©2023 ALG Legal
Контроллер или процессор?
Legal services for your business in Poland
03.11.2022
GDPR проводит различие между контроллером (controller) и процессором (processor), так как не все лица, участвующие в обработке персональных данных, имеют одинаковые обязанности и, соответственно, степень ответственности.
Контроллер
Контроллер принимает решения относительно обработки персональных данных. Так, если ваша компания определяет, почему (цель) и как (способ) должны обрабатываться персональные данные, она является контроллером.
Контроллер осуществляет общий контроль над обрабатываемыми данными и, как следствие, несет ответственность за их обработку.
Контроллером может быть как юридическое лицо, так и физическое лицо, в том числе индивидуальный предприниматель. Однако физическое лицо, обрабатывающее персональные данные исключительно в личных целях, не подпадает под действие GDPR.
Соконтроллер (joint controller)
Контроллеры могут определять цели и способы обработки самостоятельно или совместно с другими контроллерами. В случае совместной обработки контроллеры выступают соконтроллерами.
Соконтроллеры должны заключить соглашение, определяющее распределение обязанностей по соблюдению GDPR. Основные положения такого соглашения должны быть доведены до сведения субъектов данных (data subject).
Процессор
Контроллер может обрабатывать данные собственными силами, однако в некоторых случаях он привлекает процессора для работы с данными. При этом контроллер продолжает осуществлять контроль за обработкой, определяя, зачем и как обрабатываются данные.
Процессор действует от имени контроллера и в соответствии с его поручениями. При этом он преследует интересы контроллера, а не свои собственные. Процессор может принимать собственные операционные решения, однако он должен обрабатывать персональные данные только в соответствии с инструкциями контроллера, если иное не предусмотрено законодательством. Это значит, что процессор сам не может изменять цель и способы обработки данных.
Обязанности процессора в связи с обработкой персональных данных от имени контроллера устанавливаются в договоре. Типичным примером привлечения к обработке процессора является использование IT-решений, например, облачное хранение данных, так, облачный провайдер является процессором данных своих клиентов.
Процессором может выступать как юридическое лицо, так и физическое лицо (ИП), в том числе консультант. При этом работники контроллера не являются процессорами, если они выполняют обработку персональных данных в рамках своих трудовых обязанностей. Такие работники являются «частью» контроллера, а не отдельным лицом, привлеченным для обработки.
Почему важно понимать свой статус?
В зависимости от того, кем ваша компания выступает, контроллером и процессором, различаются обязанности по соблюдению требований GDPR в связи с обработкой персональных данных. Если компания является контроллером, то при обработке персональных данных ее обязанности по соблюдению GDPR более широкие, по сравнению с кругом требований, предъявляемых GDPR к процессору.
Контроллеру необходимо соблюдать принципы защиты персональных данных, для достижения чего, среди прочего, он должен вести реестр обработок; в случае нарушения защиты персональных данных, уведомить контролирующий орган; учитывать принципы «privacy by design» and «privacy by default» и выполнять иные требования.
Процессору же необходимо, прежде всего, обрабатывать персональные данные только в соответствии с инструкциями контроллера, кроме этого содействовать контроллеру в осуществлении прав субъектов данных; в случае нарушения защиты данных информировать об этом контроллера; уведомлять контроллера о любом запросе на предоставление данных и выполнять иные обязанности.
Таким образом, от правильного определения роли в обработке данных зависит круг требований, которые необходимо соблюдать для соответствия GDPR.
Контроллер
Контроллер принимает решения относительно обработки персональных данных. Так, если ваша компания определяет, почему (цель) и как (способ) должны обрабатываться персональные данные, она является контроллером.
Контроллер осуществляет общий контроль над обрабатываемыми данными и, как следствие, несет ответственность за их обработку.
Контроллером может быть как юридическое лицо, так и физическое лицо, в том числе индивидуальный предприниматель. Однако физическое лицо, обрабатывающее персональные данные исключительно в личных целях, не подпадает под действие GDPR.
Соконтроллер (joint controller)
Контроллеры могут определять цели и способы обработки самостоятельно или совместно с другими контроллерами. В случае совместной обработки контроллеры выступают соконтроллерами.
Соконтроллеры должны заключить соглашение, определяющее распределение обязанностей по соблюдению GDPR. Основные положения такого соглашения должны быть доведены до сведения субъектов данных (data subject).
Процессор
Контроллер может обрабатывать данные собственными силами, однако в некоторых случаях он привлекает процессора для работы с данными. При этом контроллер продолжает осуществлять контроль за обработкой, определяя, зачем и как обрабатываются данные.
Процессор действует от имени контроллера и в соответствии с его поручениями. При этом он преследует интересы контроллера, а не свои собственные. Процессор может принимать собственные операционные решения, однако он должен обрабатывать персональные данные только в соответствии с инструкциями контроллера, если иное не предусмотрено законодательством. Это значит, что процессор сам не может изменять цель и способы обработки данных.
Обязанности процессора в связи с обработкой персональных данных от имени контроллера устанавливаются в договоре. Типичным примером привлечения к обработке процессора является использование IT-решений, например, облачное хранение данных, так, облачный провайдер является процессором данных своих клиентов.
Процессором может выступать как юридическое лицо, так и физическое лицо (ИП), в том числе консультант. При этом работники контроллера не являются процессорами, если они выполняют обработку персональных данных в рамках своих трудовых обязанностей. Такие работники являются «частью» контроллера, а не отдельным лицом, привлеченным для обработки.
Почему важно понимать свой статус?
В зависимости от того, кем ваша компания выступает, контроллером и процессором, различаются обязанности по соблюдению требований GDPR в связи с обработкой персональных данных. Если компания является контроллером, то при обработке персональных данных ее обязанности по соблюдению GDPR более широкие, по сравнению с кругом требований, предъявляемых GDPR к процессору.
Контроллеру необходимо соблюдать принципы защиты персональных данных, для достижения чего, среди прочего, он должен вести реестр обработок; в случае нарушения защиты персональных данных, уведомить контролирующий орган; учитывать принципы «privacy by design» and «privacy by default» и выполнять иные требования.
Процессору же необходимо, прежде всего, обрабатывать персональные данные только в соответствии с инструкциями контроллера, кроме этого содействовать контроллеру в осуществлении прав субъектов данных; в случае нарушения защиты данных информировать об этом контроллера; уведомлять контроллера о любом запросе на предоставление данных и выполнять иные обязанности.
Таким образом, от правильного определения роли в обработке данных зависит круг требований, которые необходимо соблюдать для соответствия GDPR.
Что мы предлагаем?
Команда ALG Legal готова помочь в установлении того, каким статусом ваша компания обладает согласно GDPR, проконсультировать по требованиям, предъявляемым GDPR, а также разработать пакет документов для Вашей компании, включая соглашения об обработке данных с контрагентами.
Подписывайтесь на наш канал в Telegram!
Здесь вы найдете много полезной информации о юридических и налоговых аспектах ведения бизнеса в Польше
