Перейти к основному содержанию

Взаимодействие контроллера и обработчика в контексте GDPR: на что нужно обратить внимание контролерам

Взаимодействие контроллера и обработчика в контексте GDPR: на что нужно обратить внимание контролерам

Обработка персональных данных достаточно часто требует привлечения сторонних компаний и специалистов, имеющих средства и возможности для обеспечения надлежащего ведения бизнеса компанией и обработки персональных данных. General Data Protection Regulation (GDPR) предусматривает ряд требований по привлечению таких посторонних лиц, о которых будет раскрыто в этой статье.

Основы взаимодействия между компаниями

Для того чтобы понять, какие требования ставятся перед компаниями-контроллерами для возможности привлечения обработчиков в процессе ведения своего бизнеса, необходимо выяснить, кто же такие контроллеры и обработчики. Исходя из практики, в процессе ведения бизнеса, довольно часто возникают ситуации, когда есть непонимание того, какую роль выполняет та или иная компания в процессе обработки персональных данных. Именно, поэтому, ниже приведены точные определения этих двух понятий:

Контроллер означает физическое или юридическое лицо, орган публичной власти, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Если цели и способы такой обработки персональных данных определяются законодательством Европейского Союза или страны-члена ЕС, контроллер или специальные критерии его назначения могут определяться в рамках законодательства ЕС или страны-члена ЕС;

Обработчик означает физическое или юридическое лицо, орган публичной власти, агентство или иной орган, который обрабатывает персональные данные от имени контроллера.

Законодательство ЕС требует, чтобы контроллер, выбирая обработчика для осуществления обработки персональных данных от имени контроллера, должен привлекать только тех обработчиков, которые предоставляют достаточные гарантии относительно принятия необходимых технических и организационных мероприятий для возможности обеспечения соответствия операций по обработке требованиям GDPR и защите прав субъектов данных.

Под определением «субъект данных» всегда следует понимать физическое лицо, чьи персональные данные обрабатываются контроллером и \ или обработчиком.

Обработка персональных данных обработчиком, которого привлек контроллер, всегда должна регулироваться договором или другим нормативно-правовым актом, принятым в рамках законодательства Европейского Союза или страны-члена ЕС, при этом, такой акт должен накладывать на обработчика обязанность действовать в соответствии с требованиями контроллера. Вместе с этим, соответствующий документ или нормативно-правовой акт должен устанавливать предмет и продолжительность обработки персональных данных, специфику, цели обработки персональных данных, тип персональных данных, категории субъектов данных, обязанности и права контроллера.

Привлечение суб-обработчиков

Прежде всего, обработчик не имеет пава привлекать суб-обработчиков без получения предварительного письменного специального разрешения от контроллера. То есть, в этом случае, перед тем как передать персональные данные любой другой компании, обработчик обязан согласовать такую передачу с компанией-контроллером.

Вместе с тем, законодательство предусматривает возможность предоставления контроллером общей письменной авторизации для обработчика. В случае такого общего письменного разрешения, обработчик должен сообщить контроллеру обо всех компаниях, которые привлекаются к обработке персональных данных в роли суб-обработчиков, а также предоставлять контроллеру информацию о любых целенаправленные изменения по привлечению дополнительных или замены существующих суб-обработчиков, таким образом предоставляя контроллеру возможность возразить против таких изменений.

В случае привлечения обработчиком суб-обработчиков к осуществлению обработки персональных данных от имени компании-контроллера, те же условия по защите данных, которые установлены между контроллером и первичным обработчиком в договоре или ином нормативно-правовом акте, должны быть отражены и в договоре между обработчиком и суб-обработчиком или предусматриваться в нормативно-правовом акте, в соответствии с законодательством Европейского Союза или страны-члена ЕС. При этом, суб-обработчиком должны предоставляться достаточные гарантии принятия им необходимых технических и организационных мероприятий способом, которые позволят обеспечить соответствие обработки персональных данных требованиям GDPR.

Следует учитывать, что обработчик всегда оставаться ответственным перед контролером за действия привлеченных им суб-обработчиков как за свои собственные. Такую особенность необходимо достаточно подробно описывать в соответствующем договоре, для возможности избегания противоречий в будущем.

Дополнительные требования к взаимодействию контроллера с обработчиком

Обсуждая дополнительные требования относительно взаимоотношений между контроллером и обработчиком, стоит обратить внимание на то, что обработчик должен осуществлять обработку персональных данных на основании письменных инструкций контроллера, в том числе инструкций о передаче персональных данных в третью страну или международную организацию, за исключением когда существует соответствующее требование законодательства Европейского Союза или страны-члена ЕС, которое распространяется на обработчика. Если обработчик все же имеет требование действовать в конкретной ситуации вне инструкций контроллера, обработчик обязан сообщить контроллера о таком законодательном требовании к началу обработки персональных данных, за исключением, если таким законодательством запрещено предоставление информации с целью защиты важных общественных интересов общества.

Если компания-обработчик привлекает физических лиц из числа своих работников или из числа других специалистов, получивших доступ к персональным данным, компания-обработчик, в таком случае, должна гарантировать контроллеру, что такие лица взяли на себя обязанность сохранения конфиденциальности или обязательства, связанные соответствующим уставным обязательством сохранять конфиденциальность, в частности относительно осуществляемых операций по обработке персональных данных.

Важными также остаются требования по организации и обеспечению технической безопасности обработки персональных данных, которые также возлагаются как на контролера, так и на обработчика, в соответствии со статьей 32 General Data Protection Regulation. Речь в данном случае идет о таких мерах безопасности как псевдонимизация и шифрования, а также о других мерах, чрезвычайно важных для обеспечения уровня безопасности обработки данных, соответствующего выявленным рискам. При этом, такие меры должны приниматься с учетом новейших технологий, природы, контекста и целей обработки персональных данных.

Обработчик, который был привлечен контроллером, также должен помогать и способствовать контроллеру в решении определенных задач и реализации специфических обязанностей контролера, в соответствии с требованиями General Data Protection Regulation. Речь в частности идет о ситуации, когда:

  • Обработчик, учитывая специфику обработки персональных данных, помогает контроллеру надлежащими техническими и организационными мерами, насколько это возможно, выполнить обязанности контролера по предоставлении ответов на запросы о возможности реализации прав субъектами данных;
  • Обработчик помогает контроллеру в обеспечении соответствия обязанностям, связанным с реализацией технических и организационных мер безопасности, проведения Data Protection Impact Assessment, а также мероприятий, связанных со своевременным реагированием на нарушения персональных данных.

Вывод

В общем, специфика взаимоотношений между контроллером и обработчиками является довольно разнообразной и насыщенной. В некоторых случаях, такие отношения могут покрываться договором на несколько десятков страниц. Продумать каждый нюанс взаимоотношений - это одна из основных задач контроллера, ведь нужно помнить, что ответственность перед законом, в том числе за привлечение обработчика, суб-обработчиков и за их деятельность несет исключительно контроллер. Именно поэтому, советуем вам обращаться к специалистам компании BSO Privacy Group, которые всегда готовы помочь вам в решении ваших вопросов, связанных с выполнением требований General Data Protection Regulation.