Открыть сервис

Контролер данных

Контролёр данных — это субъект (юридическое или физическое лицо, орган государственной власти, иное учреждение), который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. В терминологии российского законодательства данное понятие соответствует «оператору персональных данных». Контролёр данных является центральной фигурой в системе правового регулирования обработки персональной информации, так как именно на него возлагается основная ответственность за законность и безопасность такой обработки.

Правовой статус и определение

В международном праве понятие «контролёр данных» (data controller) закреплено в Регламенте Европейского союза о защите персональных данных (GDPR). Согласно статье 4 GDPR, контролёр — это лицо, которое определяет цели и средства обработки персональных данных. Если цели и средства обработки определяются законодательством ЕС или государства-члена, то контролёр может быть назначен в соответствии с таким законодательством.

В российском законодательстве аналогом контролёра является оператор персональных данных. Согласно статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Ключевое отличие от обработчика данных (data processor) заключается в том, что контролёр принимает самостоятельные решения о том, зачем и как обрабатываются данные, в то время как обработчик действует исключительно по поручению и под контролем контролёра.

Обязанности контролёра данных

Контролёр данных несёт широкий круг обязанностей, направленных на обеспечение прав субъектов персональных данных и законности обработки. Основные обязанности включают:

Совместные контролёры

Если два или более субъекта совместно определяют цели и средства обработки данных, они признаются совместными контролёрами (joint controllers). В этом случае они должны прозрачным образом определить свои соответствующие обязанности по соблюдению требований законодательства, в частности в отношении реализации прав субъектов данных и предоставления информации. Соглашение между совместными контролёрами должно отражать распределение ответственности, однако субъект данных может осуществлять свои права в отношении каждого из контролёров.

Примером совместных контролёров могут служить несколько организаций, участвующих в совместном проекте по сбору и анализу данных о клиентах, или государственные органы, ведущие общую базу данных.

Контролёр данных в российском законодательстве

В Российской Федерации правовое положение оператора персональных данных регулируется Федеральным законом № 152-ФЗ и подзаконными актами Роскомнадзора. Ключевые особенности:

Различие между контролёром и обработчиком

КритерийКонтролёр данныхОбработчик данных
Определение целейОпределяет цели и средства обработкиДействует по поручению контролёра
Принятие решенийСамостоятельно решает, зачем и как обрабатывать данныеВыполняет указания контролёра
ОтветственностьНесёт основную ответственность перед субъектами и регуляторамиОтвечает в рамках договора с контролёром и за нарушения, допущенные по своей вине
ПримерыКомпания-работодатель, банк, государственное учреждениеОблачный провайдер, бухгалтерская фирма, IT-компания, оказывающая услуги по обработке данных

Значение и критика

Понятие «контролёр данных» является фундаментальным для современного законодательства о защите персональных данных. Оно позволяет чётко распределить ответственность между участниками процессов обработки информации и возложить основное бремя обеспечения прав субъектов на того, кто принимает ключевые решения.

Вместе с тем, концепция контролёра подвергается критике. В условиях сложных цифровых экосистем, где данные могут обрабатываться множеством участников (рекламные сети, аналитические платформы, социальные сети), бывает сложно определить, кто именно является контролёром. Это создаёт правовую неопределённость и может затруднять защиту прав субъектов данных. Кроме того, в некоторых юрисдикциях, включая Россию, обязанности оператора могут быть чрезмерно обременительными для малого бизнеса, что приводит к издержкам, не всегда соразмерным реальным рискам.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →