Контролер данных
Контролёр данных — это субъект (юридическое или физическое лицо, орган государственной власти, иное учреждение), который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. В терминологии российского законодательства данное понятие соответствует «оператору персональных данных». Контролёр данных является центральной фигурой в системе правового регулирования обработки персональной информации, так как именно на него возлагается основная ответственность за законность и безопасность такой обработки.
Правовой статус и определение
В международном праве понятие «контролёр данных» (data controller) закреплено в Регламенте Европейского союза о защите персональных данных (GDPR). Согласно статье 4 GDPR, контролёр — это лицо, которое определяет цели и средства обработки персональных данных. Если цели и средства обработки определяются законодательством ЕС или государства-члена, то контролёр может быть назначен в соответствии с таким законодательством.
В российском законодательстве аналогом контролёра является оператор персональных данных. Согласно статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Ключевое отличие от обработчика данных (data processor) заключается в том, что контролёр принимает самостоятельные решения о том, зачем и как обрабатываются данные, в то время как обработчик действует исключительно по поручению и под контролем контролёра.
Обязанности контролёра данных
Контролёр данных несёт широкий круг обязанностей, направленных на обеспечение прав субъектов персональных данных и законности обработки. Основные обязанности включают:
- Определение правовых оснований обработки. Обработка персональных данных должна осуществляться на одном из законных оснований: согласие субъекта, исполнение договора, выполнение законных обязанностей, защита жизненно важных интересов, выполнение задач в общественных интересах или законные интересы контролёра (при условии, что они не преобладают над интересами субъекта).
- Информирование субъектов. Контролёр обязан предоставить субъекту данных полную и прозрачную информацию о том, какие данные собираются, с какой целью, как долго хранятся, кому могут быть переданы, а также о правах субъекта.
- Реализация прав субъектов. Контролёр должен обеспечить возможность субъекту реализовать свои права: на доступ к данным, на их исправление, удаление («право на забвение»), ограничение обработки, переносимость данных и возражение против обработки.
- Обеспечение безопасности данных. Контролёр обязан принимать технические и организационные меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования и распространения.
- Уведомление об утечках. В случае утечки персональных данных контролёр обязан уведомить уполномоченный орган (в РФ — Роскомнадзор) в установленные сроки, а в определённых случаях — и самих субъектов данных.
- Назначение ответственного за обработку данных. В ряде юрисдикций (например, в ЕС) контролёр обязан назначить сотрудника по защите данных (Data Protection Officer, DPO), если обработка данных является основной деятельностью организации или касается специальных категорий данных.
- Ведение учёта операций обработки. Контролёр должен вести реестр всех операций по обработке персональных данных.
Совместные контролёры
Если два или более субъекта совместно определяют цели и средства обработки данных, они признаются совместными контролёрами (joint controllers). В этом случае они должны прозрачным образом определить свои соответствующие обязанности по соблюдению требований законодательства, в частности в отношении реализации прав субъектов данных и предоставления информации. Соглашение между совместными контролёрами должно отражать распределение ответственности, однако субъект данных может осуществлять свои права в отношении каждого из контролёров.
Примером совместных контролёров могут служить несколько организаций, участвующих в совместном проекте по сбору и анализу данных о клиентах, или государственные органы, ведущие общую базу данных.
Контролёр данных в российском законодательстве
В Российской Федерации правовое положение оператора персональных данных регулируется Федеральным законом № 152-ФЗ и подзаконными актами Роскомнадзора. Ключевые особенности:
- Уведомление Роскомнадзора. Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении осуществлять такую обработку, за исключением случаев, предусмотренных законом (например, обработка данных работниками, связанная с трудовыми отношениями; обработка данных без использования средств автоматизации и т.д.).
- Согласие на обработку. В большинстве случаев для обработки персональных данных требуется согласие субъекта. Закон устанавливает особые требования к форме такого согласия, в том числе при обработке биометрических и специальных категорий данных.
- Локализация данных. Операторы обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (так называемый «закон о локализации персональных данных»).
- Ответственность. За нарушение законодательства о персональных данных оператор может быть привлечён к административной (штрафы до 18 млн рублей, приостановление деятельности), гражданско-правовой и в отдельных случаях — к уголовной ответственности.
Различие между контролёром и обработчиком
| Критерий | Контролёр данных | Обработчик данных |
|---|---|---|
| Определение целей | Определяет цели и средства обработки | Действует по поручению контролёра |
| Принятие решений | Самостоятельно решает, зачем и как обрабатывать данные | Выполняет указания контролёра |
| Ответственность | Несёт основную ответственность перед субъектами и регуляторами | Отвечает в рамках договора с контролёром и за нарушения, допущенные по своей вине |
| Примеры | Компания-работодатель, банк, государственное учреждение | Облачный провайдер, бухгалтерская фирма, IT-компания, оказывающая услуги по обработке данных |
Значение и критика
Понятие «контролёр данных» является фундаментальным для современного законодательства о защите персональных данных. Оно позволяет чётко распределить ответственность между участниками процессов обработки информации и возложить основное бремя обеспечения прав субъектов на того, кто принимает ключевые решения.
Вместе с тем, концепция контролёра подвергается критике. В условиях сложных цифровых экосистем, где данные могут обрабатываться множеством участников (рекламные сети, аналитические платформы, социальные сети), бывает сложно определить, кто именно является контролёром. Это создаёт правовую неопределённость и может затруднять защиту прав субъектов данных. Кроме того, в некоторых юрисдикциях, включая Россию, обязанности оператора могут быть чрезмерно обременительными для малого бизнеса, что приводит к издержкам, не всегда соразмерным реальным рискам.
Источники
- Регламент Европейского парламента и Совета Европейского союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (GDPR).
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Российская Федерация).
- Руководящие указания Рабочей группы по защите данных (статья 29) о понятиях «контролёр» и «обработчик» (WP 169).
- Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по вопросам обработки персональных данных.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →