Текст книги "Руководство по GDPR"

Операторы персональных данных

Контроллер и процессор

Самым важным последствием работы контроллера или процессора является юридическая ответственность за соблюдение обязательств в соответствии с Общим регламентом по защите данных. В коммерческом секторе это физическое или юридическое лицо, в государственном – орган власти.

Существенное различие между контроллером и процессором данных:

– контроллер – физическое или юридическое лицо, которое определяет средства и цели обработки,

– процессор – физическое или юридическое лицо, которые обрабатывает персональные данные от имени контроллера в соответствии с поручениями на обработку.

Именно контроллер данных несет обязательство осуществлять контроль за обработкой и юридическую ответственность за операции с данными. В процессе модернизации законодательства по защите данных процессоров обязали соблюдать многие требования, которые применялись к контроллеру. Общий регламент по защите данных обязывает процессоров вести учет всех категорий обработки для соответствия законодательству.

Также процессоры обязаны внедрить соответствующие организационные и технические меры для обеспечения безопасности обработки, назначить сотрудника по защите данных (в определенных случаях) и сообщать о нарушении данных контроллеру.

Способность контроллера определять цели и средства обработки будет зависеть от фактических условий и обстоятельств. Согласно определению в Общем регламенте по защите данных, контроллер – это физическое/юридическое лицо и/или любой иной орган власти. Рабочая группа по статье 29 подчеркивает, что в целях организации правовой защиты для субъектов, контроллеров предпочтительней рассматривать как юридическое лицо или орган, а не конкретное лицо в составе организации.

Например, отдел маркетинга компании планирует обработку данных для исследования рынка, контроллером таким образом будет компания, а не работники отдела маркетинга.

Компания, продающая медицинские принадлежности практикующим врачам, контролирует и составляет списки рассылки для клиентов, а не конкретный менеджер этой компании, использующий такие списки в работе.

Физические лица могут быть контроллерами в соответствии с законодательством ЕС и Совета Европы. Исключение составляет обработка данных о других субъектах, касающаяся исключительно личной или семейной жизни, в таком случае физические лица не считаются контроллерами и не подпадают под юрисдикцию Общего регламента по защите данных и Модернизированной Конвенции 108.

Физическое лицо, которое общается по переписке в мессенджерах, ведет дневник с описанием взаимоотношений с друзьями и коллегами, а также медицинские записи членов семьи и т. п., не подпадает под регулирование правил защиты данных, поскольку такая деятельность признается частной жизнью лица. Общий регламент по защите данных относит к «частной жизни» социальные сети и любую персональную онлайн-активность индивида. Но правила защиты, в соответствии с Общим регламентом по защите данных, полностью применимы к контроллерам и процессорам, которые предоставляют средства для обработки персональных данных.

Доступ физических лиц к сети Интернет и возможность использования платформ электронной коммерции, социальных сетей, сайтов и блогов для обмена личной информацией усложняет деление критериев обработки (ведется ли обработка в личных целях или нет). В случае если масштаб и частота обработки данных предполагает профессиональную или постоянную деятельность по обработке физические лица могут рассматриваться в качестве контроллера.

Дополнительным критерием для отнесения физического лица к контроллеру служит факт передачи персональных данных третьим лицам, что явно указывает за выход из сферы личных интересов субъекта. Закон о защите данных будет применяться в случае, если частное лицо опубликует данные о других лицах на общедоступном веб-сайте. Суд Европейского Союза еще не выносил решение по аналогичным случаям в рамках юрисдикции Общего регламента по защите данных.

Согласно Суду Европейского Союза, при определенных обстоятельствах, запись частной камеры видеонаблюдения может подпадать под действия, определяемые в соответствии с законодательством ЕС, как обработка данных.

Контроллер

Контроллер – лицо, которое «самостоятельно или совместно с другими определяет цели и средства обработки персональных данных». Контроллер определяет основание и способ обработки персональных данных.

В соответствии с законодательством Совета Европы Модернизированная Конвенция 108 определяет контроллера как «физическое или юридическое лицо, государственный орган, службу, агентство или любой другой орган, который самостоятельно или совместно с другими обладает полномочиями принимать решения в отношении обработки персональных данных». Полномочия по принятию решений касаются целей и средств обработки, а также категорий обрабатываемых данных и доступа к данным.

