситуації, коли є нерозуміння того, яку роль виконує та чи інша компанія в процесі обробки персональних даних. Саме, тому, нижче наведені точні визначення цих двох понять:

  • Контролер означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який самостійно або спільно з іншими визначає цілі та способи обробки персональних даних. Якщо цілі та способи такої обробки персональних даних визначаються законодавством Європейського Союзу чи країни-члена ЄС, контролер або спеціальні критерії його призначення можуть визначатися в рамках законодавства ЄС або країни-члена ЄС;
  • Обробник означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який опрацьовує персональні дані від імені контролера.

Законодавство ЄС вимагає, щоб контролер, обираючи обробника для здійснення обробки персональних даних від імені контролера, повинен залучати лише тих обробників, які надають достатні гарантії стосовно вжиття необхідних технічних і організаційних заходів для можливості забезпечення відповідності операцій з обробки вимогам GDPR та гарантувати захист прав суб’єктів даних.

Під визначенням «суб’єкт даних» завжди слід розуміти фізичну особу, чиї персональні дані оброблюються контролером таабо обробником.

Обробка персональних даних обробником, якого залучив контролер, завжди повинна регулюватися договором або іншим нормативно-правовим актом, прийнятим в рамках законодавства Європейського Союзу або країни-члена ЄС, при цьому, такий акт повинен накладати на обробника обов’язок  діяти у відповідності з вимогами контролера. Разом з цим, відповідний документ або ж нормативно-правовий акт повинен встановлювати предмет і тривалість обробки персональних даних, специфіку, цілі обробки персональних даних, тип персональних даних, категорії суб’єктів даних та обов’язки і права контролера.

Залучення суб-обробників

Перш за все, обробник не має пава залучати суб-обробників без отримання попереднього письмового спеціального дозволу від контролера. Тобто, в цьому випадку, перед тим як передати персональні дані будь-якій іншій компанії, обробник зобов’язаний узгодити такі передачу з компанією-контролером.

Разом з тим, законодавство передбачає можливість і надання контролером загальної письмової авторизації для обробника. У випадку такого загального письмового дозволу, обробник повинен повідомити контролера про всі компанії, які залучаються до обробки персональних даних у ролі суб-процесорів, а також надавати контролеру інформацію про будь-які цілеспрямовані зміни щодо залучення додаткових чи заміни існуючих суб-процесорів, таким чином надаючи контролеру можливість заперечити проти таких змін.

У разі залучення обробником суб-обробників до здійснення обробки персональних даних від імені компанії-контролера, ті самі умови щодо захисту даних, які встановлено між контролером та первинним обробником в договорі або іншому нормативно-правовому акті, повинні бути відображені і в договорі між обробником та суб-обробником або ж передбачатися  в нормативно-правовому акті, відповідно до законодавства Європейського Союзу або країни-члена ЄС. При цьому, суб-обробником повинні надаватися достатні гарантії вжиття ним необхідних технічних і організаційних заходів у спосіб, який дозволяє забезпечити відповідність обробки персональних даних вимогам GDPR.

Варто враховувати, що обробник завжди залишатиметься відповідальним перед контролером за дії залучених ним суб-обробників як за свої власні. Таку особливість необхідно досить детально описувати у відповідному договорі за-для уникнення суперечносте у майбутньому.

Додаткові вимоги до взаємодії контролера з обробником

Обговорюючи додатків вимоги щодо взаємовідносин між контролером та обробником, варто звернути увагу на те, що обробник повинен здійснювати обробку персональних даних лише на підставі письмових інструкцій контролера, в тому числі щодо передачі персональних даних до третьої країни чи міжнародної організації, за винятком існування відповідної вимоги законодавства Європейського Союзу або країни-члена ЄС, яка поширюється на обробника. Якщо обробник все ж має вимогу діяти в конкретній ситуації по за межами інструкцій контролера, обробник зобов’язаний  повідомити контролера про таку законодавчу вимогу до початку обробки персональних даних, за винятком, якщо таким законодавством заборонено надання інформації з ціллю захисту важливих суспільних інтересів суспільства.

Якщо компанія-обробник залучає фізичних осіб з числа своїх працівників або з числа інших спеціалістів, які отримали доступ до персональних даних, компанія-обробник, в такому випадку, повинна гарантувати контролеру, що такі особи взяли на себе обов’язок збереження конфіденційності чи зобов’язані відповідним статутним обов’язком зберігати конфіденційність, зокрема щодо здійснюваних операцій з обробки персональних даних.

Важливими також залишаються вимоги щодо організації та забезпечення технічної безпеки обробки персональних даних, які зокрема покладаються як на контролера, так і на обробника у відповідності до статті 32 General Data Protection Regulation. Мова в цьому випадку йде про такі заходи безпеки як псевдонімізація та шифрування, а також про інші заходи, що є надзвичайно важливими для гарантування рівня безпеки обробки даних, що відповідає виявленим загрозам. При цьому, такі заходи повинні вживатися з врахуванням новітніх технологій, природи, контексту та цілей обробки персональних даних.

Обробник, який був залучений контролером, також повинен допомагати та сприяти контролеру у вирішенні певних завдань та реалізації специфічних обов’язків контролера, у відповідності до вимог General Data Protection Regulation. Мова зокрема йде про ситуації, коли:

  • Обробник, враховуючи специфіку обробки персональних даних, допомагає контролеру належними технічними та організаційними заходами, наскільки це можливо, виконати обов’язки контролера щодо надання відповідей на запити про можливість реалізації прав суб’єкта даних;
  • Обробник допомагає контролеру в забезпеченні відповідності обов’язкам, пов’язаним з реалізацією технічних та організаційних заходів безпеки, проведення Data Protection Impact Assessment, а також заходів, пов’язаних з вчасним реагуванням на порушення персональних даних.

Висновок

Загалом, специфіка взаємовідносин між контролером та обробниками є доволі різноманітною та насиченою. В деяких випадках, такі відносини можуть покриватися договором на декілька десятків сторінок. Продумати кожен нюанс взаємовідносин – це одна із основних задач контролера, адже потрібно пам’ятати, що відповідальність перед законом, за залучення обробника, суб-обробників та за їхню діяльність несе виключно контролер. Саме тому, радимо вам звертатися до спеціалістів компанії BSO Privacy Group, які завжди готові допомогти вам у вирішенні ваших питань, пов’язаних з імплементацією вимог General Data Protection Regulation.