🇪🇺🏛️❗#gdpr #dpa #controller #processor #облака
Когда пользователь облачного сервиса становится совместным контролером (оператором) вместе с сервис-провайдером
🔸Надзорный орган по защите данных Словении инициировало расследование в отношении компании, которая выступала в качестве посредника между клиентами, генерирующими запросы на данные, и различными провайдерами данных. Компания утверждала, что клиенты, запрашивающие данные, являются контролерами и что она просто обрабатывает данные от имени этих клиентов/контролеров.
🔸Словенский DPA установил, идея бизнес-модели облачных вычислений заключалась в обработке сложных технических деталей с целью упростить технические аспекты для клиентов, позволяя им полностью сосредоточиться на содержании запрашиваемых данных. Пользователи облачных вычислений практически не влияли на технические и организационные меры, применяемые провайдером облачных вычислений при обработке данных.
🔸Поскольку клиенты провайдера облачных вычислений не имели возможности обеспечить техническое соответствие GDPR, провайдер облачных вычислений выступал в качестве контролера, поскольку он определял технические процессы, с помощью которых данные запрашивались, обрабатывались и передавались, а также то, какие субпроцессоры были привлечены.
🔸Так как провайдер облачных вычислений и его клиенты вместе определяли цели и средства обработки, их соглашение фактически было совместным контролем на обработкой данных. DPA постановил, что провайдер услуг облачных вычислений должен регулировать свои договоренности с клиентами по взаимному соглашению в соответствии со ст.26 GDPR (совместные контролеры).
Когда пользователь облачного сервиса становится совместным контролером (оператором) вместе с сервис-провайдером
🔸Надзорный орган по защите данных Словении инициировало расследование в отношении компании, которая выступала в качестве посредника между клиентами, генерирующими запросы на данные, и различными провайдерами данных. Компания утверждала, что клиенты, запрашивающие данные, являются контролерами и что она просто обрабатывает данные от имени этих клиентов/контролеров.
🔸Словенский DPA установил, идея бизнес-модели облачных вычислений заключалась в обработке сложных технических деталей с целью упростить технические аспекты для клиентов, позволяя им полностью сосредоточиться на содержании запрашиваемых данных. Пользователи облачных вычислений практически не влияли на технические и организационные меры, применяемые провайдером облачных вычислений при обработке данных.
🔸Поскольку клиенты провайдера облачных вычислений не имели возможности обеспечить техническое соответствие GDPR, провайдер облачных вычислений выступал в качестве контролера, поскольку он определял технические процессы, с помощью которых данные запрашивались, обрабатывались и передавались, а также то, какие субпроцессоры были привлечены.
🔸Так как провайдер облачных вычислений и его клиенты вместе определяли цели и средства обработки, их соглашение фактически было совместным контролем на обработкой данных. DPA постановил, что провайдер услуг облачных вычислений должен регулировать свои договоренности с клиентами по взаимному соглашению в соответствии со ст.26 GDPR (совместные контролеры).
GDPRhub
IP (Slovenia) - 0612-23/2019/19
The Slovenian DPA found that a controller-processor arrangement was not an accurate description of the responsibilities shared by a cloud computing provider and its clients because both made determinations about the purposes and means of processing; the DPA…