August 9, 2025
2 min read
Загальний регламент про захист даних (GDPR) чітко визначає обробника даних як «особу, агентство, державний орган або будь-який інший орган, який обробляє персональні дані від імені контролера даних» (Регламент (ЄС) 2016/679, ст. 4(8)). Це визначення підкреслює роль обробника як суб'єкта, який не володіє даними та не контролює їх, а діє суворо за вказівками контролера даних.
Центральним у структурі GDPR є розрізнення між контролерами та обробниками даних. У той час як контролери визначають цілі та засоби обробки персональних даних, обробники лише виконують завдання з обробки. Це розрізнення є ключовим, оскільки воно визначає обсяг юридичної відповідальності та регуляторних зобов'язань. Обробники даних, хоча й не несуть відповідальності за загальну відповідність так само, як контролери, згідно зі статтею 28 зобов'язані:
Приклади обробників даних, які часто наводять, включають сторонні сервіси, такі як:
Ці обробники працюють з персональними даними відповідно до договірних угод, але не визначають мету або засоби обробки, що відрізняє їх від контролерів (Voigt & Von dem Bussche, 2017).
Правова база покладає на обробників відповідальність за дотримання високих стандартів захисту даних, але не надає їм автономії у прийнятті рішень щодо використання даних. Це обмежує відповідальність обробників переважно дотриманням вказівок контролера та відповідністю GDPR у їхній діяльності з обробки. Недотримання вимог може призвести до штрафів, що підкреслює їхню критичну роль в екосистемі захисту даних (Kuner, 2018).
Таким чином, GDPR визначає обробників даних як суб'єктів, що виконують завдання з обробки за вказівкою контролерів, вимагаючи суворого дотримання заходів безпеки та законних інструкцій без права власності чи повноважень приймати рішення щодо персональних даних, які вони обробляють.
