Не относится к функциям процессора

Обновлено: 21.11.2024

План North American Electric Reliability Corporation по защите критически важной инфраструктуры (NERC CIP) представляет собой набор стандартов.

Структура управления рисками ISO 31000 – это международный стандарт, который предоставляет компаниям рекомендации и принципы для .

Чистый риск относится к рискам, которые находятся вне контроля человека и приводят к убыткам или их отсутствию без возможности получения финансовой выгоды.

Экранированная подсеть или брандмауэр с тройным подключением относится к сетевой архитектуре, в которой один брандмауэр используется с тремя сетями .

Метаморфное и полиморфное вредоносное ПО – это два типа вредоносных программ (вредоносных программ), код которых может изменяться по мере их распространения.

В контексте вычислений Windows и Microsoft Active Directory (AD) идентификатор безопасности (SID) — это уникальное значение, которое равно .

Медицинская транскрипция (МТ) – это ручная обработка голосовых сообщений, продиктованных врачами и другими медицинскими работниками.

Электронное отделение интенсивной терапии (eICU) — это форма или модель телемедицины, в которой используются самые современные технологии.

Защищенная медицинская информация (PHI), также называемая личной медицинской информацией, представляет собой демографическую информацию, медицинскую .

Снижение рисков – это стратегия подготовки к угрозам, с которыми сталкивается бизнес, и уменьшения их последствий.

Отказоустойчивая технология — это способность компьютерной системы, электронной системы или сети обеспечивать бесперебойное обслуживание.

Синхронная репликация — это процесс копирования данных по сети хранения, локальной или глобальной сети, поэтому .

Интерфейс управления облачными данными (CDMI) – это международный стандарт, определяющий функциональный интерфейс, используемый приложениями.

Износ флэш-памяти NAND — это пробой оксидного слоя внутри транзисторов с плавающим затвором флэш-памяти NAND.

Выносливость при записи — это количество циклов программирования/стирания (P/E), которое может быть применено к блоку флэш-памяти перед сохранением .

Введение GDPR вызвало вопросы о том, являются ли определенные организации контролерами или обработчиками данных. Понимание разницы между контроллерами и обработчиками данных жизненно важно для соблюдения GDPR.

Оглавление

Что GDPR говорит о контроллерах и процессорах?

Поскольку GDPR был запущен в мае 2018 года, у контролеров есть определенные обязательства. Кроме того, у процессоров есть собственные юридические обязательства. Это существенное отличие от первоначального законодательства о DPD 1995 года.

Согласно GDPR, ICO и другие надзорные органы могут преследовать процессоры и контролеров за любые нарушения. Существуют также особые требования к совместным контроллерам в соответствии с GDPR.

В чем разница между контроллером и процессором?

Существует четкая разница между «контроллером данных» и «обработчиком данных» в соответствии с GDPR.

Регламент признает, что не все организации, участвующие в обработке персональных данных, несут одинаковый уровень ответственности. Определения контроллеров и процессоров в соответствии с GDPR следующие:

Контроллер данных — это юридическое или физическое лицо, агентство, государственный орган или любой другой орган, который самостоятельно или совместно с другими определяет цели любых персональных данных и средства их обработки.

Обработчик данных — юридическое или физическое лицо, агентство, государственный орган или любой другой орган, который обрабатывает персональные данные от имени контроллера данных.

Если вы классифицируетесь как контролер данных или обработчик данных, вы несете ответственность за соблюдение GDPR и демонстрацию соблюдения принципов защиты данных.

Обработчики данных не несут такого же уровня ответственности за соблюдение GDPR.

Однако им все равно следует принимать соответствующие организационные и технические меры для обеспечения того, чтобы любые обрабатываемые данные выполнялись в соответствии с GDPR.

Контроллеры данных

Контроллеры данных являются ключевыми лицами, принимающими решения. Они имеют право голоса и контролируют причины и цели сбора данных, а также средства и методы любой обработки данных.

На некоторых контролеров данных может распространяться законодательное обязательство по сбору и обработке персональных данных. Согласно разделу 6(2) Закона о защите данных 2018 г., если организация несет такое обязательство и обрабатывает персональные данные в соответствии с требованиями, она классифицируется как контролер данных.

Контролером данных может быть:

  • Частная компания или любое другое юридическое лицо, в том числе объединенная ассоциация, объединенное товарищество или орган государственной власти.
  • Физическое лицо — например, партнер в некорпоративном товариществе, индивидуальный предприниматель или любой профессионал, работающий не по найму.

Являются ли некорпоративные организации контроллерами данных?

У организации может не быть отдельного юридического лица, например, у некорпоративных организаций, таких как добровольческие группы и спортивные клубы. В этом случае ответственная сторона должна ссылаться на документ, регулирующий управление этой организацией.

Этот документ должен содержать подробную информацию о том, как такие организации должны управляться от имени их членов. Вероятно, ожидается, что они будут действовать как контролеры данных или как совместные контролеры данных.

Обязанности контроллера данных GDPR

Контроллеры несут ответственность за соблюдение самых строгих требований GDPR. Согласно статье 24 GDPR они должны активно демонстрировать полное соблюдение всех принципов защиты данных.

Они также несут ответственность за соответствие GDPR любых процессоров, которые они могут использовать для обработки данных.

Они должны демонстрировать справедливость, законность и прозрачность, точность, минимизацию данных, целостность и хранение, а также полную конфиденциальность личных данных.

Согласно статье 24 GDPR, контролеры данных должны:

  • Учитывайте цель, характер, контекст и объем любых действий по обработке данных.
  • Учитывайте вероятность любого серьезного риска для свобод и прав любых физических лиц.
  • Примите соответствующие организационные и технические меры и меры безопасности, демонстрирующие, что действия по обработке данных выполняются в соответствии с регламентом GDPR.
  • Просмотрите и при необходимости обновите эти меры.

Контроллеры данных должны платить сбор за защиту данных, который взимает сотрудник по защите данных, если они не освобождены.

Является ли ваша компания контроллером данных?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация контролером данных в соответствии с GDPR.

  1. Ваша организация решила собирать и обрабатывать личные данные пользователей?
  2. Определила ли ваша организация цель обработки данных?
  3. Приняла ли ваша организация решение о том, какие персональные данные следует собирать?
  4. Получит ли ваша организация коммерческую выгоду от обработки данных (помимо оплаты услуг контроллера)?
  5. Являются ли субъекты данных вашими сотрудниками?
  6. Приняла ли ваша организация решение о вовлеченных пользователях в рамках обработки или в связи с ней?
  7. Применяете ли вы профессиональное суждение при обработке персональных данных?
  8. Есть ли у вас прямая связь с субъектами данных?
  9. Отвечаете ли вы исключительно за то, как обрабатываются данные?
  10. Вы привлекали аутсорсинговых обработчиков данных для обработки данных?

Совместные контролеры

Статья 26(1) GDPR гласит, что контролеры данных могут определять цели и средства обработки данных индивидуально или совместно с другой стороной в качестве совместных контролеров данных.

Согласно GDPR, совместные контролеры имеют общую цель и совместно согласовывают цель и средства обработки данных. Однако это неприменимо, если одни и те же данные используются по разным причинам.

Является ли ваша компания совместным контролером?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация совместным контролером в соответствии с GDPR:

  1. Есть ли у вас общая цель с другими компаниями в отношении обработки данных?
  2. Обрабатываете ли вы данные по той же причине, что и другой контролер данных?
  3. Используете ли вы для обработки тот же набор персональных данных, что и другой контролер данных? Например, это может означать использование одной и той же базы данных.
  4. Вы планируете обработку данных с помощью другого контроллера данных?

Обязанности совместных контролеров данных GDPR

Совместные контролеры должны договориться между собой, кто берет на себя основную ответственность. Они несут равную ответственность за любые нарушения безопасности, и любые штрафы будут соответственно разделены.

Примеры контроллеров данных

Пример 1

Кабинет врача использует автоматизированную компьютерную систему в зоне ожидания, чтобы сообщать пациентам, когда им следует идти в консультационный кабинет.

Автоматизированная система работает с использованием цифрового экрана, на котором отображается имя пациента и номер консультационного кабинета. Он также может использовать громкоговоритель для любых пациентов с нарушениями зрения, чтобы объявить эту информацию.

Кабинет врача будет контролером персональных данных, обрабатываемых в связи с этой системой уведомления, поскольку он контролирует цели и средства обработки данных.

Пример 2

Фирма нанимает бухгалтера для ведения бухгалтерского учета. Действуя от имени своего клиента, бухгалтер классифицируется как контролер данных в отношении любых личных данных, включенных в учетные записи.

Это связано с тем, что бухгалтеры и другие поставщики профессиональных услуг должны работать в соответствии с определенными профессиональными стандартами и обязаны нести ответственность за любые персональные данные, для обработки которых они наняты.

Например, если бухгалтер обнаружит какую-либо злоупотребление служебным положением при заполнении счетов фирмы, можно ожидать, что он сообщит об этом нарушении в полицию или другие органы.

Если они будут вынуждены предпринять это действие, они больше не будут действовать в соответствии с инструкциями своего клиента, а будут действовать в соответствии со своими профессиональными обязательствами и, следовательно, в качестве самостоятельных контролеров данных.

Специализированные поставщики услуг, которые обрабатывают данные в соответствии со своими профессиональными обязанностями, всегда будут действовать в качестве контроллера данных. По этой причине им не разрешается передавать или делиться обязательствами контроллера данных со своим клиентом.

Обработчики данных

Обработчиком данных может быть компания или любое другое юридическое или физическое лицо. Несмотря на то, что обработчики данных принимают свои собственные оперативные решения, они будут действовать от имени и под руководством соответствующего контроллера данных.

Согласно статье 29 GDPR, обработчик данных должен обрабатывать персональные данные только в соответствии с инструкциями контроллера данных, если только это не требуется по закону.

Отдельные пользователи могут подавать иски о компенсации и возмещении убытков как контролерам, так и обработчикам данных. Если обработчик данных пойдет против инструкций контроллера данных, он будет нести ответственность за любую утечку данных. Поэтому обработчики данных должны всегда следить за тем, чтобы они соблюдали рекомендации GDPR.

Относятся ли сотрудники к обработчикам данных?

Сотрудники контроллера данных не классифицируются как обработчики данных. Пока физическое лицо действует в рамках своих трудовых обязанностей, оно выступает в качестве агента контроллера данных.

Другими словами, GDPR классифицирует их как часть контролера, а не как отдельную сторону, с которой заключен контракт на обработку данных от имени контролера данных.

Является ли ваша компания обработчиком данных?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация процессором в соответствии с GDPR:

  1. Обрабатываете ли вы персональные данные для кого-то еще и по их указанию?
  2. Предоставлялись ли вам личные данные третьей стороной или вам давали указания о том, какие данные нужно собирать?
  3. Вы не решили собирать личные данные от отдельных лиц и не решали, какие данные следует собирать.
  4. Вы не определяете законную основу для сбора или использования этих данных.
  5. Вы не решаете, для чего будут использоваться данные.
  6. Вы не решаете, как долго данные будут храниться и храниться.
  7. Выполняете ли вы решения по обработке данных в рамках контракта с другой компанией?
  8. Вас не интересует общая цель или результат обработки.

Обязанности обработчика данных GDPR

У обработчиков данных нет такого же уровня юридических обязательств, как у контролеров в соответствии с GDPR. Обработчикам не нужно платить за защиту данных.

Но у них есть собственный набор обязательств в соответствии с GDPR, и они могут быть объектом мер, принимаемых надзорными органами, такими как ICO, за любые нарушения.

Согласно статье 28 GDPR, если какие-либо действия по обработке данных выполняются по указанию контролера, обработчик данных должен принять соответствующие организационные и технические меры для соблюдения руководящих принципов, изложенных в GDPR.

Обработчики несут ответственность за обеспечение защиты прав субъекта данных, поэтому у них должны быть свои собственные меры безопасности.

Если GDPR обнаружит какие-либо нарушения данных, в соответствии со статьей 83, сотрудник по защите данных наложит штраф в соответствии со степенью ответственности обработчика и контролера с учетом всех реализованных технических и организационных мер. контроллерами и процессорами.

Пример процессора данных

Тренажерный зал проводит специальную рекламную акцию и нанимает типографию для изготовления приглашений. Тренажерный зал предоставляет типографии имена и адреса своих нынешних членов из своей базы данных. Типография использует эту информацию для рассылки приглашений.

Тренерский зал считается контролером личной информации, которая используется для отправки приглашений. Тренажерный зал определил цель обработки персональных данных (для отправки адресных приглашений на рекламное мероприятие) и средства обработки данных (слияние персональных данных с использованием контактных данных субъектов данных).

Типография обрабатывает персональные данные только в соответствии с инструкциями тренажерного зала и, следовательно, является обработчиком данных, а не контролером данных.

Что такое субпроцессор в соответствии с GDPR?

Когда обработчик данных решает передать часть или всю обработку данных в субподряд третьей стороне, такое лицо или организация обычно называют «подобработчиком».

В GDPR указано, что обработчик должен иметь предварительное письменное разрешение, когда его обработчик от контроллера данных намеревается передать обработку персональных данных третьей стороне (субобработчику).

После того, как они получат официальное разрешение от контроллеров данных, обработчик данных будет нести полную ответственность перед контроллером данных за работу вспомогательного обработчика.

Что должно быть включено в соглашение между процессором и субпроцессором?

Когда составляется договор между обработчиком данных и вспомогательным обработчиком, он должен содержать те же обязательства по защите данных, которые изначально изложены в договоре между обработчиком данных и контролером данных.

Это обычно называется «взаимным контрактом».

У обработчиков меньше автономии и независимости в отношении данных, которые они обрабатывают, но у них есть несколько прямых юридических обязательств в соответствии с GDPR Великобритании, и они подлежат регулированию со стороны надзорных органов. Если вы являетесь процессором, у вас есть следующие обязательства.

  • Указания контролера: вы можете обрабатывать персональные данные только по указанию контролера (если иное не требуется по закону). Если вы действуете вне своих инструкций или процесса в своих собственных целях, вы выходите за пределы своей роли обработчика и становитесь контролером этой обработки.
  • Контракты с обработчиком: вы должны заключить обязывающий контракт с контролером. Это должно содержать ряд обязательных положений, и вы должны соблюдать свои обязательства как обработчик по договору. Для получения дополнительной информации ознакомьтесь с нашим руководством по контрактам.
  • Вспомогательные обработчики: вы не должны привлекать другого обработчика (т. е. вспомогательного обработчика) без предварительного специального или общего письменного разрешения контролера. Если разрешение предоставлено, вы должны заключить договор с дополнительным обработчиком данных с условиями, обеспечивающими такой же уровень защиты персональных данных, как и в договоре между вами и контролером.
  • Безопасность: вы должны принять соответствующие технические и организационные меры для обеспечения безопасности личных данных, включая защиту от случайного или незаконного уничтожения или потери, изменения, несанкционированного раскрытия или доступа. Для получения дополнительной информации ознакомьтесь с нашим руководством по безопасности.
  • Уведомление об утечке персональных данных: если вам стало известно об утечке персональных данных, вы должны без неоправданной задержки уведомить об этом соответствующего контролера. Большинство контролеров ожидают немедленного уведомления и могут требовать этого по контракту, поскольку у них есть только ограниченное время для уведомления надзорного органа (например, ICO). Вы также должны помочь контролеру в выполнении его обязательств в отношении утечек персональных данных. Для получения дополнительной информации ознакомьтесь с нашим руководством по утечке персональных данных.
  • Уведомление о потенциальных нарушениях защиты данных: вы должны немедленно уведомить контролера, если какое-либо из его указаний приведет к нарушению GDPR Великобритании или местных законов о защите данных.
  • Обязательства по подотчетности: вы должны соблюдать определенные обязательства по подотчетности GDPR Великобритании, такие как ведение записей и назначение ответственного за защиту данных. Для получения дополнительной информации ознакомьтесь с нашим руководством по подотчетности и управлению.
  • Международная передача: запрет GDPR Великобритании на передачу персональных данных в равной степени распространяется как на обработчиков, так и на контролеров. Это означает, что вы должны убедиться, что любая передача за пределы Великобритании санкционирована контролером и соответствует положениям о передаче GDPR Великобритании. Для получения дополнительной информации ознакомьтесь с нашим руководством по международным переводам.

Сотрудничество с надзорными органами: вы также обязаны сотрудничать с надзорными органами (такими как ICO), чтобы помочь им выполнять свои обязанности.

Может ли обработчик нести ответственность за несоблюдение требований?

Да. На вас распространяются соответствующие следственные и исправительные полномочия надзорного органа (например, ICO), и вы можете быть подвергнуты административным штрафам или другим санкциям.

Вы также можете нести договорную ответственность перед контролером за невыполнение условий согласованного договора. Это, конечно, будет зависеть от конкретных условий этого контракта.

Физическое лицо также может подать иск непосредственно против вас в суд. Вы можете быть привлечены к ответственности в соответствии со статьей 82 за выплату компенсации за любой ущерб, причиненный обработкой (включая нематериальный ущерб, такой как дистресс). Вы будете нести ответственность за ущерб только в том случае, если:

  • вы не соблюдаете положения GDPR Великобритании, касающиеся процессоров; или
  • вы действовали без законных инструкций контролера или вопреки этим инструкциям.

Вы не будете нести ответственность, если сможете доказать, что вы никоим образом не несете ответственности за событие, повлекшее за собой ущерб.

Если от вас требуется выплатить компенсацию, но вы не несете полной ответственности за ущерб, вы можете потребовать от контролера вернуть часть компенсации, за которую они несут ответственность. Обе стороны должны обратиться за профессиональной юридической консультацией по этому вопросу.

Дополнительная литература

Дополнительная литература — руководство по ICO

Можете ли вы заключить субподряд с другим процессором?

Если вы хотите использовать вспомогательного процессора, вы должны получить письменное разрешение контролера. Доверенность может быть специальной или общей. Конкретная авторизация означает, что контроллер должен одобрить конкретный подпроцессор для конкретной рассматриваемой операции обработки. Общая авторизация означает:

  • контролер предварительно утверждает список потенциальных подпроцессоров; или
  • контролер утверждает список критериев, которые вы можете использовать для выбора и назначения вспомогательного обработчика.

Если у вас есть общие полномочия, вы должны сообщить контролеру, если хотите внести какие-либо изменения в список возможных субпроцессоров или критерии выбора субпроцессора, и дать контролеру возможность возразить.

Вы должны направить контролеру любые предлагаемые изменения в письменной форме с указанием даты, до которой контролер должен подать возражения. Контролер также должен ответить в письменной форме и объяснить причины любых возражений. Помните, что вы можете действовать только в соответствии с инструкциями контроллера.

Тот факт, что вы можете передать в субподряд некоторые или все действия по обработке, которые вы привлекли для выполнения, не делает вас полноправным контролером, поскольку общий контроль над обработкой остается за первоначальным контролером. Тем не менее, вы будете нести ответственность перед контролером за соблюдение требований субобработчиком.

Как использование вспомогательного процессора влияет на ответственность за несоблюдение требований?

Если вы являетесь дополнительным обработчиком, вы будете нести ответственность за любой ущерб, причиненный вашей обработкой, только в том случае, если вы не выполнили обязательства GDPR Великобритании, возложенные на обработчиков, или вы действовали вопреки законным инструкциям контролера, переданным процессор, относительно обработки.

Если вы являетесь обработчиком и используете вспомогательного обработчика для выполнения обработки от вашего имени, вы будете нести полную ответственность перед контролером за соблюдение субпроцессора. Это означает, что в соответствии со Статьей 82(5), если виноват субобработчик, контролер может потребовать от вас компенсацию за ошибки субобработчика. Затем вы можете потребовать компенсацию от вспомогательного обработчика.

Субобработчик также может нести договорную ответственность перед обработчиком за любое несоблюдение условий согласованного договора. Это, конечно, будет зависеть от конкретных условий этого контракта.

Обработчикам и субобработчикам следует самостоятельно обращаться за юридической консультацией по вопросам ответственности и договоров, заключенных между контролерами и обработчиками, а также обработчиками и субобработчиками.

Характер ваших обязательств GDPR в Великобритании будет зависеть от того, являетесь ли вы контролером, совместным контролером или обработчиком данных. Поэтому очень важно, чтобы вы тщательно рассмотрели свою роль и обязанности в отношении вашей деятельности по обработке данных, чтобы вы понимали:

  • ваши обязательства GDPR в Великобритании и способы их выполнения;
  • ваши обязанности перед отдельными лицами и контролирующими органами (включая ICO) и санкции, связанные с несоблюдением требований, такие как штрафы и другие принудительные меры; и
  • как вы можете сотрудничать с другими организациями, чтобы обеспечить ответственное обращение с персональными данными и уважение прав отдельных лиц.

Контроллеры (в том числе совместные контролеры) несут больше обязательств в соответствии с GDPR Великобритании, чем обработчики, потому что они решают, какие персональные данные собираются и почему, а также осуществляют полный контроль над данными. Контроллеры Великобритании также должны платить сбор за защиту данных, если они не освобождены.

У обработчиков меньше обязательств, но они должны быть осторожны и обрабатывать персональные данные только в соответствии с инструкциями соответствующего контролера.

Как определить, являетесь ли вы контролером или обработчиком?

Важно помнить, что организация по своей природе не является ни контролером, ни процессором. Вместо этого вам необходимо учитывать персональные данные и осуществляемую обработку, а также учитывать, кто определяет цели и способ этой конкретной обработки.

Вы должны спросить, какая организация принимает решение:

  • для сбора персональных данных в первую очередь;
  • законные основания для этого;
  • какие типы персональных данных собирать;
  • цель или цели, для которых будут использоваться данные;
  • о каких лицах собирать данные;
  • раскрывать ли данные, и если да, то кому;
  • что сообщить отдельным лицам об обработке;
  • как отвечать на запросы, сделанные в соответствии с правами отдельных лиц; и
  • как долго хранить данные или вносить в данные нерегулярные изменения.

Все эти решения могут быть приняты только контроллером в рамках его общего контроля над операцией обработки данных. Если вы принимаете какое-либо из этих решений, определяющих цели и средства обработки, вы являетесь контролером.

Однако в соответствии с условиями контракта с контролером обработчик может решить:

  • какие ИТ-системы или другие методы использовать для сбора персональных данных;
  • как хранить личные данные;
  • подробности мер безопасности для защиты персональных данных;
  • как он будет передавать личные данные из одной организации в другую;
  • как он будет получать личные данные об определенных лицах;
  • как будет обеспечиваться соблюдение графика хранения; и
  • как он удалит или избавится от данных.

Эти списки не являются исчерпывающими, но иллюстрируют различия между ролями контролера и обработчика. В определенных обстоятельствах и если это разрешено договором, обработчик может иметь право использовать свои технические знания для принятия решения о том, как выполнять определенные действия от имени контролера. Однако он не может принимать какие-либо всеобъемлющие решения, например, какие типы персональных данных собирать или для чего будут использоваться персональные данные. Такие решения должен принимать только контролер.

Как это применимо на практике?

Определение процессора может быть сложно применить в сложных современных деловых отношениях. На практике существует шкала ответственности за совместную работу организаций по обработке персональных данных. Ключевым моментом является определение степени независимости каждой стороны в определении того, как и каким образом обрабатываются данные, а также степени контроля над ними.

С одной стороны, одна сторона (клиент) определяет, какие персональные данные подлежат обработке, и предоставляет подробные инструкции по обработке, которым должна следовать другая сторона (поставщик услуг). Поставщик услуг жестко ограничен в том, что он может делать с данными, и не имеет права голоса в отношении того, как они обрабатываются. В этих отношениях клиент явно является контролером, а поставщик услуг — обработчиком.

Однако контролер данных гораздо чаще предоставляет своему обработчику право решать, как происходит обработка, используя свой собственный опыт.

Пример

Банк нанимает фирму, предоставляющую ИТ-услуги, для хранения архивных данных от его имени, убедившись, что ИТ-фирма предоставила достаточные гарантии безопасности своих систем и процессов. Банк по-прежнему будет контролировать, как и почему используются данные, и определять срок их хранения. В действительности фирма, предоставляющая ИТ-услуги, будет использовать собственный технический опыт и профессиональные суждения, чтобы решить, как лучше всего хранить данные безопасным и доступным способом.

Однако, несмотря на эту свободу принятия технических решений, ИТ-фирма по-прежнему не является контролером данных в отношении данных банка, а является обработчиком данных. Это связано с тем, что банк сохраняет исключительный контроль над целью, для которой обрабатываются данные, если не исключительно над тем, как происходит обработка.

Пример

Частная компания предоставляет программное обеспечение для обработки ежедневных записей посещаемости учеников государственной школы. С помощью программного обеспечения компания предоставляет школе отчеты о посещаемости.

Единственной целью компании при обработке данных о посещаемости является предоставление этой услуги школе. Школа ставит цель – оценить посещаемость. У компании нет необходимости сохранять данные после того, как она подготовила отчет. Он не определяет цели обработки, он просто предоставляет услугу обработки. Эта компания, скорее всего, будет переработчиком.

