Полезное

1 февраля 2019

Контролер или Оператор? Трудности в понимании терминов Регламента GDPR.

Нормы Регламента GDPR (далее – «Регламент»), определяющие понятия основных участников процесса обработки персональных данных – «Контролера» (Controller) и «Оператора» (Processor), - до сих пор не имеют однозначного толкования и вызывают много вопросов не только у компаний, подпадающих под действие Регламента, но и у самих контролирующих органов, в чьи полномочия входит проверка соблюдения правильности применения этого Регламента и назначение наказаний за его нарушение. А ведь от корректной квалификации участника обработки персональных данных в качестве Контролера или Оператора зависит объем его прав и обязанностей, а также, что важнее, возможная ответственность за нарушение Регламента.

В связи с этим, Бельгийский орган по защите персональных данных (далее - Бельгийский DPA) опубликовал некоторые разъяснения, которые должны помочь в вопросе квалификации лица, осуществляющего обработку персональных данных, как Контролера и Оператора.

Основное отличие Контролера заключается, по его мнению, в том, что Контролер, обладающий полномочиями по принятию решений в отношении обработки персональных данных, устанавливает как цели такой обработки, так и способы и средства.

Оператор, же, в свою очередь, может лишь определять надлежащие технические и организационные меры, которые должны приниматься при обработке персональных данных, но он не вправе устанавливать категории субъектов персональных данных и сами данные, которые обрабатываются, а также получателей персональных данных, сроки хранения и законные основания обработки персональных данных. Если Оператор выходит за пределы своих полномочий, он, с большей долей вероятности, будет признаваться Контролером, что, соответственно, отразится на его ответственности за обработку персональных данных.

Сам Регламент устанавливает, что:

• Передача части функций по обработке персональных данных от Контролера к Оператору должна быть закреплена договором между ними,
• Оператор может обрабатывать персональные данные только в соответствии с указаниями Контролера (за исключением случаев, когда такая обработка входит в его обязанности, установленные законом),
• Оператор не вправе осуществлять обработку персональных данных и должен ее прекратить, если он не получил предварительное письменное согласие Контролера на это.

Однако Бельгийский DPA в своих разъяснениях несколько детализировал и дополнил обязанности Оператора по GDPRи включил в них следующие:

• обязанность по защите персональных данных в ходе их обработки,
• обязанность по регистрации всех действий, связанных с обработкой персональных данных,
• обязанность по уведомлению Контролера в случаях нарушений при обработке персональных данных,
• обязанность по назначению уполномоченного по защите персональных данных (Data protection officer (DPO)) при некоторых обстоятельствах,
• обязанность по соблюдению требований трансграничной передачи персональных данных за пределы Европейской Экономической зоны (ЕЕА),
• обязанность по назначению представителя (Representative) внутри ЕЕА, если Оператор находится за пределами ЕЕА,
• обязанность по оказанию содействия Контролеру в ходе соблюдения требований Регламента и информированию Контролера, если он нарушает Регламент.

Таким образом, рекомендуется учитывать данные дополнения при выполнении компанией функций Оператора, чтобы минимизировать возможные претензии со стороны контролирующих органов.

Кроме того, Бельгийский DPAпредлагает использовать следующие критерии при определении компании как Оператора или Контролера:

• Необходимость получения инструкций у Контролера: чем больше полномочий и самостоятельности у Оператора при обработке персональных данных, т.е. чем меньше его зависимость от получения указаний от Контролера, тем вероятнее он будет признаваться Контролером.
• Мониторинг действий Оператора при оказании им услуг Контролеру: чем больше контроля со стороны Контролера за соблюдением Оператором его обязательств, установленных договором между ними, тем больше доказательств того, что Оператор все же является именно таковым, а не выполняет функции Контролера.
• Очевидность для субъекта персональных данных: чем меньше субъекту персональных данных очевидно, что обработку персональных данных осуществляет Оператор, тем вероятнее, что Оператор не является Контролером.
• Экспертиза Сторон: в некоторых случаях необходимо привлечение экспертов для оценки деятельности Сторон и квалификации их как Контролеров и Операторов.

Несмотря на вышеуказанные разъяснения Бельгийского DPA, которые в целом не являются юридически обязательными для других стран ЕС, квалификацию компании при обработке персональных данных как Контролера или Оператора необходимо осуществлять в каждом конкретном случае индивидуально, с учетом всех обстоятельств ее деятельности при такой обработке.

Услуги

• Внедрение системы обработки персональных данных в соответствии с требованиями GDPR.