Съконтрольори, които притежават данните на HAAS Avocats

От Stéphane ASTIER и Florian PERRETIN

Развитието на икономиката сега се върти около данните. Въпросите, свързани с контрола на тези данни по отношение на стратегическото позициониране и заемането на пазарен дял, наистина са основни и са пряко свързани със съществен проблем: този относно собствеността върху данните.

Истинският "петрол" на 21-ви век, гигантските обеми данни, които сега са достъпни, са обект на множество употреби от тяхното събиране до връщането им. Тази експлоатация дори се превърна в наука сама по себе си, " наука за данни ".

Доставчиците в тази област са специализирани и сега е обичайно да се намерят няколко заинтересовани страни, допринасящи за едно и също лечение, особено с внедряването на API в рамките на решение. Базите данни, генерирани от всеки от главните герои, се допълват, припокриват и свързват; толкова много взаимодействия, които са допринесли за дефинирането на концепцията за съвместна отговорност за обработване, по-специално предложена от Европейския общ регламент за защита на данните от 26 април 2016 г. (наричан по-долу GDPR) .

Изправете днес въпроса за собствеността на данните с идеята за съвместна отговорност за обработката е несъмнено един от най-деликатните въпроси, с които трябва да се справим в рамките на контролирана дигитална стратегия. Няма съмнение, че бъдещите служители по защита на данните (DPO) ще трябва да се справят редовно с това.

Възможността да се върнем към ключовите концепции, които ни позволяват да разгледаме този въпрос в световен мащаб.

1. Понятията „контролер“/„съконтролер“/„процесор“

Понятията „контролер“ и „обработващ“ играят централна роля при определянето на това кой има контрол върху данните, в собствеността върху внедрените бази данни и, atiotiori, в достъпа до доходи, генерирани от обработките и внедрените услуги.

За да се определи кой е отговорен или подизпълнител, е необходимо да се разчита на прилагането на приложимите разпоредби относно правото на личните данни, а именно Закона за защита на данните и GDPR .

Именно в зоната на отговорност при лечението двете концепции намират своя интерес. Между контролера и процесора има междинен статус, този на „съконтролер“, най-често независим по отношение на приложените средства, но зависи от целите на обработката, тъй като е свързан с други отговорни съконтролери. Основни понятия, по които е необходимо изясняване.

"Администраторът" е физическото или юридическо лице, публичен орган, отдел или друг орган, който самостоятелно или съвместно с други определя целите и средствата за обработка.

Това определение се върти около три точки:

  • Индивидуалният аспект: „Физическото или юридическото лице, публичният орган, служба или друг орган“;
  • Основните елементи, които правят възможно разграничаването на контролера на данни от процесора: „Определя целите и средствата за обработка“;
  • Възможността за споделена отговорност между няколко администратора на данни, които след това се считат за администратори на съвместни данни: „Сам или съвместно с други“ .

Когато става въпрос за определяне на целите и средствата с оглед възлагане на ролята на контролер, основният въпрос, който възниква, е степента на точност на това определяне при обработката. Понятията „цел“ и „средства“ се отнасят съответно до „защо“ и „как“ на дейността по обработка. Тези понятия могат да варират в зависимост от конкретната среда, в която се провежда лечението, и само прагматичният подход позволява тези елементи да бъдат контекстуализирани.

Говорим за „съвместни контролери“, когато двама или повече контролери определят съвместно целите и средствата за обработка. Съконтрольорите трябва прозрачно да дефинират своите съответни задължения, за да гарантират спазването на правните разпоредби за защита на данните чрез споразумение, чиито контури ще бъдат предоставени на заинтересованото лице от обработката. Това споразумение - което предполага точна формализация - оставя на практика много свобода на съконтролера. Приемайки прагматичен подход, европейският законодател е наясно, че в зависимост от ситуацията има няколко степени на участие на участниците в обработката и следователно задължително няколко степени на съвместна отговорност.

"Обработващият" е физическото или юридическо лице, публичен орган, отдел или друг орган, който обработва лични данни от името на администратора. Следователно съществуването на процесора зависи от инициативата на контролера да делегира всички или част от тези дейности по обработка на външна организация.

Това определение се върти около две точки:

  • "Индивидуалният" аспект, а именно юридическо лице, отделно от администратора;
  • Същественият елемент е фактът за обработка на лични данни от името на администратора.

Дейностите по обработка, извършвани от името на администратора, могат да имат разнообразен характер с по-голяма или по-малка свобода на преценка при избора на използваните технически и организационни средства.

Тъй като квалификациите на „администратор на данни“ и „обработващ данни“ се основават на „фактически“, а не на „договорни“ съображения, те се основават на критерии, произтичащи от набор от индекси: брой предварителни инструкции, дадени от администратора на данни, следящи, че последните упражнения на ниво обслужване, видимост по отношение на засегнатите хора, експертиза на страните, автономно правомощие за вземане на решения на различните участници и т.н.