В случае если контроллер или процессор зарегистрирован за пределами Евросоюза, он обязан письменно назначить представителя в ЕС. Общий регламент по защите данных подчеркивает, что представитель должен быть создан «в государстве ЕС, данные субъектов которого обрабатываются в связи с предложением товаров и услуг или осуществляется профилирование таких субъектов в контексте статьи 4 (4) Общего регламента по защите данных. В случае если представитель не назначен, иск направляется напрямую контроллеру и/или процессору.

Совместные контроллеры

Общий регламент по защите данных предусматривает, что, если два и/или более контроллеров совместно определяют цели и средства обработки, они считаются совместными контроллерами. Это означает, что они вместе обрабатывают данные для общих целей. В Пояснительном докладе Модернизированной Конвенции 108 говорится, что в рамках Совета Европы также возможно создание совместных контроллеров или совместное управление данными.

Рабочая группа по статье 29 отмечает, что совместное управление может принимать различные формы и что участие различных контроллеров в деятельности по управлению данными может быть неравным. Такая гибкость позволяет учитывать разные критерии обработки. Исходя из такого толкования, совместные контроллеры должны закрепить соответствующие обязанности по соблюдению алгоритма действий в письменном соглашении.

Совместное управление контроллеров приводит к совместной ответственности за деятельность по обработке персональных данных. В рамках законодательства ЕС это означает, что каждый контроллер или процессор несет полную ответственность за весь ущерб, причиненный обработкой под совместным управлением.

Например, база данных неплатежеспособных клиентов, управляемая несколькими кредитными организациями, является типичным примером совместного управления данными. Когда кто-то обращается за кредитной линией в банк, который является одним из совместных контроллеров, все участники проверяют базу данных, чтобы помочь в принятии обоснованного решения.

В правовых положениях прямо не указано, требуется ли совместное управление для общих целей всех контроллеров или достаточно, если их цели пересекаются частично. В настоящее время не сформировано прецедентное право на европейском уровне. Рабочая группа по статье 29 заявляет о возможности использования как общих целей и средств обработки, так и их разделение между контроллерами с разной долей ответственности и гарантиями. Рабочая группа по статье 29 выступает за более широкое толкование совместного управления с целью обеспечения гибкости в вопросах совместного управления.

Европейские банковские учреждения использовали SWIFT в качестве процессора для управления передачей данных в ходе банковских операций. SWIFT раскрыл данные банковских транзакций Министерству финансов США без явной инструкции от европейских банков о необходимости такого раскрытия. Рабочая группа по статье 29, проводя оценку данной ситуации, пришла к выводу, что европейские банки, использующие SWIFT, должны рассматриваться как совместные контроллеры, ответственные перед клиентами за раскрытие данных властям США.

Процессор

Процессор, в соответствии с законодательством ЕС, определяется как лицо, обрабатывающее персональные данные по поручению контроллера. Действия, возложенные на процессора, ограничены конкретной задачей или могут быть интерпретированы как достижение общей цели, но всегда должны сопровождаться точной и ясной инструкцией.

Совет Европы трактует понятие процессор идентично праву ЕС. Процессоры, обрабатывающие данные для других целей, могут являться контроллерам для собственных целей, например, для обработки данных своих работников.

Например, компания специализируется на обработке данных соискателей в пользу других компаний. В данной функции компания, специализирующаяся на обработке данных, является процессором. Однако при обработке данных своих работников, она является контроллером в отношении целей и средств такой обработки.

Отношения между контроллером и процессором

Контроллер определяет цели и средства обработки, а процессор обрабатывает данные по инструкции контроллера за исключением случаев, когда национальное право стран ЕС прямо не указывает на такую обязанность по обработке. Наличие договорных отношений между контроллером и процессором это законное требование и обязанность.

Например, директор компании Sunshine решил, что компания, предоставляющая услуги облачного сервиса (Cloudy Company), должна управлять данными клиентов Sunshine. Контроллером остается Sunshine, а Cloudy Company – процессор, так как в соответствии с договором Cloudy Company может использовать данные клиентов Sunshine только для целей, определенных Sunshine.

Если полномочия по определению средств обработки делегированы процессору, контроллер должен иметь возможность осуществлять контроль над решениями процессора по выбору средств обработки. Ответственность по-прежнему лежит на контроллере, который обязан контролировать процессора для того, чтобы решения последнего соответствовали применимому законодательству.

Кроме того, если процессор не соблюдает условия обработки данных, предписанные контроллером, процессор становится контроллером и несет ответственность в части нарушений инструкций контроллера. Такие действия процессора являются незаконными, и он несет полную ответственность за них. В свою очередь, контроллер по условиям договора должен разъяснить, каким образом осуществляется контроль за действиями процессора. Рабочая группа по статье 29 рассматривает совместное управление операциями по обработке персональных данных как наиболее адекватное решение, направленное на защиту интересов субъектов данных.

