Разница между процессором и контроллером

Обновлено: 21.11.2024

В чем разница между контроллером данных и обработчиком данных? Каковы их обязанности в соответствии с GDPR? Узнайте больше в Data Protection 101, нашей серии статей об основах информационной безопасности.

Поскольку 25 мая 2018 года вступает в силу Общий регламент по защите данных (GDPR), многие компании следят за тем, чтобы они соответствовали GDPR.

Если вы входите в число тех, кто работает над соблюдением GDPR, то вы, должно быть, сталкивались с терминами «контролер данных» и «обработчик данных». Вот что вам нужно знать о каждом из этих типов организаций, важных различиях и обязанностях в соответствии с GDPR.

Определение контроллера данных

В соответствии с GDPR и другими законами о конфиденциальности контролер данных несет наибольшую ответственность, когда речь идет о защите конфиденциальности и прав субъекта данных, например пользователя веб-сайта. Проще говоря, контроллер данных контролирует процедуры и цель использования данных.

Короче говоря, контроллер данных будет тем, кто будет диктовать, как и почему данные будут использоваться организацией.

Контроллер данных может обрабатывать собранные данные, используя собственные процессы. Однако в некоторых случаях контроллер данных должен работать со сторонней или внешней службой, чтобы работать с собранными данными.

Даже в этой ситуации контроллер данных не передаст контроль над данными сторонней службе. Контроллер данных останется под контролем, указав, как данные будут использоваться и обрабатываться этой внешней службой.

Определение обработчика данных

Обработчик данных просто обрабатывает любые данные, которые ему предоставляет контроллер данных. Следуя приведенному выше примеру, обработчиком данных является сторонняя компания, которую контролер данных выбрал для использования и обработки данных.

Сторонний обработчик данных не владеет данными, которые он обрабатывает, и не контролирует их. Это означает, что обработчик данных не сможет изменить цель и средства, в которых используются данные. Кроме того, обработчики данных обязаны выполнять инструкции, данные контроллером данных.

Например, у Sterling Company есть веб-сайт, который собирает данные о страницах, которые посещают посетители. Это включает в себя страницу, с которой они входят на сайт, страницы, которые они посетили затем, и как долго они оставались на каждой странице. Sterling Company является контролером данных, поскольку они решают, как вся эта информация будет использоваться и обрабатываться и с какой целью.

Компания Sterling использует Google Analytics, чтобы выяснить, какие из ее страниц наиболее популярны, а какие заставляют посетителей покинуть веб-сайт. Это помогает им лучше планировать свой контент, точно зная, сколько времени каждый посетитель проводит на определенной странице. Компания Стерлинг не только знает, на какие темы писать, но и находит новые темы, которые могут быть интересны их клиентам. Кроме того, это помогает им улучшить уже существующий контент.

Компании Sterling необходимо делиться данными, которые они получают, с Google, чтобы получать нужные сведения из Google Analytics. В этом случае обработчиком данных является Google Analytics.

Кто такой сотрудник по защите данных (DPO)? Узнайте о новой роли, необходимой для соблюдения GDPR в 2019 году

Обязанности контроллера данных

Вы являетесь контролером данных, если ваша компания или организация решает:

• Для сбора личной информации ваших клиентов, посетителей сайта и других целей. Для этого у вас должны быть законные полномочия.
• Что собирать.
• Чтобы изменять или модифицировать полученные данные.
• Где и как использовать данные и для каких целей.
• Следует ли хранить данные внутри компании или передавать их третьим лицам. Вы также определяете, с кем делиться данными.
• Как долго данные хранятся и когда от них избавиться.

Обязанности обработчика данных

Обработчик данных — это тот, кто выполняет фактическую обработку данных в соответствии с конкретными инструкциями контроллера данных.

Вы являетесь обработчиком данных, если контролер данных проинструктировал или поручил вам выполнить некоторые из следующих действий:

• Разработать, создать и внедрить ИТ-процессы и системы, которые позволят контролеру данных собирать личные данные.
• Использовать инструменты и стратегии для сбора личных данных.
• Внедрить меры безопасности, которые защитят личные данные.
• Хранить личные данные, собранные контролером данных.
• Передавать данные от контролера данных другой организации и наоборот.

Почему важно понимать свою роль

У контроллера и обработчика данных разные роли и обязанности, поэтому важно знать, какую роль вы играете. Для некоторых компаний и их внешних поставщиков услуг различие может быть не таким четким, как в приведенном выше примере.По этой причине в GDPR определены различные роли и обязанности, ожидаемые от контроллера или обработчика данных.

Таким образом, вы можете быть уверены, что сделали все, что необходимо сделать с вашей стороны. Например, в случае утечки данных контроллер данных и обработчик данных смогут ограничить свою подверженность риску, если они будут знать, какую роль они играют, а затем убедиться, что они сделали все, что от них ожидается.

Что более важно, если ваша компания отдала обработку данных на аутсорсинг, так это убедиться, что они знают свои обязательства по GDPR.

Двойные роли согласно GDPR

Как мы указывали ранее, бывают ситуации, когда есть наложения и серые зоны, из-за чего становится сложнее понять, являетесь ли вы контролером данных или обработчиком данных.

В некоторых случаях вы можете быть и обработчиком данных, и контролером данных. Например, если вы храните данные или выполняете аналитику для другой компании, то легко увидеть, что вы являетесь обработчиком данных.

Например, контролер данных предоставляет поставщику аналитики все свои данные, а сторонняя компания предлагает несколько отчетов. Затем поставщик аналитики решит, какие из ваших данных необходимы для отчета, который вы хотите. В этом случае аналитическая компания становится и контролером данных, и обработчиком данных.

Роли и обязанности контролеров и обработчиков данных будут становиться все более важными, поскольку организации стремятся поддерживать соответствие GDPR. Понимание различий между ними и того, как роль, которую выполняет ваша организация в каждом конкретном сценарии, влияет на ваши обязанности, является ключом к соблюдению требований.

Контроллер данных определяет цели и средства обработки персональных данных. Таким образом, если ваша компания/организация решает, «почему» и «как» следует обрабатывать персональные данные, она является контролером данных. Сотрудники, обрабатывающие персональные данные в вашей организации, делают это для выполнения ваших задач в качестве контроллера данных.

Ваша компания/организация является совместным контролером, когда вместе с одной или несколькими организациями она совместно определяет, «почему» и «как» следует обрабатывать персональные данные. Совместные контролеры должны заключить соглашение, определяющее их соответствующие обязанности по соблюдению правил GDPR. Основные аспекты соглашения должны быть доведены до сведения лиц, чьи данные обрабатываются.

Обработчик данных обрабатывает персональные данные только от имени контроллера. Обработчиком данных обычно является третье лицо, не связанное с компанией. Однако в случае групп предприятий одно предприятие может выступать в качестве процессора для другого предприятия.

Обязанности обработчика по отношению к контролеру должны быть указаны в договоре или другом правовом акте. Например, в договоре должно быть указано, что происходит с персональными данными после расторжения договора. Типичным видом деятельности процессоров является предложение ИТ-решений, в том числе облачных хранилищ. Обработчик данных может передать часть своей задачи другому обработчику или назначить совместного обработчика только после получения предварительного письменного разрешения от контроллера данных.

Существуют ситуации, когда организация может быть контролером данных, или обработчиком данных, или и тем, и другим.

Примеры

Контроллер и процессор

На пивоварне много сотрудников. Он заключает договор с фондом заработной платы на выплату заработной платы. Пивоварня сообщает компании, занимающейся расчетом заработной платы, когда должна быть выплачена заработная плата, когда работник увольняется или у него повышается заработная плата, а также предоставляет все другие детали для ведомости о заработной плате и платеже. Компания по расчету заработной платы предоставляет ИТ-систему и хранит данные сотрудников. Пивоварня является контролером данных, а компания, занимающаяся расчетом заработной платы, — обработчиком данных.

Совместные контроллеры

Ваша компания/организация предлагает услуги няни через онлайн-платформу. В то же время у вашей компании/организации есть договор с другой компанией, позволяющий вам предлагать дополнительные услуги. Эти услуги включают в себя возможность для родителей не только выбрать няню, но и арендовать игры и DVD, которые няня может принести. Обе компании занимаются технической настройкой сайта. В этом случае две компании решили использовать платформу для обеих целей (услуги няни и прокат DVD/игр) и очень часто будут делиться именами клиентов. Таким образом, две компании являются совместными контролерами, поскольку они не только соглашаются предлагать возможность «комбинированных услуг», но также разрабатывают и используют общую платформу.

Как контроллеры данных, так и обработчики данных имеют новые обязательства в соответствии с GDPR, но их обязанности различаются.Как правило, контролеры данных несут больше ответственности и ответственности, но у обработчиков будут новые обязанности и новые дополнительные уровни ответственности, прописанные в их ролях.

Вы контроллер или процессор? Продолжайте читать, чтобы узнать, какие части законодательства больше всего влияют на вашу деятельность и как вам нужно работать вместе с другой стороной для соблюдения GDPR.

TermsFeed – ведущий в мире генератор юридических соглашений для веб-сайтов и приложений. С помощью TerminalFeed вы можете создавать:

Определения контроллера и процессора

Новые определения контроллера и обработчика данных изложены в статье 4 GDPR.

Контролером данных является: «физическое или юридическое лицо, орган государственной власти, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных».

Обработчики данных обрабатывают персональные данные от имени контролера.

Вот пример:

Ваш веб-сайт собирает адреса электронной почты и другие личные данные, предоставляемые посетителями и клиентами в целях продаж и маркетинга. Все собранные данные затем отправляются в Marketing and Promotions Ltd. для использования в маркетинге по электронной почте, поисковой оптимизации и кампаниях в социальных сетях.

Если вы предоставляете данные и инструкции, вы являетесь контролером данных, а Marketing and Promotions Ltd — обработчиком данных.

Если вы предоставите данные, а компания Marketing and Promotions Ltd придумает способ обработки, то вы оба являетесь контролерами данных, а компания Marketing and Promotions Ltd также является их обработчиком.

Почему так важно, кто предоставляет «цели и средства обработки»?

В новом GDPR эти роли различаются в целях соблюдения требований. В соответствии с рекомендациями Европейской комиссии контролер данных является основной стороной, ответственной за сбор данных, управление ими и предоставление доступа к ним.

Например, если субъект данных запросил свои данные, контролер получит к ним доступ со своих серверов или с процессора, нанятого для обработки данных.

Разные роли контроллеров и обработчиков

Закон проводит различие между контролерами и обработчиками для обеспечения ответственности. В результате каждый получает разные назначенные роли для соответствия требованиям.

Распределим роли каждой стороны в соответствии с требованиями законодательства.

Сбор данных

Только контролеры данных собирают персональные данные субъектов данных. По этой причине контролеры данных также несут ответственность за определение своих законных полномочий на получение этих данных.

Контроллеры данных должны создать юридический прецедент для сбора данных с использованием одной из шести баз сбора данных, представленных в GDPR.

Они также должны обеспечить прозрачность своего процесса, создав и опубликовав Политику конфиденциальности, которая описывает:

  • Какие данные они собирают
  • Как они хранят информацию
  • Как они используют информацию
  • Кому они делятся данными
  • Передают ли они данные третьим лицам
  • Когда и как они удаляют данные

Каждый раз, когда обработчик данных участвует в сборе данных, он становится контроллером данных, и на него распространяются все вышеперечисленные обязанности.

Контракты

Контроллеры обязаны использовать обработчиков данных, которые соблюдают законодательство.

Более того, каждый раз, когда контроллер данных и обработчик данных работают вместе, они должны использовать для этого четко определенный контракт. В договоре должны быть указаны инструкции, которым обработчик должен следовать при обработке данных.

Включите в каждый договор следующую информацию, предусмотренную GDPR:

  • Характер, цель, предмет и полный график обработки плана
  • Права и обязанности контролера
  • Категории данных включают
  • Категории субъектов данных
  • Согласие соблюдать инструкции
  • Проблемы конфиденциальности
  • Приверженность безопасности и статья 32
  • Условия найма подпроцессоров
  • Доказательства соблюдения статьи 28
  • Возврат и удаление данных

За создание договора отвечает контролер данных.Обработчики данных обязаны по закону следовать инструкциям контролера.

Если контролер не может определить необходимые процессы и оставляет методы и средства на усмотрение обработчика, то с точки зрения закона обработчик превращается в контролера.

Обработчики данных обязаны не только соблюдать договор. Они также должны сообщить контролеру, если что-то в условиях нарушает GDPR или другой закон.

Кодексы поведения или сертификаты

Помимо контракта, как контролеры, так и обработчики данных должны согласиться с кодексом поведения или признанным процессом сертификации, в котором указано, насколько соглашение соответствует стандартам GDPR.

Подробнее о Кодексах поведения в статье 40 и сертификации GDPR в статье 42.

Ответственность

В большинстве случаев GDPR возлагает на контроллеров данных ответственность за сбор, использование и удаление персональных данных.

Однако контролеры данных уже ранее несли ответственность как в соответствии с европейским законодательством, так и национальным законодательством.

Что нового, так это дополнительная ответственность и ответственность для обработчиков данных.

Согласно новому закону, лица, чьи данные вы храните, могут отправлять запросы или жалобы либо контролеру данных, либо обработчику данных. Обработчики данных несут ответственность, если они работают вне инструкций, предоставленных им контроллером, или когда они нарушают условия GDPR.

Безопасность

И контроллер, и обработчик должны применять меры безопасности, соответствующие GDPR. Каждая сторона, участвующая в договоре, обязана защищать данные от:

  • Несанкционированный доступ (как внутренний, так и внешний)
  • Уничтожение
  • Случайная потеря
  • Раскрытие информации

В GDPR описаны меры, описанные в статье 32, и они в равной степени применяются к контролеру и обработчику данных.

Согласованные меры безопасности должны быть указаны в договоре, но руководство также требует, чтобы обе стороны сделали еще один шаг вперед.

Помимо использования адекватных и надлежащих мер безопасности, как контролер, так и обработчик должны придерживаться утвержденного кодекса поведения или согласованного механизма сертификации.

Кодекс поведения изложен в статье 40(2).

Оценка воздействия на защиту данных

Контроллеры должны проводить оценку воздействия на защиту данных каждый раз, когда они дают указание обработчику выполнить деятельность с высоким риском. Надзорный орган каждой страны указывает, что он считает деятельностью с высокой степенью риска.

Каждая оценка воздействия должна включать как минимум четыре основных элемента:

  1. Описание цели процесса и самого процесса
  2. Оценка необходимости обработки
  3. Оценка рисков
  4. Меры, применяемые для устранения и минимизации рисков

Оценка воздействия на защиту данных проводится совместно с надзорным органом и сотрудником по защите данных, если таковой назначен.

Когда контролеры должны проводить оценку воздействия на защиту данных?

Вот несколько примеров:

  • Испытывать новые технологии
  • Проведение крупномасштабного профилирования
  • Обширное и систематическое профилирование
  • Масштабная обработка данных специальных категорий.
  • Смешение или сопоставление данных из нескольких источников
  • Обработка данных детей в маркетинговых целях.
  • Обработка данных, нарушение которых может причинить физический вред

Прозрачность

Прозрачность — важнейшая цель GDPR

Статья 5.2 гласит, что контролеры данных «должны иметь возможность продемонстрировать, что персональные данные обрабатываются прозрачным образом по отношению к субъекту данных.»

Прозрачность должна сохраняться на протяжении всего жизненного цикла данных от сбора до удаления.

Процессоры в тексте явно не упоминаются.

Ведение учета

Контроллеры данных теперь обязаны вести записи, когда они обрабатывают конфиденциальную информацию или являются организацией, в которой работает более 250 сотрудников.

Эти записи описывают основу для сбора данных и содержат сведения, относящиеся к:

  • Сведения о контроллере
  • Цели обработки
  • Описание типов собираемых данных
  • Категории получателей данных
  • Передача данных, включая передачу данных в третьи страны
  • Сведения об удалении
  • Обзор мер безопасности данных

Обработчики данных также должны вести записи. Их записи относятся к процессам, которые контролеры просят их выполнить, и включают:

  • Имя и сведения об обработчике(ах) и контроллере(ах) и ответственном за защиту данных (если применимо)
  • Категории обработки
  • Передача данных в третьи страны или международные организации
  • Общее описание мер безопасности в соответствии со статьей 32

Все записи должны быть как в письменной, так и в электронной форме и должны быть готовы к предоставлению в надзорный орган по запросу.

Сообщение об утечке данных

Контроллеры должны уведомлять надзорный орган и субъекта данных всякий раз, когда утечка данных выглядит так, как будто она поставит под угрозу права и свободы субъектов данных. Отчеты в надзорный орган должны быть представлены в течение 72 часов после обнаружения нарушения.

Если обработчик обнаруживает брешь в системе безопасности, он должен уведомить соответствующие контроллеры, затронутые брешью.

Назначение ответственного за защиту данных

Как контролеры, так и обработчики данных должны назначить сотрудника по защите данных (DPO), если они работают с данными и соответствуют одному или нескольким из следующих критериев:

  • Являются государственным органом
  • Обработка крупномасштабных данных, требующих регулярного мониторинга.
  • Хранить специальные категории данных (включая данные о судимости или правонарушениях)

В случае назначения роль DPO заключается в следующем:

  • Сообщить организации о ее роли в защите данных
  • Контролировать соблюдение соответствующего законодательства
  • Помощь в оценке воздействия
  • Работать с соответствующими надзорными органами.

Заключение

Контроллеры и обработчики данных несут разные обязательства в соответствии с GDPR, но вы также обнаружите, что их роли дополняют друг друга в достижении целей прозрачности и подотчетности.

Контроллеры данных выполняют большую часть нормативно-правовой работы, а обработчики играют более предписывающую роль. Тем не менее, у них обоих есть новые обязательства в соответствии с законом, из-за чего каждому важно соблюдать свою часть сделки. Совместная работа способствует соблюдению правил и помогает обеим сторонам избежать новых крупных штрафов за нарушение правил.

Группа юридических исследований на сайтеTermsFeed

Эта статья не заменяет профессиональную юридическую консультацию. Эта статья не устанавливает отношений между адвокатом и клиентом и не предлагает юридические консультации.

В Общем регламенте по защите данных (GDPR) часто упоминаются контролеры данных и обработчики данных, но в чем разница между контролером и обработчиком в соответствии с GDPR?

Когда GDPR вступит в силу 25 мая 2018 года, у контролеров и обработчиков данных появятся определенные обязанности, которые они должны выполнять. В соответствии с действующим законодательством обработчики данных не несут установленных законом обязанностей. Это изменится с введением GDPR. В результате организациям необходимо будет убедиться, что они знают, будут ли они классифицированы как контроллеры данных или обработчики данных. Если они не уверены, они рискуют не соблюдать строгие стандарты и критерии, ожидаемые от них в соответствии с новым законом. Они также должны знать, где они находятся, чтобы внедрить необходимую защиту данных и процедуры, если это применимо.

Контроллеры данных

В соответствии с GDPR классификация контроллеров и обработчиков данных осталась такой же, как и в действующем законодательстве. Контролер данных решает, либо самостоятельно, либо совместно с другими группами, почему данные должны быть собраны и как их следует обрабатывать. У них есть ряд важных обязательств в соответствии с законом. Между контроллерами данных и обработчиками данных существуют многочисленные различия. Возьмем, к примеру, компанию, обрабатывающую данные о заработной плате. Поскольку услуга, которую они предоставляют, заключается в обработке данных способом, определяемым их клиентами, и для целей, которые решают их клиенты, сама компания будет классифицироваться как обработчик данных. Клиенты обрабатывающей компании будут контролерами данных, поскольку они определяют цель и средства обработки.

Обязанности контролеров данных

Контроллеры данных несут ответственность и должны быть в состоянии продемонстрировать, что используемые ими действия по обработке данных не нарушают стандарты GDPR в соответствии с принципом подотчетности статьи 5. Эта часть закона гласит, среди прочего, что данные должны «обрабатываться законно, справедливо и прозрачно».

Статья 5 далее гласит, что использование данных должно быть строго ограничено «оговоренными, явными и законными целями»; что будут обрабатываться только минимальные данные, необходимые для этой цели; и что должны быть предприняты разумные шаги для обеспечения точности и актуальности данных. Контроллеры данных также несут ответственность за конфиденциальность данных. Соблюдение этих правил можно усилить, введя кодекс поведения, которого должны придерживаться обработчики.

Важно, чтобы контролеры установили такие кодексы поведения и правила в самом начале своей деятельности, следуя концепции, называемой конфиденциальностью по замыслу. После их реализации они могут помочь обеспечить соблюдение правильных технических и организационных мер. Контроллеры должны получить гарантии того, что они будут соблюдаться. Это поможет установить нормы, согласно которым только минимальный объем данных будет обрабатываться безопасным образом, как само собой разумеющееся.

Регламент GDPR расширяет этот подход в статье 25, защита данных по умолчанию и по умолчанию. В этой статье содержится призыв к контролеру данных ввести «соответствующие технические и организационные меры» для:

  • Внедрение принципов защиты данных, таких как минимизация данных.
  • Убедитесь, что по умолчанию обрабатываются и сохраняются только те данные, которые необходимы для каждой конкретной цели.
  • Сведите срок хранения данных к минимуму
  • Убедитесь, что доступ к данным строго ограничен только теми, кому это необходимо.

В ситуациях, когда несколько контролеров данных определяют цели и способ обработки, они должны назначить ответственных за защиту данных, минимизацию данных и обязательства другого контролера данных в соответствии с законом. Контролеры также несут ответственность за проведение оценок воздействия на защиту данных при определенных обстоятельствах.

Обработчики данных

В отличие от контролеров, обработчики данных — это государственные организации, агентства или другие органы, которые хранят или обрабатывают данные для контролеров. Поскольку они играют центральную роль при обработке данных, крайне важно, чтобы они выбирались только после тщательного процесса проверки — действительно, GDPR требует проведения комплексной проверки при выборе обработчика данных — и чтобы были заключены строгие соглашения. введены в действие для обеспечения того, чтобы обработчики выполняли требования, предъявляемые к ним контроллерами данных и регулирующими органами. Статья 4 GDPR определяет обработчиков данных как «физическое или юридическое лицо, орган государственной власти, агентство или другой орган, который обрабатывает персональные данные от имени контролера».

Обязанности обработчиков данных

В некоторых случаях для обработки данных требуется назначение сотрудника по защите данных (DPO). Это касается как обработчиков, так и контролеров и должно выполняться при систематической обработке больших объемов данных или при обработке данных, связанных с уголовными и юридическими записями.

Обработчики не могут пользоваться услугами субобработчиков без предварительного письменного разрешения на это и договорных обязательств субподрядчика по тем же стандартам, которые им диктуют органы власти и контролеры данных. Любой используемый субподрядчик должен соответствовать стандартам GDPR и должен соблюдать установленные процедуры перед передачей каких-либо данных в страну, не входящую в ЕС. Обработчик должен отвечать перед контролером за любую ошибку, допущенную субподрядчиком.

Ключевым элементом обеспечения соответствия GDPR будет тесное сотрудничество обработчиков и контролеров при проведении оценки воздействия. Процессоры должны быть в состоянии ответить на любые вопросы или возражения, заданные им. Важно отметить, что они должны быть в состоянии удовлетворить требования субъектов данных, которые решили воспользоваться своим «правом на забвение», которые запрашивают копию своих данных или возражают против использования их данных. Эти запросы могут первоначально направляться субъектом данных контроллеру данных, который затем направляет запрос обработчику для выполнения.

Читайте также: