Статья 26 📖 GDPR. Со-контролёры

Статья 26 GDPR. Со-контролёры

1. Если два или более контролёра совместно определяют цели и средства обработки, они должны рассматриваться как со-контролёры. С помощью соглашения между ними, контролёры должны прозрачным образом определить соответствующие обязанности каждого по выполнению требований настоящего Регламента, в частности в отношении осуществления прав субъекта данных и обязанности каждого по предоставлению информации, изложенной в статьях 13 и 14, за исключением случаев, когда соответствующие обязанности контролёров определяются правом Союза или государства-члена. В соглашении может устанавливаться контактное лицо для субъектов данных.

Связанные статьи

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

2. Соглашение, упомянутое в параграфе 1, должно надлежащим образом отражать соответствующие функции и отношения со-контролёров с субъектами данных. Доступ к основному содержанию соглашения должен быть предоставлен субъекту данных.

Связанные статьи

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

Отдельно, проблема со-контролеров также относится к ознакомлению субъектов данных с рисками, правилами и защитными мерами. Статья 26.1 требует, чтобы со-контролеры определяли свои соответствующие обязанности по прозрачному выполнению обязательств по GDPR, в частности в отношении осуществления субъектами данных своих прав и обязанностей по предоставлению информацию по статье 13 и 14. Статья 26.2 требует, чтобы существо договоренности между контролерами данных должно быть доступно субъектам данных. Иначе говоря, субъекту должно быть совершенно ясно, к какому контролеру данных он или она может обратиться, если намеревается реализовать одно или более их прав по GDPR.[39]

_{[39] По статье 26.3, независимо от условий соглашения со-контролеров данных по статье 26.1, субъект данных может воспользоваться ее или его правом по GDPR в отношении и против каждого из со-контролеров данных.}

3. Независимо от условий соглашения, упомянутого в параграфа 1, субъект данных может осуществлять свои права на основании настоящего Регламента касательно или в отношении к каждому из контролёров.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

(EN) The expression “joint controller” is one of the most difficult to grasp in practice. It is nonetheless essential to delimit the role of the parties involved in the processing of personal data to determine their responsibilities under the General Data Protection Regulation (GDPR).

…

Войти
для доступа к полному тексту

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 26 GDPR:

7.2.7 Управление со-контролёрами ПИИ

Средство управления

Организация должна определить соответствующие роли и обязанности по обработке ПИИ (включая требования защиты и безопасности ПИИ) с любым со-контролёром.

Руководство по внедрению

Роли и обязанности по обработке ПИИ должны быть определены прозрачным образом.

…

Войти
для доступа к полному тексту

Преамбулы

(79) Защита прав и свобод субъектов данных, а также юридическая и материальная ответственность контролёров и процессоров, в том числе, в отношении контроля и мероприятий надзорных органов, требует чёткого распределения обязанностей в соответствии с настоящим Регламентом, включая случаи, когда контролёр определяет цели и средства обработки совместно с другими контролёрами, либо когда операция по обработке осуществляется от имени контролёра.

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 1/2010 on the concepts of «controller» and «processor» (2010).

EDPS, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).

EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

ICO, Right of Access (2020).

ICO, Data sharing: a code of practice (2020).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).

Case Law

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018).

CJEU, Tietosuojavaltuutettu v Jehovan todistajat, C-25/17 (2018):

The existence of joint responsibility does not necessarily imply equal responsibility of the various operators involved in the processing of personal data. On the contrary, those operators may be involved at different stages of that processing of personal data and to different degrees, so that the level of responsibility of each of them must be assessed with regard to all the relevant circumstances of the particular case. Actual access to personal data is not a prerequisite for joint responsibility (p. 68-72).

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

Оставить комментарий

[js-disqus]