Пример

Банк заключает контракт с компанией, занимающейся исследованиями рынка, на проведение некоторых исследований. В кратком изложении банка указывается его бюджет и то, что ему требуется опрос удовлетворенности его основными розничными услугами на основе мнений выборки его клиентов по всей Великобритании. Банк предоставляет исследовательской компании возможность определить размер выборки, методы опроса и представление результатов.

Исследовательская компания обрабатывает персональные данные от имени банка, но также определяет собираемую информацию (о чем спрашивать клиентов банка) и способ обработки (опрос). У него есть свобода решать такие вопросы, как выбор клиентов для опроса, в какой форме должен проходить опрос, какую информацию собирать от клиентов и как представлять результаты.Это означает, что исследовательская компания является совместным с банком контролером в отношении обработки персональных данных для проведения опроса, хотя банк сохраняет общий контроль над данными, поскольку он заказывает исследование и определяет цель, для которой данные будут использоваться. для.

Пример

Больница отправляет конверты с данными пациентов другому поставщику медицинских услуг и заключает договор со службой доставки для их доставки.

Служба доставки не обрабатывает персональные данные, содержащиеся в этих конвертах. Хотя он физически владеет конвертами, он понятия не имеет, что в них содержится, и не может открывать их для доступа к содержимому. В целях защиты данных служба доставки не «обрабатывает» какие-либо личные данные, содержащиеся в этих конвертах.

Больница, решившая воспользоваться услугой доставки, несет ответственность за данные, содержащиеся в конвертах. Если служба доставки теряет или неправильно направляет конверт, содержащий особо конфиденциальные личные данные, в целях защиты данных контролер, отправивший его, несет ответственность за эту потерю. Поэтому отправителю следует тщательно продумать тип услуги, наиболее подходящий в данных обстоятельствах.

Пример

Интернет-продавец заключает договор со службой доставки почты для доставки заказов покупателям. Клиенты могут использовать веб-сайт для проверки статуса своего заказа и отслеживания его доставки.

Продавец будет контролировать любые личные данные внутри упаковки. Служба доставки не будет контролером или обработчиком каких-либо персональных данных, содержащихся внутри пакета, поскольку она не имеет контроля над этими данными или доступа к ним.

Тем не менее, компания доставки будет обрабатывать некоторые личные данные (например, имя и адрес клиента), чтобы доставить посылку и предоставить услугу отслеживания. Будет ли это контроллер или процессор для элемента отслеживания службы, будет зависеть от того, кто принимает решения. Если розничный продавец принимает окончательное решение о предоставлении услуги отслеживания, а служба доставки просто следует инструкциям розничного продавца, то розничный продавец будет контролером, а служба доставки, скорее всего, будет обработчиком. Но если компания доставки самостоятельно примет решение о предоставлении услуги отслеживания физическим лицам без согласования с ритейлером, она будет контролером.

Можете ли вы быть и контролером, и обработчиком персональных данных?

Да. Если вы являетесь обработчиком, который предоставляет услуги другим контролерам, вы, скорее всего, будете контролером одних персональных данных и обработчиком других персональных данных. Например, у вас будут собственные сотрудники, поэтому вы будете контролером личных данных ваших сотрудников. Однако вы не можете быть и контролером, и обработчиком одной и той же операции обработки.

В некоторых случаях вы можете быть контролером и обработчиком одних и тех же персональных данных, но только если вы обрабатываете их для разных целей. Вы можете обрабатывать некоторые персональные данные в качестве обработчика для целей контроллера и только по его указанию, а также обрабатывать те же персональные данные для своих собственных целей.

В частности, если вы являетесь обработчиком данных, вам следует помнить, что как только вы начнете обрабатывать личные данные вне инструкций вашего контролера, вы будете действовать как контролер по своему усмотрению для этого элемента вашей обработки.

Если вы выступаете и в качестве контролера, и в качестве обработчика, вы должны обеспечить, чтобы ваши системы и процедуры различали персональные данные, которые вы обрабатываете в качестве контролера, и те, которые вы обрабатываете в качестве обработчика от имени другого контролера. Если некоторые данные совпадают, ваши системы должны уметь различать эти две емкости и позволять применять к каждой из них разные процессы и меры. Если вы не можете этого сделать, вы, скорее всего, будете считаться совместным контролером, а не обработчиком данных, которые вы обрабатываете от имени своего клиента.

Читайте также: