Открыть сервис

Совместные контролёры

Совместные контролёры — в законодательстве о защите персональных данных (в первую очередь в рамках Общего регламента по защите данных (GDPR) Европейского союза и Федерального закона «О персональных данных» № 152-ФЗ в Российской Федерации) это два или более независимых субъекта (юридических или физических лица), которые совместно определяют цели и способы обработки персональных данных. В отличие от ситуации, когда одно лицо (контролёр) полностью определяет обработку, а другое (обработчик) действует исключительно по его поручению, совместные контролёры несут солидарную ответственность за соблюдение требований законодательства, включая обязанность заключения соглашения, определяющего их взаимные права и обязанности.

Правовая основа

В праве Европейского союза (GDPR)

Понятие «совместные контролёры» (англ. joint controllers) закреплено в статье 26 GDPR. Согласно регламенту, если два или более контролёра совместно определяют цели и средства обработки персональных данных, они признаются совместными контролёрами. Они обязаны в прозрачной форме определить распределение ответственности за выполнение обязанностей, предусмотренных GDPR, в частности в отношении реализации прав субъектов данных и выполнения обязанностей по предоставлению информации. Существенные элементы этого соглашения должны быть доведены до сведения субъектов данных.

В праве Российской Федерации

В российском законодательстве понятие «совместные контролёры» прямо не используется, однако Федеральный закон № 152-ФЗ «О персональных данных» (ст. 3) определяет оператора как лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки. Таким образом, российское право допускает ситуацию, когда несколько лиц совместно определяют цели обработки, что по сути соответствует концепции совместных контролёров. Однако в отличие от GDPR, в российском законодательстве отсутствует детальная регламентация порядка заключения соглашения между такими лицами и распределения ответственности. На практике это часто приводит к тому, что каждый из совместных операторов несёт полную ответственность за нарушения, если не доказано иное.

Критерии признания

Для квалификации отношений как «совместные контролёры» необходимо установить, что:

  • Совместное определение целей: каждый из участников имеет влияние на решение о том, для каких целей будут обрабатываться персональные данные. Например, при совместном проведении маркетинговой акции или совместном предоставлении услуги.
  • Совместное определение средств: участники совместно решают, какими способами, с использованием каких технологий и процедур будет осуществляться обработка. Это может включать выбор программного обеспечения, определение сроков хранения, порядка доступа к данным.
  • Отсутствие подчинённости: ни один из участников не является простым обработчиком, действующим по указанию другого. Каждый сохраняет самостоятельность в принятии решений, хотя и в рамках совместно согласованной схемы.

Отличие от обработчика

Ключевое различие между совместными контролёрами и обработчиком (поручителем) заключается в степени самостоятельности. Обработчик действует исключительно на основании поручения контролёра и не вправе самостоятельно определять цели и средства обработки. Если же два лица совместно определяют цели и средства, они оба являются контролёрами, даже если одно из них фактически выполняет технические операции по обработке. Например, если две компании совместно разрабатывают и используют мобильное приложение для сбора данных о клиентах, обе они будут совместными контролёрами, даже если одна из них отвечает за техническую поддержку сервера.

Обязанности совместных контролёров

Соглашение между контролёрами

Совместные контролёры обязаны заключить соглашение, в котором должно быть определено:

  • распределение обязанностей по соблюдению требований законодательства;
  • порядок взаимодействия с субъектами персональных данных (кто и в какие сроки отвечает на запросы);
  • порядок уведомления об утечках данных и иных инцидентах;
  • ответственность сторон за нарушение обязательств.

Соглашение должно быть составлено в письменной форме, в том числе в электронном виде. Согласно GDPR, основные положения соглашения должны быть доступны субъекту данных.

Реализация прав субъектов

Субъект данных имеет право обращаться с запросами и жалобами к любому из совместных контролёров. Каждый из них обязан ответить на запрос в установленные сроки. Если один из контролёров не выполняет свои обязательства, субъект может предъявить претензии к другому, который несёт солидарную ответственность.

Ответственность

В случае нарушения законодательства каждый из совместных контролёров может быть привлечён к ответственности. В рамках GDPR ответственность является солидарной: субъект может требовать возмещения ущерба от любого из контролёров, а затем тот может взыскать часть суммы с другого в соответствии с соглашением. В российском праве солидарная ответственность также возможна, но на практике часто применяется принцип «общей ответственности», когда каждый оператор отвечает за всё нарушение, если не докажет, что оно возникло не по его вине.

Примеры из практики

Совместные проекты и партнёрства

  • Совместная маркетинговая акция: две компании проводят совместную рекламную кампанию, в ходе которой собирают контактные данные участников. Обе компании определяют, какие данные собирать и как их использовать, следовательно, они являются совместными контролёрами.
  • Общая база данных клиентов: несколько организаций (например, банк и страховая компания) создают общую базу данных для оценки кредитоспособности клиентов. Каждая из них вносит свои данные и использует общий массив, совместно определяя цели и способы обработки.

Цифровые платформы и экосистемы

  • Мобильное приложение с несколькими разработчиками: если приложение разрабатывается и поддерживается двумя компаниями, каждая из которых имеет доступ к персональным данным пользователей и принимает решения об их обработке, они признаются совместными контролёрами.
  • Интеграция сервисов: компания, предоставляющая платёжный сервис, и интернет-магазин могут быть признаны совместными контролёрами, если они совместно определяют, какие данные о транзакциях обрабатывать и как их хранить.

Государственные и муниципальные органы

  • Совместные реестры: несколько государственных органов ведут единый реестр граждан (например, реестр избирателей или реестр социальных выплат). Каждый орган вносит свои данные и использует общую базу, совместно определяя цели и способы обработки.

Критика и проблемы

Концепция совместных контролёров подвергается критике за неопределённость критериев разграничения с обработчиком. На практике часто сложно установить, кто именно «совместно определяет цели и средства», особенно в сложных цепочках обработки данных с участием нескольких организаций. Европейский совет по защите данных (EDPB) выпустил руководство по применению статьи 26 GDPR, однако оно не устраняет всех неясностей.

В российском правоприменении отсутствие чёткого регулирования совместных операторов приводит к тому, что на практике каждая из сторон старается минимизировать свою ответственность, перекладывая её на другую. Это создаёт риски для субъектов данных, которые могут столкнуться с отказом в удовлетворении запроса со стороны одного оператора со ссылкой на то, что ответственность лежит на другом.

Источники

  • Регламент Европейского парламента и Совета Европейского союза 2016/679 от 27 апреля 2016 г. (GDPR), статья 26.
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», статья 3.
  • Руководство Европейского совета по защите данных (EDPB) по концепции совместных контролёров (Guidelines 07/2020 on the concepts of controller and processor in the GDPR).
  • Практика Суда Европейского союза (CJEU) по делам, связанным с совместными контролёрами (например, дело C-210/16, «Wirtschaftsakademie Schleswig-Holstein»).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →