Выбор стратегии подготовки компании к требованиям GDPR

14 августа 2020

В современном бизнесе довольно часто возникают ситуации, когда крупные компании, не желая нести ответственность перед законом за несоблюдение требований обработки персональных данных, принимают решение о признании себя обработчиками персональных данных, вместо того, чтобы оставаться контролерами.

Почему компании не желают быть контролерами

Лица (как юридические, так и физические), которые признаются контроллерами, в соответствии с требованиями General data Protection Regulation (GDPR), обязаны нести все риски относительно обеспечения того, как и зачем осуществляется обработка персональных данных.

Во-первых, компания, которая признана контроллером, самостоятельно устанавливает задачи и цели обработки персональных данных, а значит несет ответственность за то, чтобы эти цели были релевантными и соразмерными с операциями, которые компания осуществляет по отношению к персональным данным.

Во-вторых, компания-контроллер должна самостоятельно обеспечить или гарантировать наличие необходимых организационных и технических мероприятий, которые бы обеспечили максимальную защиту обрабатываемых персональных данных. И даже если компания будет привлекать подрядчиков, обязанность по обеспечению упомянутых выше мероприятий, возлагается все равно на компанию-контроллера, а не на подрядчика. Конечно, есть исключения, о которых будет написано ниже.

И напоследок, компания всегда должна иметь четкую стратегию коммуникации с физическими лицами, чьи персональные данные обрабатываются (субъекты данных), которая бы максимально соответствовала бы требованиям GDPR. Имеется в виду тот факт, что компания-контроллер будет отвечать на запросы и жалобы субъектов данных, а также осуществлять мероприятия, направленные на реализацию физическими лицами свои права, предусмотренные положениями GDPR.

Именно такой объем ответственности и обязанностей достаточно часто заставляют компании искать спасательные пути, с целью уменьшить риск привлечения их к ответственности.

Распределение ответственности как основной фактор для избрания стратегии

Учитывая вышеизложенное, а также ссылаясь на положения статьи 24 General data Protection Regulation, компания — контроллер будет всегда ответственным за ненадлежащую обработку персональных данных физических лиц, находящихся на территории Европейского Союза.

Эта ответственность может проявляться как в форме санкций со стороны государственных органов, которые чаще всего имеют форму штрафов, так и в виде компенсации материального и морального вреда субъектам данных, чьи права и интересы были нарушены, вследствие нарушения персональных данных.

Что же касается ответственности лица (как юридического, так и физического) — обработчика, то в этом случае законодатель предусмотрел ограниченную ответственность в рамках конкретных обязательств обработчика, которые опять же четко предусмотрены в General data Protection Regulation, в частности в статье 28.

В этом случае речь может идти об ответственности за несоблюдение прямых обязательств по обеспечению технических мероприятий при осуществлении обработки персональных данных, если такие гарантии предоставлялись компании-контроллеру перед началом обработки персональных данных.

Например: Компания-контроллер, зарегистрированная в Эстонии, привлекает компанию-обработчика, которая зарегистрирована в Германии, с целью предоставления услуг по технической поддержке веб-ресурсов, через которые предоставляются услуги тысячам физических лиц, проживающих в ЕС. Контроллер и обработчик заключают договор, где обработчик уверяет, что он реализовал все необходимые технические инструменты для безопасного мониторинга, сбора, классификации и хранения персональных данных. Через некоторое время оказалось, что обработчик недостаточно надежно обеспечил хранения данных на своих серверах, что привело к значительным нарушениям прав и интересов субъектов данных и контроллер не был уведомлен об этом вовремя. В этом случае, вся ответственность за нарушение персональных данных может быть переадресовано на обработчика, если контроллер докажет, что им были приняты все необходимые меры перед привлечением обработчика и в процессе взаимодействия с ним.

Не стоит также забывать, что ответственность может быть распределена между контроллером и обработчиком, если будет установлено и доказано их совместную вину в наступлении негативных последствий для прав и интересов субъектов данных. В таком случае, обе стороны будут нести солидарную ответственность, в степени, зависит от степени тяжести нарушения, совершенного каждой из сторон.

Выбор стратегии

Для выбора корректной стратегии, необходимо понять, действительно ли вы в этом нуждаетесь. Необходимо установить связь между персональными данными и коммерческой составляющей деятельности вашей компании.

Важно: Компания, которая весь период своего существования осуществляла обработку персональных данных в качестве контроллера, не может просто изменить свою роль с контроллера на обработчика и задекларировать это в своих документах, без базового изменения алгоритмов осуществления бизнес-операций в рамках компании.

Ниже приведены некоторые примеры об избрании определенной стратегии:

Если компания осуществляет продажу конкретных продуктов от собственного имени или предоставляет такие же услуги конечным потребителям, то в таком случае речь может идти только о том, что компания является контроллером.

Если компания действует по заказу других лиц, то есть производит продукты или предоставляет услуги для других компаний или от их имени, то в таком случае она уже может планировать свою деятельность как обработчик. При этом не стоит забывать об учете нюансов, касающихся определения собственных целей обработки персональных данных.

Существуют также ситуации, когда компании пытаются комбинировать свою роль в качестве контроллера и обработчика, в процессе обработки персональных данных. И это очень «тонкая работа», которая требует значительного внимания и компетенции.

Например: Компанией могут предоставляться услуги по технической поддержке или маркетинга другим компаниям, но когда персональные данные попадут в компанию, она немедленно формирует свою базу данных, для проведения уже собственных маркетинговых активностей по отношению к этим физических лиц.

В любом случае, перед избранием стратегии действий, в контексте признания компании контроллером или обработчиком, стоит уделить очень большое внимание изучению информации о том, какие персональные данные собираются, для каких целей они собираются, и в каких объемах это делается. Только осуществив такое исследование, мы можем перейти к планированию стратегии, соединив результаты personal data assessment с коммерческими особенностями деятельности компании.

Вывод

Иногда стоит осуществить переоценку своего умения выбирать правильный путь в сфере обработки данных, учитывая при этом ту меру ответственности, которая может быть применена в тех случаях, когда будет установлено, что роль компании, в контексте требований General data Protection Regulation, была выбрана не верно и компания незаконно осуществляла обработку персональных данных в течение определенного времени.

Привлечение специалистов, имеющих практический опыт в реализации подобных проектов, это всегда верное решение, которое минимизирует возможность привлечения к ответственности за нарушение условий обработки персональных данных.