Що таке контролер даних згідно з GDPR?

Загальний регламент про захист даних (GDPR) визначає контролера даних як «фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби обробки персональних даних» (Європейський Парламент і Рада, 2016). Ця роль передбачає відповідальність за визначення того, чому і як обробляються персональні дані. Контролер даних не лише визначає мету використання даних, але й вказує обсяг даних, необхідних для досягнення цієї мети.

Наприклад, малий бізнес, що обробляє інформацію про клієнтів для виконання замовлень на доставку, є контролером даних. У таких випадках бізнес визначає мету (доставка товарів) і вирішує, які дані (наприклад, ім'я, адреса) є необхідними. Коли цей бізнес передає доставку третій стороні, ця третя сторона діє як обробник даних, виконуючи завдання від імені контролера, не визначаючи мету чи засоби обробки даних.

GDPR вимагає, щоб контролери даних мали правову підставу для обробки персональних даних, наприклад:

• Згода суб'єкта даних,
• Законний інтерес, що переслідується контролером,
• Дотримання юридичного зобов'язання,
• Виконання договору.

Контролери зобов'язані забезпечити, щоб обробка була законною, справедливою та прозорою. Крім того, вони повинні вживати відповідних технічних та організаційних заходів для захисту персональних даних від несанкціонованого доступу, зловживання чи розголошення. Ці обов'язки підкреслюють підзвітність та захист даних за задумом і за замовчуванням (Voigt & von dem Bussche, 2017).

Ключові обов'язки контролера даних включають:

• Визначення цілей та засобів обробки,
• Встановлення правових підстав для обробки,
• Забезпечення прозорості для суб'єктів даних,
• Впровадження заходів безпеки,
• Управління правами суб'єктів даних, такими як доступ, виправлення та видалення.

Неналежне виконання цих обов'язків може призвести до значних штрафів у рамках застосування GDPR.

Ця структура чітко визначає роль контролера даних як центральну для дотримання GDPR, забезпечуючи контроль над обробкою персональних даних та захищаючи права на приватність особи.

Джерела:

• Європейський Парламент і Рада. (2016). Регламент (ЄС) 2016/679 (Загальний регламент про захист даних). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

• Voigt, P., & von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer. https://link.springer.com/book/10.1007/978-3-319-57959-7