Договоры между контроллером и процессором заключаются в письменной форме. Положения договора включают: предмет, область, цель и продолжительность обработки, тип персональных данных и категории субъектов данных. Также указываются права и обязанности контроллера и процессора, требования в отношении конфиденциальности и безопасности. Отсутствие такого договора является нарушением норм права по защите данных в связи с отсутствием письменных обязательств о взаимной ответственности. В случае причинения ущерба третьими лицами по вине процессора, ответственность разделяется между контроллером и процессором. Процессор обязан вести учет всех категорий операций по обработке данных, которые он выполняет от имени контроллера. Эти записи должны быть доступны для надзорного органа. Контроллеры и процессоры также имеют возможность соблюдения утвержденного «Кодекса поведения» или механизма сертификации для демонстрации соответствия требованиям Общего регламента по защите данных, и обязаны сотрудничать с компетентным надзорным органом.

Процессоры могут делегировать определенные задачи субпроцессорам. Юридически это допустимо при условии, что между контроллером и процессором установлены соответствующие договорные условия, в том числе о том, необходимо ли разрешение контроллера в каждом конкретном случае для привлечения субпроцессора или достаточно только информирования. Общий регламент по защите данных предусматривает, что первоначальный процессор остается полностью подотчетным контроллеру, если субпроцессор не выполняет свои обязательства по защите данных.

В соответствии с законодательством Совета Европы толкование концепций контроллера и процессора, как описано выше, аналогично законодательству ЕС.

Получатели и третьи лица

Разница между этими двумя категориями, введенная Директивой о защите данных, заключается в их отношении к контроллеру данных, и, следовательно, в авторизации доступа к таким данным у контроллера.

Третье лицо не является ни контроллером, ни процессором. В соответствии со статьей 4 (10) Общего регламента по защите данных третья сторона – «физическое или юридическое лицо, государственный орган, агентство или служба, за исключением субъекта данных, контроллера, процессора или субпроцессора, а также других лиц уполномоченных на обработку данных». Это означает, что лица, работающие в организации, отличной от контроллера, даже если они принадлежат к той же группе или холдингу, считаются третьей стороной. С другой стороны, филиал банка, обрабатывающий данные клиентов под управлением головного офиса, не является третьей стороной.

Получатель – более широкий термин, чем третье лицо. По смыслу статьи 4 (9) Общего регламента по защите данных под получателем понимается «физическое или юридическое лицо, государственный орган, агентство или служба, которым раскрываются данные, независимо от того, являются ли они третьей стороной или нет». Этим получателем может быть либо лицо, находящиеся как за пределами, так и в составе контроллера или процессора или, например, работник или другое подразделение той же компании или орган.

Различия между получателем и третьей стороной заключаются в условиях законного раскрытия данных. Работники контроллера или процессора могут быть получателями персональных данных без дополнительных юридических требований, если они участвуют в операциях по обработке данных контроллера или процессора. Третья сторона, будучи отделенной от контроллера или процессора, не имеет права использовать персональные данные, обрабатываемые контроллером, за исключением случаев, предусмотренных конкретными правовыми основаниями для каждой конкретной ситуации.

Например, работник контроллера, который использует персональные данные в рамках задач, порученных работодателем, является получателем персональных данных, а не третьей стороной, так как использует данные в соответствии с поручением контроллера. Когда работодатель раскрывает данные своих работников отделу кадров для выставления оценок эффективности, отдел кадров будет получателем данных, так как данные были раскрыты в ходе их обработки контроллером.

В другом случае, если организация предоставляет данные своих работников в компанию, которая предоставляет услуги по обучению работников, и данные будут использованы для адаптации программы обучения, такая компания будет являться третьей стороной. Причина в том, что компания, предоставляющая услуги, не имеет собственной цели обработки, а действует по указанию контроллера.

Согласие

Согласие является одним из шести законных оснований для обработки персональных данных. Согласие означает «любое свободно представленное, конкретное, информированное и недвусмысленное указание пожеланий субъекта данных».

Законодательство ЕС устанавливает несколько критериев для действительности согласия, которые направлены на то, чтобы субъекты данных отдавали отчет в своих действиях и понимали возможные последствия:

– согласие должно быть положительным актом, устанавливающим свободно предоставляемое, конкретное, информированное и недвусмысленное указание на согласие субъекта данных на обработку его персональных данных. Такое действие может быть выражено в форме действия или заявления;

– субъект данных должен иметь возможность в любой момент отозвать согласие;

– в контексте письменного заявления, которое может охватывать и другие вопросы (например, трудовой договор) запрос о согласии должен быть изложен в ясной и понятной форме, которая четко выделяет согласие из других вопросов заявления, в случае если часть такой декларации (трудового договора) нарушает требования Общего регламента по защите данных, то такая декларация считается недействительной.

Согласие является действительным при условии выполнения всех перечисленных требований. Контроллер обязан продемонстрировать наличие согласия субъекта данных на обработку.

Модернизированная Конвенция 108 не содержит определения согласия, данное действие регламентируется национальным правом стран Евросоюза. Однако в соответствии с законодательством Совета Европы, критерии согласия соответствуют описанным выше.

Дополнительные требования к согласию, в соответствии с гражданским законодательством стран ЕС, такие как правоспособность субъекта, применяются в контексте защиты данных и являются фундаментальными правовыми предпосылками для акта согласия. Лица, являющиеся недееспособными, не могут выражать свое согласие в контексте законодательства о защите данных.

Что касается правоспособности несовершеннолетних лиц выражать свое согласие, Общим регламентом по защите данных предусмотрена норма о минимальном возрасте для акцепта согласия.

Согласие должно быть дано в четкой форме, которая исключает сомнения относительно намерений субъекта данных. Согласие должно быть явным, когда оно касается обработки специальных категорий, субъект должен осознавать правовые последствия такого согласия. Согласие может быть дано как письменной, так и в устной форме. Последнее может быть сделано с помощью электронных средств связи и должно быть зафиксировано. В рамках законодательства ЕС и Совета Европы согласие на обработку персональных данных должно быть дано с помощью заявления или недвусмысленного положительного действия. Таким образом, согласие не может быть получено «по умолчанию» – предварительно отмечено галочкой, заполненной формой или бездействием субъекта.

Ключевые моменты

Персональные данные:

– персональными данными являются любые данные, относящиеся к идентифицированному или идентифицируемому субъекту таких данных;

– для определения возможности идентификации физического лица контроллер (процессор) принимает во внимание все разумные средства, которые могут быть использованы для идентификации;

– аутентификация означает доказательство того, что определенное лицо обладает определенной идентификационной информацией и/или уполномочено выполнять определенные действия;

– существуют специальные категории данных, перечисленные в Модернизированной Конвенции 108 и в Общем регламенте по защите данных ЕС 2016/679, которые требуют усиленной защиты и подлежат специальному правовому режиму;

– данные анонимизируются, если они больше не относятся к идентифицированному или идентифицируемому лицу;

– псевдонимизация – мера, с помощью которой личные данные нельзя отнести к субъекту данных без дополнительной информации, которая хранится отдельно.

«Ключ», который позволит повторно идентифицировать субъекта данных, хранится отдельно. Данные, прошедшие процесс псевдонимизации, остаются при этом персональными данными.

Обработка персональных данных:

– обработка данных – это любая операция, выполняемая с персональными данными;

– термин «обработка», включает в себя автоматизированную и неавтоматизированную обработку;

– в соответствии с законодательством ЕС «обработкой данных» является и ручная обработка в структурированных системах;

– согласно законодательству Совета Европы, значение «обработка данных» может быть расширено национальным правом и включать понятие «ручная обработка» в контексте предыдущего постулата.

Субъект данных:

– тот, кто определяет средства и цели обработки персональных данных других лиц, является «контроллером», в соответствии с Общим регламентом по защите данных ЕС 2016/679, если несколько человек (юридических лиц) принимают решения в отношение целей и средств, они могут быть «совместными контроллерами»;

– «процессор» – физическое или юридическое лицо, которое обрабатывает персональные данные от имени контроллера;

– процессор становится контроллером, если он сам определяет средства и цели обработки данных;

– любое лицо, которому раскрываются данные, является «получателем»;

– «третье лицо» – физическое или юридическое лицо, не являющееся субъектом данных, контроллером, процессором и лицами, которые уполномочены обрабатывать персональные данные под непосредственным руководством контроллера или процессора (субпроцессор);

– согласие, как правовая основа для обработки персональных данных, должно быть свободно представлено, информативным, конкретным и недвусмысленным указанием желаний посредством ясного положительного акта, означающего согласие на обработку данных;

– обработка специальных категорий данных на основе согласия требует явного согласия на обработку таких данных.