Контролер и процессор
- 7 марта, 2021
- Законодательства, Защита данных, Термины
Работаете с персональными данными клиентов, сотрудников или партнеров? Тогда вы наверняка сталкивались с понятиями «контролер» и «процессор». Эти две роли — основа европейского законодательства о защите данных (GDPR).
Контролер принимает ключевые решения: зачем собирать данные, как их использовать и кому передавать.
Процессор реализует эти решения на практике, строго следуя инструкциям контролера.
Четкое распределение ролей — не формальность, а фундамент безопасности и доверия клиентов. Ошибки могут привести к штрафам, санкциями и, конечно, потере репутации. Давайте разберёмся, кто есть кто, — просто, наглядно и с практическими примерами.
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Кто такие контролер и процессор?
Самая близкая метафора — корабль с капитаном и командой. Капитан (контролер) решает, куда плывет корабль: он определяет цель обработки персональных данных и выбирает способы достижения этой цели — например, использовать Google Drive или Яндекс.Диск для хранения информации. Процессор — это команда, которая по поручению капитана выполняет задачи: обрабатывает данные, следуя полученным инструкциям.
Контролер отвечает за весь цикл обработки персональных данных и должен обеспечивать соответствие требованиям GDPR. Его основные обязанности включают: информирование субъектов об их правах, обеспечение прозрачности обработки, ведение RoPA, заключение договоров с процессорами и регулярное обновление политик. При утечках данных контролер уведомляет надзорные органы и субъектов. Он также внедряет принципы privacy by design и privacy by default, проводит DPIA при необходимости и следит за минимизацией обрабатываемых данных.
Процессор — это организация или лицо, которое обрабатывает персональные данные по поручению контролера и строго в рамках его инструкций. Не определяя цели и способы обработки, процессор отвечает за надежную защиту данных через внедрение технических и организационных мер безопасности — от шифрования до контроля доступа. Все действия процессора фиксируются в договоре с контролером (DPA), где детально прописаны задачи, сроки, типы данных и требования к безопасности.
Процессор обязан незамедлительно информировать контролера о любых инцидентах и содействовать в выполнении требований GDPR, в том числе при обработке запросов субъектов данных на доступ, удаление или исправление информации. Процессор не имеет права привлекать субподрядчиков без письменного согласия контролера или использовать данные для собственных целей. После завершения обработки процессор, в соответствии с требованием контролера, должен либо вернуть, либо уничтожить все персональные данные.
Например:
Вы устанавливаете на сайт счетчик Google-аналитики. Google является компанией, которая может сопоставить данные пользователя вашего сайта с хранимой у себя информацией и определить его имя и возраст. Только благодаря тому, что он пользуется Gmail. Информация с вашего сайта передается в Google, где ее обрабатывают и выдают в анонимизированном виде. И когда заходим в интерфейс Google-аналитики, не видим конкретного пользователя. Бизнес распорядился персональными данными, сказав: «Google, иди ко мне на сайт, бери персональные данные этих пользователей и отдавай мне отчет в анонимизированном виде». И в таком случае, бизнес является контролером, а Google — процессором, потому что действовал по поручению.
Со-контролеры и отдельные контролеры: что важно знать?
В обработке персональных данных по GDPR может участвовать не только один контролер. Иногда цели и способы обработки определяются сразу несколькими организациями — в таком случае речь идет о со-контролерах (joint controllers). Бывают и ситуации, когда несколько контролеров участвуют в одной обработке, но каждый действует самостоятельно — это отдельные контролеры.
Со-контролеры (joint controllers)
Со-контролеры — это две или более организации, которые совместно определяют цели и способы обработки персональных данных. Такой формат сотрудничества подробно описан в статье 26 GDPR. Для со-контролеров важно:
📎 Совместно принимать ключевые решения по обработке данных.
📎 Заключать прозрачное соглашение, где распределяются обязанности по выполнению требований GDPR: кто информирует субъектов данных, кто отвечает на запросы, кто обеспечивает безопасность и взаимодействие с надзорными органами.
📎 Сообщать субъектам данных суть этого соглашения, чтобы обеспечить максимальную прозрачность.
📎 Каждый со-контролер несет полную ответственность за выполнение своих обязательств перед законом и субъектами данных. При нарушениях любой из со-контролеров может быть привлечен к ответственности в полном объеме, если не докажет свою непричастность к инциденту.
Например:
Два партнера совместно организуют маркетинговую кампанию и вместе определяют, какие данные собирать, как их использовать и кому передавать. В этом случае они — со-контролеры.
Отдельные контролеры (independent controllers)
Отдельные контролеры — это организации, которые участвуют в одной обработке данных, но каждая определяет свои цели и способы обработки самостоятельно. Они не координируют свои решения и несут ответственность только за свою часть обработки
Например:
Онлайн-платформа и сторонний продавец: платформа собирает данные для предоставления сервисов, а продавец — для выполнения заказов. Каждый контролирует свои процессы и отвечает за свою обработку.
На ком лежит ответственность?
Кто больше несет ответственность за защиту персональных данных и за выполнение Регламента? Контролер, потому что он определяет цели и средства обработок. Он главный здесь – у него больше и полномочий, и ответственности.
Обязательства перед субъектами данных несёт контролер – он должен реализовывать их права и заставить процессора помочь в этом. Перед надзорными органами в первую очередь будет отвечать контролер. Через него пойдут с аудитами ко всем его процессорам, но сначала все же к нему самому.
А для лучшего усвоения информации, делимся с вами авторской схемой Сергея Воронкевича, CIPP/E, CIPM, CIPT, MBA, FIP, автора курсов по защите персональных данных GDPR DPP, Global DPM и UAE DPP, в которой наглядно показано, кто есть кто и за что несет ответственность.
Блиц
Работа с персональными данными всегда вызывает много практических вопросов — особенно когда речь идет о распределении ролей, оформлении договоров и реагировании на инциденты. Мы собрали самые актуальные вопросы по теме контролера и процессора, чтобы помочь вам выстроить процессы обработки данных в полном соответствии с требованиями GDPR, минимизировать юридические риски и обеспечить прозрачность для ваших клиентов и партнеров.
Может ли одна компания быть одновременно контролером и процессором?
Да, это распространенная ситуация. Например, если компания обрабатывает одни персональные данные для собственных бизнес-целей (выступая как контролер), а другие — по поручению клиентов или партнеров (в роли процессора). Такой подход позволяет гибко выстраивать процессы обработки данных и соответствовать требованиям GDPR для разных направлений деятельности.
Какие документы нужны для законной работы с процессором?
Обязателен договор о передаче и обработке данных — Data Processing Agreement (DPA). Этот документ детально регулирует отношения между контролером и процессором, определяя предмет, цели, объем, категории персональных данных, технические и организационные меры защиты, а также права и обязанности сторон.
Что обязательно прописать в договоре с процессором (DPA)?
В DPA должны быть четко указаны:
📎 цели и способы обработки персональных данных;
📎 перечень и категории обрабатываемых данных и субъектов;
📎 меры безопасности, которые обязан обеспечить процессор;
📎 порядок взаимодействия при инцидентах (например, утечках данных);
📎 права и обязанности контролера и процессора;
📎 условия привлечения субпроцессоров;
📎 сроки хранения и порядок удаления данных после завершения обработки.
Такой договор не просто формальность: Data Processing Agreement (DPA) — это юридическая основа для прозрачных и безопасных отношений между контролером и процессором. Подробно прописанные условия DPA защищают бизнес от недопонимания, распределяют ответственность, фиксируют права и обязанности сторон, а также обеспечивают контроль за обработкой персональных данных на всех этапах.
Что делать при утечке персональных данных у процессора?
Процессор обязан незамедлительно уведомить контролера о любом инциденте, связанном с нарушением безопасности персональных данных. Контролер, в свою очередь, должен в течение 72 часов уведомить надзорный орган (DPA) и, при необходимости, самих субъектов данных. Все действия и меры по устранению последствий должны быть задокументированы. Это не только требование GDPR, но и важный элемент управления рисками и поддержания доверия клиентов.
Заключение
GDPR требует от компаний не только формального соблюдения правил, но и реальных, прозрачных процессов работы с персональными данными. Четкое определение ролей контролера и процессора, грамотное оформление договоров и внедрение технических мер защиты — это не просто «галочки» для аудита, а основа доверия ваших клиентов и партнеров.
Если вы хотите быть уверены в корректности распределения ролей и качестве документов — проведите аудит текущих процессов, обновите договоры и обучите команду. Это позволит не только соответствовать требованиям GDPR, но и выстроить прозрачную, безопасную и эффективную работу с персональными данными.
Нужна поддержка или экспертная консультация? Мы поможем выстроить систему защиты персональных данных, которая работает на ваш бизнес и укрепляет репутацию на рынке.
